1. ВЫБОР И ВНЕДРЕНИЕ СИСТЕМЫ
МОНИТОРИНГА СОБЫТИЙ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
ПРАКТИЧЕСКИЙ ОПЫТ.
Земцов Павел Евгеньевич
Консультант по средствам защиты информации и
мониторинга информационной безопасности
2. О чем презентация?01
1. Что требуется от современной SIEM-системы?
2. Опыт выбора компонент и состава SIEM-системы
для решения задач по мониторингу ИБ.
3. SIEM-система выбрана, что необходимо сделать
для её оптимального внедрения и эффективного
использования?
3. Проблематика ИБ02
• Любая современная организация – сложная,
мультивендорная ИТ-инфраструктура.
• Большой объем событий и число источников,
обеспечивающих поступление актуальной
информации.
• Необходимость мониторинга состояния защищенности
и обработки инцидентов ИБ.
• Главной проблемой мониторинга защищенности стало
не отсутствие информации, а её обработка.
4. Задачи, решаемые SIEM системой03
• Централизация сведений о состоянии защищенности
от различных источников
• Обнаружение в режиме реального времени
инцидентов ИБ
• Соответствие нормативным требованиям и стандартам
по обеспечению ИБ в целом
• Насыщение данных дополнительными сведениями
• Повышение уровня защищенности компании
5. Описание компонент системы04
Агенты - сбор данных:
• события аудита
• параметры конфигурации систем
• сведения об уязвимостях
Центральные компоненты
• сбор и хранение полученных данных
• обработка анализ и выявление
инцидентов ИБ
• пользовательские интерфейсы
7. Выбор решения. 1 этап - кабинетное исследование06
• Определение требований к решению и их критичность
• Анализ документации, консультации производителей
№ Критерии Критичность
Оценка соответствия критериям
Система 1 Система 2 Система N
1. Категория 1
1.1 Система
должна… Критичный Соответствует Не соответствует Соответствует
1.2 Система
должна… Важный Не соответствует Не соответствует Соответствует
******* ********* ********* ********* ********* *********
Результат
Частично
удовлетворяет
Не удовлетворяет
Наиболее
соответствует
• Оценка соответствия требованиям
• «Победители» переходят на 2 этап
8. Выбор решения. 2 этап – пилотное тестирование07
• Тестирование решений в промышленной среде
• Подключение боевых источников событий
• Отчет по итогам пилотного тестирования и протокол
испытаний
• Обоснованный выбора решения
• Разработка общей методики испытаний
• Проведение испытаний
10. Типовые задачи по внедрению системы09
1. Предпроектная аналитика в области ИБ
2. Внедрение системы мониторинга
3. Подготовка персонала
4. Организация процесса мониторинга
11. Предпроектная аналитика в области ИБ10
Что защищаем?
Провести инвентаризацию:
• Объекты защиты
• Средства защиты информации
• Характеристики каналов связи
От чего защищаем?
• Актуальные угрозы
• Ключевые направления мониторинга ИБ
• Векторы возможных кибератак
13. Предпроектная аналитика в области ИБ 212
Как идентифицировать атаку?
• Какие события идентифицируют инцидент или
атаку?
• Какие журналы аудита и параметры аудита
необходимы?
Какие сценарии использования?
• Жизненный цикл инцидента
• Шаблоны отчетов и оповещений, настройки их
рассылки
14. Внедрение программно-технических средств системы13
Монтаж и инсталляция
• Программно-технические средства системы
Подготовка к подключению
• Настройка сетевого взаимодействия
• Настройка самих целевых систем
Подключение целевых систем
• Настройка задач по сбору событий
• Разработка коннеторов (при необходимости)
15. Внедрение программно-технических средств системы 214
Настройка системы для выявления
инцидентов ИБ
• Правила обработки данных
• Правила анализа и корреляции
• Правила регистрации и обработки инцидентов
Прочие настройки
• Запросы к архиву данных, отчеты, дашборды.
• Назначение прав пользователям системы
• Рассылка оповещений/отчетов и т.д.
16. Подготовка персонала15
Режим работы персонала
• Выделенный персонал для работы с системой
• Круглосуточная работа службы мониторинга
Квалификация сотрудников
• Образование в области ИТ и ИБ
• Обучение и периодическая актуализация знаний
• Обмен опытом между коллегами
17. Организация процесса мониторинга16
Обработка выявленных инцидентов ИБ
• Проверка на ложное срабатывание
• Приоритизация и контроль обработки
• Оперативное реагирование и противодействие
Расследование инцидентов
• Исключение повторов атак в будущем, уменьшения их
негативных последствий
Оценка эффективности мониторинга
• Метрики для оценки эффективности
• Корректировка процесса мониторинга для повышения его
эффективности
18. Организация процесса мониторинга 217
Улучшение работы системы
• Уменьшение ложных срабатываний
• Анализ поступающих в систему данных,
оптимизация настроек
• Фильтрация и приоритезация данных
Актуализация векторов атак и моделей
угроз
• Инвентаризация объектов защиты и СрЗИ
• Подключение новых целевых систем
• Доработка правил корреляции
19. Аутсорсинг мониторинга ИБ18
Отсутствие необходимых программно-
технических средств
Отсутствие выделенного персонала
Необходимость быстрого старта процессов
Круглосуточный мониторинг