Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
2
3
• Официальный дистрибьютор – http://it-task.ru (info@it-task.ru)
• Проект стартовал в ноябре 2014
• На данный момент име...
Заказчики
• SMB, Enterprise, SOC, CERT +
• Российский и мировой рынок
• Ценовая политика: варьируется.
• Ценовой диапазон:...
Основные отличие от конкурентов
• Высокая производительность системы
• Интерпретация событий понятная оператору
• Гибкость...
Пример решаемых кейсов
• Попытки подбора паролей с различных систем, в том числе растянутые по
времени
• Успешный вход пос...
Пример решаемых кейсов (2)
• Изменение конфигураций СЗИ (отключение антивирусной защиты и т.п.)
• Вирусные эпидемии (один ...
Инструментарий и методы обнаружения
• «Беглый просмотр событий»
• «Всплески»
• Сигнатурный анализ
• «Песочницы» (сравнение...
Методы обнаружения угроз
9
Up to
2min
Up to
3min
Correlation
Rules
Dashboard
Active
searches
Feeds,
Reputation
lists
Basic...
Варианты поставки
• OVF template (ESX 5.5+, MS HyperV)
• Физический сервер (заказчика или Hardware Appliance)
• Одно нодов...
Варианты применения и внедрения
• LM (сбор, симптоматика)
• SIEM (симптоматика, корреляция)
• Analytics (все вышеперечисле...
Компоненты системы
• Агент и модули (без лимита в лицензии, уже в составе продукта)
• Парсеры (по-компонентная лицензия)
•...
Производительность
• От 3 500 EPS на ядро (тяжелыми 300+байт событиями)
• От 8 000 EPS на ядро (легкие, syslog-like событи...
Сбор событий агентом
• Windows event log. Локально и удаленно с множества узлов одним агентом.
• Windows event log – подпи...
Особенности сбора агентом
• Агент полностью управляется с управляющего сервера
• Новые источники задаются для агента с упр...
Общая схема решения
16
Сетевой сенсор
Журналы приложений, баз данных,
ОС, cобытия с СЗИ
Сервер с агентом
RuSIEM
All-in-One...
Сетевой сенсор
• Опциональный компонент
• Устанавливается на отдельный сервер (физический или мощный
виртуальный) вторым и...
Коллектор, нормализация
• Автоматическое определение источника
• Парсинг по key:value событий
• Приведение к общей схеме и...
Симптоматика
19
Имя симптома(ов)
Категория(и)
Суммарный вес
RAW
Парсеры
Симптоматика
Unified key:value
pairs
message (raw)...
Корреляция
• Возможность добавления правил пользователем
• Поставка пакета правил корреляции и обновление
• Совпадение или...
Аналитика
• Агрегация по весам по объектам для без сигнатурного обнаружения
угроз и аномалий
• Сравнение md5, sha1, fqdn, ...
Контактная информация:
Инфо: info@it-task.ru
Максим Степченков m.stepchenkov@it-task.ru
Олеся Шелестова oshelestova@rusiem...
Минимальная одно-нодовая конфигурация
• Физический сервер или гипервизор
• 1 сервер
• ОЗУ: 16 GB без аналитики, 32GB – с а...
Оптимальная конфигурация
• 3 ноды (виртуальные или физические сервера)
• +1+ нода для сетевого сенсора
• Ресурсы нод: от 1...
Порядок внедрения
• Поднимается тестовый стенд, подключаются частично интересующие
источники
• Аудит совместно с заказчико...
RuSIEM 2016
Upcoming SlideShare
Loading in …5
×

