SlideShare uma empresa Scribd logo

RuSIEM vs SOC (Rus)

Transferir como PPTX, PDF
Olesya Shelestova
Olesya Shelestova

Способы взаимодействия RuSIEM с SOC.

Software
1 de 12
support@rusiem.com https://rusiem.com RuSIEM vs SOC (Security Operation Center) 2018
Существующие способы на данный момент • Пересылка событий по Syslog (TLS) всех, по фильтру или критичности • Уведомление по электронной почте по правилу корреляции • Формирование и отправка событий при срабатывании правил корреляции • Запуск скрипта и сценария в корреляции • Иерархическая структура RuSIEM • Вариант «только SOC» с установкой коллекторов или нод хранения на стороне Заказчика с управлением операторами SOC • Доступ к инцидентам, событиям через API 3
Пересылка событий по Syslog • Plain text или TLS Syslog • Все или по фильтру (поле, хост, источник, критичность и прочее) • С учетом RuSIEM симптоматики ® • В формате: RAW, нормализованные, CEF 4
Уведомление по электронной почте • Пользователям, группам и любым внешним адресам электронной почты • Указывается индивидуально в каждом правиле корреляции 5
Формирование и отправка событий при срабатывании правил корреляции • Текст события указывается индивидуально в каждом правиле корреляции • По умолчанию, используются уведомления для пользователей системы (по группам/пользователям/ролям) 6
Запуск скрипта/сценария в корреляции • Локальный запуск скрипта/команды индивидуально указываемого для правила • Содержимое скрипта – любой ваш контент • Запускается при срабатывании правила корреляции • Поддерживаются передача переменных с корреляции (например $host, $src.ip, $user.name) 7
Иерархическая структура RuSIEM • Распределенный поиск по событиям без консолидации событий в единое хранилище • Распределенная корреляция без консолидации событий • Использование многоуровневой модели с разными периодами хранения, своими правилами корреляции • Связанные и не связанные уровни модели • Удаленное управления нодами из единой консоли 8
SOC Заказчики
Вариант «только SOC» • У Заказчика устанавливаются только ноды для сбора и(или) хранения событий • Управление осуществляется только с SOC • Доступ к управлению нодами Заказчика может быть ограничен для персонала SOC и предоставляется только доступ к событиям 10
SOC Заказчики Региональные объекты
Доступ к инцидентам, событиям через API • Управление настройками нод удаленно из единой консоли • Управление любыми разделами удаленно • Полное управление инцидентами, симптоматикой, правилами корреляции удаленно • Аутентификация и авторизация через токены и ролевую модель 12
Контактная информация: Сайт : https://www.rusiem.com Новости в телеграм: https://t.me/rusiem Фейсбук: https://www.facebook.com/rvsiem Инфо: support@rusiem.com СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 13

Recomendados

Руководство по формату событий для разработчиков
Руководство по формату событий для разработчиковРуководство по формату событий для разработчиков
Руководство по формату событий для разработчиковOlesya Shelestova
 
Rusiem 2017_обзор
Rusiem 2017_обзорRusiem 2017_обзор
Rusiem 2017_обзорOlesya Shelestova
 
RuSIEM 2016
RuSIEM 2016RuSIEM 2016
RuSIEM 2016Olesya Shelestova
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Positive Hack Days
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Denis Kolegov
 
SIEM для ИТ
SIEM для ИТSIEM для ИТ
SIEM для ИТOlesya Shelestova
 
Платформа для автоматического тестирования Erlang проектов на примере UserGat...
Платформа для автоматического тестирования Erlang проектов на примере UserGat...Платформа для автоматического тестирования Erlang проектов на примере UserGat...
Платформа для автоматического тестирования Erlang проектов на примере UserGat...DevDay
 
C# Web. Занятие 01.
C# Web. Занятие 01.C# Web. Занятие 01.
C# Web. Занятие 01.Igor Shkulipa
 

Recomendados

Руководство по формату событий для разработчиков
Руководство по формату событий для разработчиковРуководство по формату событий для разработчиков
Руководство по формату событий для разработчиковOlesya Shelestova
 
Rusiem 2017_обзор
Rusiem 2017_обзорRusiem 2017_обзор
Rusiem 2017_обзорOlesya Shelestova
 
