SlideShare ist ein Scribd-Unternehmen logo

RuSIEM 2016

Als PPTX, PDF herunterladen
Olesya Shelestova
Olesya Shelestova

SIEM

Software
1 von 25
2
3 • Официальный дистрибьютор – http://it-task.ru (info@it-task.ru) • Проект стартовал в ноябре 2014 • На данный момент имеются успешные внедрения • Вышли с релизной версией еще в 2015 году. Готовы к внедрениям. О нас
Заказчики • SMB, Enterprise, SOC, CERT + • Российский и мировой рынок • Ценовая политика: варьируется. • Ценовой диапазон: в разы ниже существующих конкурентов 4
Основные отличие от конкурентов • Высокая производительность системы • Интерпретация событий понятная оператору • Гибкость правил корреляции • Встроенная аналитика • Нет лимита на количество собираемых событий и объем хранилища • Полностью готовое решение без необходимости в приобретении дополнительного ПО • Ценовая политика в разы меньшая чем у конкурентов 5
Пример решаемых кейсов • Попытки подбора паролей с различных систем, в том числе растянутые по времени • Успешный вход после многочисленных неуспешных попыток • Обнаружение вируса по перехваченному по сети файлу (электронная почта, файловый сервер, http/ftp/tcp траффик) • Обнаружение сетевых атак с помощью сетевого сенсора и корреляции • Обнаружение попыток несанкционированного доступа к документам на файловом сервере • Обнаружение массового удаления файлов • Массовые изменения учетных записей • Изменения учетных записей администраторов • Выявление фактов использования служебных учетных записей • Использование внешних накопителей на серверах 6
Пример решаемых кейсов (2) • Изменение конфигураций СЗИ (отключение антивирусной защиты и т.п.) • Вирусные эпидемии (один и тот же вирус на нескольких хостах, не вылеченные файлы, по хэшам процессов) • Выявление фактов сканирований сети и уязвимостей • Обнаружение не валидных сертификатов (просроченные, самоподписанные, с неустановленным УЦ) • Обнаружение фактов установки ПО • Обнаружение установки ПО для удаленного администрирования, несанкционированного доступа • Отказ в обслуживании сервиса (количество http.error, неустановленные соединения, потеря пакетов) • Контроль трафика, в том числе по зонам для обеспечения policy compliance/compliance policy 7
Инструментарий и методы обнаружения • «Беглый просмотр событий» • «Всплески» • Сигнатурный анализ • «Песочницы» (сравнение по хэшам, отправка подозрительных файлов и получение результатов в облаке) • Корреляция счетчиком (по условию события, количеству событий) • Корреляция триггером (триггерное, например: 3 неуспешных попытки входа, затем успешная) • Симптоматика • Агрегация (суммарные веса объектов симптомов за интервалы) • Фиды (репутационные списки)
Методы обнаружения угроз 9 Up to 2min Up to 3min Correlation Rules Dashboard Active searches Feeds, Reputation lists Basic symptoms Symptoms aggregations Data Analytics (in development) time completenessofthethreatassessment
Варианты поставки • OVF template (ESX 5.5+, MS HyperV) • Физический сервер (заказчика или Hardware Appliance) • Одно нодовая (all-in-one) или кластер • Вертикальная и горизонтальная масштабируемость 10
Варианты применения и внедрения • LM (сбор, симптоматика) • SIEM (симптоматика, корреляция) • Analytics (все вышеперечисленное + аналитика) • Сокращение стоимости имеющихся SIEM систем c подключением большего числа источников • ИТ/ИБ потребности, anti-fraud, контроль действий в бизнес-системах (SOX) 11
Компоненты системы • Агент и модули (без лимита в лицензии, уже в составе продукта) • Парсеры (по-компонентная лицензия) • Корреляция (по-компонентная лицензия) • Симптоматика (по-компонентная лицензия) • Аналитика (отдельная лицензия) • Фиды (отдельная лицензия) • Хранилище данных (без лимита в лицензии, уже в составе продукта) • Сетевой сенсор (опционально, лицензия) 12
Производительность • От 3 500 EPS на ядро (тяжелыми 300+байт событиями) • От 8 000 EPS на ядро (легкие, syslog-like события) • Предел EPS - не лимитирован • Объем хранилища – не лимитирован • Количество правил симптоматики – от 5 000, не лимитировано • Правил корреляции – от 5 000, не лимитировано 13
Сбор событий агентом • Windows event log. Локально и удаленно с множества узлов одним агентом. • Windows event log – подписка. • 1С (8.3) • Ftp/ftps/sftp (Unified log source) • Mysql (Unified log source) • MS SQl (Unified log source) • Oracle (Unified log source) • Сбор событий с текстовых форматов файлов (локально или по сети, Unified log source) • Хэшер – сбор md5/sha1 сумм запущенных процессов и сверка с известными угрозами 14 *все остальные источники – напрямую на сервер (snmp, syslog, tcp/udp, flow)
