SlideShare uma empresa Scribd logo

RuSIEM. Потребители. Состав продукта. Отличия. Применение.

Transferir como PPTX, PDF
Olesya Shelestova
Olesya Shelestova

.

Software
1 de 44
Олеся Шелестова CEO RuSIEM oshelestova@rusiem.com RuSIEM vs рынок Рынок. Состав продукта. Механизмы. Возможности.
Что такое SIEM • Программный продукт, ядро. Готовый к использованию • На входе – события с ОС, сетевого оборудования, различного программного обеспечения, средств защиты, приложений • На выходе – комплексные обоснованные выводы о том что происходит: статистика, оповещения об аномалиях, сбоях, утечке данных, попытках НСД, быстро распространяющихся вирусных эпидемиях, подозрительных транзакциях и много чем еще. 3
Рынок 4
Основные игроки • IBM Qradar • HP ArcSight • LogRhythm • SolarWinds • RSA Envision • McAfee • Tenable • AlienVault OSSIM • Splunk (LM) 6
Игроки на рынке РФ Разработчики: • RuSIEM • PT SIEM • «НПО Эшелон Комрад» (OSSIM) 7
Игроки на рынке РФ 8 Продаются: • IBM Qradar • HP ArcSight • Splunk • RSA EnVision • OSSIM • McAfee • Tenable
Форм-фактор 9 • Hardware appliance • Virtual Appliance
Типовой состав 10 • Агент • Коллектор (like LM) • Ядро (парсеры/корреляторы/отчеты/аналитика) • Хранилище • Консоль управления
«Потребители» • Банки/процессинг/Финансовые организации – как минимум для PCI DSS, SOX, ISO27**, СТО БР ИББС • Коммерческие/Государственные организации/Телекомм – осознав необходимость в быстрой реакции на инциденты • Финансовые/нефте-газовые – для выявления фрода и мошеннических действий • SOC/Security monitoring • Сервис-провайдеры/MSSP 11
«Пользователи» (преимущественно) • ИТ подразделение • ИБ подразделения • Экономическая безопасность • Физическая безопасность 12
Для чего используется (на практике) 13
• Standard compliance (SOX, PCI DSS, ISO 27**, BASEL II, HIPAA, СТО БР ИББС ….) • «Быстро узнавать что происходит что то плохое». Инфраструктура, транзакции, доступ к данным, изменение конфигураций, злонамеренные действия, СКУД, видеонаблюдение, физическая безопасность и т.п. • «Мозг» для автоматического обнаружения инцидентов и сопутствующих факторов. Предупреждения о назревающем инциденте. • База и инструментарий для расследования, анализа происходящего или случившегося. • Регистрация фактов инцидентов. Фиксация решений. • «Источник состояний». К примеру – DDOS/действия пользователей/целостность приложения в сравнении с транзакциями. 14
Процессы «внутри» 15
16 Data extraction Symptoms Correlations LOT Database Agent Apps WebSecurity logs Transaction Aggregations Asset profiler Asset Modeling Real-time Executions Asset Modeling Feeds Threat modelling Policy compliance Vulnerability detection Workflow Relationship detection Broker Log-source management API Meta addition Connectors Knowledge Update Log source recognition Fast data Time-seriesRaw dataAnalytics Metadata History correlations
Нормализация Корреляция Обогащение Аналитика Экстракторы Историческая корреляция Активный сбор Пассивный сбор
RuSIEM vs Конкуренты 18
С одной стороны… • SIEMов много • Есть устоявшиеся игроки занявшие рынок • Пересекающийся и повторяющийся набор функциональности • Есть конструкторы из которых можно «городить» почти все что угодно • Множество провальных проектов внедрения • «Из коробки» работает плохо 19
С Другой стороны… • «Дальше носа» никто не смотрит • Более 87% вендоров не развивают продукт заняв рыночную нишу • Конструкторы позволяют «городить» но все также из «ПВА» и веток. Вашими силами и вашим бюджетом. • Разные SIEMы как костюмы – один в рукавах узок, другой болтается • И да, «Санкции». И с ними столкнулись наши Заказчики. 20