RuSIEM 2016
RuSIEM 2016RuSIEM 2016
RuSIEM 2016Olesya Shelestova
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Positive Hack Days
 
Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Моделирование безопасности управления доступом и информационными потоками на ...
Моделирование безопасности управления доступом и информационными потоками на ...Denis Kolegov
 
SIEM для ИТ
SIEM для ИТSIEM для ИТ
SIEM для ИТOlesya Shelestova
 
Платформа для автоматического тестирования Erlang проектов на примере UserGat...
Платформа для автоматического тестирования Erlang проектов на примере UserGat...Платформа для автоматического тестирования Erlang проектов на примере UserGat...
Платформа для автоматического тестирования Erlang проектов на примере UserGat...DevDay
 
C# Web. Занятие 01.
C# Web. Занятие 01.C# Web. Занятие 01.
C# Web. Занятие 01.Igor Shkulipa
 
МАИ, Сети ЭВМ, Лекция №4
МАИ, Сети ЭВМ, Лекция №4МАИ, Сети ЭВМ, Лекция №4
МАИ, Сети ЭВМ, Лекция №4Dima Dzuba
 
Владимир Кочетков "OWASP TOP 10 для.NET"
Владимир Кочетков "OWASP TOP 10 для.NET"Владимир Кочетков "OWASP TOP 10 для.NET"
Владимир Кочетков "OWASP TOP 10 для.NET"MskDotNet Community
 
45695
4569545695
4569589511602288Q
 
Алексей Кабанов, Автоматизируем Rich Internet Applications с нуля на примере ...
Алексей Кабанов, Автоматизируем Rich Internet Applications с нуля на примере ...Алексей Кабанов, Автоматизируем Rich Internet Applications с нуля на примере ...
Алексей Кабанов, Автоматизируем Rich Internet Applications с нуля на примере ...SQADays_2009_Piter
 
SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написатьOlesya Shelestova
 
Aum Cluster
Aum Cluster Aum Cluster
Aum Cluster Mik Hail
 
ASP.NET, MVC, ASP.NET MVC
ASP.NET, MVC, ASP.NET MVCASP.NET, MVC, ASP.NET MVC
ASP.NET, MVC, ASP.NET MVCGetDev.NET
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
 
Cassandra db
Cassandra dbCassandra db
Cassandra dbAndrei Poliakov
 
Клиент-серверные приложения на iPhone
Клиент-серверные приложения на iPhoneКлиент-серверные приложения на iPhone
Клиент-серверные приложения на iPhonePavel Bashmakov
 
Cocoa Networking
Cocoa NetworkingCocoa Networking
Cocoa Networkingguest57eb8a
 
Data Destribution service OMG standart
Data Destribution service OMG standart Data Destribution service OMG standart
Data Destribution service OMG standart Sergei Seleznev
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиCisco Russia
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI Cisco Russia
 
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...Tanya Denisyuk
 
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days
 
Impress Application Server for node.js (ru)
Impress Application Server for node.js (ru)Impress Application Server for node.js (ru)
Impress Application Server for node.js (ru)Timur Shemsedinov
 
Балансировка нагрузки веб-серверов
Балансировка нагрузки веб-серверовБалансировка нагрузки веб-серверов
Балансировка нагрузки веб-серверовEkaterina Giganova
 
XForms новое поколение веб-форм
XForms новое поколение веб-формXForms новое поколение веб-форм
XForms новое поколение веб-формAlexander Anokhin
 
Dotnet
DotnetDotnet
DotnetMonsterXX
 
RuSIEM vs SOC (En)
RuSIEM vs SOC (En)RuSIEM vs SOC (En)
RuSIEM vs SOC (En)Olesya Shelestova
 
RuSiem events collection and forwarding
RuSiem events collection and forwardingRuSiem events collection and forwarding
RuSiem events collection and forwardingOlesya Shelestova
 

Mais conteúdo relacionado

Semelhante a RuSIEM vs SOC (Rus)

МАИ, Сети ЭВМ, Лекция №4
МАИ, Сети ЭВМ, Лекция №4МАИ, Сети ЭВМ, Лекция №4
МАИ, Сети ЭВМ, Лекция №4Dima Dzuba
 
