ISOC: МОНИТОРИНГИ РАССЛЕДОВАНИЕ ИНЦИДЕНТОВИБ НА БАЗЕPT MAXPATROL SIEM

ЗАЧЕМ НУЖЕН SOC

Снижение рисков хищения данных иденежных средств

Обеспечение непрерывности бизнеса

Снижение тяжести последствийинцидентов

ЦЕЛИ

РЕЗУЛЬТАТ

Выявление кибератак на ранних стадиях

Максимально быстрый разборинцидентов в большом количествеинформационных систем

SOCЦентр мониторингаи реагирования наинциденты ИБ

Сотрудники

Процессы

Технологии

ВАРИАНТЫ ПОСТРОЕНИЯ SOC

ВНУТРЕННИЙ SOC

Компания заключает договор спровайдером на сервис SOC с

установленным SLA (Service Level Agreement)

Компания делегируетчасть функций SOC

сервис-провайдеру, остальныефункции поддерживает

самостоятельно

Компания сама или с помощьюконсультантов строит процессы, обучает специалистов, создает

и поддерживает SOC

SOC AS SERVICE ГИБРИДНЫЙ SOC

PT MaxPatrol SIEM+ Консалтинг ISOC

ISOC + PT MaxPatrol SIEM

ВАРИАНТЫ ПОСТРОЕНИЯ SOC. В ЧЕМ РАЗНИЦА

ВНУТРЕННИЙ SOC

$ SIEM (Лицензия)$ Инфраструктура$$ Внедрение системы$$ Сервис 24/7

$$$ SIEM (Лицензия)$$$ Инфраструктура$$ Внедрение системы$$ Сервис 24/7

SOC AS SERVICE ГИБРИДНЫЙ SOC

Скорость внедрения

Стоимость

Преимущества

$$$ SIEM (Лицензия)$$$ Инфраструктура$$$ Внедрение системы$$$ Сервис 24/7

От 12 месяцев 3-4 месяца 6-12 месяцев

Обработка и хранение событий насвоей стороне

Гибкость в предоставлении сервисаОбработка и хранение событий насвоей сторонеГибкость в предоставлении сервиса

ПРЕИМУЩЕСТВА СЕРВИС-ПРОВАЙДЕРА

ЭКОНОМИЯ РЕСУРСОВ

Снижаются затраты (оборудование, персонал) на инфраструктурудля управления инцидентами*

РЕШЕНИЕ ПРОБЛЕМЫ КАДРОВ

ОЖИДАЕМЫЙ РЕЗУЛЬТАТ

Не нужно искать дорогих специалистови обучать своих: сервис сопровождаютпрофильные эксперты

Затраты и сроки внедрения сервисазаранее определены договором спровайдером

* В гибридном варианте на стороне клиента остается SIEM-система. Для сбора и корреляции событий используетсяMaxPatrol SIEM (Positive Technologies)

ФИКСИРОВАННЫЕ SLA

Клиент понимает, как быстро будетобработан инцидент или решенопределенный вопрос

ДОПОЛНИТЕЛЬНЫЕ СЕРВИСЫ

Сервис предоставляется в режиме 24/7, поэтому вся информацияоб угрозах и уязвимостях поступаетсвоевременно

Сервис-провайдер может взятьна сопровождение СЗИи IT-инфраструктуру клиента

ОПЕРАТИВНАЯ РЕАКЦИЯ

ТЕХНОЛОГИЧЕСКАЯ ПЛАТФОРМА

Positive Technologies

25% российского рынка SIEM

MAXPATROL SIEM

Система мониторинга событий ИБ и выявления инцидентовв реальном времени, разработанная компанией Positive Technologies

Полностью российская разработка, имеются сертификатыФСТЭК РФ иМинобороны РФ, входит в реестр отечественного ПО

КЛЮЧЕВЫЕ ПРЕИМУЩЕСТВА:

Своевременно детектирует новые типы угроз, получая обновления отэкспертного центра безопасности Positive Technologies (PT ESC)