Мы постарались и стараемся дальше: • Взяли востребованный набор кейсов и необходимой функциональности • Принимаем фидбэк: что удобно, что нет. Прислушиваемся и упрощаем вашу работу, повышаем удобство. • Мы сделали «фундамент» продукта. Для того чтобы двигаться дальше и решать действительно полезные и интересные кейсы. • RuSIEM это не банальный siem, а следующий шаг к продвинутой аналитике, к автоматическому анализу, построению моделей, обнаружению угроз без сигнатурными методами 21
LM: сбор и подготовка данных
Важно понимать что RuSIEM ©: • не «интеграторская версия», а полноценный самостоятельный продукт • не open-source! Это свой код, исключая разве что БД используемые в продукте • релиз уже состоялся. Мы вышли на рынок. Пилотируемся, внедряемся и продаем решение. 23
Механизмы обнаружения угроз 24
Предвестники инцидента • Появление события(й) по паттерну, с определенным id или классом • Последовательность событий по паттерну/категориям • Всплески/рост количества событий по сравнению с историческими (общее или определенного типа) • Объект ранее не используемый (dst.ip/url/fqdn) • Аномалия или последовательность классов аномалий (не соответствие профилю трафика, флаги, пропущенные данные, мисматчинг) • Маркированные данные или по паттерн-матчингу (фиды, useragents, версии протоколов) 25
Декомпозиция угроз 26 Обнаружение События Траффик Косвенные признаки Аналитические методы
«Говорящие» источники • Определяются в рамках применимых векторов атак • Основные: • События аутентификации/авторизации, получения привилегий, изменения конфигураций (windows event log, syslog, AA, DB logs, etc) • Доступ к ресурсам (web servers, proxy) • Сетевые соединения (сенсор либо имеющееся) • Mail logs (transport + access + management) • Md5/sha1 file checksum (network + processes) • AV-centers • File extractors • L7 analyzers • DPI/Protocol analyzers • IDS/IPS/Fw’s • Audit VM scans • Feeds 27
Методы обнаружения угроз 28 Up to 2min Up to 3min Correlation Rules Dashboard Active searches Feeds, Reputation lists Basic symptoms Symptoms aggregations Data Analytics (in development) time completenessofthethreatassessment Historical trends
Инструментарий и методы обнаружения • Корреляция счетчиком (по условию события, количеству событий, последовательность событий) • «Всплески», тенденции • Историческая аналитика • Сигнатурный анализ • «Песочницы» (сравнение по хэшам, отправка подозрительных файлов и получение результатов в облаке) • Корреляция триггером (триггерное, например: 3 неуспешных попытки входа, затем успешная) • Симптоматика или критичность событий • Агрегация (суммарные веса объектов симптомов за интервалы) • Фиды (репутационные списки) • «Беглый просмотр событий» 29
Корреляция • Предзаданные пакеты (наборы) правил • Пользовательские (адаптированные) 30
Корреляция • Одно событие по условию как триггер • Количество событий по условию за единицу времени • Последовательная цепочка событий 31
Корреляция • Фильтр по времени • Функции (запрос к дата-сетам, подсчеты, отправка в песочницу) • Группировка • Составное условие • Последовательное условие • Запуск скрипта с передачей параметра • Генерация инцидента • Параметры оповещения • Группы определения/симптоматика 32
Корреляция. Жизненный цикл правила • Зависит от условия и применимости к гетерогенным продуктам • В среднем, от 3х месяцев до 5 лет • Комплексное на симптомах – 8-10 лет • Система не обновляемая и не поддерживаемая станет не_эффективной через год-полтора • В составе с аналитиком даже без обновлений вендора – «5 лет не срок». 33