RuSIEM 2016

1,080 views

Published on

SIEM

Published in: Software

RuSIEM 2016

  1. 1. 2
  2. 2. 3 • Официальный дистрибьютор – http://it-task.ru (info@it-task.ru) • Проект стартовал в ноябре 2014 • На данный момент имеются успешные внедрения • Вышли с релизной версией еще в 2015 году. Готовы к внедрениям. О нас
  3. 3. Заказчики • SMB, Enterprise, SOC, CERT + • Российский и мировой рынок • Ценовая политика: варьируется. • Ценовой диапазон: в разы ниже существующих конкурентов 4
  4. 4. Основные отличие от конкурентов • Высокая производительность системы • Интерпретация событий понятная оператору • Гибкость правил корреляции • Встроенная аналитика • Нет лимита на количество собираемых событий и объем хранилища • Полностью готовое решение без необходимости в приобретении дополнительного ПО • Ценовая политика в разы меньшая чем у конкурентов 5
  5. 5. Пример решаемых кейсов • Попытки подбора паролей с различных систем, в том числе растянутые по времени • Успешный вход после многочисленных неуспешных попыток • Обнаружение вируса по перехваченному по сети файлу (электронная почта, файловый сервер, http/ftp/tcp траффик) • Обнаружение сетевых атак с помощью сетевого сенсора и корреляции • Обнаружение попыток несанкционированного доступа к документам на файловом сервере • Обнаружение массового удаления файлов • Массовые изменения учетных записей • Изменения учетных записей администраторов • Выявление фактов использования служебных учетных записей • Использование внешних накопителей на серверах 6
  6. 6. Пример решаемых кейсов (2) • Изменение конфигураций СЗИ (отключение антивирусной защиты и т.п.) • Вирусные эпидемии (один и тот же вирус на нескольких хостах, не вылеченные файлы, по хэшам процессов) • Выявление фактов сканирований сети и уязвимостей • Обнаружение не валидных сертификатов (просроченные, самоподписанные, с неустановленным УЦ) • Обнаружение фактов установки ПО • Обнаружение установки ПО для удаленного администрирования, несанкционированного доступа • Отказ в обслуживании сервиса (количество http.error, неустановленные соединения, потеря пакетов) • Контроль трафика, в том числе по зонам для обеспечения policy compliance/compliance policy 7
  7. 7. Инструментарий и методы обнаружения • «Беглый просмотр событий» • «Всплески» • Сигнатурный анализ • «Песочницы» (сравнение по хэшам, отправка подозрительных файлов и получение результатов в облаке) • Корреляция счетчиком (по условию события, количеству событий) • Корреляция триггером (триггерное, например: 3 неуспешных попытки входа, затем успешная) • Симптоматика • Агрегация (суммарные веса объектов симптомов за интервалы) • Фиды (репутационные списки)
  8. 8. Методы обнаружения угроз 9 Up to 2min Up to 3min Correlation Rules Dashboard Active searches Feeds, Reputation lists Basic symptoms Symptoms aggregations Data Analytics (in development) time completenessofthethreatassessment
  9. 9. Варианты поставки • OVF template (ESX 5.5+, MS HyperV) • Физический сервер (заказчика или Hardware Appliance) • Одно нодовая (all-in-one) или кластер • Вертикальная и горизонтальная масштабируемость 10
  10. 10. Варианты применения и внедрения • LM (сбор, симптоматика) • SIEM (симптоматика, корреляция) • Analytics (все вышеперечисленное + аналитика) • Сокращение стоимости имеющихся SIEM систем c подключением большего числа источников • ИТ/ИБ потребности, anti-fraud, контроль действий в бизнес-системах (SOX) 11
  11. 11. Компоненты системы • Агент и модули (без лимита в лицензии, уже в составе продукта) • Парсеры (по-компонентная лицензия) • Корреляция (по-компонентная лицензия) • Симптоматика (по-компонентная лицензия) • Аналитика (отдельная лицензия) • Фиды (отдельная лицензия) • Хранилище данных (без лимита в лицензии, уже в составе продукта) • Сетевой сенсор (опционально, лицензия) 12
  12. 12. Производительность • От 3 500 EPS на ядро (тяжелыми 300+байт событиями) • От 8 000 EPS на ядро (легкие, syslog-like события) • Предел EPS - не лимитирован • Объем хранилища – не лимитирован • Количество правил симптоматики – от 5 000, не лимитировано • Правил корреляции – от 5 000, не лимитировано 13
  13. 13. Сбор событий агентом • Windows event log. Локально и удаленно с множества узлов одним агентом. • Windows event log – подписка. • 1С (8.3) • Ftp/ftps/sftp (Unified log source) • Mysql (Unified log source) • MS SQl (Unified log source) • Oracle (Unified log source) • Сбор событий с текстовых форматов файлов (локально или по сети, Unified log source) • Хэшер – сбор md5/sha1 сумм запущенных процессов и сверка с известными угрозами 14 *все остальные источники – напрямую на сервер (snmp, syslog, tcp/udp, flow)
