• Save
Siem
Upcoming SlideShare
Loading in...5
×
 

Siem

on

  • 1,500 views

 

Statistics

Views

Total Views
1,500
Views on SlideShare
673
Embed Views
827

Actions

Likes
1
Downloads
0
Comments
0

2 Embeds 827

http://s3r.ru 826
http://subscribe.ru 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Siem Siem Presentation Transcript

  • SIEM: время пришло? Фадин Андрей, CISSPНПО «Эшелон» Департамент программных разработок ЗАО «НПО «Эшелон» 2012
  • Управление событиями безопасности без SIEM Сетевые устройства Операционные системы и приложенияСредства защиты информации FW AV IDS/IPS IAM DLP ...
  • Управление событиями безопасности с SIEM Сетевые устройства Операционные системы и приложенияСредства защиты информации FW AV IDS/IPS Security Information Event Management (SIEM) • Централизованное хранение IAM логов • Объединение данных • Корреляция событий DLP • Оповещение об инцидентах • Оценка соответствия View slide
  • Компоненты SIEM 4 View slide
  • Технологии: SIM + SEM = SIEMSIM («управление информациейбезопасности») сбор, хранение и анализ данных (взятых из журналов) подготовка отчетов по соответствию нормативным требованиям;SEM («управление событиямибезопасности») в реальном времени мониторинг событий безопасности выявление и реагирование на инциденты безопасности. 5
  • SANS Practical Application of SIM/SEM/SIEM Automating Threat Identification1. Log Consolidation – centralized logging to a server2. Threat Correlation –sort through multiple logs and logentries to identify attackers3. Incident Management – workflow – What happens once athreat is identified?• Notification – email, pagers, informs to enterprise managers (MOM, HP Openview…)• Trouble Ticket Creation - Automated responses execution of scripts• Response and Remediation logging4. Reporting 6
  • Определение класса продуктов SIEM по Gartner (май 2012)Обнаружение внешних и внутренних угроз • (Discover external and internal threats)Мониторинг действий привилегированных пользователей • (Monitor the activities of privileged users)Мониторинг доступа к серверам и БД Управление database resource access) management) • (Monitor server and журналами (LogМониторинг и анализ действий польз. в среде различных систем и приложений • (Monitor and analyze user activity across multiple systems and applicationsОтчетность о соответствии требованиям нормативных документов • (Provide compliance reporting)Аналитика и технологический процесс для обеспечения реакции на инциденты • (Provide analytics and workflow to support incident response) 7
  • Требования к системам SIEM (SIEM Implementation: David Miller, Shon Harris, Allen Harper)Управление журналами (Log management)Соответствие требованиям нормативных документов IT(IT regulatory compliance)Корреляция событий (Event correlation)Активный ответ (Active response)Контроль безопасности на уровне конечныхкомпонентов (Endpoint security) 8
  • Эволюция SIEM Подозрительные события Подозрительные события 9
  • Развертывание SIEM Scheme of work systems with SIEM Internet Initiator connection Network scanner API interface Initiator of the connection from SIEM system to Connector servers Monitoring (External) IP Internal LAN IP CISCO Firewall SysLog (Virtual - Etrust) SIEM Connector (Virtual – Etrust) AD DHCP Server Monitoring (Internal) IP CISCO Router MSSQL SCOM IDS Internet monitoring SIEM Connector (Virtual) SysLog (Virtual)SIEM Connector (Virtual) Branch servers Special segment SIEM segment DHCP Server SIEM Consol SIEM ESM SIEM Terminal server SIEM Logger 10
  • Фазы атаки в системах с SIEM и без него Фаза выполнения Компрометация Фаза целевого действия системыисследования с обходом IDS (нарушение CIA)Повышение Повышение Повышение уровня уровня уровня угрозы до угрозы до угрозы до «низкий» «средний» «высокий» 11
  • ОПЕРАЦИИФУНКЦИОНИРОВАНИЯ SIEM 12
  • Управление активами 13
  • Управление событиями безопасности 14
  • Методы сбора событийSyslog and Syslog-ngSNMPv2 and SNMPv3OpsecHTTPSQL, ODBCWMIFTP, SFTPSocket UnixPlain logSSHRsyncSambaNFSSDEE, RDEPOPSEC, CPMI 15
  • Нормализация событий (пример – Sasser Worm)Производитель IDS Идентификатор ОписаниеCisco Systems 3030/0 IDS Signature TCP SYN Host SweepCisco Systems 3338/0 IDS Signature Windows LSASS RPC OverflowCisco Systems 3142/0SNORT 2507SNORT 2508SNORT 2509SNORT 2510SNORT 2511SNORT 2512SNORT 2513SNORT 2514SNORT 2524SNORT 2525SNORT 2526ISS Real Secure 15699 16
  • Построение отчетов с выборочной детализацией (Drill-Down) Events, Alarms • Incidents and related tickets • Knowledge based information • Vulnerabilities • Asset information such as: ‣ Inventory ‣ Network ‣ Profile information ‣ Availability ‣ Resource utilization 17
  • Анализ рисков 18
  • Поисковые возможности 19
  • Автоматический анализ 20
  • Создание тикетов 21
  • Мониторинг доступности активов и наличия ресурсов 22
  • Оперативный контроль 23
  • Критерии выбора. Ведущие игроки. Оценки потенциала.СОВРЕМЕННОЕ СОСТОЯНИЕРЫНКА SIEM-СИСТЕМ 24
  • Gartner: Функционал критичный для SIEM (май 2012)Scalable architecture and deployment flexibilityReal-time event data collectionEvent normalization and taxonomyReal-time monitoringBehavior profiling Управление журналами (Log management)Threat intelligenceLog management and compliance reportingAnalyticsIncident management supportUser activity and data access monitoringApplication monitoringDeployment and support simplicity 25
  • Анализ рынка: Gartner Magic Quadrant 26
  • Весовые коэффициенты возможностей для различных случаев использования SIEM 27
  • Рейтинг продуктов по критичному функционалу 28
  • Игроки рынка SIEMAlienVault (OSSIM, SIEM Pro, Compliance Management, Unified Security Management) • Open-source, интеграцияCorreLog (Server, Tracker, Agent) • Кастомизация, z/OS, нет интеграции DLP, DAM, прилож.eIQnetworks (SecureVue) • Масштабируемость, больше на security configuration managementHP (ArcSight) • Известность, цена, сложность Управление журналами (Log management)IBM (Qradar) • NetFlow, развертываниеTibco Software LogLogic • Поддержка БД, вопросы к масштабируемостиLogRhythm • Быстрое развертывание, вопросы кастомизацииMcAfee (NitroSecurity) • высокая производит. и масштабируемость, вопросы ADM и поддержки сторонних источников событийEMC, RSA (enVision, NetWitness) • Высокая прозводит с анализом полного содержимого пакетов, встроенный DLP, GRC, вопросы производит. Запросов, переходный период 29
  • ЗаключениеТекущее состояние Технологическая зрелость Рост числа игроков на рынкеАктуальные вопросы Масштабирование и производительность Интероперабельность с источниками событий Интеграция с IT и другими бизнес- процессами 30
  • Спасибо за внимание!Контакты докладчика: Вопросы? 31