Sistema de Monitorização de Eventos de
Segurança de Informação
Dez-2014
O Sistema SIEM
• Os sistemas de Monitorização e Gestão de Eventos de Segurança de
Informação, designados “Security informa...
Porquê um SIEM?
Porque fornece Inteligência de Segurança
• Consciência Situacional: Monitora-Detecta-Isola
• Descarta fals...
Solução de SIEM > OSSIM
Ferramentas Integradas do OSSIM
Avaliação de Vulnerabilidades
• OSVDB
• OPENVAS
Deteção de Ameaças
• OSSEC
• SNORT
• SURIC...
Mais de 200 Colectores de eventos
7
Arquitectura do OSSiM
Configuração & Gestão
Eventos Normalizados
Exemplo de Deteção de Ataque
10
Attack
Attacker
X.X.X.X
Accepted HTTP packet
from X.X.X.X to Y.Y.Y.Y
Attack: WEB-IIS multi...
Deteção & Avaliação de Risco
• OTX
• Snort NIDS
• Correlação Lógica
• Avaliação de Vulnerabilidades
• Descoberta de Activo...
Quandrante Mágico da Gartner Magic - SIEM
OSSIM Ciclo de Vida
OSSIM INOK > Dashboards
OSSIM INOK > ALARMES
OSSIM INOK > Deteção de Vulnerabilidades
OSSIM INOK > Histórico de Eventos de
Segurança
Inok Consulting
Alameda dos Oceanos Lote 1.02.1.1 – T31
Parque das Nações
1990-207 Lisboa , Portugal
T. (+351) 217 998 060...
Próximos SlideShares
Carregando em…5
×

Apresentação SIEM Inok

372 visualizações

Publicada em

Security Information Event Manager
Plataforma para criação de SOCs - Security Operating Centers.

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
372
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Apresentação SIEM Inok

  1. 1. Sistema de Monitorização de Eventos de Segurança de Informação Dez-2014
  2. 2. O Sistema SIEM • Os sistemas de Monitorização e Gestão de Eventos de Segurança de Informação, designados “Security information and event management (SIEM)”, são tecnologias que permitem detectar ameaças e responder a incidentes de segurança de informação, através da recolha em tempo-real de alertas e análise do histórico de eventos. • Os SIEM capturam eventos com origem numa gama ampla de fontes de informação, como equipamentos de rede e segurança, sensores de análise de tráfego, servidores, aplicações e fontes externas de identificação de ameaças. • Estes sistemas também geram relatórios de conformidade e apoiam investigação de incidentes através da análise de dados históricos destas fontes. • As capacidades centrais dos SIEM são a captura e registo de eventos, e a capacidade de correlacionar e analisar eventos de fontes distintas, detectando evidências de ameaças de segurança.
  3. 3. Porquê um SIEM? Porque fornece Inteligência de Segurança • Consciência Situacional: Monitora-Detecta-Isola • Descarta falsos positivos • Avalia o impacto de um ataque • Aprende colaborativamente sobre APTs (Advanced Persistent Threat ) Porque Unifica a gestão de segurança  Centraliza informações  Integra ferramentas de detecção de ameaças  Mitigação e Remediação de Intrusões  Relatórios de Conformidade
  4. 4. Solução de SIEM > OSSIM
  5. 5. Ferramentas Integradas do OSSIM Avaliação de Vulnerabilidades • OSVDB • OPENVAS Deteção de Ameaças • OSSEC • SNORT • SURICATA 5 Activos • NMAP • PRADS Monitorização de comportamentos • FPROBE • NAGIOS • NTOP • TCPDUMP
  6. 6. Mais de 200 Colectores de eventos 7
  7. 7. Arquitectura do OSSiM Configuração & Gestão Eventos Normalizados
  8. 8. Exemplo de Deteção de Ataque 10 Attack Attacker X.X.X.X Accepted HTTP packet from X.X.X.X to Y.Y.Y.Y Attack: WEB-IIS multiple decode attempt Vulnerability: IIS Remote Command Execution Alert: Low reputation IPOTX Alert: IIS attack detected Target Y.Y.Y.Y
  9. 9. Deteção & Avaliação de Risco • OTX • Snort NIDS • Correlação Lógica • Avaliação de Vulnerabilidades • Descoberta de Activos Correlação de logs de Firewalls: • Plugin para Cisco ASA • Network Scan detection Correlação de Eventos Windows: • Integração com o OSSEC • Deteção de ataques de Força Bruta (Brute force attacks) 11 Casos de Utilização (Use Cases) do OSSIM
  10. 10. Quandrante Mágico da Gartner Magic - SIEM
  11. 11. OSSIM Ciclo de Vida
  12. 12. OSSIM INOK > Dashboards
  13. 13. OSSIM INOK > ALARMES
  14. 14. OSSIM INOK > Deteção de Vulnerabilidades
  15. 15. OSSIM INOK > Histórico de Eventos de Segurança
  16. 16. Inok Consulting Alameda dos Oceanos Lote 1.02.1.1 – T31 Parque das Nações 1990-207 Lisboa , Portugal T. (+351) 217 998 060 Rua Ferraz Bomboco, Número 50-52 Bairro Alvalade Município da Maianga Luanda – Angola www.inokconsulting.com www.inokconsulting.com

×