Российский производитель решений по информационной безопасности «Гарда Технологии» (входит в «ИКС Холдинг») выпустил обновленную версию продукта для выявления и расследования сетевых инцидентов «Гарда Монитор». В системе появилась возможность просмотра истории авторизации пользователей в сети предприятия и настройки правил записи и хранения данных.
«Гарда Монитор» применяется для оперативного выявления признаков нарушений политик информационной безопасности предприятия. Среди них обнаружение вредоносной активности, попыток использования уязвимостей и нелегального доступа, а также обращения к скомпрометированным ресурсам. Система мгновенно информирует о нарушениях службу безопасности.
Для выявления фактов вторжения в сетевую инфраструктуру предприятия анализ трафика строится на основе автоматически обновляемых решающих правил. Их предоставляет для удобства пользователей системы центр компетенций информационной безопасности «Гарда Технологии». Для решения задачи анализа трафика система «Гарда Монитор» обеспечивает гибкий поиск по свойствам сетевых соединений с отображением результатов в виде таблиц и диаграмм с возможностью получения содержимого сетевого соединения в формате pcap. Чтобы получать уведомления об инцидентах на почту или в SIEM, достаточно настроить соответствующий фильтр.
В новой версии появилась возможность просмотра истории авторизации пользователей на рабочих станциях. С ее помощью можно выявить факты разглашения, кражи или компрометации учетных данных пользователей. Также добавлена авторизация пользователей по учетной записи из корпоративного домена благодаря поддержке интеграции по проколу LDAP.
Пользователи «Гарда Монитор» теперь могут настраивать правила записи трафика, например, отключить запись SSL-содержимого, что позволяет экономить объем используемого дискового пространства. В системе предусмотрена возможность задавать раздельное время хранения статистки и содержимого сетевых соединений, например, статистику хранить две недели, а содержимое – только три дня.
Появилась возможность просмотра данных прикладных протоколов из TCP/UDP трафика. Это позволяет получить более полную информацию об анализируемом потоке без использования сторонних инструментов.
В обновленном решении есть возможность выделения текста из потоков HTTP-трафика, почты и TELNET-трафика. Внедрены фильтры, позволяющие выполнять поиск по извлеченному тексту. Для удобства работы с системой добавлена «База Знаний» детектируемых протоколов, позволяющая не выходя из комплекса узнать назначение интересующего протокола. Кроме того, пользователи могут настраивать цветовую схему отображения протоколов и задавать названия службам, принимающим подключения на указанном порту.
«Гарда Монитор» анализирует сетевой трафик, использует сочетание сигнатурного анализа, машинного обучения и расширенной аналитики для обнаружения атак, подозрительной активности в корпоративной сети и расследования сетевых инцидентов.