Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
SIEM как головной мозг системы
обеспечения информационной
безопасности
105082, Россия, г. Москва
ул. Большая Почтовая, 55/...
Инфраструктура
➢ Антивирус
➢ Межсетевой экран
➢ СКУД
➢ Целевые системы
➢ DLP
➢ СЗИ от НСД
➢ Средства защиты
виртуализации
...
Предпосылки возникновения
SIEM
➢ Большое количество сетевых устройств,
приложений;
➢ Распределенная инфраструктура;
➢ Непо...
Предпосылки возникновения
SIEM
➢ Не будем смотреть логи – об инцидентах
узнаем из газет или от прибежавших
сотрудников с б...
Сосредоточим внимание
экспертов на важном
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98...
Примеры реализации
➢ Сетевые атаки
➢ Фрод и мошенничество
➢ Откуда и когда блокировались
учетные записи
➢ Изменение конфиг...
Примеры реализации
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-tas...
Пример №1
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www....
Пример №2
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www....
Пример №3
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www....
Что мы предлагаем?
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-tas...
RUSIEM?
➢ Real-time и историческая корреляция
с возможностью настройки правил
пользователем
➢ Сбор информации с Windows, M...
Источники событий
➢ Syslog UDP/TCP с любых источников
*nix/BSD/cisco/juniper/windows
➢ Файл в формате Json, txt, csv, txt
...
Вопросы
ООО «АйТи Таск»
➢ Тел./факс: +7 (495) 972-98-26
➢ Адрес: 105082, Россия, г. Москва
ул. Большая Почтовая 55/59с1
➢ ...
Nächste SlideShare
Wird geladen in …5
×

IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информационной безопасности"

207 Aufrufe

Veröffentlicht am

Конференция "Код ИБ 2017". Краснодар

Veröffentlicht in: Software
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информационной безопасности"

