Компания RuSIEM объявила о выпуске нового технологического релиза системы мониторинга, сбора и анализа событий RuSIEM. Среди основных изменений – доработка модуля архивации, использование которого теперь позволяет выгружать и хранить события информационной безопасности на внешнем сетевом носителе на долгосрочной основе. За счет этого удается выполнять требования законодательства в части времени хранения событий с меньшими затратами аппаратных ресурсов, а также качественнее проводить расследования инцидентов.

Реализация сложных атак, поясняют в компании, обычно происходит в несколько этапов и длится несколько месяцев, т. е. при расследовании инцидентов необходимо в основном обращаться к данным, которые поступали в систему несколько месяцев или даже лет назад. Функция архивации позволит переносить события на сетевое хранилище и при необходимости обратиться к ним, чтобы найти уязвимость.

Вторая часть обновлений системы связана с модулем оператора RuSIEM RuAgent. Модуль теперь собирает информацию о низкоуровневых событиях, происходящих на уровне ядра ОС, что необходимо для выявления новых видов угроз. Такой функционал используется в системах класса EDR (Endpoint Detection & Response), позволяя выявлять современные сложные и целевые атаки, направленные на хищение средств и данных.

Использование EDR, комментируют в RuSIEM, позволяет собирать и отправлять в SIEM-систему низкоуровневые события, анализ которых дает возможность выявлять и расследовать самые сложные и современные атаки. Современное вредоносное ПО многосоставное и поступает по разным каналам (мессенджеры, почта, Интернет и другие), при этом злоумышленники часто используют актуальные, еще не исправленные уязвимости и специально проверяют, чтобы их ПО не обнаруживалось современными антивирусами. Выявить такие угрозы можно только с помощью сбора и анализа событий, происходящих на уровне ядра ОС – на самом низком уровне.