SlideShare ist ein Scribd-Unternehmen logo

Как правильно выбрать и внедрить SIEM-систему?

Positive Hack Days
Positive Hack Days

В рамках секции: Практика защиты

Technologie
1 von 20
ВЫБОР И ВНЕДРЕНИЕ СИСТЕМЫ МОНИТОРИНГА СОБЫТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ПРАКТИЧЕСКИЙ ОПЫТ. Земцов Павел Евгеньевич Консультант по средствам защиты информации и мониторинга информационной безопасности
О чем презентация?01 1. Что требуется от современной SIEM-системы? 2. Опыт выбора компонент и состава SIEM-системы для решения задач по мониторингу ИБ. 3. SIEM-система выбрана, что необходимо сделать для её оптимального внедрения и эффективного использования?
Проблематика ИБ02 • Любая современная организация – сложная, мультивендорная ИТ-инфраструктура. • Большой объем событий и число источников, обеспечивающих поступление актуальной информации. • Необходимость мониторинга состояния защищенности и обработки инцидентов ИБ. • Главной проблемой мониторинга защищенности стало не отсутствие информации, а её обработка.
Задачи, решаемые SIEM системой03 • Централизация сведений о состоянии защищенности от различных источников • Обнаружение в режиме реального времени инцидентов ИБ • Соответствие нормативным требованиям и стандартам по обеспечению ИБ в целом • Насыщение данных дополнительными сведениями • Повышение уровня защищенности компании
Описание компонент системы04 Агенты - сбор данных: • события аудита • параметры конфигурации систем • сведения об уязвимостях Центральные компоненты • сбор и хранение полученных данных • обработка анализ и выявление инцидентов ИБ • пользовательские интерфейсы
05 ПОДБОР РЕШЕНИЯ ПОД ЗАДАЧИ ЗАКАЗЧИКА
Выбор решения. 1 этап - кабинетное исследование06 • Определение требований к решению и их критичность • Анализ документации, консультации производителей № Критерии Критичность Оценка соответствия критериям Система 1 Система 2 Система N 1. Категория 1 1.1 Система должна… Критичный Соответствует Не соответствует Соответствует 1.2 Система должна… Важный Не соответствует Не соответствует Соответствует ******* ********* ********* ********* ********* ********* Результат Частично удовлетворяет Не удовлетворяет Наиболее соответствует • Оценка соответствия требованиям • «Победители» переходят на 2 этап
Выбор решения. 2 этап – пилотное тестирование07 • Тестирование решений в промышленной среде • Подключение боевых источников событий • Отчет по итогам пилотного тестирования и протокол испытаний • Обоснованный выбора решения • Разработка общей методики испытаний • Проведение испытаний
08 ЗАДАЧИ ПО ВНЕДРЕНИЮ СИСТЕМЫ МОНИТОРИНГА СОБЫТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Типовые задачи по внедрению системы09 1. Предпроектная аналитика в области ИБ 2. Внедрение системы мониторинга 3. Подготовка персонала 4. Организация процесса мониторинга
Предпроектная аналитика в области ИБ10 Что защищаем? Провести инвентаризацию: • Объекты защиты • Средства защиты информации • Характеристики каналов связи От чего защищаем? • Актуальные угрозы • Ключевые направления мониторинга ИБ • Векторы возможных кибератак
Целевая архитектура SIEM11 Центральная площадка Малая площадка Крупная площадка
Предпроектная аналитика в области ИБ 212 Как идентифицировать атаку? • Какие события идентифицируют инцидент или атаку? • Какие журналы аудита и параметры аудита необходимы? Какие сценарии использования? • Жизненный цикл инцидента • Шаблоны отчетов и оповещений, настройки их рассылки
Внедрение программно-технических средств системы13 Монтаж и инсталляция • Программно-технические средства системы Подготовка к подключению • Настройка сетевого взаимодействия • Настройка самих целевых систем Подключение целевых систем • Настройка задач по сбору событий • Разработка коннеторов (при необходимости)
Внедрение программно-технических средств системы 214 Настройка системы для выявления инцидентов ИБ • Правила обработки данных • Правила анализа и корреляции • Правила регистрации и обработки инцидентов Прочие настройки • Запросы к архиву данных, отчеты, дашборды. • Назначение прав пользователям системы • Рассылка оповещений/отчетов и т.д.
Подготовка персонала15 Режим работы персонала • Выделенный персонал для работы с системой • Круглосуточная работа службы мониторинга Квалификация сотрудников • Образование в области ИТ и ИБ • Обучение и периодическая актуализация знаний • Обмен опытом между коллегами
Организация процесса мониторинга16 Обработка выявленных инцидентов ИБ • Проверка на ложное срабатывание • Приоритизация и контроль обработки • Оперативное реагирование и противодействие Расследование инцидентов • Исключение повторов атак в будущем, уменьшения их негативных последствий Оценка эффективности мониторинга • Метрики для оценки эффективности • Корректировка процесса мониторинга для повышения его эффективности
Организация процесса мониторинга 217 Улучшение работы системы • Уменьшение ложных срабатываний • Анализ поступающих в систему данных, оптимизация настроек • Фильтрация и приоритезация данных Актуализация векторов атак и моделей угроз • Инвентаризация объектов защиты и СрЗИ • Подключение новых целевых систем • Доработка правил корреляции
Аутсорсинг мониторинга ИБ18 Отсутствие необходимых программно- технических средств Отсутствие выделенного персонала Необходимость быстрого старта процессов Круглосуточный мониторинг
Заключение19 СПАСИБО ЗА ВНИМАНИЕ ВОПРОСЫ? Земцов Павел Евгеньевич Консультант по средствам защиты информации и мониторинга информационной безопасности Mail: Pavel.Zemczov@icl.kazan.ru

