📢SIEM — хорошо, а SIEM с контекстом — ещё лучше Почти у всех наших заказчиков есть такой продукт, — ведь как в существующих реалиях жить без регулярного мониторинга событий ИБ? Но в нашей картине мира жить нельзя и без совместимости SIEM с PAM, ведь важно не только получать сигнал, но понимать, насколько он действительно полезный и значимый. Почему эта интеграция так важна? ▫️Полная картина действий админских учёток SIEM фиксирует факт использования админской учётной записи, но без PAM непонятно, кто именно стоял за сессией, что конкретно делал администратор, была ли заявка и было ли согласование. ▫️Больше контекста для расследования Сопоставление событий PAM-системы и остальной инфраструктуры помогает видеть инцидент целиком. ▫️Снижение нагрузки на системы Возможности по поведенческой аналитике и профилированию пользователей могут разгрузить продукты класса SIEM. При интеграции с SIEM СКДПУ НТ передает события пользовательских сессий в систему мониторинга. Среди них — команды пользователей, заголовки окон, процессы, данные буфера обмена и другие элементы интерфейсов. Передача может происходить в форматах syslog и CEF, а также через REST API. В результате SIEM получает больше контекста. Она видит не только технические события инфраструктуры, но и действия пользователей, которые работают с критическими ресурсами. Эти данные можно использовать в правилах корреляции и при расследовании инцидентов. ⚔️ PAM-система СКДПУ НТ совместима с SIEM «Лаборатории Каперского», Positive Technologies, «Газинформсервис» и «Эшелон Технологии». Интеграцию с SIEM поддерживает и средство информационного обмена «Синоникс». Его нормализаторы событий включены в стандартный репозиторий Kaspersky Unified Monitoring and Analysis Platform (KUMA). Это ускоряет ежедневный оперативный поиск в KUMA, расширяет возможности по приему и корреляции событий из разных источников. #какэтосвязано