Можно потратить несколько миллионов рублей и купить SIEM, который с некоторой вероятностью заработает и, с еще меньшей вероятностью, оправдает затраченные на него средства. А можно с душой и огоньком, самостоятельно ораганизовать сбор журналов с различных систем и их первичный визуальный анализ.

1. Есть ли жизнь без SIEM
Игорь Гоц
май, 2015

2. Начало начал
• Планируется внедрение SIEM
• Отсутствие бюджета на внедрение SIEM
• Расследование инцидентов
• Хочется создать ситуационный центр
• Любовь к графикам и цвету
Elasticsearch-Logstash-Kibana (ELK)
Есть ли жизнь без SIEM 2

3. Организация сбора и обработка
• Высокая трудоемкость (80% времени)
– Сбор журналов
• Журналы работы серверов
• Журналы работы сетевого оборудования
• Журналы системы контроля доступа
• Журналы с АТС
• Журналы работы приложений (Интернет, 1С, почта)
• Журналы всего, что может отдать журналы или откуда их
можно взять
– Разбор журналов и нормализация
• grep
• Simple Event Correlator
• Logstash
Есть ли жизнь без SIEM 3

4. Разбор и нормализация
• Рекомендации Интернета
– grokdebug.herokuapp.com
• Тестирование конфигурационным файлом
Есть ли жизнь без SIEM 4

5. Ситуационный центр
• Состав:
– Монитор
– Свободное место
– Желание
Есть ли жизнь без SIEM 5

6. Сценарии
• Атака на внешний портал
• Перенаправление почты вовне
• Отправка данных в интернет через прокси
• Поиск источника анонимки
Есть ли жизнь без SIEM 6

7. Куда идти
• Анонимизация журналов c помощью
logstash и отправка их в интернет
• Анонсирован watcher
(http://elastic.co/products/watcher)
• Kibana4 (сложные dashboards)
• Kibana3 dashboards
(https://gist.github.com/IgorGots/8ebc4ef36747b3b0314d)
• Logstash configs and panel
(https://github.com/IgorGots/PHDaysV)
Есть ли жизнь без SIEM 7

8. Вопросы
Игорь Гоц <igorgots@gmail.com>
http://reply-to-all.blogspot.ru/
Есть ли жизнь без SIEM 8