Кто делает правила корреляции • Вендор • Интеграторы • Аналитики заказчика 34
Отладка и создание правил корреляции • Исходя из кейсов • Исходя из угроз • Обязательно тестируется на реальных данных (эмуляция) • Идеальный случай – проведение пентестов не дожидаясь реальных инцидентов и актуализация правил по результатам • Описывать «коня в вакууме» нельзя! Это будет пустая трата времени. • Эмулируется ситуация/последовательность действий Смотрятся логиОписывается правило корреляции. При недостаточности данных – думаем откуда и как их собрать. 35
На выходе корреляции • Инцидент, назначенный на пользователя/группу во встроенном workflow или внешней системе ServiceDesk • Сгруппированный дата-сет для повторного использования в корреляции • Совсем плохо если только событие или алерт в виде события 36
Инцидент-менеджмент • Фиксация инцидентов для руководства/аудиторов • Фиксация инцидентов для взаимодействия с другими подразделениями и сотрудниками • Группировка типовых повторяющихся инцидентов в проблему (см.ITIL) • Фиксация инцидентов для формирования базы знаний и выдаче советов в случае повторного появления инцидентов • Инциденты должны быть сгруппированы по объекту (src.ip/user.name) • Склейка инцидентов происходит по предзаданным правилам • Сроки решения инцидента должны быть выставлены и выдержаны. Уведомления о просрочке решения – руководителям. 37
Хранение 38 • Хранить «все» ради standard compliance – не обязательно • Актуальное хранение: 7-30 дней все события, до полугода важные, до 3х лет для compliance по категориям. • Инциденты – до 3х лет.
Интеграция с внешними системами • Входной поток событий – syslog/CEF c /n разделителями • Входной поток – коннекторы • Импорт – api/коннекторы агента • Экспорт данных – syslog/CEF/csv/api 39
Кто пишет нормализацию? • Вендор • Интеграторы • Аналитики заказчика • «Транспорты» - фактически только вендор. • Нормализация - это просто. Достаточно «набить руку». 40
Как собираются «состояния и события» • White box • Windows Event logs • Syslog • Snmp • Wmi • Rcommand (rexec, ssh, sql-like, php, post/get, etc) • Scan (audit mode, authorized) • … • Black box • Network traffic • Scan (remote unauthorized, pentest) • Information from its neighbors • … 41
Пример «Black box» Задачи: - Аудит доступа к SQL-like БД - Аудит передаваемых данных Анализ: - Включение аудита грузит сильно БД и не информативно - Фронт-энд/бэк-энд/клиент не может логировать необходимые данные или нет возможности Выход: - Установка в span/tap порт и сбор необходимых данных по трафику - Разбор событий на RuSIEM 42
Почему встречаются провальные проекты 43
Почему встречаются провальные проекты • Не выстроены процессы • Не закреплено аналитика на SIEM • Не хватает квалификации • Не событиями едиными: нужен мониторинг траффика • Источники подключаются «тыканьем пальца», а не от кейсов • Не хватает экспертной оценки для ведения процессов системы (правила корреляции, минимизация ложных срабатываний и т.д.) • Система должна работать не только через сигнатуры и глаза аналитика • Вендор должен совершенствовать систему под новые условия • Некорректный расчет ресурсов 44
Контактная информация: Вопросы: support@rusiem.com Заказы на пилот: info@it-task.ru Олеся Шелестова oshelestova@rusiem.com (skype, mail) Официальный дистрибьютор: СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 45 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru

