Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Free RvSIEM. Intro (Rus)

541 views

Published on

free RvSIEM

Published in: Software
  • Be the first to comment

Free RvSIEM. Intro (Rus)

  1. 1. RvSIEM CEO RuSIEM Ltd, Olesya Shelestova oshelestova@rusiem.com https://rvsiem.com
  2. 2. Зачем LM/SIEM в компании? • Для управления множеством сотрудников – есть отдел кадров. • Для управления в каждом отделе выделен руководитель/team leader. • В компаниях множество полезных источников, предупреждающих о сбоях, несанкционированном доступе, вирусных эпидемиях, ошибках соединений, ошибках оформления заказов и прочих. • Подключив гетерогенные источники в единую консоль – получаем полное представление о том, что происходит в инфраструктуре, бизнес-системах в режиме, близком к реальному времени. 2
  3. 3. Зачем LM/SIEM в компании? 1) Видеть в режиме реального времени что происходит (в инфраструктуре, в сети, в бизнес-системах) в единой центральной консоли 2) Понять что где есть (инвентаризация) 3) Обеспечить соответствие стандартам и внутренним политикам 4) Возможность задать параметры «инцидента» и воспользоваться встроенной базой знаний для обнаружения 5) Выявлять инциденты автоматически в режиме реального времени 6) Своевременно оповещать и фиксировать инциденты 7) Агрегировать события в единое хранилище для расследования инцидентов 8) Формировать отчеты 3
  4. 4. Зачем LM/SIEM в компании? Пример – Соответствие стандартам • PCI DSS: 1.1.6.b, 1.2, 1.2.1, 1.2.2, 1.2.3, 1.3, 1.3.2, 1.3.3, 1.3.4, 1.3.5, 1.3.7, 1.4, 2.1, 2.1.1.b, 2.1.1.c, 2.2.2.b, 2.2.3, 2.3, 2.4, 4.1, 5.1, 6.1, 6.2, 6.5.4, 6.5.5, 6.5.8, 7.1, 7.2, 8.1.2, 8.1.4, 8.1.5, 8.1.6, 8.1.7, 8.2.3, 8.2.4, 8.5, 8.6, 8.7, 10.*, 11.* а также некоторые другие пункты стандарта • SOX, ISO 2700x, СТО БР ИББС … 4
  5. 5. Зачем LM/SIEM в компании? • Сканеры уязвимости выявляют проблемы, в среднем, один раз в неделю • Множество средств защиты – разрозненные данные, которые необходимо сохранять, просматривать и анализировать • Просмотр событий на отдельно взятом средстве защиты может не дать полноты картины, в отличие от выборки событий с нескольких • Сигнатуры у средства защиты может и не быть, что легко дополнить с помощью правила SIEM или запросом к базе LM по событиям 5
  6. 6. Пример 1 • Мы убедились что соответствуем политике ИБ: • telnet нигде не включен • не используются системные учетные записи • password never expire у учетных записей не установлен • для доступа используется не уязвимое ПО • Проверили сканером уязвимостей, опросили сотрудников. • Считаем что в нашей компании все нормально. • А тем временем, на следующий день, появляется системная учетная запись по умолчанию, устанавливаются опции password never expire, используется уязвимая версия putty, эксплойт на которую вышел сегодня. Обо всем этом – мы можем не узнать. 6
  7. 7. Пример 2 • Третий день подряд в нашем интернет-магазине нет заказов. И не понятно почему. • А тем временем, при оформлении товара, клиенты видят ошибку и не могут продолжить процедуру оформления. Без LM/SIEM мы узнаем об этом только при жалобе сознательного клиента. 7
  8. 8. Пример 3 • Кто то сменил пароль генерального директора и отправил письма по контактам в адресной книге • Как назло журналы событий на сервере очищены или затерты более новыми? 8
  9. 9. Методы контроля LM SIEM Где увидим инцидент На дашбордах, в выборке по событиям, в отчетах В автоматически зарегистрированных инцидентах в режиме реального времени Как увидим инцидент Регулярно просматривать события Автоматически зарегистрированные инциденты, просмотр событий, обновление правил корреляции, аналитика На что полагаемся Опыт операторов Опыт вендора, практические кейсы и аналитика вложенные в инструментальные автоматические средства в SIEM 9
  10. 10. • Стоимость LM/SIEM систем в минимальной инсталляции – от 300 000 р. С учетом необходимости хранения событий от полугода. • Стоимость адаптации open-source LM системы в компании под потребности: • 1-2 сотрудника с заработной платой от 100 000 р • Минимум полгода работы с занятостью 70% • ± 840 000 р. • При этом, большинство источников не будут подключены, система будет работать со сбоями, при уходе сотрудников, скорее всего, проект будет провален и бюджет потрачен зря. • Написать свою LM/SIEM работоспособную систему – от 20 000 000/70 000 000 р. 10