Особенности сбора агентом • Агент полностью управляется с управляющего сервера • Новые источники задаются для агента с управляющего сервера • Для каждого источника возможно указать свою учетную запись для сбора • Коннекторы универсальные, что позволяет подключать любой источник • Один агент может собирать с множества источников • Количество агентов и источников не лимитировано 15
Общая схема решения 16 Сетевой сенсор Журналы приложений, баз данных, ОС, cобытия с СЗИ Сервер с агентом RuSIEM All-in-One Сетевое оборудование RuSIEM Аналитика Backend
Сетевой сенсор • Опциональный компонент • Устанавливается на отдельный сервер (физический или мощный виртуальный) вторым интерфейсом в span/tap • Собирает заголовки трафика и отправляет на коллектор • Позволяет: • анализировать трафик • сверять хэши файлов с известными угрозами по фидам и правилам корреляции • Строить представления и искать сетевые соединения • Прописывать политики правилами корреляции 17
Коллектор, нормализация • Автоматическое определение источника • Парсинг по key:value событий • Приведение к общей схеме именования полей • Обогащение событий метаинформацией (nslookup, whois, geoip, etc) • Разбор одного большого потока множеством парсеров • Пересылки событий между компонентами через брокер без потери событий 18
Симптоматика 19 Имя симптома(ов) Категория(и) Суммарный вес RAW Парсеры Симптоматика Unified key:value pairs message (raw) Влияние • Поиск событий по имени симптома(ов) • Отчеты в виде списка событий (к примеру, «Управление учетными записями») • Использование в корреляции симптомов, а не регекспов и различных event.id • Использование весов симптомов как фильтр для отбора по критичности событий • Агрегация весов по объектам (ip, host, user, etc) • Логический абстрактный уровень «о чем событие» • Логическая связь «что делал пользователь/процесс»
Корреляция • Возможность добавления правил пользователем • Поставка пакета правил корреляции и обновление • Совпадение или распределение во времени совпадений по условию (ex. «count(http.error) > 60 in 300 sec», «symptoms.id(Удаление файла) > 200 in 60 sec» • Последовательности событий (ex. «Вирус обнаружен, но не вылечен в течение 600 сек») • Группировка по объектам (ex. «20 неуспешных попыток входа с одного и того же src.ip или по одному и тому же user.name») • Результатом корреляции является: • Регистрация инцидента во встроенном workflow с параметрами указанными в правиле • Оповещение об инциденте • Запуск локально команды с параметрами • Инцидент виден только тем, кому назначен (роли, группы, пользователи) 20
Аналитика • Агрегация по весам по объектам для без сигнатурного обнаружения угроз и аномалий • Сравнение md5, sha1, fqdn, ip, url, email с имеющимися в фид-листах значениями с целью определения угроз (malware, botnets, spammers и так далее) • Near real-time проверки для формирования отчетности, обнаружения угроз, аномалий и policy compliance. Например, соединение которого еще не было, хост с которого пользователь вошел в первый раз, контроль получения событий от источника и так далее. • Быстрый доступ к статистике, функциям и выборке по событиям (например, для систем анти-фрода и поведенческого анализа) 21
Контактная информация: Инфо: info@it-task.ru Максим Степченков m.stepchenkov@it-task.ru Олеся Шелестова oshelestova@rusiem.com (skype, mail) Официальный дистрибьютор: СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru 22
Минимальная одно-нодовая конфигурация • Физический сервер или гипервизор • 1 сервер • ОЗУ: 16 GB без аналитики, 32GB – с аналитикой • Процессор 2x2.4 GHz, суммарно не менее 4х ядер • HDD 100GB под систему + под данные. На что то постарше тестов желательно RAID/SSD 24
Оптимальная конфигурация • 3 ноды (виртуальные или физические сервера) • +1+ нода для сетевого сенсора • Ресурсы нод: от 16GB ОЗУ, по 4-6 ядер CPU 25
Порядок внедрения • Поднимается тестовый стенд, подключаются частично интересующие источники • Аудит совместно с заказчиком (какие источники исходя из кейсов и векторов) • План внедрения/договора • Подключение источников. Интеграции. При необходимости - разработка коннекторов, доработка системы. • Настройка правил корреляции, симптоматики, аналитики. • Масштабирование. • Сдача проекта. Доработки при необходимости. 26

