Recommended
More Related Content
Featured
Featured (20)
O warsztatach EXATEL InTECH Day
- 1. Na ile sprawny jest mój cyber karabin na wojnie Czyli wprowadzenie do systemów SIEM i ich wartość w identyfikacji incydentów 1
- 2. EXATEL Najbezpieczniejsza polska sieć exatel.pl 2
- 3. EXATEL Najbezpieczniejsza polska sieć exatel.pl 3 Agenda Czym właściwie jest SIEM i do czego jest mi potrzebny? Czym jest moja amunicja? Threat Hunting, czyli spodziewaj się niespodziewanego Co zrobić, jak żyć?
- 4. EXATEL Najbezpieczniejsza polska sieć exatel.pl 4 Wprowadzenie Parser – sprowadza poszczególne logi do wspólnego „mianownika” Normalizacja – spójna taksonomia dla różnych logów Korelacje – możliwość łączenia ze sobą różnych informacji z wielu źródeł Retencja – jak długo dane są przechowywane przez system
- 5. EXATEL Najbezpieczniejsza polska sieć exatel.pl 5 Czym właściwie jest SIEM i do czego jest mi potrzebny? Co system SIEM powinien robić: Zbierać logi i nadawać im kontekst Przeprowadzać normalizacje i korelacje Wysyłać powiadomienia i alerty Umożliwiać przeszukiwanie i raportowanie Posiadać WORKFLOW dla obsługi incydentów Do czego SIEM jest mi potrzebny: Informowania w czasie zbliżonym do rzeczywistego o incydentach Zweryfikowania kiedy i kto przeprowadził atak? Sprawdzenia co stało się w wyniku ataku np. ile i jakich danych wyciekło? Kiedy miał miejsce „pierwszy” atak tzw. „pacjent 0” Analityk AV DLP Firewall
- 6. EXATEL Najbezpieczniejsza polska sieć exatel.pl 6 Czym właściwie jest SIEM i do czego jest mi potrzebny? System Log management nie jest systemem SIEM Zbieranie logów to nie jest monitoring 1. Logi nie są zbierane ani analizowane 2. Logi są zbierane ale nigdy nikt na nie patrzy 3. Patrzymy w logi gdy „COŚ” się wydarzy 4. Patrzymy raz na jakiś czas „incydentalnie” i „okazjonalnie” 5. Monitoring w trybie ciągłym
- 7. EXATEL Najbezpieczniejsza polska sieć exatel.pl 7 Czym jest moja amunicja? weblogic.jdbc.remote.APLIKACJA=t3://192.168.9.80}),OwnerTransactionManager=ServerTM[ServerCoordin atorDescriptor=(CoordinatorURL=APLIKACJA_1+192.168.0.1+APLIKACJA+t3+, XAResources={APLIKACJAJDBCStore_1, WSATGatewayRM_APLIKACJA_1_APLIKACJA, WLStore_APLIKACJA__WLS_APLIKACJA_1},NonXAResources={})], : setRollbackOnly called on weblogic.jdbc.llr=APLIKACJA,)],Xid=BEA1-33F13C4F6A1E0D4 2,-,Success,04/07/2018 04:03:50 PM,domena,test_domeny,192.168.0.10,SRV,HM,581464140,%{S-1-5-21--2832571297- 4013663192-10192},A Kerberos authentication ticket (TGT) was requested.,0x0,8,4768,krbtgt 2,-,Success,04/07/2018 04:03:50 PM,domena,test_domeny,192.168.0.11,SRV,HM,581464139,%{S-1-5-21--2832571297- 4013663192-10192},A Kerberos authentication ticket (TGT) was 2018-06-27T09:29:06+02:00 10.72.190.228 %ASA-3- 713902: Group = 192.168.0.1, IP = 192.168.0.1, QM FSM error (P2 struct &0x72a75910, mess id 0x693b9d4b)! 2018-06-27T09:29:06+02:00 10.72.190.228 %ASA-3- 713227: IP = 192.168.0.1, Rejecting new IPSec SA negotiation for peer taaa. A negotiation was already in progress for local Proxy
- 8. EXATEL Najbezpieczniejsza polska sieć exatel.pl 8 Czym jest moja amunicja?
- 9. EXATEL Najbezpieczniejsza polska sieć exatel.pl 9 THREAT HUNTING czyli spodziewaj się niespodziewanego
- 10. EXATEL Najbezpieczniejsza polska sieć exatel.pl 10 Podsumowanie. Czyli co zrobić? Jak żyć? W czasie uruchomienia systemu szukaj odpowiedzi na pytania: Skąd będę wiedział że padłem ofiarą ataku? Jak się dowiem że coś się stało? Czy systemy bezpieczeństwa, które mam działają? Wymagaj od systemu: Możliwości przeszukiwania danych, raportowania i tworzenie kolorowych wykresów ;-) Wsparcia dla dwóch rodzajów amunicji: logów i pakietów! Automatycznego powiadomienia i informowania! Możliwości rozszerzenia konfiguracji systemu o kontekst biznesowy np. krytyczność Tego żeby działał (wydajność, retencja)!
- 11. EXATEL Najbezpieczniejsza polska sieć exatel.pl EXATEL S.A. Ul. Perkuna 47 04-164 Warszawa NIP: 527 010 45 68 11 Paweł Krawczyk
Editor's Notes
- To co zobaczymy w systemie w wyniku przesłania danych, które wcześniej prezentowałem może wyglądać w następujący sposób. Ostatni przykład pokazuje dlaczego ruch sieciowy jest tak istotny. Widzimy tutaj żądanie do strony internetowej wykonane przez atakującego. W rezultacie zamiast strony internetowej atakujący otrzymał informacje że kod który wysłał działa na uprawnieniach adminsistratora. Będą mieli Państwo okazje za chwile samodzielni to sprawdzić w praktyce.
- Jednym z typowych działań dla analityków SOC jest tak zwany threat hunting. Jak taki threat hunting może się odbywać? Obrońcy wymieniają się tak zwanym IOC – czyli indykatorami kompromitacji. Takim indykatorem może być adres ip, klucz w rejestrze bądź suma kontrola pliku. Takie informacje są istotne jeśli tylko możemy je użyć,
- Na zakończenie prezentacji chciałbym zostawić zostawić kilka wskazówek, które pomogą w użytkowaniu systemu. Jeśli są Państwo na etapie implementacji szukajcie odpowiedzi na pytania: Jeśli są Państwo na etapie wyboru, zwracajcie uwagę na takie aspekty jak: