В PT ISIM 6 появилась технология безагентного сбора событий безопасности в технологическом сегменте
В кибербезе есть важные события. И это как раз одно из них — собрали про него пост 😎
Чтобы находить угрозы в технологических сетях, PT ISIM анализирует сетевой трафик и выявляет подозрительную активность. А когда нужно заглянуть глубже — на уровень отдельных узлов, — помогают агенты.
Нет, это не ребята из «Матрицы», которые следят за порядком (хотя сходство есть). В кибербезе агенты — это цифровые разведчики: небольшие программы, которые устанавливают на устройства, чтобы они собирали события безопасности и передавали их в средство защиты для дальнейшего анализа.
Но даже разведчика не всегда можно отправить на задание: оборудование может быть слишком старым, установить дополнительное ПО — невозможно, а внутренние правила предприятия вообще могут запрещать это делать. При этом события безопасности все равно собирать нужно. А для объектов критической инфраструктуры это еще и обязательное требование.
🏭 Поэтому в шестой версии PT ISIM появились технологии класса SIEM — они расширили возможности системы по сбору и анализу данных о технологической сети.
Что изменилось:
▶ Теперь PT ISIM умеет собирать события из журналов Windows (WinEvent Log) и по протоколу Syslog. В дальнейшем список источников будет расширяться.
▶ За счет этого система может мониторить события безопасности на серверах инфраструктуры и АСУ ТП, операторских и инженерных рабочих станциях, а также на сетевом оборудовании — включая устаревшее.
▶ За поиск подозрительной активности отвечает встроенная база правил и индикаторов угроз промышленной кибербезопасности PT ISTI, которую развивает Центр промышленной экспертизы Positive Technologies.
▶ Модуль сбора и анализа событий входит в состав PT ISIM Collector. Это позволяет отслеживать подозрительную активность в распределенных системах управления и изолированных сегментах инфраструктуры.
▶ Мы обновили интерфейс поиска событий: добавили группировку и фильтрацию с помощью текстового языка запросов. Теперь находить признаки атак среди большого потока данных стало проще, а сохраненные настройки поиска можно использовать для регулярного мониторинга.
▶ С новыми возможностями PT ISIM становится полноценным источником информации для корпоративных SIEM-систем и озер данных (Data Lake). В них поступает информация о событиях безопасности и активах, что позволяет специалистам по кибербезу централизованно контролировать защищенность промышленного объекта.
Больше подробностей — в материале на нашем сайте: https://vk.cc/cZDBRu
#PTISIM
