Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Есть ли жизнь без SIEM
Игорь Гоц
май, 2015
Начало начал
• Планируется внедрение SIEM
• Отсутствие бюджета на внедрение SIEM
• Расследование инцидентов
• Хочется созд...
Организация сбора и обработка
• Высокая трудоемкость (80% времени)
– Сбор журналов
• Журналы работы серверов
• Журналы раб...
Разбор и нормализация
• Рекомендации Интернета
– grokdebug.herokuapp.com
• Тестирование конфигурационным файлом
Есть ли жи...
Ситуационный центр
• Состав:
– Монитор
– Свободное место
– Желание
Есть ли жизнь без SIEM 5
Сценарии
• Атака на внешний портал
• Перенаправление почты вовне
• Отправка данных в интернет через прокси
• Поиск источни...
Куда идти
• Анонимизация журналов c помощью
logstash и отправка их в интернет
• Анонсирован watcher
(http://elastic.co/pro...
Вопросы
Игорь Гоц <igorgots@gmail.com>
http://reply-to-all.blogspot.ru/
Есть ли жизнь без SIEM 8
Upcoming SlideShare
Loading in …5
×

Есть ли жизнь без SIEM

947 views

Published on

Есть ли жизнь без SIEM

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Есть ли жизнь без SIEM

  1. 1. Есть ли жизнь без SIEM Игорь Гоц май, 2015
  2. 2. Начало начал • Планируется внедрение SIEM • Отсутствие бюджета на внедрение SIEM • Расследование инцидентов • Хочется создать ситуационный центр • Любовь к графикам и цвету Elasticsearch-Logstash-Kibana (ELK) Есть ли жизнь без SIEM 2
  3. 3. Организация сбора и обработка • Высокая трудоемкость (80% времени) – Сбор журналов • Журналы работы серверов • Журналы работы сетевого оборудования • Журналы системы контроля доступа • Журналы с АТС • Журналы работы приложений (Интернет, 1С, почта) • Журналы всего, что может отдать журналы или откуда их можно взять – Разбор журналов и нормализация • grep • Simple Event Correlator • Logstash Есть ли жизнь без SIEM 3
  4. 4. Разбор и нормализация • Рекомендации Интернета – grokdebug.herokuapp.com • Тестирование конфигурационным файлом Есть ли жизнь без SIEM 4
  5. 5. Ситуационный центр • Состав: – Монитор – Свободное место – Желание Есть ли жизнь без SIEM 5
  6. 6. Сценарии • Атака на внешний портал • Перенаправление почты вовне • Отправка данных в интернет через прокси • Поиск источника анонимки Есть ли жизнь без SIEM 6
  7. 7. Куда идти • Анонимизация журналов c помощью logstash и отправка их в интернет • Анонсирован watcher (http://elastic.co/products/watcher) • Kibana4 (сложные dashboards) • Kibana3 dashboards (https://gist.github.com/IgorGots/8ebc4ef36747b3b0314d) • Logstash configs and panel (https://github.com/IgorGots/PHDaysV) Есть ли жизнь без SIEM 7
  8. 8. Вопросы Игорь Гоц <igorgots@gmail.com> http://reply-to-all.blogspot.ru/ Есть ли жизнь без SIEM 8

×