Siem

2,146 views
1,974 views

Published on

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,146
On SlideShare
0
From Embeds
0
Number of Embeds
858
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Siem

  1. 1. SIEM: время пришло? Фадин Андрей, CISSPНПО «Эшелон» Департамент программных разработок ЗАО «НПО «Эшелон» 2012
  2. 2. Управление событиями безопасности без SIEM Сетевые устройства Операционные системы и приложенияСредства защиты информации FW AV IDS/IPS IAM DLP ...
  3. 3. Управление событиями безопасности с SIEM Сетевые устройства Операционные системы и приложенияСредства защиты информации FW AV IDS/IPS Security Information Event Management (SIEM) • Централизованное хранение IAM логов • Объединение данных • Корреляция событий DLP • Оповещение об инцидентах • Оценка соответствия
  4. 4. Компоненты SIEM 4
  5. 5. Технологии: SIM + SEM = SIEMSIM («управление информациейбезопасности») сбор, хранение и анализ данных (взятых из журналов) подготовка отчетов по соответствию нормативным требованиям;SEM («управление событиямибезопасности») в реальном времени мониторинг событий безопасности выявление и реагирование на инциденты безопасности. 5
  6. 6. SANS Practical Application of SIM/SEM/SIEM Automating Threat Identification1. Log Consolidation – centralized logging to a server2. Threat Correlation –sort through multiple logs and logentries to identify attackers3. Incident Management – workflow – What happens once athreat is identified?• Notification – email, pagers, informs to enterprise managers (MOM, HP Openview…)• Trouble Ticket Creation - Automated responses execution of scripts• Response and Remediation logging4. Reporting 6
  7. 7. Определение класса продуктов SIEM по Gartner (май 2012)Обнаружение внешних и внутренних угроз • (Discover external and internal threats)Мониторинг действий привилегированных пользователей • (Monitor the activities of privileged users)Мониторинг доступа к серверам и БД Управление database resource access) management) • (Monitor server and журналами (LogМониторинг и анализ действий польз. в среде различных систем и приложений • (Monitor and analyze user activity across multiple systems and applicationsОтчетность о соответствии требованиям нормативных документов • (Provide compliance reporting)Аналитика и технологический процесс для обеспечения реакции на инциденты • (Provide analytics and workflow to support incident response) 7
  8. 8. Требования к системам SIEM (SIEM Implementation: David Miller, Shon Harris, Allen Harper)Управление журналами (Log management)Соответствие требованиям нормативных документов IT(IT regulatory compliance)Корреляция событий (Event correlation)Активный ответ (Active response)Контроль безопасности на уровне конечныхкомпонентов (Endpoint security) 8
  9. 9. Эволюция SIEM Подозрительные события Подозрительные события 9
  10. 10. Развертывание SIEM Scheme of work systems with SIEM Internet Initiator connection Network scanner API interface Initiator of the connection from SIEM system to Connector servers Monitoring (External) IP Internal LAN IP CISCO Firewall SysLog (Virtual - Etrust) SIEM Connector (Virtual – Etrust) AD DHCP Server Monitoring (Internal) IP CISCO Router MSSQL SCOM IDS Internet monitoring SIEM Connector (Virtual) SysLog (Virtual)SIEM Connector (Virtual) Branch servers Special segment SIEM segment DHCP Server SIEM Consol SIEM ESM SIEM Terminal server SIEM Logger 10
  11. 11. Фазы атаки в системах с SIEM и без него Фаза выполнения Компрометация Фаза целевого действия системыисследования с обходом IDS (нарушение CIA)Повышение Повышение Повышение уровня уровня уровня угрозы до угрозы до угрозы до «низкий» «средний» «высокий» 11
  12. 12. ОПЕРАЦИИФУНКЦИОНИРОВАНИЯ SIEM 12
  13. 13. Управление активами 13
  14. 14. Управление событиями безопасности 14
  15. 15. Методы сбора событийSyslog and Syslog-ngSNMPv2 and SNMPv3OpsecHTTPSQL, ODBCWMIFTP, SFTPSocket UnixPlain logSSHRsyncSambaNFSSDEE, RDEPOPSEC, CPMI 15
  16. 16. Нормализация событий (пример – Sasser Worm)Производитель IDS Идентификатор ОписаниеCisco Systems 3030/0 IDS Signature TCP SYN Host SweepCisco Systems 3338/0 IDS Signature Windows LSASS RPC OverflowCisco Systems 3142/0SNORT 2507SNORT 2508SNORT 2509SNORT 2510SNORT 2511SNORT 2512SNORT 2513SNORT 2514SNORT 2524SNORT 2525SNORT 2526ISS Real Secure 15699 16
  17. 17. Построение отчетов с выборочной детализацией (Drill-Down) Events, Alarms • Incidents and related tickets • Knowledge based information • Vulnerabilities • Asset information such as: ‣ Inventory ‣ Network ‣ Profile information ‣ Availability ‣ Resource utilization 17
  18. 18. Анализ рисков 18
  19. 19. Поисковые возможности 19
  20. 20. Автоматический анализ 20
  21. 21. Создание тикетов 21
  22. 22. Мониторинг доступности активов и наличия ресурсов 22
  23. 23. Оперативный контроль 23
  24. 24. Критерии выбора. Ведущие игроки. Оценки потенциала.СОВРЕМЕННОЕ СОСТОЯНИЕРЫНКА SIEM-СИСТЕМ 24
  25. 25. Gartner: Функционал критичный для SIEM (май 2012)Scalable architecture and deployment flexibilityReal-time event data collectionEvent normalization and taxonomyReal-time monitoringBehavior profiling Управление журналами (Log management)Threat intelligenceLog management and compliance reportingAnalyticsIncident management supportUser activity and data access monitoringApplication monitoringDeployment and support simplicity 25
  26. 26. Анализ рынка: Gartner Magic Quadrant 26
  27. 27. Весовые коэффициенты возможностей для различных случаев использования SIEM 27
  28. 28. Рейтинг продуктов по критичному функционалу 28
  29. 29. Игроки рынка SIEMAlienVault (OSSIM, SIEM Pro, Compliance Management, Unified Security Management) • Open-source, интеграцияCorreLog (Server, Tracker, Agent) • Кастомизация, z/OS, нет интеграции DLP, DAM, прилож.eIQnetworks (SecureVue) • Масштабируемость, больше на security configuration managementHP (ArcSight) • Известность, цена, сложность Управление журналами (Log management)IBM (Qradar) • NetFlow, развертываниеTibco Software LogLogic • Поддержка БД, вопросы к масштабируемостиLogRhythm • Быстрое развертывание, вопросы кастомизацииMcAfee (NitroSecurity) • высокая производит. и масштабируемость, вопросы ADM и поддержки сторонних источников событийEMC, RSA (enVision, NetWitness) • Высокая прозводит с анализом полного содержимого пакетов, встроенный DLP, GRC, вопросы производит. Запросов, переходный период 29
  30. 30. ЗаключениеТекущее состояние Технологическая зрелость Рост числа игроков на рынкеАктуальные вопросы Масштабирование и производительность Интероперабельность с источниками событий Интеграция с IT и другими бизнес- процессами 30
  31. 31. Спасибо за внимание!Контакты докладчика: Вопросы? 31

×