Empfohlen

RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.Olesya Shelestova
 
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)RuSIEM (15.11.2015)
RuSIEM (15.11.2015)Olesya Shelestova
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
SIEM для ИТ
SIEM для ИТSIEM для ИТ
SIEM для ИТOlesya Shelestova
 
Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системахOlesya Shelestova
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
Rusiem 2017_обзор
Rusiem 2017_обзорRusiem 2017_обзор
Rusiem 2017_обзорOlesya Shelestova
 

Empfohlen

RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.Olesya Shelestova
 
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)RuSIEM (15.11.2015)
RuSIEM (15.11.2015)Olesya Shelestova
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
SIEM для ИТ
SIEM для ИТSIEM для ИТ
SIEM для ИТOlesya Shelestova
 
Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системахOlesya Shelestova
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
Rusiem 2017_обзор
Rusiem 2017_обзорRusiem 2017_обзор
Rusiem 2017_обзорOlesya Shelestova
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...Igor Gots
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Этичный хакинг
Этичный хакингЭтичный хакинг
Этичный хакингPositive Hack Days
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
Есть ли жизнь без SIEM
Есть ли жизнь без SIEMЕсть ли жизнь без SIEM
Есть ли жизнь без SIEMPositive Hack Days
 
Symantec
SymantecSymantec
SymantecExpolink
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийSelectedPresentations
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Expolink
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствTeymur Kheirkhabarov
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Смотрим в HTTPS
Смотрим в HTTPSСмотрим в HTTPS
Смотрим в HTTPSDenis Batrankov, CISSP
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
 
Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)Olesya Shelestova
 
SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написатьOlesya Shelestova
 
RusCrypto 2013 - (ru) Static vs|and Dynamics analysis for Information Security
RusCrypto 2013 - (ru) Static vs|and Dynamics analysis for Information SecurityRusCrypto 2013 - (ru) Static vs|and Dynamics analysis for Information Security
RusCrypto 2013 - (ru) Static vs|and Dynamics analysis for Information SecurityAlexey Kachalin
 

Weitere ähnliche Inhalte

Was ist angesagt?

20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...Igor Gots
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
Есть ли жизнь без SIEM
Есть ли жизнь без SIEMЕсть ли жизнь без SIEM
Есть ли жизнь без SIEMPositive Hack Days
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийSelectedPresentations
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Expolink
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствTeymur Kheirkhabarov
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
 

Was ist angesagt? (20)

20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструменты
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Этичный хакинг
Этичный хакингЭтичный хакинг
Этичный хакинг
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
 
Есть ли жизнь без SIEM
Есть ли жизнь без SIEMЕсть ли жизнь без SIEM
Есть ли жизнь без SIEM
 
Symantec
SymantecSymantec
Symantec
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложений
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройств
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
 
Смотрим в HTTPS
Смотрим в HTTPSСмотрим в HTTPS
Смотрим в HTTPS
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
 
Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)
 

Ähnlich wie RuSIEM 2016

SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написатьOlesya Shelestova
 
RusCrypto 2013 - (ru) Static vs|and Dynamics analysis for Information Security
RusCrypto 2013 - (ru) Static vs|and Dynamics analysis for Information SecurityRusCrypto 2013 - (ru) Static vs|and Dynamics analysis for Information Security
RusCrypto 2013 - (ru) Static vs|and Dynamics analysis for Information SecurityAlexey Kachalin
 
Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"Grigoriy Orlov
 
Руководство по формату событий для разработчиков
Руководство по формату событий для разработчиковРуководство по формату событий для разработчиков
Руководство по формату событий для разработчиковOlesya Shelestova
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Пакетное ядро мобильного оператора: ASR5k, поиски устранение неисправностей
Пакетное ядро мобильного оператора: ASR5k, поиски устранение неисправностейПакетное ядро мобильного оператора: ASR5k, поиски устранение неисправностей
Пакетное ядро мобильного оператора: ASR5k, поиски устранение неисправностейCisco Russia
 
Найти и обезвредить
Найти и обезвредитьНайти и обезвредить
Найти и обезвредитьCisco Russia
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
 
Перспективные исследования и технологии
Перспективные исследования и технологииПерспективные исследования и технологии
Перспективные исследования и технологииAncud Ltd.
 
