SIEM, как головной мозг системы обеспечения информационной

безопасности

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

#CODEIB

Что у Вас есть?

Антивирус Межсетевой экран СКУД Целевые системы DLP СЗИ от НСД AAA

Когда Вы проверяли статус?

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

www.it-task.ru#CODEIB

Предпосылки возникновения SIEM

Большое количество сетевых устройств, приложений;

Распределенная инфраструктура; Непонятный исходный формат событий Что происходит в инфраструктуре (отказы,

эпидемии, атаки, несанкционированный доступ)

Почему и откуда блокируются учетные записи

Кто дал полный доступ к базе данных для нового сотрудника

Что с этой информацией делать? Логи нельзя удалить?

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

www.it-task.ru#CODEIB

Предпосылки возникновения SIEM (продолжение)

Не будем смотреть логи – об инцидентах узнаем из газет или от прибежавших сотрудников с битами

Увидеть инцидент в логах не реально. Необходима масса факторов.

Реагировать на каждый чих систем безопасности – неправильно!

А «насколько плох вот этот алерт?» - нет данных о критичности и влияния на процессы.

«а что это за ip в логе и что за vlan»? – отсутствует справочная информация

Стирание/переполнение журнала событий– уже не узнаете почему произошел инцидент, кто виновен в утечке данных или простое

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

www.it-task.ru#CODEIB

Сосредоточим внимание экспертов на важном

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

www.it-task.ru

Миллионы исходных событий в секунду

Тысячи влияющих на ИТ и ИБ

Сотни проблем

Десяток «реальных

инцидентов»

Мы можем сохранять все события так как это может сказаться на расследовании инцидентов (можем отфильтровать по желанию)

Оператор не должен просматривать все события, а только важные инциденты (уже готовые выводы)

Средства workflow позволяют контролировать работу над инцидентами, а не оставлять их забытыми без внимания

Применяемые методы позволяют оператору понимать «о чем это событие»

#CODEIB

Масштабируемость105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

www.it-task.ru

Вертикальное (филиалы) и горизонтальное (производительность)

«Горячее» расширение без остановки сбора

Поддержка слабых каналов между удаленными объектами

Корреляция в центральном офисе без необходимости передачи всех событий «наверх»

Распределенный поиск по событиям без необходимости «единого хранилища»

#CODEIB

«Внутренности» решения

ОС серверов – (Ubuntu Server 14.*/RH-like) X64 на реальном или виртуальном железе в виде blackbox

Для сервера подписки событий Windows может использоваться дополнительный сервер с win OS и агентом

Агент – собственная разработка с защищенным хранилищем и управлением с сервера

Базы данных – Hadoop + Elasticsearch Hive, Pig, MapReduce Брокеры (MQ): Redis, Kafka Apache Прием событий по tcp\udp: собственный приемник Нормализация событий на базе модифицированного open-source logstash (наш

закрытый fork) Корреляция – свое решение Интерфейс – свое решение Аналитика – свое решение Все API между компонентами – собственное решение

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

www.it-task.ru#CODEIB

Примеры реализации

Сетевые атаки Фрод и мошенничество Откуда и когда блокировались учетные

записи Изменение конфигураций «не

админами» Повышение привилегий Выявление несанкционированных

сервисов Обнаружение НСД (вход под учетной

записью уволенного сотрудника) Отсутствие антивирусной защиты на

новом установленном компьютере Изменение критичных конфигураций с

VPN подключений Контроль выполняемых команд на

серверах и сетевом оборудовании Аудит изменений конфигураций (сетевых

устройств, приложений, ОС) Выполнение требований

Законодательства и регуляторов (PCI DSS, SOX, СТО БР, ISO 27xx)

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

www.it-task.ru#CODEIB

Примеры реализации105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

www.it-task.ru

Вход в систему под пользователем, отсутствующим в офисе

Аномальная активность пользователя (массовое удаление/копирование)

Обнаружение распределенной атаки или вирусной эпидемии

Обнаружение уязвимости по событию об установке софта

Оповещение об активной уязвимости по запуску ранее отключенной службы

Обнаружение распределенных по времени атаках

Влияние отказа в инфраструктуре на бизнес-процессы#CODEIB

Что мы предлагаем?105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

www.it-task.ru

Основные преимущества: Собственная разработка, не зависящая от санкций и

развития open-source. Полная поддержка русского языка Приведенная к общему формату объектная нормализация Встроенная управляемая и редактируемая корреляция Высокая производительность (Свыше 90000 событий на

одну ноду). Нет ограничений по количеству событий и источникам Сохранение исходных RAW событий Нет ограничений по размеру архивного хранилища Коннекторы от производителя! Real-time и историческая корреляция. Наличие собственных модульных агентов. Разделение нагрузки на несколько серверов или

виртуальных машин. Легкая вертикальная масштабируемость.

#CODEIB

RUSIEM? Real-time и историческая корреляция с

возможностью настройки правил пользователем

Сбор информации с Windows, MacOS, Linux, сетевого оборудования и любых приложений имеющих возможность вывода событий

Отсутствие необходимости приобретения дополнительного ПО

Собственный Workflow (апрель 2015) для инцидент-менеджмента

Vulnerability management (3-4 квартал 2015)

Asset management (3 квартал 2015) Data exfiltration for asset continuous

monitoring (3 квартал 2015) Risk management (4 квартал 2015) Построение карты сети (3 квартал 2015).

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

www.it-task.ru#CODEIB

Источники событий

Syslog UDP/TCP с любых источников *nix/BSD/cisco/juniper/windows

Файл в формате Json, txt, csv, txt Windows event log (любой, даже созданный

пользователем журнал) Строки во вьюшке БД MS SQL (любой) как

события Строки во вьюшке Firebird (используется для

СКУД, DPI систем) как события Tcp input (json-like) Netflow (любая версия) Java events Nagios events Stream pipe Unix socket S3 stream

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

www.it-task.ru

Веб-сервера Реляционные БД Nosql БД Прокси-сервера Windows Event log Бизнес-приложения Балансеры DLP, DPI Антивирусная защита Активное оборудование СКУД АСУ ТП

WMIStompSqliteZeromqRabbitmqПрочие AMPQKafka ApacheHDFS (файлы)LamberjackJMXHerokuLog4jGelfXmppCollectdSNMP Trap

#CODEIB

Вопросы

ООО «АйТи Таск»

Тел./факс: +7 (495) 972-98-26

Адрес: 105082, Россия, г. Москва ул. Большая Почтовая 55/59с1

E-mail: info@it-task.ru

Web: www.It-task.ru

105082, Россия, г. Москваул. Большая Почтовая, 55/59с1Телефон: +7 (495) 972-98-26E-mail: info@it-task.ru

www.it-task.ru#CODEIB