Prezentacja Maćka Greli o tym, w jaki sposób SIEM firmy RSA zbiera i analizuje informacje z ruchu sieciowego/logów. Uczestnicy EXATEL InTECH Day musieli znać działanie SIEM Netwitness w celu wykonania zadań w konkursie Capture The Flag.

1. Najbezpieczniejsza
polska sieć

2. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
2
Źródła danych systemu Netwitness
Logi
Ruch
sieciowy
Końcówki
Kolekcjonowanie, parsowanie,
normalizacja, wzbogacanie
Sesja + metadane (klucz=wartość)

3. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
3
Przechowywanie i przetwarzanie danych w systemie Netwitness
Sesja + metadane (klucz=wartość)
Baza danych
Przetwarzanie
strumieniowe
Reguły,
modele, itp.
Alerty (indykatory)
Incydent
y

4. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
4
Przeglądanie metadanych (moduł Investigate)

5. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
5
Przeglądanie danych źródłowych (moduł Investigate) → ruch sieciowy

6. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
6
Przeglądanie danych źródłowych (moduł Investigate) → ruch sieciowy

7. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
7
Przeglądanie danych źródłowych (moduł Investigate) → pojedyncza sesja

8. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
8
Przeglądanie danych źródłowych (moduł Investigate) → logi

9. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
9
Przeglądanie danych źródłowych (moduł Investigate) → logi i zdarzenia

10. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
10
Więcej o metadanych
 Source IP Address
 Destination IP Address
 TCP/UDP Source/Destination Port
 Service Type
 Source/Destination E-Mail
Address
 Domain, Attachment, Host Name
 Alerts
 Session Analysis
 Service Analysis
 File Analysis
 Network Name
 Traffic Flow Direction
 Event Source Group
 Compliance – RSA Archer
 Business Unit – RSA Archer
 Facility – RSA Archer
 Indicators of Compromise
 Behaviours of Compromise
 Enablers of Compromise
 Event Subject
 Event Activity
 Event Theme
 Event Outcome
 Threat Source
 Threat Category
 Threat Description
Protokoły sieciowe Informacje o zasobie
Ujednolicona kategoryzacja
Źródła Threat Intelligence
Sygnatury „behawioralne”

11. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
11
Reakcja na incydenty i alerty (moduł RESPOND)

12. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
12
Reakcja na incydenty i alerty (moduł RESPOND) → pojedynczy incydent

13. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
13
Reakcja na incydenty i alerty (moduł RESPOND) → zdarzenie w incydencie

14. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
14
O czym nie powiedziałem
 Wzbogacanie danych przez własnoręcznie tworzone feedy
 Context Hub (Kontekst)
 Język EPL do tworzenia reguł korelacyjnych
 UEBA i analiza behawioralna
 Własne integracje, customizacje oraz API

15. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
15
Zapasowy slajd

16. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
EXATEL S.A.
Ul. Perkuna 47
04-164 Warszawa
NIP: 527 010 45 68
16
Dziękujemy za uwagę