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияTufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияIT-Integrator
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsCisco Russia
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
технология и отладка по (47)
технология и отладка по (47)технология и отладка по (47)
технология и отладка по (47)romachka_pole
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdftrenders
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Denis Kolegov
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Positive Hack Days
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейЭЛВИС-ПЛЮС
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 

Ähnlich wie RuSIEM 2016 (20)

SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написать
 
RusCrypto 2013 - (ru) Static vs|and Dynamics analysis for Information Security
RusCrypto 2013 - (ru) Static vs|and Dynamics analysis for Information SecurityRusCrypto 2013 - (ru) Static vs|and Dynamics analysis for Information Security
RusCrypto 2013 - (ru) Static vs|and Dynamics analysis for Information Security
 
Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"
 
Руководство по формату событий для разработчиков
Руководство по формату событий для разработчиковРуководство по формату событий для разработчиков
Руководство по формату событий для разработчиков
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Пакетное ядро мобильного оператора: ASR5k, поиски устранение неисправностей
Пакетное ядро мобильного оператора: ASR5k, поиски устранение неисправностейПакетное ядро мобильного оператора: ASR5k, поиски устранение неисправностей
Пакетное ядро мобильного оператора: ASR5k, поиски устранение неисправностей
 
Найти и обезвредить
Найти и обезвредитьНайти и обезвредить
Найти и обезвредить
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
 
Перспективные исследования и технологии
Перспективные исследования и технологииПерспективные исследования и технологии
Перспективные исследования и технологии
 
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияTufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
технология и отладка по (47)
технология и отладка по (47)технология и отладка по (47)
технология и отладка по (47)
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdf
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетей
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 

Mehr von Olesya Shelestova

RuSiem events collection and forwarding
RuSiem events collection and forwardingRuSiem events collection and forwarding
RuSiem events collection and forwardingOlesya Shelestova
 
How to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMHow to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMOlesya Shelestova
 
From SIEM to Business processes
From SIEM to Business processesFrom SIEM to Business processes
From SIEM to Business processesOlesya Shelestova
 
RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)Olesya Shelestova
 

Mehr von Olesya Shelestova (8)

RuSIEM vs SOC (En)
RuSIEM vs SOC (En)RuSIEM vs SOC (En)
RuSIEM vs SOC (En)
 
RuSIEM vs SOC (Rus)
RuSIEM vs SOC (Rus)RuSIEM vs SOC (Rus)
RuSIEM vs SOC (Rus)
 
RuSiem events collection and forwarding
RuSiem events collection and forwardingRuSiem events collection and forwarding
RuSiem events collection and forwarding
 
RuSIEM IT assets
RuSIEM IT assetsRuSIEM IT assets
RuSIEM IT assets
 
How to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMHow to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEM
 
From SIEM to Business processes
From SIEM to Business processesFrom SIEM to Business processes
From SIEM to Business processes
 
Deploy RvSIEM (eng)
Deploy RvSIEM (eng)Deploy RvSIEM (eng)
Deploy RvSIEM (eng)
 
RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)
 