Empfohlen

Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
Компания УЦСБ
 
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП
Компания УЦСБ
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
Alexander Dorofeev
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
Компания УЦСБ
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
Dmitry Savchenko
 
Обзор решений по кибербезопасности АСУ ТП
Обзор решений по кибербезопасности АСУ ТПОбзор решений по кибербезопасности АСУ ТП
Обзор решений по кибербезопасности АСУ ТП
КРОК
 
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
Компания УЦСБ
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
 

Empfohlen

Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
Компания УЦСБ
 
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП
Компания УЦСБ
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
Alexander Dorofeev
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
Компания УЦСБ
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
Dmitry Savchenko
 
Обзор решений по кибербезопасности АСУ ТП
Обзор решений по кибербезопасности АСУ ТПОбзор решений по кибербезопасности АСУ ТП
Обзор решений по кибербезопасности АСУ ТП
КРОК
 
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
Компания УЦСБ
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информации
Bulat Shamsutdinov
 
Управление идентификационными данными и правами
Управление идентификационными данными и правамиУправление идентификационными данными и правами
Управление идентификационными данными и правами
КРОК
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пм
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Банковское обозрение
 
Решения КРОК для информационная безопасность АСУ ТП
Решения КРОК для информационная безопасность АСУ ТПРешения КРОК для информационная безопасность АСУ ТП
Решения КРОК для информационная безопасность АСУ ТП
КРОК
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
 
Типовые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТПТиповые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТП
Компания УЦСБ
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRC
Компания УЦСБ
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК России
Компания УЦСБ
 
Подход КРОК к реализации требований по защите информации в НПС
Подход КРОК к реализации требований по защите информации в НПСПодход КРОК к реализации требований по защите информации в НПС
Подход КРОК к реализации требований по защите информации в НПС
КРОК
 
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Компания УЦСБ
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK
Компания УЦСБ
 
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
Компания УЦСБ
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиями
Nick Turunov
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Банковское обозрение
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
Alexey Evmenkov
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
Компания УЦСБ
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Weitere ähnliche Inhalte

Was ist angesagt?

