O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

RuSIEM vs SOC (Rus)

125 visualizações

Publicada em

Способы взаимодействия RuSIEM с SOC.

Publicada em: Software
  • Seja o primeiro a comentar

RuSIEM vs SOC (Rus)

  1. 1. support@rusiem.com https://rusiem.com RuSIEM vs SOC (Security Operation Center) 2018
  2. 2. Существующие способы на данный момент • Пересылка событий по Syslog (TLS) всех, по фильтру или критичности • Уведомление по электронной почте по правилу корреляции • Формирование и отправка событий при срабатывании правил корреляции • Запуск скрипта и сценария в корреляции • Иерархическая структура RuSIEM • Вариант «только SOC» с установкой коллекторов или нод хранения на стороне Заказчика с управлением операторами SOC • Доступ к инцидентам, событиям через API 3
  3. 3. Пересылка событий по Syslog • Plain text или TLS Syslog • Все или по фильтру (поле, хост, источник, критичность и прочее) • С учетом RuSIEM симптоматики ® • В формате: RAW, нормализованные, CEF 4
  4. 4. Уведомление по электронной почте • Пользователям, группам и любым внешним адресам электронной почты • Указывается индивидуально в каждом правиле корреляции 5
  5. 5. Формирование и отправка событий при срабатывании правил корреляции • Текст события указывается индивидуально в каждом правиле корреляции • По умолчанию, используются уведомления для пользователей системы (по группам/пользователям/ролям) 6
  6. 6. Запуск скрипта/сценария в корреляции • Локальный запуск скрипта/команды индивидуально указываемого для правила • Содержимое скрипта – любой ваш контент • Запускается при срабатывании правила корреляции • Поддерживаются передача переменных с корреляции (например $host, $src.ip, $user.name) 7
  7. 7. Иерархическая структура RuSIEM • Распределенный поиск по событиям без консолидации событий в единое хранилище • Распределенная корреляция без консолидации событий • Использование многоуровневой модели с разными периодами хранения, своими правилами корреляции • Связанные и не связанные уровни модели • Удаленное управления нодами из единой консоли 8
  8. 8. SOC Заказчики
  9. 9. Вариант «только SOC» • У Заказчика устанавливаются только ноды для сбора и(или) хранения событий • Управление осуществляется только с SOC • Доступ к управлению нодами Заказчика может быть ограничен для персонала SOC и предоставляется только доступ к событиям 10
  10. 10. SOC Заказчики Региональные объекты
  11. 11. Доступ к инцидентам, событиям через API • Управление настройками нод удаленно из единой консоли • Управление любыми разделами удаленно • Полное управление инцидентами, симптоматикой, правилами корреляции удаленно • Аутентификация и авторизация через токены и ролевую модель 12
  12. 12. Контактная информация: Сайт : https://www.rusiem.com Новости в телеграм: https://t.me/rusiem Фейсбук: https://www.facebook.com/rvsiem Инфо: support@rusiem.com СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 13

×