Recomendados

SIEM для ИТ
SIEM для ИТSIEM для ИТ
SIEM для ИТOlesya Shelestova
 
RuSIEM 2016
RuSIEM 2016RuSIEM 2016
RuSIEM 2016Olesya Shelestova
 
Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системахOlesya Shelestova
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)RuSIEM (15.11.2015)
RuSIEM (15.11.2015)Olesya Shelestova
 
Rusiem 2017_обзор
Rusiem 2017_обзорRusiem 2017_обзор
Rusiem 2017_обзорOlesya Shelestova
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 

Recomendados

SIEM для ИТ
SIEM для ИТSIEM для ИТ
SIEM для ИТOlesya Shelestova
 
RuSIEM 2016
RuSIEM 2016RuSIEM 2016
RuSIEM 2016Olesya Shelestova
 
Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системахOlesya Shelestova
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)RuSIEM (15.11.2015)
RuSIEM (15.11.2015)Olesya Shelestova
 
Rusiem 2017_обзор
Rusiem 2017_обзорRusiem 2017_обзор
Rusiem 2017_обзорOlesya Shelestova
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)Olesya Shelestova
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данныхPete Kuzeev
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инцидентыPositive Hack Days
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...Clouds NN
 
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Ontico
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от изAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностьюАльбина Минуллина
 
Есть ли жизнь без SIEM
Есть ли жизнь без SIEMЕсть ли жизнь без SIEM
Есть ли жизнь без SIEMPositive Hack Days
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
Symantec
SymantecSymantec
SymantecExpolink
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Alexey Kachalin
 
Этичный хакинг
Этичный хакингЭтичный хакинг
Этичный хакингPositive Hack Days
 
RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)Olesya Shelestova
 
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIAleksey Lukatskiy
 

Mais conteúdo relacionado

Mais procurados

PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данныхPete Kuzeev
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инцидентыPositive Hack Days
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...Clouds NN
 
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Ontico
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Есть ли жизнь без SIEM
Есть ли жизнь без SIEMЕсть ли жизнь без SIEM
Есть ли жизнь без SIEMPositive Hack Days
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Alexey Kachalin
 

Mais procurados (20)

PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge accepted
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данных
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инциденты
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструменты
 
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
 
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от из
 
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
 
Есть ли жизнь без SIEM
Есть ли жизнь без SIEMЕсть ли жизнь без SIEM
Есть ли жизнь без SIEM
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
 
Symantec
SymantecSymantec
Symantec
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013
 
Этичный хакинг
Этичный хакингЭтичный хакинг
Этичный хакинг
 

Destaque

RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)Olesya Shelestova
 
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIAleksey Lukatskiy
 
Презентация Александра Кузнецова с конференции «SIEM в банковской сфере: авто...
Презентация Александра Кузнецова с конференции «SIEM в банковской сфере: авто...Презентация Александра Кузнецова с конференции «SIEM в банковской сфере: авто...
Презентация Александра Кузнецова с конференции «SIEM в банковской сфере: авто...Банковское обозрение
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Банковское обозрение
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Startup village Risk Service Integromatica
Startup village Risk Service IntegromaticaStartup village Risk Service Integromatica
Startup village Risk Service Integromaticanlrisk
 
Презентация Сергея Добриднюка с конференции «SIEM в банковской сфере: автомат...
Презентация Сергея Добриднюка с конференции «SIEM в банковской сфере: автомат...Презентация Сергея Добриднюка с конференции «SIEM в банковской сфере: автомат...
Презентация Сергея Добриднюка с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Презентация Павла Нагина с конференции «SIEM в банковской сфере: автоматизаци...
Презентация Павла Нагина с конференции «SIEM в банковской сфере: автоматизаци...Презентация Павла Нагина с конференции «SIEM в банковской сфере: автоматизаци...
Презентация Павла Нагина с конференции «SIEM в банковской сфере: автоматизаци...Банковское обозрение
 
SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написатьOlesya Shelestova
 
Функциональные возможности ИКС
Функциональные возможности ИКСФункциональные возможности ИКС
Функциональные возможности ИКСDiamantigor Igor.Suharev
 
