SIEM как головной мозг системы
обеспечения информационной
безопасности
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
#CODEIB

Инфраструктура
➢ Антивирус
➢ Межсетевой экран
➢ СКУД
➢ Целевые системы
➢ DLP
➢ СЗИ от НСД
➢ Средства защиты
виртуализации
Когда Вы
проверяли
статус?
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
#CODEIB

Предпосылки возникновения
SIEM
➢ Большое количество сетевых устройств,
приложений;
➢ Распределенная инфраструктура;
➢ Непонятный исходный формат событий
➢ Что происходит в инфраструктуре (отказы,
эпидемии, атаки, несанкционированный
доступ)
➢ Почему и откуда блокируются учетные
записи
➢ Кто дал полный доступ к базе данных для
нового сотрудника
➢ Что с этой информацией делать?
➢ Логи нельзя удалить?
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
#CODEIB

Предпосылки возникновения
SIEM
➢ Не будем смотреть логи – об инцидентах
узнаем из газет или от прибежавших
сотрудников с битами
➢ Увидеть инцидент в логах не реально.
Необходима масса факторов.
➢ Реагировать на каждый чих систем
безопасности – неправильно!
➢ А «насколько плох вот этот алерт?» - нет
данных о критичности и влияния на
процессы.
➢ «а что это за ip в логе и что за vlan»? –
отсутствует справочная информация
➢ Стирание/переполнение журнала событий–
уже не узнаете почему произошел
инцидент, кто виновен в утечке данных или
простое
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
#CODEIB

Сосредоточим внимание
экспертов на важном
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
Миллионы
исходных
событий в
секунду
Тысячи
влияющих на
ИТ и ИБ
Сотни
проблем
Десяток
«реальных
инцидентов»
➢ Мы можем сохранять все события так
как это может сказаться на
расследовании инцидентов, собрать
доказательную базу
➢ Оператор не должен просматривать
все события, а только важные
инциденты (уже готовые выводы)
➢ Средства workflow позволяют
контролировать работу над
инцидентами, а не оставлять их
забытыми без внимания
➢ Применяемые методы позволяют
оператору понимать «о чем это
событие»
➢ Инвентаризация и комплайнс
#CODEIB

Примеры реализации
➢ Сетевые атаки
➢ Фрод и мошенничество
➢ Откуда и когда блокировались
учетные записи
➢ Изменение конфигураций «не
админами»
➢ Повышение привилегий
➢ Выявление несанкционированных
сервисов
➢ Обнаружение НСД (вход под учетной
записью уволенного сотрудника)
➢ Финансовые операции
➢ Изменение критичных конфигураций
с VPN подключений
➢ Контроль выполняемых команд на
серверах и сетевом оборудовании
➢ Аудит изменений конфигураций
(сетевых устройств, приложений, ОС)
➢ Выполнение требований
Законодательства и регуляторов (PCI
DSS, СТО БР, ISO 27xx)
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
#CODEIB

Примеры реализации
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
➢ Аномальная активность
пользователя (массовое
удаление/копирование)
➢ Обнаружение вирусной
эпидемии
➢ Обнаружение
уязвимости по событию
об установке софта
➢ Оповещение об
активной уязвимости по
запуску ранее
отключенной службы
➢ Обнаружение
распределенных по
времени атаках
➢ Влияние отказа в
инфраструктуре на
бизнес-процессы
#CODEIB

Пример №1
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
#CODEIB
Есть авторизация на АРМ…
…не зафиксирован проход через СКУД.
ИНЦИДЕНТ?

Пример №2
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
#CODEIB
Некорректная работа антивирусного ПО
Массовое заражение инфраструктурыВирусная атака

Пример №3
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
#CODEIB
• Доступ к критичным ресурсам в нерабочее время
• Доступ извне к внутренним критичным ресурсам
• Изменение конфигурации сетевого оборудования
• Контроль межзонных соединений
(DMZ to Internet, Test zone – Production
• Очистка журналов событий на оборудовании
• Многочисленные попытки соединения с множеством хостов
• Обнаружение траффика на нестандартных портах

Что мы предлагаем?
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
Основные преимущества:
➢ Собственная разработка, не зависящая от санкций и
развития open-source.
➢ Полная поддержка русского языка
➢ Приведенная к общему формату объектная
нормализация
➢ Встроенная управляемая и редактируемая
корреляция
➢ Высокая производительность (Свыше 90000
событий на одну ноду).
➢ Нет ограничений по количеству событий и
источникам
➢ Сохранение исходных RAW-событий
➢ Нет ограничений по размеру архивного хранилища
➢ Коннекторы от производителя
➢ Real-time и историческая корреляция.
➢ Наличие собственных модульных агентов.
➢ Разделение нагрузки на несколько серверов или
виртуальных машин.
➢ Легкая вертикальная масштабируемость.
#CODEIB

RUSIEM?
➢ Real-time и историческая корреляция
с возможностью настройки правил
пользователем
➢ Сбор информации с Windows, MacOS,
Linux, сетевого оборудования и
любых приложений имеющих
возможность вывода событий
➢ Отсутствие необходимости
приобретения дополнительного ПО
➢ Собственный Workflow для инцидент-
менеджмента
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
#CODEIB

Источники событий
➢ Syslog UDP/TCP с любых источников
*nix/BSD/cisco/juniper/windows
➢ Файл в формате Json, txt, csv, txt
➢ Windows event log (любой, даже созданный
пользователем журнал)
➢ Строки в БД MS SQL (любой) как события
➢ Строки в Firebird (используется для СКУД,
DPI систем) как события
➢ Tcp input
➢ Netflow (любая версия)
➢ Java events
➢ Nagios events
➢ Stream pipe
➢ Unix socket
➢ S3 stream
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
➢ Веб-сервера
➢ Реляционные БД
➢ Nosql БД
➢ Прокси-сервера
➢ Windows Event log
➢ Бизнес-приложения
➢ Балансеры
➢ DLP, DPI
➢ Антивирусная защита
➢ Активное оборудование
➢ СКУД
➢ АСУ ТП
➢WMI
➢Stomp
➢Sqlite
➢Zeromq
➢Rabbitmq
➢Прочие AMPQ
➢Kafka Apache
➢HDFS (файлы)
➢Lamberjack
➢JMX
➢Heroku
➢Log4j
➢Gelf
➢Xmpp
➢Collectd
➢SNMP Trap
#CODEIB

Вопросы
ООО «АйТи Таск»
➢ Тел./факс: +7 (495) 972-98-26
➢ Адрес: 105082, Россия, г. Москва
ул. Большая Почтовая 55/59с1
➢ E-mail: info@it-task.ru
➢ Web: www.It-task.ru
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
#CODEIB