SlideShare a Scribd company logo

Tekninen näkökulma: Lokienhallinta vai SIEM?

Nixu Corporation
Nixu Corporation

Tekninen näkökulma: Lokienhallinta vai SIEM? Esitetty SIEM -seminaarissa 16.9.2014 (c) Nixu Oy, Pietari Sarjakivi, Jussi-Pekka Liimatainen Lue Nixun sivuilta lisää lokienhallinnasta https://www.nixu.com/fi/palvelualueet/lokienhallinta ja SIEM:stä https://www.nixu.com/fi/palvelualueet/tietoturvatiedon-ja-tapahtumien-hallinta-siem

Presentations & Public Speaking
1 of 17
Tekninen näkökulma: Lokienhallinta vai SIEM? Pietari Sarjakivi, Jussi-Pekka Liimatainen 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 1
Aiemmat esitykset tilannekuvasta  Mittaristot kyberturvan tilannejohtamiseen, Kyberturvallisuusmessut 4.9.2014  Miten tietomurron voi havaita lokeista?, Talentum Events Infosec SUMMIT 19.11.2013  SIEM-tilannekuva yritykselle: Yhden casen anatomia, ME 600min Tietoturva 16.4.2013  Mittarit tietoturvan johtamiseen - Tilannekuva hallintaan, Tietoturvatapahtuma 8.2.2012  Tietoturvan tilannekuva, Energia-alan seminaari 14.12.2011  SIEM-projekti ketterasti vaatimukset huomioiden,̈ Tietoturvatasot-seminaari 21.9.2010  Lisäksi julkaisuja Nixun verkkosivuilla ja blogissa… 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 2
16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 3 Teknologiset erot
SIEM**SIEM** 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 4 CMDB-tietoisuus •Konfiguraatiotietoisuus •Kriittisyys-luokitus •Haavoittuvuustieto Hälytykset •Korreloidut hälytykset •Threat intelligence Tilannekuva •Organisaation laajuinen mittarointi •Kaikki tapahtumatieto samassa näkymässä Näkyvyys verkkoon •Verkkotapahtumia käsitellään kuten lokeja JärjestelmälokiJärjestelmäloki KäyttöjärjestelmälokiKäyttöjärjestelmäloki TietoturvatapahtumatTietoturvatapahtumat Verkkoliikenne Konfiguraatiotieto Haavoittuvuustieto Käyttäjätieto ** Security Information & Event Management
16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 5 Toteutuksen erot
16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 6 Raportit Hälytykset Näkymät Loki Loki Loki Loki Loki 50% 10% 40% Lokienhallintaprojektin työn jakautuminen SIEM-projektin työn jakautuminen 70% 10% 20%
Mitä normalisointi tarkoittaa? 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 7 Linux OS: Aug 16 03:13:53 server1 sshd(pam_unix)[15180]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=2.1.251.17 user=root AIX OS: Jul 17 10:28:42 server2 auth|security:warn|warning adclient[4587672]: WARN <fd:24 PAMVerifyPassword > audit User ’testerman' not authenticated: bad password Microsoft SQL server: Login failed for user '%.*ls'. The login is a SQL Server login and cannot be used with Windows Authentication.%.*ls BMC BSA: [13 Dec 2012 08:13:43,649] [Authentication-Service-Thread-1] [INFO] [BLAdmin::1.2.1.73] [Appserver] user authentication failed: BLAdmin Windows: An account failed to log on. Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: S-1-0-0 Account Name: administrator Account Domain: kone1 Failure Information: Failure Reason: Unknown user name or bad password …… Sääntö lokienhallinnassa Tekstihaku= authentication failure | authenticat.*bad.password | Login failed | authentication failed | failed to log on Sääntö SIEMissä Catergory = Authentication Outcome = Failure
16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 8 Kustannuksien erot
Mistä TCO koostuu? 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 9 Järjestelmä • Lisenssi ja tuki: Datan määrä, lokilähteet, ominaisuudet • Infra: Suorituskyky (CPU, RAM), tallennustila (HD) Projekti • Integraatioiden kehittäminen lokilähdetyypeittäin • Raporttien tuottaminen • Hälytysten tuottaminen Ylläpito • Integraatioiden päivittäminen • Versiopäivitykset • Hälytysten ja raporttien kehittäminen Reagointi • Esille nousseiden ongelmien korjaus (incident response) • Havaittujen ongelmien perusteella tehdyt korjaukset
Mikä SIEMissä maksaa enemmän? 1. Ohjelmiston ominaisuudet 2. Lokilähdeintegraatiot ei tuettuihin järjestelmiin 3. Huolellisuus 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 10
16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 11 Käyttötapausten erot
Lokienhallinnan kypsyystasot © Nixu 2014 - Julkinen - SIEM-seminaari 2014 12 *Log_Event_Mgmt_WP_DrAntonChuvakin_March2010_Single_en.pdf 16.9.201416.9.2014
Pääsynhallinnan valvonta 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 13
PCI DSS vaatimustenmukaisuus 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 14
Yritysverkon valvonta 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 15
Nimipalvelun valvonta 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 16
Kiitos! Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 17