Владимир Кочетков "OWASP TOP 10 для.NET"
Владимир Кочетков "OWASP TOP 10 для.NET"Владимир Кочетков "OWASP TOP 10 для.NET"
Владимир Кочетков "OWASP TOP 10 для.NET"MskDotNet Community
 
Алексей Кабанов, Автоматизируем Rich Internet Applications с нуля на примере ...
Алексей Кабанов, Автоматизируем Rich Internet Applications с нуля на примере ...Алексей Кабанов, Автоматизируем Rich Internet Applications с нуля на примере ...
Алексей Кабанов, Автоматизируем Rich Internet Applications с нуля на примере ...SQADays_2009_Piter
 
SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написатьOlesya Shelestova
 
Aum Cluster
Aum Cluster Aum Cluster
Aum Cluster Mik Hail
 
ASP.NET, MVC, ASP.NET MVC
ASP.NET, MVC, ASP.NET MVCASP.NET, MVC, ASP.NET MVC
ASP.NET, MVC, ASP.NET MVCGetDev.NET
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
 
Клиент-серверные приложения на iPhone
Клиент-серверные приложения на iPhoneКлиент-серверные приложения на iPhone
Клиент-серверные приложения на iPhonePavel Bashmakov
 
Cocoa Networking
Cocoa NetworkingCocoa Networking
Cocoa Networkingguest57eb8a
 
Data Destribution service OMG standart
Data Destribution service OMG standart Data Destribution service OMG standart
Data Destribution service OMG standart Sergei Seleznev
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиCisco Russia
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI Cisco Russia
 
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...Tanya Denisyuk
 
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days
 
Impress Application Server for node.js (ru)
Impress Application Server for node.js (ru)Impress Application Server for node.js (ru)
Impress Application Server for node.js (ru)Timur Shemsedinov
 
Балансировка нагрузки веб-серверов
Балансировка нагрузки веб-серверовБалансировка нагрузки веб-серверов
Балансировка нагрузки веб-серверовEkaterina Giganova
 
XForms новое поколение веб-форм
XForms новое поколение веб-формXForms новое поколение веб-форм
XForms новое поколение веб-формAlexander Anokhin
 

Semelhante a RuSIEM vs SOC (Rus) (20)

МАИ, Сети ЭВМ, Лекция №4
МАИ, Сети ЭВМ, Лекция №4МАИ, Сети ЭВМ, Лекция №4
МАИ, Сети ЭВМ, Лекция №4
 
Владимир Кочетков "OWASP TOP 10 для.NET"
Владимир Кочетков "OWASP TOP 10 для.NET"Владимир Кочетков "OWASP TOP 10 для.NET"
Владимир Кочетков "OWASP TOP 10 для.NET"
 
45695
4569545695
45695
 
Алексей Кабанов, Автоматизируем Rich Internet Applications с нуля на примере ...
Алексей Кабанов, Автоматизируем Rich Internet Applications с нуля на примере ...Алексей Кабанов, Автоматизируем Rich Internet Applications с нуля на примере ...
Алексей Кабанов, Автоматизируем Rich Internet Applications с нуля на примере ...
 
SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написать
 
Aum Cluster
Aum Cluster Aum Cluster
Aum Cluster
 
ASP.NET, MVC, ASP.NET MVC
ASP.NET, MVC, ASP.NET MVCASP.NET, MVC, ASP.NET MVC
ASP.NET, MVC, ASP.NET MVC
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
 
Cassandra db
Cassandra dbCassandra db
Cassandra db
 
Клиент-серверные приложения на iPhone
Клиент-серверные приложения на iPhoneКлиент-серверные приложения на iPhone
Клиент-серверные приложения на iPhone
 
Cocoa Networking
Cocoa NetworkingCocoa Networking
Cocoa Networking
 
Data Destribution service OMG standart
Data Destribution service OMG standart Data Destribution service OMG standart
Data Destribution service OMG standart
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
 
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
 
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
 
Impress Application Server for node.js (ru)
Impress Application Server for node.js (ru)Impress Application Server for node.js (ru)
Impress Application Server for node.js (ru)
 
Балансировка нагрузки веб-серверов
Балансировка нагрузки веб-серверовБалансировка нагрузки веб-серверов
Балансировка нагрузки веб-серверов
 