  14. 14. Особенности сбора агентом • Агент полностью управляется с управляющего сервера • Новые источники задаются для агента с управляющего сервера • Для каждого источника возможно указать свою учетную запись для сбора • Коннекторы универсальные, что позволяет подключать любой источник • Один агент может собирать с множества источников • Количество агентов и источников не лимитировано 15
  15. 15. Общая схема решения 16 Сетевой сенсор Журналы приложений, баз данных, ОС, cобытия с СЗИ Сервер с агентом RuSIEM All-in-One Сетевое оборудование RuSIEM Аналитика Backend
  16. 16. Сетевой сенсор • Опциональный компонент • Устанавливается на отдельный сервер (физический или мощный виртуальный) вторым интерфейсом в span/tap • Собирает заголовки трафика и отправляет на коллектор • Позволяет: • анализировать трафик • сверять хэши файлов с известными угрозами по фидам и правилам корреляции • Строить представления и искать сетевые соединения • Прописывать политики правилами корреляции 17
  17. 17. Коллектор, нормализация • Автоматическое определение источника • Парсинг по key:value событий • Приведение к общей схеме именования полей • Обогащение событий метаинформацией (nslookup, whois, geoip, etc) • Разбор одного большого потока множеством парсеров • Пересылки событий между компонентами через брокер без потери событий 18
  18. 18. Симптоматика 19 Имя симптома(ов) Категория(и) Суммарный вес RAW Парсеры Симптоматика Unified key:value pairs message (raw) Влияние • Поиск событий по имени симптома(ов) • Отчеты в виде списка событий (к примеру, «Управление учетными записями») • Использование в корреляции симптомов, а не регекспов и различных event.id • Использование весов симптомов как фильтр для отбора по критичности событий • Агрегация весов по объектам (ip, host, user, etc) • Логический абстрактный уровень «о чем событие» • Логическая связь «что делал пользователь/процесс»
  19. 19. Корреляция • Возможность добавления правил пользователем • Поставка пакета правил корреляции и обновление • Совпадение или распределение во времени совпадений по условию (ex. «count(http.error) > 60 in 300 sec», «symptoms.id(Удаление файла) > 200 in 60 sec» • Последовательности событий (ex. «Вирус обнаружен, но не вылечен в течение 600 сек») • Группировка по объектам (ex. «20 неуспешных попыток входа с одного и того же src.ip или по одному и тому же user.name») • Результатом корреляции является: • Регистрация инцидента во встроенном workflow с параметрами указанными в правиле • Оповещение об инциденте • Запуск локально команды с параметрами • Инцидент виден только тем, кому назначен (роли, группы, пользователи) 20
  20. 20. Аналитика • Агрегация по весам по объектам для без сигнатурного обнаружения угроз и аномалий • Сравнение md5, sha1, fqdn, ip, url, email с имеющимися в фид-листах значениями с целью определения угроз (malware, botnets, spammers и так далее) • Near real-time проверки для формирования отчетности, обнаружения угроз, аномалий и policy compliance. Например, соединение которого еще не было, хост с которого пользователь вошел в первый раз, контроль получения событий от источника и так далее. • Быстрый доступ к статистике, функциям и выборке по событиям (например, для систем анти-фрода и поведенческого анализа) 21
  21. 21. Контактная информация: Инфо: info@it-task.ru Максим Степченков m.stepchenkov@it-task.ru Олеся Шелестова oshelestova@rusiem.com (skype, mail) Официальный дистрибьютор: СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru 22
  22. 22. Минимальная одно-нодовая конфигурация • Физический сервер или гипервизор • 1 сервер • ОЗУ: 16 GB без аналитики, 32GB – с аналитикой • Процессор 2x2.4 GHz, суммарно не менее 4х ядер • HDD 100GB под систему + под данные. На что то постарше тестов желательно RAID/SSD 24
  23. 23. Оптимальная конфигурация • 3 ноды (виртуальные или физические сервера) • +1+ нода для сетевого сенсора • Ресурсы нод: от 16GB ОЗУ, по 4-6 ядер CPU 25
  24. 24. Порядок внедрения • Поднимается тестовый стенд, подключаются частично интересующие источники • Аудит совместно с заказчиком (какие источники исходя из кейсов и векторов) • План внедрения/договора • Подключение источников. Интеграции. При необходимости - разработка коннекторов, доработка системы. • Настройка правил корреляции, симптоматики, аналитики. • Масштабирование. • Сдача проекта. Доработки при необходимости. 26

×