Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

RuSIEM vs SOC (Rus)

37 views

Published on

Способы взаимодействия RuSIEM с SOC.

Published in: Software
  • Be the first to comment

RuSIEM vs SOC (Rus)

  1. 1. support@rusiem.com https://rusiem.com RuSIEM vs SOC (Security Operation Center) 2018
  2. 2. Существующие способы на данный момент • Пересылка событий по Syslog (TLS) всех, по фильтру или критичности • Уведомление по электронной почте по правилу корреляции • Формирование и отправка событий при срабатывании правил корреляции • Запуск скрипта и сценария в корреляции • Иерархическая структура RuSIEM • Вариант «только SOC» с установкой коллекторов или нод хранения на стороне Заказчика с управлением операторами SOC • Доступ к инцидентам, событиям через API 3
  3. 3. Пересылка событий по Syslog • Plain text или TLS Syslog • Все или по фильтру (поле, хост, источник, критичность и прочее) • С учетом RuSIEM симптоматики ® • В формате: RAW, нормализованные, CEF 4
  4. 4. Уведомление по электронной почте • Пользователям, группам и любым внешним адресам электронной почты • Указывается индивидуально в каждом правиле корреляции 5
  5. 5. Формирование и отправка событий при срабатывании правил корреляции • Текст события указывается индивидуально в каждом правиле корреляции • По умолчанию, используются уведомления для пользователей системы (по группам/пользователям/ролям) 6
  6. 6. Запуск скрипта/сценария в корреляции • Локальный запуск скрипта/команды индивидуально указываемого для правила • Содержимое скрипта – любой ваш контент • Запускается при срабатывании правила корреляции • Поддерживаются передача переменных с корреляции (например $host, $src.ip, $user.name) 7
  7. 7. Иерархическая структура RuSIEM • Распределенный поиск по событиям без консолидации событий в единое хранилище • Распределенная корреляция без консолидации событий • Использование многоуровневой модели с разными периодами хранения, своими правилами корреляции • Связанные и не связанные уровни модели • Удаленное управления нодами из единой консоли 8
  8. 8. SOC Заказчики
  9. 9. Вариант «только SOC» • У Заказчика устанавливаются только ноды для сбора и(или) хранения событий • Управление осуществляется только с SOC • Доступ к управлению нодами Заказчика может быть ограничен для персонала SOC и предоставляется только доступ к событиям 10
  10. 10. SOC Заказчики Региональные объекты
  11. 11. Доступ к инцидентам, событиям через API • Управление настройками нод удаленно из единой консоли • Управление любыми разделами удаленно • Полное управление инцидентами, симптоматикой, правилами корреляции удаленно • Аутентификация и авторизация через токены и ролевую модель 12
  12. 12. Контактная информация: Сайт : https://www.rusiem.com Новости в телеграм: https://t.me/rusiem Фейсбук: https://www.facebook.com/rvsiem Инфо: support@rusiem.com СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 13

×