  1. 1. SIEM как головной мозг системы обеспечения информационной безопасности 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru #CODEIB
  2. 2. Инфраструктура ➢ Антивирус ➢ Межсетевой экран ➢ СКУД ➢ Целевые системы ➢ DLP ➢ СЗИ от НСД ➢ Средства защиты виртуализации Когда Вы проверяли статус? 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB
  3. 3. Предпосылки возникновения SIEM ➢ Большое количество сетевых устройств, приложений; ➢ Распределенная инфраструктура; ➢ Непонятный исходный формат событий ➢ Что происходит в инфраструктуре (отказы, эпидемии, атаки, несанкционированный доступ) ➢ Почему и откуда блокируются учетные записи ➢ Кто дал полный доступ к базе данных для нового сотрудника ➢ Что с этой информацией делать? ➢ Логи нельзя удалить? 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB
  4. 4. Предпосылки возникновения SIEM ➢ Не будем смотреть логи – об инцидентах узнаем из газет или от прибежавших сотрудников с битами ➢ Увидеть инцидент в логах не реально. Необходима масса факторов. ➢ Реагировать на каждый чих систем безопасности – неправильно! ➢ А «насколько плох вот этот алерт?» - нет данных о критичности и влияния на процессы. ➢ «а что это за ip в логе и что за vlan»? – отсутствует справочная информация ➢ Стирание/переполнение журнала событий– уже не узнаете почему произошел инцидент, кто виновен в утечке данных или простое 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB
  5. 5. Сосредоточим внимание экспертов на важном 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru Миллионы исходных событий в секунду Тысячи влияющих на ИТ и ИБ Сотни проблем Десяток «реальных инцидентов» ➢ Мы можем сохранять все события так как это может сказаться на расследовании инцидентов, собрать доказательную базу ➢ Оператор не должен просматривать все события, а только важные инциденты (уже готовые выводы) ➢ Средства workflow позволяют контролировать работу над инцидентами, а не оставлять их забытыми без внимания ➢ Применяемые методы позволяют оператору понимать «о чем это событие» ➢ Инвентаризация и комплайнс #CODEIB
  6. 6. Примеры реализации ➢ Сетевые атаки ➢ Фрод и мошенничество ➢ Откуда и когда блокировались учетные записи ➢ Изменение конфигураций «не админами» ➢ Повышение привилегий ➢ Выявление несанкционированных сервисов ➢ Обнаружение НСД (вход под учетной записью уволенного сотрудника) ➢ Финансовые операции ➢ Изменение критичных конфигураций с VPN подключений ➢ Контроль выполняемых команд на серверах и сетевом оборудовании ➢ Аудит изменений конфигураций (сетевых устройств, приложений, ОС) ➢ Выполнение требований Законодательства и регуляторов (PCI DSS, СТО БР, ISO 27xx) 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB
  7. 7. Примеры реализации 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru ➢ Аномальная активность пользователя (массовое удаление/копирование) ➢ Обнаружение вирусной эпидемии ➢ Обнаружение уязвимости по событию об установке софта ➢ Оповещение об активной уязвимости по запуску ранее отключенной службы ➢ Обнаружение распределенных по времени атаках ➢ Влияние отказа в инфраструктуре на бизнес-процессы #CODEIB
  8. 8. Пример №1 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB Есть авторизация на АРМ… …не зафиксирован проход через СКУД. ИНЦИДЕНТ?
  9. 9. Пример №2 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB Некорректная работа антивирусного ПО Массовое заражение инфраструктурыВирусная атака
  10. 10. Пример №3 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB • Доступ к критичным ресурсам в нерабочее время • Доступ извне к внутренним критичным ресурсам • Изменение конфигурации сетевого оборудования • Контроль межзонных соединений (DMZ to Internet, Test zone – Production • Очистка журналов событий на оборудовании • Многочисленные попытки соединения с множеством хостов • Обнаружение траффика на нестандартных портах
  11. 11. Что мы предлагаем? 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru Основные преимущества: ➢ Собственная разработка, не зависящая от санкций и развития open-source. ➢ Полная поддержка русского языка ➢ Приведенная к общему формату объектная нормализация ➢ Встроенная управляемая и редактируемая корреляция ➢ Высокая производительность (Свыше 90000 событий на одну ноду). ➢ Нет ограничений по количеству событий и источникам ➢ Сохранение исходных RAW-событий ➢ Нет ограничений по размеру архивного хранилища ➢ Коннекторы от производителя ➢ Real-time и историческая корреляция. ➢ Наличие собственных модульных агентов. ➢ Разделение нагрузки на несколько серверов или виртуальных машин. ➢ Легкая вертикальная масштабируемость. #CODEIB
  12. 12. RUSIEM? ➢ Real-time и историческая корреляция с возможностью настройки правил пользователем ➢ Сбор информации с Windows, MacOS, Linux, сетевого оборудования и любых приложений имеющих возможность вывода событий ➢ Отсутствие необходимости приобретения дополнительного ПО ➢ Собственный Workflow для инцидент- менеджмента 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB
  13. 13. Источники событий ➢ Syslog UDP/TCP с любых источников *nix/BSD/cisco/juniper/windows ➢ Файл в формате Json, txt, csv, txt ➢ Windows event log (любой, даже созданный пользователем журнал) ➢ Строки в БД MS SQL (любой) как события ➢ Строки в Firebird (используется для СКУД, DPI систем) как события ➢ Tcp input ➢ Netflow (любая версия) ➢ Java events ➢ Nagios events ➢ Stream pipe ➢ Unix socket ➢ S3 stream 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru ➢ Веб-сервера ➢ Реляционные БД ➢ Nosql БД ➢ Прокси-сервера ➢ Windows Event log ➢ Бизнес-приложения ➢ Балансеры ➢ DLP, DPI ➢ Антивирусная защита ➢ Активное оборудование ➢ СКУД ➢ АСУ ТП ➢WMI ➢Stomp ➢Sqlite ➢Zeromq ➢Rabbitmq ➢Прочие AMPQ ➢Kafka Apache ➢HDFS (файлы) ➢Lamberjack ➢JMX ➢Heroku ➢Log4j ➢Gelf ➢Xmpp ➢Collectd ➢SNMP Trap #CODEIB
  14. 14. Вопросы ООО «АйТи Таск» ➢ Тел./факс: +7 (495) 972-98-26 ➢ Адрес: 105082, Россия, г. Москва ул. Большая Почтовая 55/59с1 ➢ E-mail: info@it-task.ru ➢ Web: www.It-task.ru 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru www.it-task.ru #CODEIB

×