XForms новое поколение веб-форм
XForms новое поколение веб-формXForms новое поколение веб-форм
XForms новое поколение веб-форм
 
Dotnet
DotnetDotnet
Dotnet
 

Mais de Olesya Shelestova

RuSiem events collection and forwarding
RuSiem events collection and forwardingRuSiem events collection and forwarding
RuSiem events collection and forwardingOlesya Shelestova
 
How to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMHow to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMOlesya Shelestova
 
From SIEM to Business processes
From SIEM to Business processesFrom SIEM to Business processes
From SIEM to Business processesOlesya Shelestova
 
RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)Olesya Shelestova
 
Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системахOlesya Shelestova
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.Olesya Shelestova
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 

Mais de Olesya Shelestova (13)

RuSIEM vs SOC (En)
RuSIEM vs SOC (En)RuSIEM vs SOC (En)
RuSIEM vs SOC (En)
 
RuSiem events collection and forwarding
RuSiem events collection and forwardingRuSiem events collection and forwarding
RuSiem events collection and forwarding
 
RuSIEM IT assets
RuSIEM IT assetsRuSIEM IT assets
RuSIEM IT assets
 
How to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMHow to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEM
 
From SIEM to Business processes
From SIEM to Business processesFrom SIEM to Business processes
From SIEM to Business processes
 
Deploy RvSIEM (eng)
Deploy RvSIEM (eng)Deploy RvSIEM (eng)
Deploy RvSIEM (eng)
 
Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)
 
RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)
 
Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системах
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
 
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)RuSIEM (15.11.2015)
RuSIEM (15.11.2015)
 
RuSIEM
RuSIEMRuSIEM
RuSIEM
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сети
 

RuSIEM vs SOC (Rus)

  • 2. Существующие способы на данный момент • Пересылка событий по Syslog (TLS) всех, по фильтру или критичности • Уведомление по электронной почте по правилу корреляции • Формирование и отправка событий при срабатывании правил корреляции • Запуск скрипта и сценария в корреляции • Иерархическая структура RuSIEM • Вариант «только SOC» с установкой коллекторов или нод хранения на стороне Заказчика с управлением операторами SOC • Доступ к инцидентам, событиям через API 3
  • 3. Пересылка событий по Syslog • Plain text или TLS Syslog • Все или по фильтру (поле, хост, источник, критичность и прочее) • С учетом RuSIEM симптоматики ® • В формате: RAW, нормализованные, CEF 4
  • 4. Уведомление по электронной почте • Пользователям, группам и любым внешним адресам электронной почты • Указывается индивидуально в каждом правиле корреляции 5
  • 5. Формирование и отправка событий при срабатывании правил корреляции • Текст события указывается индивидуально в каждом правиле корреляции • По умолчанию, используются уведомления для пользователей системы (по группам/пользователям/ролям) 6
  • 6. Запуск скрипта/сценария в корреляции • Локальный запуск скрипта/команды индивидуально указываемого для правила • Содержимое скрипта – любой ваш контент • Запускается при срабатывании правила корреляции • Поддерживаются передача переменных с корреляции (например $host, $src.ip, $user.name) 7
  • 7. Иерархическая структура RuSIEM • Распределенный поиск по событиям без консолидации событий в единое хранилище • Распределенная корреляция без консолидации событий • Использование многоуровневой модели с разными периодами хранения, своими правилами корреляции • Связанные и не связанные уровни модели • Удаленное управления нодами из единой консоли 8
  • 9. Вариант «только SOC» • У Заказчика устанавливаются только ноды для сбора и(или) хранения событий • Управление осуществляется только с SOC • Доступ к управлению нодами Заказчика может быть ограничен для персонала SOC и предоставляется только доступ к событиям 10
  • 11. Доступ к инцидентам, событиям через API • Управление настройками нод удаленно из единой консоли • Управление любыми разделами удаленно • Полное управление инцидентами, симптоматикой, правилами корреляции удаленно • Аутентификация и авторизация через токены и ролевую модель 12
  • 12. Контактная информация: Сайт : https://www.rusiem.com Новости в телеграм: https://t.me/rusiem Фейсбук: https://www.facebook.com/rvsiem Инфо: support@rusiem.com СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 13