Recommended

Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja? Nixu Corporation
 
CASE: proaktiivinen ongelmien ratkaisu
CASE: proaktiivinen ongelmien ratkaisuCASE: proaktiivinen ongelmien ratkaisu
CASE: proaktiivinen ongelmien ratkaisu3 Step IT Suomi
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetNixu Corporation
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 rierjarv
 
Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_JanhunenTietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_JanhunenValtiokonttori / Statskontoret / State Treasury of Finland
 
Hyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluunHyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluun2NS
 

Recommended

Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Koko rahalla palomuureja?
Koko rahalla palomuureja? Koko rahalla palomuureja?
Koko rahalla palomuureja? Nixu Corporation
 
CASE: proaktiivinen ongelmien ratkaisu
CASE: proaktiivinen ongelmien ratkaisuCASE: proaktiivinen ongelmien ratkaisu
CASE: proaktiivinen ongelmien ratkaisu3 Step IT Suomi
 
PCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetPCI DSS 3.0 - Merkittävimmät muutokset
PCI DSS 3.0 - Merkittävimmät muutoksetNixu Corporation
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 rierjarv
 
Tietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_JanhunenTietoturvallisuuden_kevatseminaari2013_Kimmo_Janhunen
Tietoturvallisuuden_kevatseminaari2013_Kimmo_JanhunenValtiokonttori / Statskontoret / State Treasury of Finland
 
Hyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluunHyökkays haavoittuvaan verkkopalveluun
Hyökkays haavoittuvaan verkkopalveluun2NS
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010Kim Westerlund
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaNixu Corporation
 
Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019lokori
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusKim Westerlund
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriThomas Malmberg
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallintaFinceptum Oy
 
Identiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaIdentiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaFinceptum Oy
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0japijapi
 
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva HallintaanNixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva HallintaanPietari Sarjakivi
 
Windows Intune - Salcom Webinaari
Windows Intune - Salcom WebinaariWindows Intune - Salcom Webinaari
Windows Intune - Salcom WebinaariJarno Mäki
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Nixu Corporation
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenNixu Corporation
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21japijapi
 
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminenYhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminenFinceptum Oy
 
Turvallinen ja helppo pääsy
Turvallinen ja helppo pääsyTurvallinen ja helppo pääsy
Turvallinen ja helppo pääsyFinceptum Oy
 
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014Lari Hotari
 
Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Nixu Corporation
 
oAuth presentation
oAuth presentationoAuth presentation
oAuth presentationNixu Corporation
 

More Related Content

Similar to Tekninen näkökulma: Lokienhallinta vai SIEM?

Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010Kim Westerlund
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaNixu Corporation
 
Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019lokori
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusKim Westerlund
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriThomas Malmberg
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallintaFinceptum Oy
 
Identiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaIdentiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaFinceptum Oy
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0japijapi
 
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva HallintaanNixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva HallintaanPietari Sarjakivi
 
Windows Intune - Salcom Webinaari
Windows Intune - Salcom WebinaariWindows Intune - Salcom Webinaari
Windows Intune - Salcom WebinaariJarno Mäki
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Nixu Corporation
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenNixu Corporation
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21japijapi
 
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminenYhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminenFinceptum Oy
 
