В этой статье я хочу рассказать о продукте SmartEvent компании Check Point. Данный продукт дополняет и расширяет возможности файрвола Check Point, превращая его в эффективный инструмент, который помогает выявить, распознать и обработать инциденты информационной безопасности. Совсем недавно мой коллега публиковал статью о дашбордах Check Point. Продолжим эту тему и посмотрим как устроен блейд Smart Event.
Программные блэйды файрвола Check Point генерируют огромное количество разнообразных сообщений, которые сохраняются в базе данных логов. В основной своей массе – это сообщения о разрешённых и заблокированных соединениях, реже – сообщения о срабатывании защит IPS и других блэйдов продукта. Сохраняемая в виде логов информация может использоваться для изучения и анализа инцидентов безопасности, однако оперативно выявлять на основе логов эти инциденты чрезвычайно трудно. В первую очередь потому, что этих логов ну очень много. Можно конечно использовать механизмы фильтрации, но нужно знать, что отфильтровывать и выявления для разного рода инцидентов важны разные логи. Выходом может служить автоматизация процесса анализа логов. Именно задачу автоматизации анализа логов с целью выявления инцидентов безопасности в первую очередь и решает SmartEvent.