RuSIEM 2016

  • 1. 2
  • 2. 3 • Официальный дистрибьютор – http://it-task.ru (info@it-task.ru) • Проект стартовал в ноябре 2014 • На данный момент имеются успешные внедрения • Вышли с релизной версией еще в 2015 году. Готовы к внедрениям. О нас
  • 3. Заказчики • SMB, Enterprise, SOC, CERT + • Российский и мировой рынок • Ценовая политика: варьируется. • Ценовой диапазон: в разы ниже существующих конкурентов 4
  • 4. Основные отличие от конкурентов • Высокая производительность системы • Интерпретация событий понятная оператору • Гибкость правил корреляции • Встроенная аналитика • Нет лимита на количество собираемых событий и объем хранилища • Полностью готовое решение без необходимости в приобретении дополнительного ПО • Ценовая политика в разы меньшая чем у конкурентов 5
  • 5. Пример решаемых кейсов • Попытки подбора паролей с различных систем, в том числе растянутые по времени • Успешный вход после многочисленных неуспешных попыток • Обнаружение вируса по перехваченному по сети файлу (электронная почта, файловый сервер, http/ftp/tcp траффик) • Обнаружение сетевых атак с помощью сетевого сенсора и корреляции • Обнаружение попыток несанкционированного доступа к документам на файловом сервере • Обнаружение массового удаления файлов • Массовые изменения учетных записей • Изменения учетных записей администраторов • Выявление фактов использования служебных учетных записей • Использование внешних накопителей на серверах 6
  • 6. Пример решаемых кейсов (2) • Изменение конфигураций СЗИ (отключение антивирусной защиты и т.п.) • Вирусные эпидемии (один и тот же вирус на нескольких хостах, не вылеченные файлы, по хэшам процессов) • Выявление фактов сканирований сети и уязвимостей • Обнаружение не валидных сертификатов (просроченные, самоподписанные, с неустановленным УЦ) • Обнаружение фактов установки ПО • Обнаружение установки ПО для удаленного администрирования, несанкционированного доступа • Отказ в обслуживании сервиса (количество http.error, неустановленные соединения, потеря пакетов) • Контроль трафика, в том числе по зонам для обеспечения policy compliance/compliance policy 7
  • 7. Инструментарий и методы обнаружения • «Беглый просмотр событий» • «Всплески» • Сигнатурный анализ • «Песочницы» (сравнение по хэшам, отправка подозрительных файлов и получение результатов в облаке) • Корреляция счетчиком (по условию события, количеству событий) • Корреляция триггером (триггерное, например: 3 неуспешных попытки входа, затем успешная) • Симптоматика • Агрегация (суммарные веса объектов симптомов за интервалы) • Фиды (репутационные списки)
  • 8. Методы обнаружения угроз 9 Up to 2min Up to 3min Correlation Rules Dashboard Active searches Feeds, Reputation lists Basic symptoms Symptoms aggregations Data Analytics (in development) time completenessofthethreatassessment
  • 9. Варианты поставки • OVF template (ESX 5.5+, MS HyperV) • Физический сервер (заказчика или Hardware Appliance) • Одно нодовая (all-in-one) или кластер • Вертикальная и горизонтальная масштабируемость 10
  • 10. Варианты применения и внедрения • LM (сбор, симптоматика) • SIEM (симптоматика, корреляция) • Analytics (все вышеперечисленное + аналитика) • Сокращение стоимости имеющихся SIEM систем c подключением большего числа источников • ИТ/ИБ потребности, anti-fraud, контроль действий в бизнес-системах (SOX) 11
  • 11. Компоненты системы • Агент и модули (без лимита в лицензии, уже в составе продукта) • Парсеры (по-компонентная лицензия) • Корреляция (по-компонентная лицензия) • Симптоматика (по-компонентная лицензия) • Аналитика (отдельная лицензия) • Фиды (отдельная лицензия) • Хранилище данных (без лимита в лицензии, уже в составе продукта) • Сетевой сенсор (опционально, лицензия) 12
  • 12. Производительность • От 3 500 EPS на ядро (тяжелыми 300+байт событиями) • От 8 000 EPS на ядро (легкие, syslog-like события) • Предел EPS - не лимитирован • Объем хранилища – не лимитирован • Количество правил симптоматики – от 5 000, не лимитировано • Правил корреляции – от 5 000, не лимитировано 13
  • 13. Сбор событий агентом • Windows event log. Локально и удаленно с множества узлов одним агентом. • Windows event log – подписка. • 1С (8.3) • Ftp/ftps/sftp (Unified log source) • Mysql (Unified log source) • MS SQl (Unified log source) • Oracle (Unified log source) • Сбор событий с текстовых форматов файлов (локально или по сети, Unified log source) • Хэшер – сбор md5/sha1 сумм запущенных процессов и сверка с известными угрозами 14 *все остальные источники – напрямую на сервер (snmp, syslog, tcp/udp, flow)
