IT-Task. Дмитрий Ильин. "SIEM как головной мозг ИБ"

SIEM как головной мозг системы обеспечения информационной

безопасности

1 050 82, Ро ссия, г. Моск вау л. Бол ьшая По что вая, 55 /59с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru

#CODEIB

Инфраструктура

Антивирус Межсетевой экран СКУД Целевые системы DLP СЗИ от НСД Средства защиты

виртуализации

Когда Вы проверяли статус?


www.it-task.ru

#CODEIB

Предпосылки возникновения

SIEM

Большое количество сетевых устройств, приложений;

Распределенная инфраструктура; Непонятный исходный формат событий Что происходит в инфраструктуре (отказы,

эпидемии, атаки, несанкционированный доступ)

Почему и откуда блокируются учетные записи

Кто дал полный доступ к базе данных для нового сотрудника

Что с этой информацией делать? Логи нельзя удалить?


www.it-task.ru

#CODEIB

Предпосылки возникновения

SIEM

Не будем смотреть логи – об инцидентах узнаем из газет или от прибежавших сотрудников с битами

Увидеть инцидент в логах не реально. Необходима масса факторов.

Реагировать на каждый чих систем безопасности – неправильно!

А «насколько плох вот этот алерт?» - нет данных о критичности и влияния на процессы.

«а что это за ip в логе и что за vlan»? – отсутствует справочная информация

Стирание/переполнение журнала событий– уже не узнаете почему произошел инцидент, кто виновен в утечке данных или простое


www.it-task.ru

#CODEIB

Сосредоточим внимание экспертов на важном


www.it-task.ru

Миллионы исходных событий в секундуМиллионы исходных событий в секунду

Тысячи влияющих на ИТ и ИБТысячи влияющих на ИТ и ИБ

Сотни проблемСотни проблем

Десяток «реальных

инцидентов»

Десяток «реальных

инцидентов»

Мы можем сохранять все события так как это может сказаться на расследовании инцидентов (можем отфильтровать по желанию)

Оператор не должен просматривать все события, а только важные инциденты (уже готовые выводы)

Средства workflow позволяют контролировать работу над инцидентами, а не оставлять их забытыми без внимания

Применяемые методы позволяют оператору понимать «о чем это событие»

#CODEIB

Примеры реализации

Сетевые атаки Фрод и мошенничество Откуда и когда блокировались учетные

записи Изменение конфигураций «не админами» Повышение привилегий Выявление несанкционированных

сервисов Обнаружение НСД (вход под учетной

записью уволенного сотрудника) Отсутствие антивирусной защиты на

новом установленном компьютере Изменение критичных конфигураций с

VPN подключений Контроль выполняемых команд на

серверах и сетевом оборудовании Аудит изменений конфигураций (сетевых

устройств, приложений, ОС) Выполнение требований

Законодательства и регуляторов (PCI DSS, СТО БР, ISO 27xx)


www.it-task.ru

#CODEIB

Примеры реализации

1 050 82, Рос сия, г. Моск вау л. Бол ьшая По что вая, 55 /5 9с1Теле фо н: +7 (4 95) 9 72-98 -2 6E-mail: info@it-task .ru

www.it-task.ru

Аномальная активность пользователя (массовое удаление/копирование)

Обнаружение вирусной эпидемии

Обнаружение уязвимости по событию об установке софта

Оповещение об активной уязвимости по запуску ранее отключенной службы

Обнаружение распределенных по времени атаках

Влияние отказа в инфраструктуре на бизнес-процессы#CODEIB

Пример №1


www.it-task.ru

#CODEIB

Пример №2


www.it-task.ru

#CODEIB

Пример №3


www.it-task.ru

#CODEIB

• Доступ к критичным ресурсам в нерабочее время

• Доступ извне к внутренним критичным ресурсам

• Изменение конфигурации сетевого оборудования

• Контроль межзонных соединений (DMZ to Internet, Test zone – Production

• Очистка журналов событий на оборудовании

• Многочисленные попытки соединения с множеством хостов

• Обнаружение траффика на нестандартных портах

Что мы предлагаем?

1 050 82, Рос сия, г. Моск вау л. Бол ьшая По что вая, 55 /5 9с1Теле фо н: +7 (4 95) 9 72-98-2 6E-mail: info@it-task .ru

www.it-task.ru

Основные преимущества: Собственная разработка, не зависящая от санкций и

развития open-source. Полная поддержка русского языка Приведенная к общему формату объектная нормализация Встроенная управляемая и редактируемая корреляция Высокая производительность (Свыше 90000 событий на

одну ноду). Нет ограничений по количеству событий и источникам Сохранение исходных RAW-событий Нет ограничений по размеру архивного хранилища Коннекторы от производителя Real-time и историческая корреляция. Наличие собственных модульных агентов. Разделение нагрузки на несколько серверов или

виртуальных машин. Легкая вертикальная масштабируемость.

#CODEIB

RUSIEM?

Real-time и историческая корреляция с возможностью настройки правил пользователем

Сбор информации с Windows, MacOS, Linux, сетевого оборудования и любых приложений имеющих возможность вывода событий

Отсутствие необходимости приобретения дополнительного ПО

Собственный Workflow для инцидент-менеджмента


www.it-task.ru

#CODEIB

Источники событий

Syslog UDP/TCP с любых источников *nix/BSD/cisco/juniper/windows

Файл в формате Json, txt, csv, txt Windows event log (любой, даже созданный

пользователем журнал) Строки в БД MS SQL (любой) как события Строки в Firebird (используется для СКУД,

DPI систем) как события Tcp input Netflow (любая версия) Java events Nagios events Stream pipe Unix socket S3 stream


www.it-task.ru

Веб-сервера Реляционные БД Nosql БД Прокси-сервера Windows Event log Бизнес-приложения Балансеры DLP, DPI Антивирусная защита Активное оборудование СКУД АСУ ТП

WMIStompSqliteZeromqRabbitmqПрочие AMPQKafka ApacheHDFS (файлы)LamberjackJMXHerokuLog4jGelfXmppCollectdSNMP Trap

#CODEIB

Вопросы

ООО «АйТи Таск»

Тел./факс: +7 (495) 972-98-26

Адрес: 105082, Россия, г. Москва ул. Большая Почтовая 55/59с1

E-mail: [email protected]

Web: www.It-task.ru


www.it-task.ru

#CODEIB

mailto:[email protected]



Software

IT-Task. Дмитрий Ильин. "SIEM как головной мозг ИБ"