Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Splunk for NAC in Yandex

202 views

Published on

Splunk for NAC in Yandex

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Splunk for NAC in Yandex

  1. 1. Splunk based network access control (NAC) Игорь Гоц Группа инфраструктурной безопасности
  2. 2. Среда © Яндекс 2016 Splunk based network access control 3 01 Более 7 000 рабочих мест 02 Более 95% рабочих мест мобильные или удаленные 03 Более 30 версий операционных систем (Windows, MacOS, *nix) 04 Ежедневное изменение инфраструктуры 05 Разработчики и тестировщики локальные администраторы 06 Отсутствие средств фильтрации трафика
  3. 3. Среда © Яндекс 2016 Splunk based network access control 4
  4. 4. Варианты клиентов NAC © Яндекс 2016 Splunk based network access control 5 01 Установленный агент 02 Скачиваемый агент 03 Удаленный вызов процедур (RPC) 04 Сканер уязвимостей 05 Мониторинг
  5. 5. Варианты клиентов NAC © Яндекс 2016 Splunk based network access control 6
  6. 6. Критерии © Яндекс 2016 Splunk based network access control 7 01 Профиль пользователя • ОС • Браузер • Пароль • Статус 02 Профиль компьютера • Сертификат • Имя компьютера • ОС • MAC-адрес 03 Антивирус • Наличие • Статус 04 Сертификат 802.1х • Время • Место 05 Обновление ПО • Microsoft SCCM • Casper Suite • osquery
  7. 7. Критерии © Яндекс 2016 Splunk based network access control 8 Splunk> 802.1x netflow MS AD ACSweb AV systems access
  8. 8. Особенности © Яндекс 2016 Splunk based network access control 9 01 Полнота журнала 02 Скорость доставки журнала 03 Скорость индексации в splunk 04 Скорость появления событий в выдаче 05 Порядок выборок 06 Скорость выборки
  9. 9. Принципы применения политик © Яндекс 2016 Splunk based network access control 10 01 Мягкое уведомление • Письмо • Тикет 02 Жесткое уведомление • Письмо • Тикет • Сотрудник HD • Руководитель 03 Блокировка • Карантинный VLAN • Доступ до email • Обращение в HD
  10. 10. Принципы применения политик © Яндекс 2016 Splunk based network access control 11
  11. 11. Пользователь - компьютер © Яндекс 2016 Splunk based network access control 12 service radius (802.1x) enriched service log Имя пользователя и имя на сертификате совпадают?
  12. 12. Пользователь или компьютер ? © Яндекс 2016 Splunk based network access control 13 antivirus log computer$ Это компьютер или пользователь?
  13. 13. To google or not to google? © Яндекс 2016 Splunk based network access control 14 Пользователь использует Google Chrome? service netflow http_user_agent download AV check srt stats
  14. 14. Счастливые часов не наблюдают © Яндекс 2016 Splunk based network access control 15 Сейчас рабочее время?
  15. 15. © Яндекс 2016 Splunk based network access control 16 Спасибо за внимание.
  16. 16. Контакты © Яндекс 2016 Splunk based network access control 17 gots@yandex-team.ru Гоц Игорь

×