Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Как правильно выбрать и внедрить SIEM-систему?

105 views

Published on

В рамках секции: Практика защиты

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Как правильно выбрать и внедрить SIEM-систему?

  1. 1. ВЫБОР И ВНЕДРЕНИЕ СИСТЕМЫ МОНИТОРИНГА СОБЫТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ПРАКТИЧЕСКИЙ ОПЫТ. Земцов Павел Евгеньевич Консультант по средствам защиты информации и мониторинга информационной безопасности
  2. 2. О чем презентация?01 1. Что требуется от современной SIEM-системы? 2. Опыт выбора компонент и состава SIEM-системы для решения задач по мониторингу ИБ. 3. SIEM-система выбрана, что необходимо сделать для её оптимального внедрения и эффективного использования?
  3. 3. Проблематика ИБ02 • Любая современная организация – сложная, мультивендорная ИТ-инфраструктура. • Большой объем событий и число источников, обеспечивающих поступление актуальной информации. • Необходимость мониторинга состояния защищенности и обработки инцидентов ИБ. • Главной проблемой мониторинга защищенности стало не отсутствие информации, а её обработка.
  4. 4. Задачи, решаемые SIEM системой03 • Централизация сведений о состоянии защищенности от различных источников • Обнаружение в режиме реального времени инцидентов ИБ • Соответствие нормативным требованиям и стандартам по обеспечению ИБ в целом • Насыщение данных дополнительными сведениями • Повышение уровня защищенности компании
  5. 5. Описание компонент системы04 Агенты - сбор данных: • события аудита • параметры конфигурации систем • сведения об уязвимостях Центральные компоненты • сбор и хранение полученных данных • обработка анализ и выявление инцидентов ИБ • пользовательские интерфейсы
  6. 6. 05 ПОДБОР РЕШЕНИЯ ПОД ЗАДАЧИ ЗАКАЗЧИКА
  7. 7. Выбор решения. 1 этап - кабинетное исследование06 • Определение требований к решению и их критичность • Анализ документации, консультации производителей № Критерии Критичность Оценка соответствия критериям Система 1 Система 2 Система N 1. Категория 1 1.1 Система должна… Критичный Соответствует Не соответствует Соответствует 1.2 Система должна… Важный Не соответствует Не соответствует Соответствует ******* ********* ********* ********* ********* ********* Результат Частично удовлетворяет Не удовлетворяет Наиболее соответствует • Оценка соответствия требованиям • «Победители» переходят на 2 этап
  8. 8. Выбор решения. 2 этап – пилотное тестирование07 • Тестирование решений в промышленной среде • Подключение боевых источников событий • Отчет по итогам пилотного тестирования и протокол испытаний • Обоснованный выбора решения • Разработка общей методики испытаний • Проведение испытаний
  9. 9. 08 ЗАДАЧИ ПО ВНЕДРЕНИЮ СИСТЕМЫ МОНИТОРИНГА СОБЫТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  10. 10. Типовые задачи по внедрению системы09 1. Предпроектная аналитика в области ИБ 2. Внедрение системы мониторинга 3. Подготовка персонала 4. Организация процесса мониторинга
  11. 11. Предпроектная аналитика в области ИБ10 Что защищаем? Провести инвентаризацию: • Объекты защиты • Средства защиты информации • Характеристики каналов связи От чего защищаем? • Актуальные угрозы • Ключевые направления мониторинга ИБ • Векторы возможных кибератак
  12. 12. Целевая архитектура SIEM11 Центральная площадка Малая площадка Крупная площадка
  13. 13. Предпроектная аналитика в области ИБ 212 Как идентифицировать атаку? • Какие события идентифицируют инцидент или атаку? • Какие журналы аудита и параметры аудита необходимы? Какие сценарии использования? • Жизненный цикл инцидента • Шаблоны отчетов и оповещений, настройки их рассылки
  14. 14. Внедрение программно-технических средств системы13 Монтаж и инсталляция • Программно-технические средства системы Подготовка к подключению • Настройка сетевого взаимодействия • Настройка самих целевых систем Подключение целевых систем • Настройка задач по сбору событий • Разработка коннеторов (при необходимости)
  15. 15. Внедрение программно-технических средств системы 214 Настройка системы для выявления инцидентов ИБ • Правила обработки данных • Правила анализа и корреляции • Правила регистрации и обработки инцидентов Прочие настройки • Запросы к архиву данных, отчеты, дашборды. • Назначение прав пользователям системы • Рассылка оповещений/отчетов и т.д.
  16. 16. Подготовка персонала15 Режим работы персонала • Выделенный персонал для работы с системой • Круглосуточная работа службы мониторинга Квалификация сотрудников • Образование в области ИТ и ИБ • Обучение и периодическая актуализация знаний • Обмен опытом между коллегами
  17. 17. Организация процесса мониторинга16 Обработка выявленных инцидентов ИБ • Проверка на ложное срабатывание • Приоритизация и контроль обработки • Оперативное реагирование и противодействие Расследование инцидентов • Исключение повторов атак в будущем, уменьшения их негативных последствий Оценка эффективности мониторинга • Метрики для оценки эффективности • Корректировка процесса мониторинга для повышения его эффективности
  18. 18. Организация процесса мониторинга 217 Улучшение работы системы • Уменьшение ложных срабатываний • Анализ поступающих в систему данных, оптимизация настроек • Фильтрация и приоритезация данных Актуализация векторов атак и моделей угроз • Инвентаризация объектов защиты и СрЗИ • Подключение новых целевых систем • Доработка правил корреляции
  19. 19. Аутсорсинг мониторинга ИБ18 Отсутствие необходимых программно- технических средств Отсутствие выделенного персонала Необходимость быстрого старта процессов Круглосуточный мониторинг
  20. 20. Заключение19 СПАСИБО ЗА ВНИМАНИЕ ВОПРОСЫ? Земцов Павел Евгеньевич Консультант по средствам защиты информации и мониторинга информационной безопасности Mail: Pavel.Zemczov@icl.kazan.ru

×