  11. 11. Что такое LM • LM (log management) – предназначен для сбора, нормализации, обработки событий с различных источников (операционных систем, программного обеспечения, сетевого оборудования и т.п). • LM собирает и агрегирует события для анализа (что происходит), расследования инцидентов, построения отчетов. • В отличие от SIEM, LM не имеет штатных средств корреляции для автоматического анализа и оповещения об инцидентах. • Тем не менее, LM – эффективный инструмент для анализа и мониторинга, способный помочь в решении проблем 11
  12. 12. Мы рады помочь Вам и предоставляем в свободный доступ для использования готовое решение класса LM – Free RvSIEM 12
  13. 13. О RuSIEM • Разработка ведется с 2014 года • Команда разработки имеет большой опыт • Мы делаем не просто классический SIEM. Он нужен чтобы подготовить данные для дальнейшего анализа – автоматической аналитики без правил корреляции, AI, deep learning. • Наши разработки широко используются во множестве крупных компаний по всему миру • Мы резиденты Сколково https://rvsiem.com 13
  14. 14. Линейка продуктов RuSIEM “Analytics” Network Sensor Free RvSIEM SIEM SIEM+Аналитика Сетевой сенсор LM версия 14 • Все продукты имеют модульную архитектуру • Free RvSIEM расширяется до коммерческих версий RuSIEM и Analytics
  15. 15. Что такое Free RvSIEM • Free RvSIEM – свободно распространяемая версия LM (log manager), без публикации открытого кода. • Распространяется для использования «как есть» • Изменение авторского права и наименования продукта не допускается • Почему название SIEM, ведь free-версия – LM возможности? • Возможно расширение по-модульно в сторону коммерческой версии SIEM 15
  16. 16. RuSIEM RuSIEM Analytics Free RvSIEM Дашборды (набор виджетов для оценки показателей в режиме реального времени)    Поиск по событиям    Сохраненные запросы    RBR (rule-based) корреляция   Инцидент менеджмент по ITIL   Симптоматика для тегирования событий понятным описанием    Риск-метрики    Отчеты    Отчеты соответствия стандартам и политикам   Аналитика (агрегация событий) для обнаружения инцидентов без корреляции  Аналитика (baseline) для обнаружения инцидентов без корреляции  Обновляемые ленты угроз (feeds: потенциально опасные ip, hash, url, fqdn, mail)  Аналитика (сложные отчеты с расчетами)  ИТ активы с обновлением в режиме реального времени  Агент с универсальными коннекторами к источникам    Масштабируемость   limited Обновление базы знаний (правила корреляции, отчеты, симтомы)    Поддержка 24x7 24x7 limited Обновление версий    16
  17. 17. Сравнение с аналогами Free RvSIEM Splunk OSSIM ELK Модуль отчетности + +* +* - Наличие собственного агента + - - - Сбор одним агентом с множества источников + - - - Без лимита по EPS + - - + Универсальные коннекторы + - - - Наличие готовых коннекторов к основным системам (1-5 баллов) 4 2 2 1 Возможность подключения новых источников (1-5) 4 3 2 2 Гибкость поисковых запросов по событиям (1-5) 5 5 3 3 Agent Hash module + - - - Agent WMI Query + - - - LDAP Authentication + + + -* Доступ на основе ролей + - - - Модульное расширение возможностей системы + - + - 17
  18. 18. Лицензия RvSIEM (free) Свободное использование в личных целях  Установка и использование в компаниях  Открытый исходный код x White-label x Продажа/использование в коммерческих целях Изменение/доработка кода в личных целях и в компаниях без изменения наименования продукта  Изменение кода в коммерческих целях x Модификация ПО или использование частей при разработке другого ПО x Изменение конфигурационных файлов  18
  19. 19. Установка – проще ELK • VmWare ESX 5.5+, MS HyperV из образа OVF • Версия ОС в образе – Ubuntu 14.04-5 x64 • Установка через dpkg – планируется • Обновления – через git автоматически с возможностью отключения. • Портал поддержки и взаимодействия – планируется • Языковые пакеты – пока только русский и английский. • Агент – под MS Windows 7+, .net 4.5+. x64/x86 • Минимальные требования для free RvSIEM: • 4 GB ОЗУ, 1 процессор 2-4 ядра, 70 GB Hdd для системы, диск под данные – под ваши требования. 19
  20. 20. Шаги установки • Развернуть OVF образ • Подключить диск для данных согласно руководства • Настроить сетевые параметры • Настроить LDAP аутентификацию, параметры агентов и хранения • Установить агента • Настроить агента из веб-консоли для сбора с источников 20
  21. 21. Демо 21
  22. 22. Синтаксис конфигурационных файлов парсеров 22
  23. 23. 23
  24. 24. 24
  25. 25. 25
  26. 26. • Релиз – 17 апреля 2017 года • Доступны Rus/Eng языковые пакеты. • Документация для РФ – уже доступна. • Документация на английском языке – скоро. • Портал поддержки – скоро. 26
  27. 27. Спасибо за внимание Сайт и поддержка: • https://rvsiem.com • support@rvsiem.com Bug bounty: support@rvsiem.com 27

×