Лицензирование по количеству активов — а не по потоку событий— позволяетменять источники для мониторинга, выбирать наиболее важные иподключать новые без дополнительных затрат

Автоматически строит топологию сети, что помогает лучше пониматьзащищаемую инфраструктуру, упрощает расследование инцидентов

Большое количество дашбордов позволяет получать самую разнообразнуюинформацию о работе системы

1

2

3

4

5

занялMaxPatrol SIEM в 2017 году (исследование IDC)

100 проектов внедрения

MaxPatrol SIEM и SIEM LE реализовано с 2015 года

230

Бесплатное подключение другихбизнес-систем, в том числеспецифических и самописных

преднастроенных

источников

ТРЕБОВАНИЯ

ТРЕБОВАНИЯ К PT MAXPATROL SIEM

Необходимы лицензии:• MP SIEM Server• MP SIEM Log Collector

ЛИЦЕНЗИИ

Поддерживается версия21 и выше

ВЕРСИЯ

Необходима вендорскаяподдержка PT MaxPatrol SIEM:

коннекторы должны обновляться

ПОДДЕРЖКА

АРХИТЕКТУРА ВЗАИМОДЕЙСТВИЯ

ПРИЕМНИК

СОБЫТИЙ

ЗАЩИЩЕННЫЙКАНАЛ

ИСТОЧНИКИ

СОБЫТИЙ

МОДУЛЬ

АНАЛИТИКИ

ДАШБОРДЫ

ОТЧЕТЫ

УПРАВЛЕНИЕ

ИНЦИДЕНТАМИ

РЕАГИРОВАНИЕ

НА ИНЦИДЕНТЫ

ЗАЩИЩЕННЫЙСЕГМЕНТ

ИНФОСЕКЬЮРИТИ

ISOC IRP (АВТОМАТИЗАЦИЯ)

ГосСОПКАFINCERT

ТЕРМИНАЛЬНЫЙСЕРВЕР

MaxPatrolSIEM

КОННЕКТОР

ISOC

ИС ЗАКАЗЧИКА

ПОДКЛЮЧЕНИЕ К ГОССОПКА

СОГЛАШЕНИЕ МЕЖДУ НКЦКИ И «ИНФОСЕКЬЮРИТИ» ПОЗВОЛЯЕТ НАМ ВЫСТУПАТЬ В РОЛИКОРПОРАТИВНОГО ЦЕНТРА ГОССОПКА КЛАССА «А»

ISOC: передача информации через коннектор

Сервис управления уязвимостями

ISOC: сервисы мониторинга, расследования, реагированияна инциденты

Консалтинг

Анализ событий

Прием сообщений о возможных инцидентах

Регистрация инцидентов

Составление перечня инцидентов

Эксплуатация средств обнаружения и реагирования

Ликвидация последствий

Анализ результатов ликвидации последствий

Установление причин инцидентов (расследование)

Инвентаризация

Выявление уязвимостей

Анализ угроз

Составление и актуализация перечня угроз

Разработка регламентирующих документов

Взаимодействие с НКЦКИ

Подготовка предложений по повышению уровня защищенности

ФУНКЦИИ ЦЕНТРА ГОССОПКА СООТВЕТСТВУЮЩИЕ УСЛУГИ

КАК РАБОТАЕТ СЕРВИС ISOCМОЖНО ВЫБРАТЬ НЕОБХОДИМЫЙ НАБОР УСЛУГ В ЗАВИСИМОСТИ ОТ СВОИХ ПОТРЕБНОСТЕЙ

Мониторинг Реагирование

Автоматическое созданиезаявки в IRP и email-

оповещение

Расширеннооповещениепо телефону

Первичный анализ иобработка инцидента

Применениеконтрмер в

инфраструктуре

Подключениеэксперта к online-

анализу

Расширеннаяподдержка

и консультации

PT MaxPatrolSIEM

PT

ЭКСПЕРТИЗА И ПРОЦЕССЫ ISOC

ЭФФЕКТИВНОСТЬ РАБОТЫ SOC ОБУСЛАВЛИВАЕТСЯ РЯДОМ УНИКАЛЬНЫХ ХАРАКТЕРИСТИК КОМПАНИИ

«ИНФОСЕКЬЮРИТИ»

