Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Rusiem 2017_обзор

498 views

Published on

RuSIEM = LM+SIEM+Analytics+Network Sensor

Published in: Software
  • Be the first to comment

Rusiem 2017_обзор

  1. 1. Co-Founder, CEO Олеся Шелестова oshelestova@rusiem.com RuSIEM Обзор. Январь 2017
  2. 2. SIEM: цели • Видеть в режиме реального времени что происходит в инфраструктуре и бизнес-системах • Понимать что происходит • Фиксировать инциденты • Оперативно реагировать на возникающие инциденты • Обеспечить доказательную базу • Собрать и обеспечить КДЦ архива для расследования возможных инцидентов • Инвентаризация • Комплайнс (стандарты, внутренние политики) 3
  3. 3. «Инциденты» • Несанкционированный доступ • Угрозы ИБ (спам/malware/утечка данных/закладки/прочее) • Злоупотребления и использование служебных полномочий • Технические (программные, сетевые) и аппаратные сбои • Нарушение доступности сервисов • Финансовые операции • И многое другое 4
  4. 4. Принцип действия 5 User actions Network Hardware Applications RAW Events Normalize Real-time processing Save&Search &Report Active checks
  5. 5. Архитектура и масштабируемость 6
  6. 6. Компоненты 7 LM Прием событий Нормализация Симптоматика Обогащение событий SIEM Включает LM Корреляция Инцидент- менеджмент Analytics Feeds (ip, hash, fqdn, email, url) Baseline © Symptomatics © Statistics Compliance Asset management Network sensor Data exfiltration Protocol decode Flow Agent Локальный сбор Удаленный сбор с множества хостов Hasher © Универсальные коннекторы Локальное временное хранилище QoS
  7. 7. Компоненты 1) лог-менеджмент (LM). Только прием событий от источников, нормализация, симптоматика, хранение. 2) SIEM (ESС - Enterprise Security Console). Корреляция, инцидент- менеджмент, отчеты. Без ограничений на количество пользователей, объемы хранения и EPS. 3) Аналитика (ESS - Enterprise Security System). 4) Сетевой сенсор (NS – Network Sensor). До 3GB/s. Анализ сетевых соединений, проверка хешей по фидам, обнаружений сетевых атак, угроз. 5) Агент – без ограничений. 8
  8. 8. 9 Источники Управляющий сервер RuSIEM (all-in-one) syslog
  9. 9. Филиал 1 Филиал 1 Регион Филиал N ГО Офисы
  10. 10. Горизонтальное масштабирование 11 LM ESC ESS NS MQ MQ LM/ESC
  11. 11. Варианты конфигураций • 1 LM (minimal) • 1 SIEM (minimal) • 2 и более LM + 1 SIEM • Множество SIEM + множество LM • 1 SIEM + Analytics • SIEM + Analytics + Network sensor 12 Ограничения: • Аналитика всегда с компонентом SIEM • SIEM/Analytics/Network sensor – рекомендуется разные сервера
  12. 12. Масштабирование данных 13 • Различный набор данных на нодах в одном кластере • Единый запрос ко всем нодам или к отдельным • Возможность размещения веб-консоли на любой ноде • Возможность физического отделения данных нод • Быстрая корреляция по шине без копирования всех данных между нодами • Подключение источников как на одну ноду, так и на разные MQ Источники-1 Источники-2
  13. 13. Кластер данных 14 Источники-1 Источники-2 • Единый набор данных • Репликация средствами БД • Возможность ограничения репликаций • Возможность работы с событиями на выделенной ноде для повышения скорости поисковых запросов
  14. 14. Гибридное размещение данных 15 • Единый и(или) различный набор данных • Корреляция с филиалов без необходимости передачи всех событий ® • Возможность расположения консоли на любой из нод Набор 1 Набор 2 Набор 3 MQ
  15. 15. Агент RuSIEM • Off-box. Устанавливается только на Windows 2003+ • Обязателен .net 4.0+ • Сбор одним агентом локально и удаленно с множества источников одновременно, в том числе с разноформатных источников • Универсальные коннекторы: • Файл-лог • Транспорт ftp/sftp/ftps • MySQL • Oracle • 1C 8.3 • MS SQL • Hash process map • WMI query • SDEE • Windows Event Log 16
  16. 16. Архитектура агента • Управляется полностью с единой консоли • Модульная архитектура • Поддерживается dhcp/arp_proxy • Обновление агента и модуля с управляющего сервера • Передача логов агента на сервер и локально • Использование пред-заданной учетной записи в консоли для каждого источника • Буфер хранения на агенте при потере связи с сервером и непрерывный сбор • Интервал опроса с сервера и прочие параметры – с веб-консоли сервера • Шифрование и обеспечение КДЦ буфера хранения событий • Шифрование канала агент-сервер • Управляющий сервер и логгер могут быть разными 17
  17. 17. Корреляция • По одному событию • По количеству событий • По сложному логическому условию • Последовательность событий/условий • С учетом инцидент-менеджмента • С применением симптоматики • С учетом значений из списков • Возможность запуска команд с передачей параметров • Учет временных диапазонов срабатывания правила • Ограничение зоны видимости инцидента • Установка приоритетов/темы и описания инцидента/назначение на пользователей и группы 18
  18. 18. Коробка VS кастомизация • Системные и пользовательские сущности • Предзаданные обновляемые отчеты, дашборды, симптомы, правила корреляции, фиды • Абсолютно все кастомизируемо из веб интерфейса без необходимости написания кода • Интуитивно понятный интерфейс • Индивидуальные представления для каждого пользователя • Подключение новых источников от 3х часов до 3х дней 19
  19. 19. Обновление • Возможность онлайн обновления (или оффлайн) • По-компонентный выбор и настройка обновления с возможностью отключения обновления • Сервера не передают никаких данных заказчика • Поддержка обновления через прокси или с sslstrip • Обновление: • Фидов – каждый час • Правил корреляции и базы знаний – ежедневно (с возможностью экстренных обновлений) • Компонентов системы – ежедневно/еженедельно 20
  20. 20. Контактная информация: Наш сайт: https://www.rusiem.com Инфо: support@rusiem.com Олеся Шелестова oshelestova@rusiem.com (skype, mail) Максим Степченков m.stepchenkov@it-task.ru СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 35

×