1. Co-Founder, CEO
Олеся Шелестова
oshelestova@rusiem.com
RuSIEM
Обзор.
Январь 2017

2. SIEM: цели
• Видеть в режиме реального времени что происходит в инфраструктуре
и бизнес-системах
• Понимать что происходит
• Фиксировать инциденты
• Оперативно реагировать на возникающие инциденты
• Обеспечить доказательную базу
• Собрать и обеспечить КДЦ архива для расследования возможных
инцидентов
• Инвентаризация
• Комплайнс (стандарты, внутренние политики)
3

3. «Инциденты»
• Несанкционированный доступ
• Угрозы ИБ (спам/malware/утечка данных/закладки/прочее)
• Злоупотребления и использование служебных полномочий
• Технические (программные, сетевые) и аппаратные сбои
• Нарушение доступности сервисов
• Финансовые операции
• И многое другое
4

4. Принцип действия
5
User actions
Network
Hardware
Applications
RAW Events
Normalize
Real-time
processing
Save&Search
&Report
Active checks

5. Архитектура и масштабируемость
6

6. Компоненты
7
LM
Прием событий
Нормализация
Симптоматика
Обогащение
событий
SIEM
Включает LM
Корреляция
Инцидент-
менеджмент
Analytics
Feeds (ip, hash,
fqdn, email, url)
Baseline ©
Symptomatics ©
Statistics
Compliance
Asset
management
Network
sensor
Data exfiltration
Protocol decode
Flow
Agent
Локальный сбор
Удаленный сбор
с множества
хостов
Hasher ©
Универсальные
коннекторы
Локальное
временное
хранилище
QoS

7. Компоненты
1) лог-менеджмент (LM). Только прием событий от источников,
нормализация, симптоматика, хранение.
2) SIEM (ESС - Enterprise Security Console). Корреляция, инцидент-
менеджмент, отчеты. Без ограничений на количество
пользователей, объемы хранения и EPS.
3) Аналитика (ESS - Enterprise Security System).
4) Сетевой сенсор (NS – Network Sensor). До 3GB/s. Анализ сетевых
соединений, проверка хешей по фидам, обнаружений сетевых
атак, угроз.
5) Агент – без ограничений.
8

8. 9
Источники
Управляющий сервер RuSIEM
(all-in-one)
syslog

9. Филиал 1
Филиал 1
Регион
Филиал N
ГО
Офисы

10. Горизонтальное масштабирование
11
LM
ESC ESS NS
MQ
MQ
LM/ESC

11. Варианты конфигураций
• 1 LM (minimal)
• 1 SIEM (minimal)
• 2 и более LM + 1 SIEM
• Множество SIEM + множество LM
• 1 SIEM + Analytics
• SIEM + Analytics + Network sensor
12
Ограничения:
• Аналитика всегда с компонентом SIEM
• SIEM/Analytics/Network sensor – рекомендуется разные
сервера

12. Масштабирование данных
13
• Различный набор данных на нодах в одном кластере
• Единый запрос ко всем нодам или к отдельным
• Возможность размещения веб-консоли на любой ноде
• Возможность физического отделения данных нод
• Быстрая корреляция по шине без копирования всех
данных между нодами
• Подключение источников как на одну ноду, так и на
разные
MQ
Источники-1 Источники-2

13. Кластер данных
14
Источники-1 Источники-2
• Единый набор данных
• Репликация средствами БД
• Возможность ограничения репликаций
• Возможность работы с событиями на выделенной ноде
для повышения скорости поисковых запросов

14. Гибридное размещение данных
15
• Единый и(или) различный набор данных
• Корреляция с филиалов без необходимости передачи
всех событий ®
• Возможность расположения консоли на любой из нод
Набор 1
Набор 2
Набор 3
MQ

15. Агент RuSIEM
• Off-box. Устанавливается только на Windows 2003+
• Обязателен .net 4.0+
• Сбор одним агентом локально и удаленно с множества источников одновременно,
в том числе с разноформатных источников
• Универсальные коннекторы:
• Файл-лог
• Транспорт ftp/sftp/ftps
• MySQL
• Oracle
• 1C 8.3
• MS SQL
• Hash process map
• WMI query
• SDEE
• Windows Event Log
16

16. Архитектура агента
• Управляется полностью с единой консоли
• Модульная архитектура
• Поддерживается dhcp/arp_proxy
• Обновление агента и модуля с управляющего сервера
• Передача логов агента на сервер и локально
• Использование пред-заданной учетной записи в консоли для каждого источника
• Буфер хранения на агенте при потере связи с сервером и непрерывный сбор
• Интервал опроса с сервера и прочие параметры – с веб-консоли сервера
• Шифрование и обеспечение КДЦ буфера хранения событий
• Шифрование канала агент-сервер
• Управляющий сервер и логгер могут быть разными
17

17. Корреляция
• По одному событию
• По количеству событий
• По сложному логическому условию
• Последовательность событий/условий
• С учетом инцидент-менеджмента
• С применением симптоматики
• С учетом значений из списков
• Возможность запуска команд с передачей параметров
• Учет временных диапазонов срабатывания правила
• Ограничение зоны видимости инцидента
• Установка приоритетов/темы и описания инцидента/назначение на пользователей
и группы
18

18. Коробка VS кастомизация
• Системные и пользовательские сущности
• Предзаданные обновляемые отчеты, дашборды, симптомы,
правила корреляции, фиды
• Абсолютно все кастомизируемо из веб интерфейса без
необходимости написания кода
• Интуитивно понятный интерфейс
• Индивидуальные представления для каждого пользователя
• Подключение новых источников от 3х часов до 3х дней
19

19. Обновление
• Возможность онлайн обновления (или оффлайн)
• По-компонентный выбор и настройка обновления с
возможностью отключения обновления
• Сервера не передают никаких данных заказчика
• Поддержка обновления через прокси или с sslstrip
• Обновление:
• Фидов – каждый час
• Правил корреляции и базы знаний – ежедневно (с возможностью
экстренных обновлений)
• Компонентов системы – ежедневно/еженедельно
20

34. Контактная информация:
Наш сайт: https://www.rusiem.com
Инфо: support@rusiem.com
Олеся Шелестова oshelestova@rusiem.com (skype, mail)
Максим Степченков m.stepchenkov@it-task.ru
СПАСИБО ЗА ВНИМАНИЕ
Остались вопросы?
Обращайтесь!
35