ИКС - комплексное решение сетевой безопасности
ИКС - комплексное решение сетевой безопасностиИКС - комплексное решение сетевой безопасности
ИКС - комплексное решение сетевой безопасностиDiamantigor Igor.Suharev
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOCAleksey Lukatskiy
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минутAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФAleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годAleksey Lukatskiy
 

Destaque (18)

RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)
 
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VI
 
Презентация Александра Кузнецова с конференции «SIEM в банковской сфере: авто...
Презентация Александра Кузнецова с конференции «SIEM в банковской сфере: авто...Презентация Александра Кузнецова с конференции «SIEM в банковской сфере: авто...
Презентация Александра Кузнецова с конференции «SIEM в банковской сфере: авто...
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
 
Startup village Risk Service Integromatica
Startup village Risk Service IntegromaticaStartup village Risk Service Integromatica
Startup village Risk Service Integromatica
 
Презентация Сергея Добриднюка с конференции «SIEM в банковской сфере: автомат...
Презентация Сергея Добриднюка с конференции «SIEM в банковской сфере: автомат...Презентация Сергея Добриднюка с конференции «SIEM в банковской сфере: автомат...
Презентация Сергея Добриднюка с конференции «SIEM в банковской сфере: автомат...
 
Презентация Павла Нагина с конференции «SIEM в банковской сфере: автоматизаци...
Презентация Павла Нагина с конференции «SIEM в банковской сфере: автоматизаци...Презентация Павла Нагина с конференции «SIEM в банковской сфере: автоматизаци...
Презентация Павла Нагина с конференции «SIEM в банковской сфере: автоматизаци...
 
SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написать
 
Функциональные возможности ИКС
Функциональные возможности ИКСФункциональные возможности ИКС
Функциональные возможности ИКС
 
ИКС - комплексное решение сетевой безопасности
ИКС - комплексное решение сетевой безопасностиИКС - комплексное решение сетевой безопасности
ИКС - комплексное решение сетевой безопасности
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 год
 

Semelhante a RuSIEM. Потребители. Состав продукта. Отличия. Применение.

Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Руководство по формату событий для разработчиков
Руководство по формату событий для разработчиковРуководство по формату событий для разработчиков
Руководство по формату событий для разработчиковOlesya Shelestova
 
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"Expolink
 
Вебинар: Функциональные возможности HP ArcSight Logger \ ESM
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMВебинар: Функциональные возможности HP ArcSight Logger \ ESM
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMDialogueScience
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Опыт повышения доступности ключевых банковских ИТ-систем
Опыт повышения доступности ключевых банковских ИТ-системОпыт повышения доступности ключевых банковских ИТ-систем
Опыт повышения доступности ключевых банковских ИТ-системVsevolod Shabad
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 

Semelhante a RuSIEM. Потребители. Состав продукта. Отличия. Применение. (20)

Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Руководство по формату событий для разработчиков
Руководство по формату событий для разработчиковРуководство по формату событий для разработчиков
Руководство по формату событий для разработчиков
 
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
 
JSOC Inside
JSOC InsideJSOC Inside
JSOC Inside
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
Вебинар: Функциональные возможности HP ArcSight Logger \ ESM
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMВебинар: Функциональные возможности HP ArcSight Logger \ ESM
Вебинар: Функциональные возможности HP ArcSight Logger \ ESM
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Опыт повышения доступности ключевых банковских ИТ-систем
Опыт повышения доступности ключевых банковских ИТ-системОпыт повышения доступности ключевых банковских ИТ-систем
Опыт повышения доступности ключевых банковских ИТ-систем
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
Обзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure AnalyticsОбзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure Analytics
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 

Mais de Olesya Shelestova

RuSiem events collection and forwarding
RuSiem events collection and forwardingRuSiem events collection and forwarding
RuSiem events collection and forwardingOlesya Shelestova
 
How to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMHow to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMOlesya Shelestova
 
From SIEM to Business processes
From SIEM to Business processesFrom SIEM to Business processes
From SIEM to Business processesOlesya Shelestova
 

