Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SIEM для ИТ

563 views

Published on

Системы класса SIEM могут быть вполне применимы не только для информационной безопасности, но и ИТ персоналом, разработчиками для своевременного обнаружения и предотвращения инцидентов

Published in: Software
  • Be the first to comment

  • Be the first to like this

SIEM для ИТ

  1. 1. Олеся Шелестова oshelestova@rusiem.com SIEM и для ИТ!
  2. 2. Что такое SIEM • Security Information and Event Management Сменим аббревиатуру? • Ну к примеру, СIEM – Continuous Information Event Manager 3
  3. 3. CIEM (SIEM) • На входе всегда события. Это минимальная и необходимая единица измерения, повествование о чем либо (не важно о чем). • События приводятся к единому формату key:value • Обогащаются метаинформацией • Аггрегируются (схлопываются) • Коррелируются по правилам написанным пользователем • Анализируются различными методами и алгоритмами • На выходе – не 100 алертов, а 1 инцидент о коренной проблеме. • Инцидент фиксируется во встроенной или внешней системе 4
  4. 4. • Фактически, не важно какими данными кормить систему • Результат зависит от качества входных данных, набора правил обработки и анализа «внутри» • Именно поэтому, SIEMы уже широко применяются для анализа финансовых потоков, анти-фрода, целевого маркетинга и для прочих целей 5
  5. 5. SIEM: мифы • SIEM только для информационной безопасности • Дорого стоит • Zabbix/Nagios «хватает» • «MTTR не для нас» • В SIEM не пускает ИБ • «Захламляете вашими ИТ-шными логами/нет лицензии на EPS» 6
  6. 6. • В аббревиатуре SIEM есть «security». Но ставить на этом акцент не нужно. • В логах есть информация полезная для ИТ • Системы мониторинга дают много ложных уведомлений • Системы мониторинга не могут связать в логическую цепочку разрозненные алерты 7
  7. 7. • Проблемы с дисковыми подсистемами • Зависшие и неработающие приложения • Ошибки приложений • Отсутствие соединения до бек-энда • Внезапные сбои в работе веб-приложений • Ошибки сети • Проблемы с маршрутизацией • Проблемы с доступами и блокировками • Флип-флоп интерфейсов приводящие к различным проблемам • Проблемы аутентификации из за сбоев • Отслеживание изменение конфигураций и обновлений • Многочисленные проблемы инвентаризации • Многочисленные ошибки доставки электронной почты • И многое другое 8
  8. 8. Как обходимся, коллеги? • cat/grep/tail логов • Ни дай бог если это «тяжелый» лог или windows event log на загруженном сервере • Приходится просить коллег, так как доступа на сервер/приложение/базу данных - нет • Если сервер упал или что то с диском – не узнаем причин • Смотрим когда «все уже плохо» • Форенсикой занимаются другие и может уйти значительное время • «Бревна в глазу не видим» 9
  9. 9. Что даст CIEM? • Снижение времени реакции на возникающие инциденты • Предотвращение инцидентов на ранних стадиях • Видимость происходящего в инфраструктуре • Инвентаризация программного обеспечения, оборудования, процессов, сервисов, групп и пользователей, прав доступа, ip адресации 10
  10. 10. Что даст CIEM? • Централизованный сбор в автоматическом режиме • Удобные методы и инструменты поиска по событиям • Понятный вид событий • Графические представления • Отчеты с автоматической доставкой • Корреляция – вы будете видеть корень проблемы, а не миллионы уведомлений и логов • Фиксация инцидентов с возможностью постановки задач для оперативного реагирования 11
  11. 11. Какие события можно послать? • Фактически – любые • Текстовые w3c/txt/csv/cef/etc логи с разделителями ключей и значений • Syslog tcp/udp любого формата согласно syslog rfc, в том числе plain/json/msgpack/cef/etc • Windows event log 12
  12. 12. Цены • В зависимости от набора и количества компонент • В среднем, для SMB варьируется 600 000р – 3 500 000 13
  13. 13. Можно и «дешевле» 14
  14. 14. Но придется наступать на грабли • «Виснет» • Падает при накоплении объема и висит на выборке • Ограничение на объем или количество источников • Не всякий источник можно подключить • Приобретение сторонних лицензий (Click-view, MS SQL, etc) • Логи теряются • Json поля без вложенности 15
  15. 15. «Напильник» • Корреляцию писать вам самим • Нормализацию источников писать самим • Сторонние транспорты для сбора – самим • Отчеты – скорее всего самим Все это не так просто. Многим ли под силу? Что произойдет если уйдет сотрудник писавший это? Посчитайте затраты. 16
  16. 16. Что в итоге экономии? • Вы будете видеть только логи • Отсутствует интерпретация событий понятным языком • Может удастся создать какие то алерты с уведомлением на почту • Почтовые уведомления вы перестанете читать через 4 дня 17
  17. 17. Возможности в RuSIEM 18
