Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

RuSIEM (15.11.2015)

780 views

Published on

Published in: Software

RuSIEM (15.11.2015)

  1. 1. RuSIEM • Олеся Шелестова, CEO RuSIEM • IT-Task 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru
  2. 2. Технические задачи • Сбор данных, необходимых для дальнейшего анализа системой • До-получить данные с помощью сопутствующих инструментов (сканеры VM, фиды, агент, span) • Обеспечить целостность, доступность, конфиденциальность собранных данных • Обеспечить обнаружение основных распространенных угроз (из коробки) • Предоставить возможность кастомизации пользователем механизмов обнаружения угроз • Предоставить пользователю возможность мониторинга в режиме реального времени • Предоставить пользователю инструменты для оперативного расследования инцидента • Обнаружение угроз в режиме реального времени • Уведомление пользователя об обнаруженных угрозах посредством встроенного workflow и основных транспортов • Обеспечение без сигнатурных механизмов обнаружения угроз (модели, накопленная статистика, эталоны, risk-based, aggregation) 2
  3. 3. Решаемые кейсы • Приоритезация инцидентов от СЗИ и снижение ложных срабатываний • Аудит аутентификации и авторизации • Аудит изменений конфигураций • Выявление НСД • Аудит работоспособности СЗИ, ОС и приложений • Обнаружение сетевых атак • Аудит действий в ОС, БД и приложениях • Мониторинг сетевой активности • Без сигнатурное обнаружение инцидентов
  4. 4. Кейсы (более расширенно) • Authentication tracking • Detection of Possible Brute Force Attack • Compromised- and infected-system tracking; malware detection • Validating intrusion detection system/intrusion prevention system (IDS/IPS) alerts • Monitoring for suspicious outbound connectivity • Tracking system changes • Tracking of Web application attacks • Prioritize incident • Geo-Location Based Access (when no legacy connection in this country found) • Geo-Location Based Account Monitoring • Cyber attacks from malicious sources • Continuous Risk Monitoring (events) • Privileged Account Monitoring • Advanced Threat Detection (analyzes these events for indicators of advanced threats) • Application Defense Check • Expected Host/Log Source Not Reporting • Unexpected Events Per Second (EPS) from Log Sources
  5. 5. Кейсы (2) • Top malicious DNS requests from user. • Incidents from users reported at DLP, spam filtering, web proxy, etc. • Transmission of sensitive data in plain text. • 3rd party users network resource access. • Resource access outside business hours. • Sensitive resource access failure by user. • Privileged user access by resource criticality, access failure, etc. • Unusual network traffic spikes to and from sources. • Endpoints with maximum number of malware threats. • Top trends of malware observed; detected, prevented, mitigated. • Brute force pattern check on Bastion host. • Top Web application Attacks per server. • Malicious SQL commands issued by administrator. • Applications suspicious performance indicator, resource utilization vector. • Application Platform (OS) patch-related status. • Web attacks post configuration changed on applications.
  6. 6. ОС под сервер OVF/OVA template с предустановленной системой Собственный агент + Сбор одним агентом с нескольких источников + Модульный агент + Возможность подключения кастомных источников + Необходимость в 3th-party лицензиях нет необходимости Производительность системы до 7к на ядро процессора, до 100к EPS на ноду Предельная масштабируемая производительность Отсутствуют ограничения Масштабируемые компоненты системы +
  7. 7. Сбор данных через различные учетные записи + Разграничение доступа к интерфейсу ролевая модель Аутентификация через LDAP + Разграничение доступа к наборам данных (уязвимости, группы источников, события) в ближайших планах
  8. 8. Корреляция RBR + Интерпретация сути событий в понятный читаемый формат + Единая нормализация событий для любых источников + Кастомизация полей событий +
  9. 9. Приоритезация по рискам симптоматика, аналитика Приоритезация по ассетам в ближайших планах Расширенная аналитика уже частично пристутствует. В ближайших планах
  10. 10. Встроенное workflow + Отчеты в ближайших планах Vulnerability Management в ближайших планах Автоматическое обновление системы и правил + Кастомизация дашборда + Кастомизация правил корреляции RBR пользователем + Обогащение событий метаинформацией (geoip, risk, priority, фиды) +
  11. 11. Транспорты windows агента • Windows event log (локально, удаленно, подписка) • MS SQL • Mysql • Oracle • Ftp/sftp/ftps • File log • 1С 8.3
  12. 12. Транспорты on-box агента beats, couchdb, drupal, elasticsearch, ganglia, gelf, generator, graphite, github, heartbeat, heroku, http, http_poller, irc, imap, jdbc, jmx, kafka, log4j, lumberjack, meetup, pipe, puppet_facter, relp, rss, rackspace, rabbit mq, redis, salesforce, snmptrap, stdin, sqlite, s3, sqs, stomp, syslog, tcp, twitter, unix, udp, varnishlog, wmi, websocket, xmpp, zenoss, zeromq, …
  13. 13. Какие инструменты предоставляем • Кастомизируемые: • Дашборды • Правила корреляции • Симптоматика • Представления для мониторинга и форенсики • Фиды • Аналитика по агрегатам симптоматики • *прочие инструменты аналитики
  14. 14. В самых ближайших планах • Инвентаризация активов • Интеграция с VM/CMDB • Nmap+ • Continuous monitoring • Динамическое обновление ассетов в режиме реального времени из событий и траффика • Динамическое изменение данных об уязвимостях в режиме реального времени • Расширенная аналитика • Расширенная корреляция
  15. 15. Дашборд
  16. 16. Симптоматика
  17. 17. Корреляция RBR (rule based reasoning)
  18. 18. Workflow
  19. 19. Транспорты windows агента
  20. 20. Ролевая модель доступа
  21. 21. Лицензирование • Отсутствуют ограничения по количеству данных (EPS/суточному объему и прочее) • Лицензируется по-компонентно (коллектор, нормализация, корреляция, аналитика) • Цены в 3-5+ раз ниже основных топ-10 решений
  22. 22. Контактная информация: Инфо: support@rusiem.com Олеся Шелестова oshelestova@rusiem.com Максим Степченков m.stepchenkov@it-task.ru 22 СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru

×