Интеграция Indeed PAM c MaxPatrol SIEM

Компания Индид и Positive Technologies рады сообщить об успешном завершении работы над обеспечением совместимости Indeed PAM и MaxPatrol SIEM: теперь MaxPatrol SIEM поддерживает Indeed PAM в качестве источника событий.

Коннектор для приема по syslog и нормализации событий Indeed PAM в MaxPatrol SIEM опубликован на официальном ресурсе Positive Technologies, доступен для загрузки и использования без каких-либо дополнительных оплат. Коннектор был разработан компанией Positive Technologies в рамках обращения на обеспечение экспертной поддержки нового источника.

Современная корпоративная система информационной защиты – это целый комплекс средств защиты, призванных обеспечить высочайший уровень практической кибербезопасности. Поэтому максимальной эффективности можно добиться, только когда все используемые продукты усиливают друг друга и безупречно интегрированы.

Один из ключевых компонентов современной системы защиты – решение для мониторинга событий ИБ и выявления инцидентов . Этот класс продуктов принято называть Security Information & Event Management (SIEM).

Такие решения обеспечивают централизованный сбор, хранение и глубокий анализ журналов, чтобы выявлять аномалии, инциденты и кибератаки.

Технологическое партнерство и интеграция с отечественными решениями по информационной безопасности является для нас одним из ключевых векторов развития. Мы считаем, что только системный подход к развитию рынка и синергия в работе отечественных вендоров позволит добиться необходимого уровня информационной безопасности российских компаний.

Наши компании намерены развивать отношения и настроены на не менее продуктивное сотрудничество в будущем. Мы продолжаем работать над интеграцией наших продуктов и обеспечением их совместимости для эффективной защиты наших клиентов.

Андрей Лаптев, руководитель по развитию продуктов Компании Индид.

Продукты SIEM обрабатывают журналы, формируемые техническими средствами, а не только средствами защиты. Если анализировать только последние, то крайне сложно выявить действия современных киберпреступников. Без сопоставления результатов из разных систем и нахождения корреляций между ними практически невозможно обнаружить кибератаку.

Корпоративные ИТ-системы развиваются стремительными темпами, поэтому специалисты, обеспечивающие бесперебойную работу корпоративных бизнес-сервисов, сегодня играют гораздо более важную роль, чем прежде. Причем объем задач в сфере ИТ за последнее десятилетие настолько вырос, что даже крупнейшие холдинги вынуждены либо привлекать аутсорсинговые компании, либо разрешать системным администраторам работать удаленно. А это существенно облегчает киберпреступникам проникновение в ИТ-инфраструктуру компаний, например путем компрометации административных учетных записей. Сделать это в подобных условиях очень просто: даже не нужно преодолевать сложные системы защиты – достаточно взломать ИТ-систему подрядчика или личную рабочую станцию удаленного администратора. Поэтому один из немногих способов эффективно нейтрализовать описанную угрозу – внедрить специальное решение для контроля действий привилегированных пользователей, то есть продукт класса Privileged Access Management (PAM).

Решение Компании Индид – Indeed PAM регистрирует в журнале событий действия администраторов и пользователей PAM, например, изменение политик доступа, предоставление и изъятие разрешений на доступ к целевым ресурсам, изменение ролей пользователей PAM, изменение секретов хранимых в PAM учетных записей, подключения к целевым ресурсам и т. д.

MaxPatrol SIEM – продукт компании Positive Technologies, который по праву считается лидером среди отечественных систем SIEM. В отличие от других SIEM, MaxPatrol SIEM предоставляет возможность автоматического мониторинга устройств в сети, в том числе позволяет выявлять появление новых теневых сегментов. Встроенная экспертиза позволяет начать выявлять инциденты в максимально короткие сроки без дополнительных вложений в настройку и доработку системы.

Преимущества интеграции решений:

Indeed PAM, в отличие от некоторых других продуктов этого класса, передает журналы событий и текстовые логи по протоколу Syslog в режиме реального времени – то есть в процессе активного удаленного подключения, а не после его завершения. Это позволяет решению SIEM чрезвычайно быстро выявлять инциденты и аномалии, связанные с действиями привилегированных пользователей, чтобы максимально оперативно локализовывать инциденты и реагировать на них.

Совместное использование продуктов Indeed PAM и MaxPatrol SIEM, в частности, помогает минимизировать последствия кибератак, нацеленных на базы персональных данных. Как мы писали ранее в статье, в России такие атаки* в последнее время происходят весьма часто.

Оба продукта входят в реестр российского программного обеспечения, что позволяет организациям эффективно использовать отечественные решения для защиты от современных атак в соответствии с требованиями регулирующих органов.