Решения КРОК для информационная безопасность АСУ ТП
Решения КРОК для информационная безопасность АСУ ТПРешения КРОК для информационная безопасность АСУ ТП
Решения КРОК для информационная безопасность АСУ ТП
КРОК
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
 
Типовые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТПТиповые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТП
Компания УЦСБ
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК России
Компания УЦСБ
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
Компания УЦСБ
 

Was ist angesagt? (20)

Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информации
 
Управление идентификационными данными и правами
Управление идентификационными данными и правамиУправление идентификационными данными и правами
Управление идентификационными данными и правами
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пм
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
 
Решения КРОК для информационная безопасность АСУ ТП
Решения КРОК для информационная безопасность АСУ ТПРешения КРОК для информационная безопасность АСУ ТП
Решения КРОК для информационная безопасность АСУ ТП
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
Типовые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТПТиповые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТП
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRC
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК России
 
Подход КРОК к реализации требований по защите информации в НПС
Подход КРОК к реализации требований по защите информации в НПСПодход КРОК к реализации требований по защите информации в НПС
Подход КРОК к реализации требований по защите информации в НПС
 
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK
 
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиями
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)
 

Ähnlich wie Как правильно выбрать и внедрить SIEM-систему?

Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
Softline
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
Expolink
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
jet_information_security
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТП
DialogueScience
 
концепция защиты виртуального цод. михаил савушкин, Symantec.
концепция защиты виртуального цод. михаил савушкин, Symantec.концепция защиты виртуального цод. михаил савушкин, Symantec.
концепция защиты виртуального цод. михаил савушкин, Symantec.
AKlimchuk
 

Ähnlich wie Как правильно выбрать и внедрить SIEM-систему? (20)

Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
 
Electronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможностиElectronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможности
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТП
 
Инновационные технологии в области сетевой безопасности
Инновационные технологии в области сетевой безопасностиИнновационные технологии в области сетевой безопасности
Инновационные технологии в области сетевой безопасности
 
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
 
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdf
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
 
ИБ эпохи перемен
ИБ эпохи переменИБ эпохи перемен
ИБ эпохи перемен
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
концепция защиты виртуального цод. михаил савушкин, Symantec.
концепция защиты виртуального цод. михаил савушкин, Symantec.концепция защиты виртуального цод. михаил савушкин, Symantec.
концепция защиты виртуального цод. михаил савушкин, Symantec.
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 

Mehr von Positive Hack Days

Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
Positive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
Positive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
Positive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
Positive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
Positive Hack Days
 

Mehr von Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Как правильно выбрать и внедрить SIEM-систему?

