Можно потратить несколько миллионов рублей и купить SIEM, который с некоторой вероятностью заработает и, с еще меньшей вероятностью, оправдает затраченные на него средства. А можно с душой и огоньком, самостоятельно ораганизовать сбор журналов с различных систем и их первичный визуальный анализ.
2. Начало начал
• Планируется внедрение SIEM
• Отсутствие бюджета на внедрение SIEM
• Расследование инцидентов
• Хочется создать ситуационный центр
• Любовь к графикам и цвету
Elasticsearch-Logstash-Kibana (ELK)
Есть ли жизнь без SIEM 2
3. Организация сбора и обработка
• Высокая трудоемкость (80% времени)
– Сбор журналов
• Журналы работы серверов
• Журналы работы сетевого оборудования
• Журналы системы контроля доступа
• Журналы с АТС
• Журналы работы приложений (Интернет, 1С, почта)
• Журналы всего, что может отдать журналы или откуда их
можно взять
– Разбор журналов и нормализация
• grep
• Simple Event Correlator
• Logstash
Есть ли жизнь без SIEM 3
4. Разбор и нормализация
• Рекомендации Интернета
– grokdebug.herokuapp.com
• Тестирование конфигурационным файлом
Есть ли жизнь без SIEM 4
6. Сценарии
• Атака на внешний портал
• Перенаправление почты вовне
• Отправка данных в интернет через прокси
• Поиск источника анонимки
Есть ли жизнь без SIEM 6
7. Куда идти
• Анонимизация журналов c помощью
logstash и отправка их в интернет
• Анонсирован watcher
(http://elastic.co/products/watcher)
• Kibana4 (сложные dashboards)
• Kibana3 dashboards
(https://gist.github.com/IgorGots/8ebc4ef36747b3b0314d)
• Logstash configs and panel
(https://github.com/IgorGots/PHDaysV)
Есть ли жизнь без SIEM 7