Turvallinen ja helppo pääsy
Turvallinen ja helppo pääsyTurvallinen ja helppo pääsy
Turvallinen ja helppo pääsyFinceptum Oy
 
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014Lari Hotari
 

Similar to Tekninen näkökulma: Lokienhallinta vai SIEM? (20)

Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19
 
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
SAML SP - vaikeat käyttotapaukset, HAKA - Virtu päivä 3.2.2010
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
 
Tietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajanaTietoturva teollisen internetin vauhdittajana
Tietoturva teollisen internetin vauhdittajana
 
Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuri
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallinta
 
Identiteettitietoinen tietoturva
Identiteettitietoinen tietoturvaIdentiteettitietoinen tietoturva
Identiteettitietoinen tietoturva
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0
 
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva HallintaanNixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
Nixu 2012 Mittarit Tietoturvan Johtamiseen - Tilannekuva Hallintaan
 
Windows Intune - Salcom Webinaari
Windows Intune - Salcom WebinaariWindows Intune - Salcom Webinaari
Windows Intune - Salcom Webinaari
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
 
Mittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseenMittaristot kyberturvan tilannejohtamiseen
Mittaristot kyberturvan tilannejohtamiseen
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21
 
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminenYhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
Yhä lisääntyvän tietoturvainformaation tehokas hallinta ja hyödyntäminen
 
Turvallinen ja helppo pääsy
Turvallinen ja helppo pääsyTurvallinen ja helppo pääsy
Turvallinen ja helppo pääsy
 
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
 

More from Nixu Corporation

Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Nixu Corporation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuNixu Corporation
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationNixu Corporation
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Corporation
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaNixu Corporation
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identitiesNixu Corporation
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?Nixu Corporation
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014Nixu Corporation
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”Nixu Corporation
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”Nixu Corporation
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Nixu Corporation
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleNixu Corporation
 

More from Nixu Corporation (14)

Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...Cyber warfare in the context of major military innovations by mattias almeflo...
Cyber warfare in the context of major military innovations by mattias almeflo...
 
oAuth presentation
oAuth presentationoAuth presentation
oAuth presentation
 
Mitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo NixuMitre ATT&CK by Mattias Almeflo Nixu
Mitre ATT&CK by Mattias Almeflo Nixu
 
Infosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology PresentationInfosec2018 NL IAM archeaology Presentation
Infosec2018 NL IAM archeaology Presentation
 
Cyber Defense in 2016
Cyber Defense in 2016Cyber Defense in 2016
Cyber Defense in 2016
 
Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.Nixu Cyber Defense Center - You have one fear less.
Nixu Cyber Defense Center - You have one fear less.
 
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajanaDigitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
Digitaalinen identiteetti turvallisen verkkoliiketoiminnan mahdollistajana
 
Office 365 integration using organizational identities
Office 365 integration using organizational identitiesOffice 365 integration using organizational identities
Office 365 integration using organizational identities
 
What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?What has changed in Corporate Cybersecurity?
What has changed in Corporate Cybersecurity?
 
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
TIEKE IoT Business-treffit: Virusten Internet, Kairinen, Nixu 2014
 
PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”PCI DSS 3.0 muutokset – “editor’s pick”
PCI DSS 3.0 muutokset – “editor’s pick”
 
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
"Hakkerihyökkäys terveydenhoitoalan organisaatioon – näin se tapahtuisi”
 
Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?Miten tietomurron voi havaita lokeista?
Miten tietomurron voi havaita lokeista?
 
Kysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjilleKysely NSA-vakoilusta yrityspäättäjille
Kysely NSA-vakoilusta yrityspäättäjille
 

Tekninen näkökulma: Lokienhallinta vai SIEM?