  18. 18. Дашборды • Наборы настраиваемых виджетов • Настройки индивидуальны для каждого пользователя • Автоматическое обновление данных • Импорт/экспорт другим пользователям • Наборы страниц с виджетами для быстрого анализа • Возможность отображения данных как по базе данных событий, так и по аналитике 19
  19. 19. Навигация по событиям • Графическое отображение событий • Быстрая выборка событий • Проваливание по графику в интересующий интервал • Полнотекстовый и точечный поиск • Быстрый поиск внутри выбранных данных • Составной поиск через операторы and/or/not и другие • Группировка и сортировка • Вывод только интересующих полей в определенном порядке • Выгрузка отобранных событий в csv файл • Поиск через симптоматику без знания как выглядят события (например, «Ошибки сети», «Ошибки диска», «Неуспешные входы») • Подсчет траффика или других количественных характеристик с группировкой по любому полю 20
  20. 20. Симптоматика • Подпись каждому событию русским текстом – о чем оно с возможностью использования этих тегов во всех компонентах системы • Весовые параметры критичности • Событие может попадать под несколько симптомов, добавляя подписи мета-тегов и увеличивая/уменьшая суммарную критичность события • Последовательные цепочки симптомов для выявления коренной или итоговой проблемы • Возможность добавления симптомов пользователем 21
  21. 21. Корреляция • Real-time Rule based reasoning корреляция • Графический понятный конструктор • По одному событию (например, message:”disk full”) • По серии событий (count.message:”http.error>500” >= 100/60 sec) • По последовательности событий (service.stopped and not started in 5 minutes) • Логические объединяемые условия с drag-and-drop перестановкой • Подсчет уникальных значений • Группировка по одному или нескольким полям и значениям через and/or • Возможность использования симптоматики вместо сложных выражений • Учет времени. К примеру – в определенные дни недели в указанное время. • Возможность запуска скрипта с передачей значений. Например, для автоматического патча или блокирования. • Установка приоритета и исполнителей инцидента с ограничением видимости другими пользователями • Правила может редактировать и создавать пользователей 22
  22. 22. Встроенный инцидент-менеджмент • Инциденты формируются в результате срабатывания правил корреляции • Уведомление об инциденте и задачах по электронной почте со ссылкой на инцидент • Ограничение видимости инцидента другими пользователями системы • Постановка задач с открытием видимости другим сотрудникам/группам • Эскалация инцидента • Статусы инцидента: назначен, в работе, эскалирован, приостановлен, закрыт • При эскалации меняется область видимости инцидента • Повторно по одному и тому же объекту группировки инцидент не открывается до тех пор пока текущий не закрыт, пополняется уже открытый • События отвязаны от инцидента, но поиск породивших инцидентов возможен по ссылке на любом поле внутри инцидента • Подсчет количества попаданий по каждому полю в рамках инцидента • Веса инцидента и количество событий • Быстрое закрытие инцидента «по кнопке» - ложное срабатывание/решен • Просмотр правила корреляции из инцидента 23
  23. 23. Аналитика • Агрегация весов симптоматики по объектам (host/process.name/user.name и прочим) с формированием инцидента в случае превышения суммарного веса • Baseline по любым параметрам. От одного до 4х параметров в каждом правиле. Например, количество ошибок в связке с хостом по каждому хосту в событиях. При превышении указанной дельты (то есть в случае всплеска) – формируется инцидент. • Поведенческий анализ • Прочие алгоритмы для обнаружения аномалий и инцидентов • Правила могут редактироваться и создаваться пользователем 24
  24. 24. Взаимосвязи • Построение графического представления связей для быстрой аналитики • Указание уточняющего запроса sql-like с фильтрацией • Ограничение запроса по «топ 10-500000» • Возможность построения по любым критериям, симптомам, полям. Например: • пользователь-группа отобразит в какие группы входит. • Пользователь-хост отобразит куда пользователь входил за указанный интервал времени. • Симптомы-пользователь покажет что делал пользователь за указанный период времени, какие ошибки возникали. • Geoip-хост покажет с каких стран/городов были соединения с данным хостом 25
  25. 25. Отчеты • Пред-заданные шаблоны отчетов и возможность добавление пользователем • Наборы графиков, таблиц в отчете. В том числе, возможность добавления различных наборов в одном отчете. • Формирование по расписанию отчета с возможностью отправки по электронной почте указанным получателям. • Построение отчетов по базе данных событий и аналитике. 26
  26. 26. Контактная информация: Сайт разработчика: https://www.rusiem.com Инфо: info@it-task.ru , support@rusiem.com Максим Степченков m.stepchenkov@it-task.ru Олеся Шелестова oshelestova@rusiem.com (skype, mail) Официальный дистрибьютор: СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru 27

×