Prezentacja Maćka Greli o tym, w jaki sposób SIEM firmy RSA zbiera i analizuje informacje z ruchu sieciowego/logów. Uczestnicy EXATEL InTECH Day musieli znać działanie SIEM Netwitness w celu wykonania zadań w konkursie Capture The Flag.
2. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
2
Źródła danych systemu Netwitness
Logi
Ruch
sieciowy
Końcówki
Kolekcjonowanie, parsowanie,
normalizacja, wzbogacanie
Sesja + metadane (klucz=wartość)
3. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
3
Przechowywanie i przetwarzanie danych w systemie Netwitness
Sesja + metadane (klucz=wartość)
Baza danych
Przetwarzanie
strumieniowe
Reguły,
modele, itp.
Alerty (indykatory)
Incydent
y
14. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
14
O czym nie powiedziałem
Wzbogacanie danych przez własnoręcznie tworzone feedy
Context Hub (Kontekst)
Język EPL do tworzenia reguł korelacyjnych
UEBA i analiza behawioralna
Własne integracje, customizacje oraz API
- pokazać jak uruchomić moduł Investigate i wyjaśnić do czego on służy
- górna połowa ekranu, środkowa część ekranu i dolna połowa ekranu
- pasek z query, różne rodzaje query → basic, advanced i recent
- grupy metadanych (tylko wspomnieć) → pokazać tylko jak zresetować do domyślnych
- klucze metadanych, jak zobaczyć informację o kluczu (id vs. nazwa), ich wartości i zliczanie
- pokazać drilldown (cztery opcje)
-
- pokazać różne rodzaje view
-
- pokazać różne rodzaje reconstruction view
- pokazać jak przejść do event analysis (dobry widok danych i metadanych w jednym)
- pokazać różne rodzaje reconstruction view
- pokazać jak przejść do event analysis (dobry widok danych i metadanych w jednym)