Weitere ähnliche Inhalte
Ähnlich wie Splunk for NAC in Yandex (20)
Mehr von Timur Bagirov (12)
Splunk for NAC in Yandex
- 3. Среда
© Яндекс 2016 Splunk based network access control 3
01 Более 7 000 рабочих мест
02 Более 95% рабочих мест мобильные или удаленные
03 Более 30 версий операционных систем (Windows, MacOS, *nix)
04 Ежедневное изменение инфраструктуры
05 Разработчики и тестировщики локальные администраторы
06 Отсутствие средств фильтрации трафика
- 5. Варианты
клиентов
NAC
© Яндекс 2016 Splunk based network access control 5
01 Установленный агент
02 Скачиваемый агент
03 Удаленный вызов процедур (RPC)
04 Сканер уязвимостей
05 Мониторинг
- 7. Критерии
© Яндекс 2016 Splunk based network access control 7
01 Профиль пользователя
• ОС
• Браузер
• Пароль
• Статус
02 Профиль компьютера
• Сертификат
• Имя компьютера
• ОС
• MAC-адрес
03 Антивирус
• Наличие
• Статус
04 Сертификат 802.1х
• Время
• Место
05 Обновление ПО
• Microsoft SCCM
• Casper Suite
• osquery
- 8. Критерии
© Яндекс 2016 Splunk based network access control 8
Splunk>
802.1x
netflow
MS AD
ACSweb
AV
systems
access
- 9. Особенности
© Яндекс 2016 Splunk based network access control 9
01 Полнота журнала
02 Скорость доставки журнала
03 Скорость индексации в splunk
04 Скорость появления событий в выдаче
05 Порядок выборок
06 Скорость выборки
- 10. Принципы
применения
политик
© Яндекс 2016 Splunk based network access control 10
01 Мягкое уведомление
• Письмо
• Тикет
02 Жесткое уведомление
• Письмо
• Тикет
• Сотрудник HD
• Руководитель
03 Блокировка
• Карантинный VLAN
• Доступ до email
• Обращение в HD
- 12. Пользователь
- компьютер
© Яндекс 2016 Splunk based network access control 12
service radius (802.1x)
enriched service log
Имя пользователя и имя на
сертификате совпадают?
- 14. To google or
not to google?
© Яндекс 2016 Splunk based network access control 14
Пользователь использует
Google Chrome?
service netflow
http_user_agent download AV check
srt stats
- 16. © Яндекс 2016 Splunk based network access control 16
Спасибо за внимание.