  • 1. Tekninen näkökulma: Lokienhallinta vai SIEM? Pietari Sarjakivi, Jussi-Pekka Liimatainen 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 1
  • 2. Aiemmat esitykset tilannekuvasta  Mittaristot kyberturvan tilannejohtamiseen, Kyberturvallisuusmessut 4.9.2014  Miten tietomurron voi havaita lokeista?, Talentum Events Infosec SUMMIT 19.11.2013  SIEM-tilannekuva yritykselle: Yhden casen anatomia, ME 600min Tietoturva 16.4.2013  Mittarit tietoturvan johtamiseen - Tilannekuva hallintaan, Tietoturvatapahtuma 8.2.2012  Tietoturvan tilannekuva, Energia-alan seminaari 14.12.2011  SIEM-projekti ketterasti vaatimukset huomioiden,̈ Tietoturvatasot-seminaari 21.9.2010  Lisäksi julkaisuja Nixun verkkosivuilla ja blogissa… 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 2
  • 3. 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 3 Teknologiset erot
  • 4. SIEM**SIEM** 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 4 CMDB-tietoisuus •Konfiguraatiotietoisuus •Kriittisyys-luokitus •Haavoittuvuustieto Hälytykset •Korreloidut hälytykset •Threat intelligence Tilannekuva •Organisaation laajuinen mittarointi •Kaikki tapahtumatieto samassa näkymässä Näkyvyys verkkoon •Verkkotapahtumia käsitellään kuten lokeja JärjestelmälokiJärjestelmäloki KäyttöjärjestelmälokiKäyttöjärjestelmäloki TietoturvatapahtumatTietoturvatapahtumat Verkkoliikenne Konfiguraatiotieto Haavoittuvuustieto Käyttäjätieto ** Security Information & Event Management
  • 5. 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 5 Toteutuksen erot
  • 6. 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 6 Raportit Hälytykset Näkymät Loki Loki Loki Loki Loki 50% 10% 40% Lokienhallintaprojektin työn jakautuminen SIEM-projektin työn jakautuminen 70% 10% 20%
  • 7. Mitä normalisointi tarkoittaa? 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 7 Linux OS: Aug 16 03:13:53 server1 sshd(pam_unix)[15180]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=2.1.251.17 user=root AIX OS: Jul 17 10:28:42 server2 auth|security:warn|warning adclient[4587672]: WARN <fd:24 PAMVerifyPassword > audit User ’testerman' not authenticated: bad password Microsoft SQL server: Login failed for user '%.*ls'. The login is a SQL Server login and cannot be used with Windows Authentication.%.*ls BMC BSA: [13 Dec 2012 08:13:43,649] [Authentication-Service-Thread-1] [INFO] [BLAdmin::1.2.1.73] [Appserver] user authentication failed: BLAdmin Windows: An account failed to log on. Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: S-1-0-0 Account Name: administrator Account Domain: kone1 Failure Information: Failure Reason: Unknown user name or bad password …… Sääntö lokienhallinnassa Tekstihaku= authentication failure | authenticat.*bad.password | Login failed | authentication failed | failed to log on Sääntö SIEMissä Catergory = Authentication Outcome = Failure
  • 8. 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 8 Kustannuksien erot
  • 9. Mistä TCO koostuu? 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 9 Järjestelmä • Lisenssi ja tuki: Datan määrä, lokilähteet, ominaisuudet • Infra: Suorituskyky (CPU, RAM), tallennustila (HD) Projekti • Integraatioiden kehittäminen lokilähdetyypeittäin • Raporttien tuottaminen • Hälytysten tuottaminen Ylläpito • Integraatioiden päivittäminen • Versiopäivitykset • Hälytysten ja raporttien kehittäminen Reagointi • Esille nousseiden ongelmien korjaus (incident response) • Havaittujen ongelmien perusteella tehdyt korjaukset
  • 10. Mikä SIEMissä maksaa enemmän? 1. Ohjelmiston ominaisuudet 2. Lokilähdeintegraatiot ei tuettuihin järjestelmiin 3. Huolellisuus 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 10
  • 11. 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 11 Käyttötapausten erot
  • 12. Lokienhallinnan kypsyystasot © Nixu 2014 - Julkinen - SIEM-seminaari 2014 12 *Log_Event_Mgmt_WP_DrAntonChuvakin_March2010_Single_en.pdf 16.9.201416.9.2014
  • 13. Pääsynhallinnan valvonta 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 13
  • 14. PCI DSS vaatimustenmukaisuus 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 14
  • 15. Yritysverkon valvonta 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 15
  • 16. Nimipalvelun valvonta 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 16
  • 17. Kiitos! Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 16.9.2014 © Nixu 2014 - Julkinen - SIEM-seminaari 2014 17