«СёрчИнформ SIEM» поддержала новый формат работы с базами мошеннических ресурсов от ФинЦЕРТ

03.07.2024 |
«СёрчИнформ SIEM» поддержала новый формат работы с базами мошеннических ресурсов от ФинЦЕРТ
Центр реагирования ЦБ РФ изменил процесс передачи банкам индикаторов компрометации. Разработчики SIEM-системы адаптировали механизм их импорта в списки исключений.

В «СёрчИнформ SIEM» изменился процесс взаимодействия с базами мошеннических ресурсов от ФинЦЕРТ Банка России. Банки получают от ФинЦЕРТ индикаторы компрометации: домены и IP-адреса опасных веб-ресурсов, а также признаки, по которым они признаются мошенническими. Ранее индикаторы рассылались в финансовые организации в формате csv, теперь ФинЦерт рекомендует импортировать их из формата STIX 2.1. «СёрчИнформ SIEM» поддержала эту возможность.

SIEM-система автоматически добавляет полученные из ФинЦЕРТ индикаторы в «черные» списки. Обращение к ресурсам из списка – триггер для запуска проверки по правилу ИБ. Как только пользователи, оборудование или ПО в компании попытаются взаимодействовать с ними, SIEMуведомит ИБ-специалиста. Предварительно понадобится настроить импорт индикаторов в систему. Для этого нужно задать в настройках служб SIEM отдельную папку, куда будут загружаться STIX-файлы из автоматической системы обработки инцидентов (АСОИ) ФинЦЕРТ.

«Интеграция с базой мошеннических ресурсов позволяет автоматизировать работу ИБ-отдела и упрощает актуализацию настроек мониторинга: ведь база растет постоянно, пополнять «черные» списки опасных сайтов вручную трудозатратно, – комментирует Павел Пугач, системный аналитик «СёрчИнформ». – Мы оперативно поддерживаем все изменения, внедряемые ФинЦЕРТ в процедуру обмена данными через АСОИ. Даже когда меняются стандарты, финансовым организациям не придется тратить время на длительную перенастройку своих ИБ-систем: наша SIEM уже готова к новым форматам работы и обеспечит стабильно высокий уровень защиты».

Ранее разработчик представил в «СёрчИнформ SIEM» функцию по автоматическому импорту мошеннических доменов и IP-адресов из базы данных ФинЦЕРТ. С ее помощью финансовые организации могут обогатить SIEM данными об опасных веб-ресурсах, чтобы наладить автоматическое выявление и предотвращение связанных с ними инцидентов.

Свежее по теме

Global Information Security Days (GIS Days 2024)
Global Information Security Days (GIS Days 2024)
Устройства Рутокен совместимы с последними версиями решений Dallas Lock
Устройства Рутокен совместимы с последними версиями решений Dallas Lock
Киберэксперт Дмитрий Овчинников рассказал о перспективах стартапов в инфобезе
Киберэксперт Дмитрий Овчинников рассказал о перспективах стартапов в инфобезе
Исследование ключевого сегмента рынка ИБ от «Инфосистемы Джет» пополнилось еще тремя протестированными вендорскими решениями NGFW
Исследование ключевого сегмента рынка ИБ от «Инфосистемы Джет» пополнилось еще тремя протестированными вендорскими решениями NGFW

Интересные ссылки

Тематики: Безопасность

Ключевые слова: информационная безопасность, СёрчИнформ