  • 1. ВЫБОР И ВНЕДРЕНИЕ СИСТЕМЫ МОНИТОРИНГА СОБЫТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ПРАКТИЧЕСКИЙ ОПЫТ. Земцов Павел Евгеньевич Консультант по средствам защиты информации и мониторинга информационной безопасности
  • 2. О чем презентация?01 1. Что требуется от современной SIEM-системы? 2. Опыт выбора компонент и состава SIEM-системы для решения задач по мониторингу ИБ. 3. SIEM-система выбрана, что необходимо сделать для её оптимального внедрения и эффективного использования?
  • 3. Проблематика ИБ02 • Любая современная организация – сложная, мультивендорная ИТ-инфраструктура. • Большой объем событий и число источников, обеспечивающих поступление актуальной информации. • Необходимость мониторинга состояния защищенности и обработки инцидентов ИБ. • Главной проблемой мониторинга защищенности стало не отсутствие информации, а её обработка.
  • 4. Задачи, решаемые SIEM системой03 • Централизация сведений о состоянии защищенности от различных источников • Обнаружение в режиме реального времени инцидентов ИБ • Соответствие нормативным требованиям и стандартам по обеспечению ИБ в целом • Насыщение данных дополнительными сведениями • Повышение уровня защищенности компании
  • 5. Описание компонент системы04 Агенты - сбор данных: • события аудита • параметры конфигурации систем • сведения об уязвимостях Центральные компоненты • сбор и хранение полученных данных • обработка анализ и выявление инцидентов ИБ • пользовательские интерфейсы
  • 6. 05 ПОДБОР РЕШЕНИЯ ПОД ЗАДАЧИ ЗАКАЗЧИКА
  • 7. Выбор решения. 1 этап - кабинетное исследование06 • Определение требований к решению и их критичность • Анализ документации, консультации производителей № Критерии Критичность Оценка соответствия критериям Система 1 Система 2 Система N 1. Категория 1 1.1 Система должна… Критичный Соответствует Не соответствует Соответствует 1.2 Система должна… Важный Не соответствует Не соответствует Соответствует ******* ********* ********* ********* ********* ********* Результат Частично удовлетворяет Не удовлетворяет Наиболее соответствует • Оценка соответствия требованиям • «Победители» переходят на 2 этап
  • 8. Выбор решения. 2 этап – пилотное тестирование07 • Тестирование решений в промышленной среде • Подключение боевых источников событий • Отчет по итогам пилотного тестирования и протокол испытаний • Обоснованный выбора решения • Разработка общей методики испытаний • Проведение испытаний
  • 9. 08 ЗАДАЧИ ПО ВНЕДРЕНИЮ СИСТЕМЫ МОНИТОРИНГА СОБЫТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  • 10. Типовые задачи по внедрению системы09 1. Предпроектная аналитика в области ИБ 2. Внедрение системы мониторинга 3. Подготовка персонала 4. Организация процесса мониторинга
  • 11. Предпроектная аналитика в области ИБ10 Что защищаем? Провести инвентаризацию: • Объекты защиты • Средства защиты информации • Характеристики каналов связи От чего защищаем? • Актуальные угрозы • Ключевые направления мониторинга ИБ • Векторы возможных кибератак
  • 12. Целевая архитектура SIEM11 Центральная площадка Малая площадка Крупная площадка
  • 13. Предпроектная аналитика в области ИБ 212 Как идентифицировать атаку? • Какие события идентифицируют инцидент или атаку? • Какие журналы аудита и параметры аудита необходимы? Какие сценарии использования? • Жизненный цикл инцидента • Шаблоны отчетов и оповещений, настройки их рассылки
  • 14. Внедрение программно-технических средств системы13 Монтаж и инсталляция • Программно-технические средства системы Подготовка к подключению • Настройка сетевого взаимодействия • Настройка самих целевых систем Подключение целевых систем • Настройка задач по сбору событий • Разработка коннеторов (при необходимости)
  • 15. Внедрение программно-технических средств системы 214 Настройка системы для выявления инцидентов ИБ • Правила обработки данных • Правила анализа и корреляции • Правила регистрации и обработки инцидентов Прочие настройки • Запросы к архиву данных, отчеты, дашборды. • Назначение прав пользователям системы • Рассылка оповещений/отчетов и т.д.
  • 16. Подготовка персонала15 Режим работы персонала • Выделенный персонал для работы с системой • Круглосуточная работа службы мониторинга Квалификация сотрудников • Образование в области ИТ и ИБ • Обучение и периодическая актуализация знаний • Обмен опытом между коллегами
  • 17. Организация процесса мониторинга16 Обработка выявленных инцидентов ИБ • Проверка на ложное срабатывание • Приоритизация и контроль обработки • Оперативное реагирование и противодействие Расследование инцидентов • Исключение повторов атак в будущем, уменьшения их негативных последствий Оценка эффективности мониторинга • Метрики для оценки эффективности • Корректировка процесса мониторинга для повышения его эффективности
  • 18. Организация процесса мониторинга 217 Улучшение работы системы • Уменьшение ложных срабатываний • Анализ поступающих в систему данных, оптимизация настроек • Фильтрация и приоритезация данных Актуализация векторов атак и моделей угроз • Инвентаризация объектов защиты и СрЗИ • Подключение новых целевых систем • Доработка правил корреляции
  • 19. Аутсорсинг мониторинга ИБ18 Отсутствие необходимых программно- технических средств Отсутствие выделенного персонала Необходимость быстрого старта процессов Круглосуточный мониторинг
  • 20. Заключение19 СПАСИБО ЗА ВНИМАНИЕ ВОПРОСЫ? Земцов Павел Евгеньевич Консультант по средствам защиты информации и мониторинга информационной безопасности Mail: Pavel.Zemczov@icl.kazan.ru