Mais de Olesya Shelestova (7)

RuSIEM vs SOC (En)
RuSIEM vs SOC (En)RuSIEM vs SOC (En)
RuSIEM vs SOC (En)
 
RuSIEM vs SOC (Rus)
RuSIEM vs SOC (Rus)RuSIEM vs SOC (Rus)
RuSIEM vs SOC (Rus)
 
RuSiem events collection and forwarding
RuSiem events collection and forwardingRuSiem events collection and forwarding
RuSiem events collection and forwarding
 
RuSIEM IT assets
RuSIEM IT assetsRuSIEM IT assets
RuSIEM IT assets
 
How to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMHow to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEM
 
From SIEM to Business processes
From SIEM to Business processesFrom SIEM to Business processes
From SIEM to Business processes
 
Deploy RvSIEM (eng)
Deploy RvSIEM (eng)Deploy RvSIEM (eng)
Deploy RvSIEM (eng)
 

RuSIEM. Потребители. Состав продукта. Отличия. Применение.

  • 1. Олеся Шелестова CEO RuSIEM oshelestova@rusiem.com RuSIEM vs рынок Рынок. Состав продукта. Механизмы. Возможности.
  • 2. Что такое SIEM • Программный продукт, ядро. Готовый к использованию • На входе – события с ОС, сетевого оборудования, различного программного обеспечения, средств защиты, приложений • На выходе – комплексные обоснованные выводы о том что происходит: статистика, оповещения об аномалиях, сбоях, утечке данных, попытках НСД, быстро распространяющихся вирусных эпидемиях, подозрительных транзакциях и много чем еще. 3
  • 4.
  • 5. Основные игроки • IBM Qradar • HP ArcSight • LogRhythm • SolarWinds • RSA Envision • McAfee • Tenable • AlienVault OSSIM • Splunk (LM) 6
  • 6. Игроки на рынке РФ Разработчики: • RuSIEM • PT SIEM • «НПО Эшелон Комрад» (OSSIM) 7
  • 7. Игроки на рынке РФ 8 Продаются: • IBM Qradar • HP ArcSight • Splunk • RSA EnVision • OSSIM • McAfee • Tenable
  • 9. Типовой состав 10 • Агент • Коллектор (like LM) • Ядро (парсеры/корреляторы/отчеты/аналитика) • Хранилище • Консоль управления
  • 10. «Потребители» • Банки/процессинг/Финансовые организации – как минимум для PCI DSS, SOX, ISO27**, СТО БР ИББС • Коммерческие/Государственные организации/Телекомм – осознав необходимость в быстрой реакции на инциденты • Финансовые/нефте-газовые – для выявления фрода и мошеннических действий • SOC/Security monitoring • Сервис-провайдеры/MSSP 11
  • 11. «Пользователи» (преимущественно) • ИТ подразделение • ИБ подразделения • Экономическая безопасность • Физическая безопасность 12
  • 13. • Standard compliance (SOX, PCI DSS, ISO 27**, BASEL II, HIPAA, СТО БР ИББС ….) • «Быстро узнавать что происходит что то плохое». Инфраструктура, транзакции, доступ к данным, изменение конфигураций, злонамеренные действия, СКУД, видеонаблюдение, физическая безопасность и т.п. • «Мозг» для автоматического обнаружения инцидентов и сопутствующих факторов. Предупреждения о назревающем инциденте. • База и инструментарий для расследования, анализа происходящего или случившегося. • Регистрация фактов инцидентов. Фиксация решений. • «Источник состояний». К примеру – DDOS/действия пользователей/целостность приложения в сравнении с транзакциями. 14
  • 18. С одной стороны… • SIEMов много • Есть устоявшиеся игроки занявшие рынок • Пересекающийся и повторяющийся набор функциональности • Есть конструкторы из которых можно «городить» почти все что угодно • Множество провальных проектов внедрения • «Из коробки» работает плохо 19
  • 19. С Другой стороны… • «Дальше носа» никто не смотрит • Более 87% вендоров не развивают продукт заняв рыночную нишу • Конструкторы позволяют «городить» но все также из «ПВА» и веток. Вашими силами и вашим бюджетом. • Разные SIEMы как костюмы – один в рукавах узок, другой болтается • И да, «Санкции». И с ними столкнулись наши Заказчики. 20