  • 14. Особенности сбора агентом • Агент полностью управляется с управляющего сервера • Новые источники задаются для агента с управляющего сервера • Для каждого источника возможно указать свою учетную запись для сбора • Коннекторы универсальные, что позволяет подключать любой источник • Один агент может собирать с множества источников • Количество агентов и источников не лимитировано 15
  • 15. Общая схема решения 16 Сетевой сенсор Журналы приложений, баз данных, ОС, cобытия с СЗИ Сервер с агентом RuSIEM All-in-One Сетевое оборудование RuSIEM Аналитика Backend
  • 16. Сетевой сенсор • Опциональный компонент • Устанавливается на отдельный сервер (физический или мощный виртуальный) вторым интерфейсом в span/tap • Собирает заголовки трафика и отправляет на коллектор • Позволяет: • анализировать трафик • сверять хэши файлов с известными угрозами по фидам и правилам корреляции • Строить представления и искать сетевые соединения • Прописывать политики правилами корреляции 17
  • 17. Коллектор, нормализация • Автоматическое определение источника • Парсинг по key:value событий • Приведение к общей схеме именования полей • Обогащение событий метаинформацией (nslookup, whois, geoip, etc) • Разбор одного большого потока множеством парсеров • Пересылки событий между компонентами через брокер без потери событий 18
  • 18. Симптоматика 19 Имя симптома(ов) Категория(и) Суммарный вес RAW Парсеры Симптоматика Unified key:value pairs message (raw) Влияние • Поиск событий по имени симптома(ов) • Отчеты в виде списка событий (к примеру, «Управление учетными записями») • Использование в корреляции симптомов, а не регекспов и различных event.id • Использование весов симптомов как фильтр для отбора по критичности событий • Агрегация весов по объектам (ip, host, user, etc) • Логический абстрактный уровень «о чем событие» • Логическая связь «что делал пользователь/процесс»
  • 19. Корреляция • Возможность добавления правил пользователем • Поставка пакета правил корреляции и обновление • Совпадение или распределение во времени совпадений по условию (ex. «count(http.error) > 60 in 300 sec», «symptoms.id(Удаление файла) > 200 in 60 sec» • Последовательности событий (ex. «Вирус обнаружен, но не вылечен в течение 600 сек») • Группировка по объектам (ex. «20 неуспешных попыток входа с одного и того же src.ip или по одному и тому же user.name») • Результатом корреляции является: • Регистрация инцидента во встроенном workflow с параметрами указанными в правиле • Оповещение об инциденте • Запуск локально команды с параметрами • Инцидент виден только тем, кому назначен (роли, группы, пользователи) 20
  • 20. Аналитика • Агрегация по весам по объектам для без сигнатурного обнаружения угроз и аномалий • Сравнение md5, sha1, fqdn, ip, url, email с имеющимися в фид-листах значениями с целью определения угроз (malware, botnets, spammers и так далее) • Near real-time проверки для формирования отчетности, обнаружения угроз, аномалий и policy compliance. Например, соединение которого еще не было, хост с которого пользователь вошел в первый раз, контроль получения событий от источника и так далее. • Быстрый доступ к статистике, функциям и выборке по событиям (например, для систем анти-фрода и поведенческого анализа) 21
  • 21. Контактная информация: Инфо: info@it-task.ru Максим Степченков m.stepchenkov@it-task.ru Олеся Шелестова oshelestova@rusiem.com (skype, mail) Официальный дистрибьютор: СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru 22
  • 22.
  • 23. Минимальная одно-нодовая конфигурация • Физический сервер или гипервизор • 1 сервер • ОЗУ: 16 GB без аналитики, 32GB – с аналитикой • Процессор 2x2.4 GHz, суммарно не менее 4х ядер • HDD 100GB под систему + под данные. На что то постарше тестов желательно RAID/SSD 24
  • 24. Оптимальная конфигурация • 3 ноды (виртуальные или физические сервера) • +1+ нода для сетевого сенсора • Ресурсы нод: от 16GB ОЗУ, по 4-6 ядер CPU 25
  • 25. Порядок внедрения • Поднимается тестовый стенд, подключаются частично интересующие источники • Аудит совместно с заказчиком (какие источники исходя из кейсов и векторов) • План внедрения/договора • Подключение источников. Интеграции. При необходимости - разработка коннекторов, доработка системы. • Настройка правил корреляции, симптоматики, аналитики. • Масштабирование. • Сдача проекта. Доработки при необходимости. 26