IP-адреса клиентов различаются, поэтому они не подходят для обратной проверки. Они должны постоянно обогащаться информацией о компьютерах и пользователях. Чтобы устранить этот недостаток, журнал DNS в продукте SIEM может быть дополнен правилами тройной корреляции протоколов безопасности DHCP и AD. Однако нелегко собрать журналы из таких разрозненных источников и затем сопоставить их. Более того, импорт всех этих журналов непосредственно в SIEM-продукт увеличивает количество EPS и количество корреляций. Это негативно сказывается на стоимости лицензии на продукт.
Решение DNSEye от Roksit позволяет вам собирать журналы с множества различных брендов и моделей DNS-серверов, таких как Microsoft DNS, Infoblox, BIND, Bluecat, EfficientIP, F5, Citrix, без необходимости изменять топологию вашей сети. Функция обнаружения хоста DNSEye определяет точное устройство и пользователя, соответствующие IP-адресу. При чтении журнала DHCP выясняется, какое устройство в данный момент использует IP-адрес. Active Directory, считывая журнал безопасности, определяет IP-адрес пользователя, который вошел в систему. Журнал, обогащенный этими особенностями, становится содержательным и пересылается командам SOC. Roksit выполняет такую корреляцию автоматически. Достаточно ввести эти источники журналов в систему.