Що таке ATD і для чого вона потрібна.
Інтеграція з іншими рішеннями для обміну IOC.
Контроль репутації файлів.
OpenDXL як механізм під'єднання до шини McAfee DXL.
Автоматична передача маркерів з McAfee ATD на пристрої Cisco, Fortinet, Checkpoint та інші.
Побудова комплексу захисту на різних рішеннях.
Демо роботи із ATD та OpenDXL.
#OptiData
2. #whoami
Працюю у компанії OptiData
Аналізую віруси
Пишу статті
Проводжу навчання з різних аспектів ІБ
Допомагаю з проектуванням, впровадженням та
супроводом засобів захисту
Прийшов до вас щоб поділитися досвідом
vr@optidata.com.ua
radetskiy.wordpress.com
3. Ми – команда спеціалістів з практичним досвідом інтеграції з ІБ.
Працюємо лише з тим, в чому розбираємось.
Більшість здійснених нами проектів захищені NDA.
Проектуємо. Навчаємо. Розгортаємо. Захищаємо.
Що таке OptiData ?
4. #IOC та звіти шукайте тут:
radetskiy.wordpress.com
Життя без sandbox: ~40 хв / 1 зразок
9. Навіщо нам sandbox ?
• Автоматизація потокової перевірки файлів
• Формування чітких та повних списків IOC
• Розуміння схеми атак для корекції політик
• Захист від того, що дозволено бізнесу (!)
25. • Центральне джерело репутації
• Посилення або заміна DAT/GTI
• Оператор може вносити зміни
• Канал обміну – шина DXL
McAfee TIE – БД репутації файлів
McAfeeATD
McAfee ePO
McAfee ENS
DXL
McAfee TIE
27. Інтеграція до DXL (OpenDXL)
Складнощі:
•Обмін обліковими даними
•Різні API
•Різні порти/протоколи
•Обмін подіями (усе разом)
Modify
Network
Traffic
Modify Network Traffic
Modify Network
Traffic
Modify
Network
Traffic
Modify Network Traffic
Modify
Network Traffic
Рішення #4
Рішення #3
Рішення #2
Рішення #1
28. McAfee DXL
Рішення #1
Рішення #4
Рішення #3
Data Exchange Layer
Рішення #2
Переваги:
•Одна шина, один протокол
•Одне API
•Центральна авторизація
•1:~ (підписка)
•1:1 (запит інформації)
30. OpenDXL – інтеграція засобів захисту
Aruba ClearPass
Policy Manager
McAfee Active
Response
(MAR)
OpenDXL
Orchestration
Script
McAfee Threat
Intelligence
(TIE)
Rapid7
Nexpose
Data
Exchange
Layer
McAfee
ePO
•TIE Client Module
•MAR Client Module
Infected
Endpoint
Malicious
Site
Check Point
Firewall
Malware
Приклад:
•Підписуємося на події Check Point
•Запускаємо пошук через MAR
•Оновлюємо репутацію через TIE
•Призначаємо Tag усім інфікованим
•Запускаємо скан Nexpose
•Оновлюємо списки доступів Aruba
32. • Розширення схеми McAfee DXL
• 2 режими обміну: підписка (1:~) та запит (1:1)
• Можливість інтеграції з іншими рішеннями ІБ
• Обмін IOC між різними засобами безпеки
• MQTT, TLS 1.2, PKI, двосторонній зв'язок
OpenDXL