  • 20. Мы постарались и стараемся дальше: • Взяли востребованный набор кейсов и необходимой функциональности • Принимаем фидбэк: что удобно, что нет. Прислушиваемся и упрощаем вашу работу, повышаем удобство. • Мы сделали «фундамент» продукта. Для того чтобы двигаться дальше и решать действительно полезные и интересные кейсы. • RuSIEM это не банальный siem, а следующий шаг к продвинутой аналитике, к автоматическому анализу, построению моделей, обнаружению угроз без сигнатурными методами 21
  • 21. LM: сбор и подготовка данных
  • 22. Важно понимать что RuSIEM ©: • не «интеграторская версия», а полноценный самостоятельный продукт • не open-source! Это свой код, исключая разве что БД используемые в продукте • релиз уже состоялся. Мы вышли на рынок. Пилотируемся, внедряемся и продаем решение. 23
  • 24. Предвестники инцидента • Появление события(й) по паттерну, с определенным id или классом • Последовательность событий по паттерну/категориям • Всплески/рост количества событий по сравнению с историческими (общее или определенного типа) • Объект ранее не используемый (dst.ip/url/fqdn) • Аномалия или последовательность классов аномалий (не соответствие профилю трафика, флаги, пропущенные данные, мисматчинг) • Маркированные данные или по паттерн-матчингу (фиды, useragents, версии протоколов) 25
  • 26. «Говорящие» источники • Определяются в рамках применимых векторов атак • Основные: • События аутентификации/авторизации, получения привилегий, изменения конфигураций (windows event log, syslog, AA, DB logs, etc) • Доступ к ресурсам (web servers, proxy) • Сетевые соединения (сенсор либо имеющееся) • Mail logs (transport + access + management) • Md5/sha1 file checksum (network + processes) • AV-centers • File extractors • L7 analyzers • DPI/Protocol analyzers • IDS/IPS/Fw’s • Audit VM scans • Feeds 27
  • 27. Методы обнаружения угроз 28 Up to 2min Up to 3min Correlation Rules Dashboard Active searches Feeds, Reputation lists Basic symptoms Symptoms aggregations Data Analytics (in development) time completenessofthethreatassessment Historical trends
  • 28. Инструментарий и методы обнаружения • Корреляция счетчиком (по условию события, количеству событий, последовательность событий) • «Всплески», тенденции • Историческая аналитика • Сигнатурный анализ • «Песочницы» (сравнение по хэшам, отправка подозрительных файлов и получение результатов в облаке) • Корреляция триггером (триггерное, например: 3 неуспешных попытки входа, затем успешная) • Симптоматика или критичность событий • Агрегация (суммарные веса объектов симптомов за интервалы) • Фиды (репутационные списки) • «Беглый просмотр событий» 29
  • 29. Корреляция • Предзаданные пакеты (наборы) правил • Пользовательские (адаптированные) 30
  • 30. Корреляция • Одно событие по условию как триггер • Количество событий по условию за единицу времени • Последовательная цепочка событий 31
  • 31. Корреляция • Фильтр по времени • Функции (запрос к дата-сетам, подсчеты, отправка в песочницу) • Группировка • Составное условие • Последовательное условие • Запуск скрипта с передачей параметра • Генерация инцидента • Параметры оповещения • Группы определения/симптоматика 32
  • 32. Корреляция. Жизненный цикл правила • Зависит от условия и применимости к гетерогенным продуктам • В среднем, от 3х месяцев до 5 лет • Комплексное на симптомах – 8-10 лет • Система не обновляемая и не поддерживаемая станет не_эффективной через год-полтора • В составе с аналитиком даже без обновлений вендора – «5 лет не срок». 33