8 лет управленияинцидентами ИБ

База знаний и use case по обработке инцидентов

Опыт предоставлениясервиса компаниис количеством сотрудниковболее 30.000

Участник FIRST, статус CERT

Соглашение НЦКИ позволяющее выступатьв роли корпоративного центра ГосСОПКА класса«А»

Использование актуальных данныхThreat Intelligence

Более 30 сотрудников, участвующихв мониторинге и реагировании, и более 60 профильных экспертов

КОМАНДА ISOC

ВТОРАЯ ЛИНИЯ ТРЕТЬЯ ЛИНИЯ

ПЕРВАЯ ЛИНИЯ

Мониторинг и оповещение 24/7

Анализ инцидентов 24/7 Расследования 8/5

РАЗРАБОТКА

Платформаи автоматизация

АНАЛИТИКА

Правила реагирования

ЭКСПЛУАТАЦИЯ ISOC

Сопровождениеинфраструктуры ISOC

СЕРВИСЫ ИБ

Реагированиена инциденты 24/7

В команде более 30 экспертов, занимающихся непосредственномониторингом и расследованиями

инцидентов.

Кроме того, с ними в непрерывном режимевзаимодействуют

более 60 профильных инженеровпо различным направлениям

информационной безопасности.

ЭТАПЫ ПОДКЛЮЧЕНИЯ*

1 АНАЛИТИКА И КОНСАЛТИНГ

• Анализ подключенных источников(ОС, СУБД, ПО, СЗИ, сетевое оборудование)

• Оптимизация правил корреляцииPT MaxPatrol SIEM для соответствия нашимполитикам реагирования

2 ОРГАНИЗАЦИЯ КАНАЛОВ СВЯЗИ

• Получение доступов• Настройка защищенного сетевого канала• Настройка защищенного почтового канала

3 ПОДГОТОВКА ИНФРАСТРУКТУРЫ

• Настройка коннектора к PT MaxPatrol SIEM в инфраструктуре заказчика

• Подключение дополнительных источников• Настройка оповещений и доступа к дашбордам

4 СОГЛАСОВАНИЕ ВЗАИМОДЕЙСТВИЯ

• Определение схемы подключения новыхисточников

• Определение схем оповещенияоб инцидентах и эскалации

* При условии наличия внедренной MaxPatrol SIEM у клиента. Мы также можем оказать услугипо развертыванию MaxPatrol SIEM в рамках отдельного проекта.

5 СОГЛАСОВАНИЕ SLA

• Установление режима работы• Определение приоритета и скорости реагированияна инциденты

• Определение параметров и сроков отчетности

6 ВВЕДЕНИЕ В ЭКСПЛУАТАЦИЮ

• Тестирование• Запуск мониторинга событийи реагирования на инциденты

ЦЕНООБРАЗОВАНИЕ

СТОИМОСТЬ СЕРВИСА ISOC РАССЧИТЫВАЕТСЯ ИСХОДЯ ИЗ НЕСКОЛЬКИХ ПАРАМЕТРОВ

Режимыреагирования

и работы третьейлинии

РЕЖИМ ОБРАБОТКА МАСШТАБ

Количествоинцидентовна обработку

Объем инфра-структуры(источники

разных типов)

1 линия

Forensics

2 линия

3 линия

Серверы

СЗИ

Рабочиестанции

Сетевоеоборудо-вание

Первичныйанализ

Реагирование

Экспертныйанализ

Расширеннаяподдержка

и консультации

> 120≤ 120

≤ 120 > 120

≤ 20 > 20

≤ 3 > 3

in4security.com