  • 33. Кто делает правила корреляции • Вендор • Интеграторы • Аналитики заказчика 34
  • 34. Отладка и создание правил корреляции • Исходя из кейсов • Исходя из угроз • Обязательно тестируется на реальных данных (эмуляция) • Идеальный случай – проведение пентестов не дожидаясь реальных инцидентов и актуализация правил по результатам • Описывать «коня в вакууме» нельзя! Это будет пустая трата времени. • Эмулируется ситуация/последовательность действий Смотрятся логиОписывается правило корреляции. При недостаточности данных – думаем откуда и как их собрать. 35
  • 35. На выходе корреляции • Инцидент, назначенный на пользователя/группу во встроенном workflow или внешней системе ServiceDesk • Сгруппированный дата-сет для повторного использования в корреляции • Совсем плохо если только событие или алерт в виде события 36
  • 36. Инцидент-менеджмент • Фиксация инцидентов для руководства/аудиторов • Фиксация инцидентов для взаимодействия с другими подразделениями и сотрудниками • Группировка типовых повторяющихся инцидентов в проблему (см.ITIL) • Фиксация инцидентов для формирования базы знаний и выдаче советов в случае повторного появления инцидентов • Инциденты должны быть сгруппированы по объекту (src.ip/user.name) • Склейка инцидентов происходит по предзаданным правилам • Сроки решения инцидента должны быть выставлены и выдержаны. Уведомления о просрочке решения – руководителям. 37
  • 37. Хранение 38 • Хранить «все» ради standard compliance – не обязательно • Актуальное хранение: 7-30 дней все события, до полугода важные, до 3х лет для compliance по категориям. • Инциденты – до 3х лет.
  • 38. Интеграция с внешними системами • Входной поток событий – syslog/CEF c /n разделителями • Входной поток – коннекторы • Импорт – api/коннекторы агента • Экспорт данных – syslog/CEF/csv/api 39
  • 39. Кто пишет нормализацию? • Вендор • Интеграторы • Аналитики заказчика • «Транспорты» - фактически только вендор. • Нормализация - это просто. Достаточно «набить руку». 40
  • 40. Как собираются «состояния и события» • White box • Windows Event logs • Syslog • Snmp • Wmi • Rcommand (rexec, ssh, sql-like, php, post/get, etc) • Scan (audit mode, authorized) • … • Black box • Network traffic • Scan (remote unauthorized, pentest) • Information from its neighbors • … 41
  • 41. Пример «Black box» Задачи: - Аудит доступа к SQL-like БД - Аудит передаваемых данных Анализ: - Включение аудита грузит сильно БД и не информативно - Фронт-энд/бэк-энд/клиент не может логировать необходимые данные или нет возможности Выход: - Установка в span/tap порт и сбор необходимых данных по трафику - Разбор событий на RuSIEM 42
  • 43. Почему встречаются провальные проекты • Не выстроены процессы • Не закреплено аналитика на SIEM • Не хватает квалификации • Не событиями едиными: нужен мониторинг траффика • Источники подключаются «тыканьем пальца», а не от кейсов • Не хватает экспертной оценки для ведения процессов системы (правила корреляции, минимизация ложных срабатываний и т.д.) • Система должна работать не только через сигнатуры и глаза аналитика • Вендор должен совершенствовать систему под новые условия • Некорректный расчет ресурсов 44
  • 44. Контактная информация: Вопросы: support@rusiem.com Заказы на пилот: info@it-task.ru Олеся Шелестова oshelestova@rusiem.com (skype, mail) Официальный дистрибьютор: СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 45 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru