13 советов, от которых зависит успешность вашего SOC

13 советов, от которых зависит
успешность вашего SOC
Алексей Лукацкий
25 апреля 2019
Бизнес-консультант по кибербезопасности

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Внутри Cisco SOC строится уже 19 лет!

Выбросьте триаду на помойку
Команда
Технологии
Процессы
Окружение Intelligence
Стратегия Миссия / цели

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Совет 1:
определитесь с
тем, что такое
SOC?

Вы только мониторите или также реагируете?

Ваш SOC – это баланс между бизнесом,
технологиями, рисками и финансами
Бизнес-требования
Централизация Децентрализация
Единый глобальный SOC
Разные центры (SOC/NOC)
Снижение стоимости
Простота управления
Множество SOCов
Единый центр (SOC/NOC)
Высокая стоимость
Сложность управления
Технические требования
Стандарт Кастомизация
Простая платформа
Простота масштабирования
Средние детали по угрозам
Низкая стоимость внедрения
Комплексная платформа
Сложность масштабирования
Глубокие детали по угрозам
Высокая стоимости внедрения
Толерантность к рискам
Аутсорсинг Инсорсинг
30-90 дней на внедрение
Некритично для бизнеса
Низкая стоимость внедрения
Внешняя сертификация
Долгое внедрение
Критично для бизнеса
Высокая стоимости внедрения
Регулярные аудиты
Финансы
Низкая стоимость Высокая стоимость

Какой SOC вы хотите?
Compliance
• Ориентация на НПА ГТС /
НацБанка / Правительства
• «Заблокировал и забыл»
• Нет Use Case и Playbook
• Отсутствие интеграции с
ИТ и бизнесом
• Отсутствие процессов
Бизнес
• Ориентация на инциденты,
а не события
• Защита критичных активов
• Ориентация на людей и
процессы в SOC, а не
технологии
• ИБ с точки зрения
бизнеса
• Контроль качества
Мода
• SIEM – ядро SOC
• SOC нужен для
Киберщита
• У всех есть и мне нужен

Что вы будете охватывать вашим SOCом?
Любые
пользователи
Сотрудники
Контрактники
Партнеры
Любые
устройства
Корпоративные
Собственные
IoT
Любые
приложения
ЦОД
Мультиоблако
SaaS
В любых
местах
Внутри сети
Через VPN
Вне сети

Совет 2:
операционной
моделью

Совет: аутсорсинг имеет плюсы и минусы
Параметр Свой SOC Чужой SOC
Контроль и подотчетность Полные Частичные
Гибкость в настройке под свои
нужды
Высокая Стандартные сервисы и
стандартный SLA
Знание локального окружения Высокое Низкое или отсутствует
Скорость развертывания От полугода (обычно 2-3 года) 2 месяца
Режим работы Обычно 5 х 8 Обычно 24 х 7
Возможности по
реагированию
Максимальные Средние
Масштабирование Среднее Высокое
Уровень компетенций Средний Высокий
Форма затрат CapEx OpEx
Предсказуемость затрат Непредсказуемый Предсказуемый

Совет: аутсорсинг имеет плюсы и минусы
Параметр Свой SOC Чужой SOC
Гарантии (финансовые и т.п.) Отсутствуют Возможны
Зависимость от каналов связи Средняя Очень высокая
Хранение событий
безопасности
Локально За пределами организации
Права на технологии и
процессы
Принадлежат заказчику Принадлежат аутсорсеру
Выход за пределы своей
организации
Невозможен Возможно использовать
данные по другим заказчикам
Видимость «бревен в своем
глазу»
Низкая Высокая
Выделенный персонал Да Нет

Глобальный SOC Региональный SOC Провайдеры ИБ Контракторы
Реагирование на инциденты ИБ
Управление услугами
Анализ киберугроз
Cyber Threat Intelligence
Экзотический /
национальный инцидент
Поддержка реагирования
Координация
восстановления
Аналитика безопасности
Управление данными безопасности
Расследование инцидентов
Анализ вредоносного кода
Управление отраслевыми
средствами защиты
Управление средствами
защиты
Управление услугами Управление услугами Управление услугами
Отраслевой инцидент
Управление
национальными СрЗИ
Общий инцидент
Управление платформой
Platform Dev & Engineering
Управление контентом
Операции ОперацииPlatform Dev & Engineering
Управление контентом
Восстановление Восстановление
Управление средствами
защиты
Гибридная модель

Совет 3: прежде,
чем мониторить
что-то, внедрите
это что-то

Продукты ➩ Security Operations ➩ SOC
События Нормализация /
категоризация
Корреляция Triage
ИнцидентПравилаХранение
False Positive
Расследование
и реагирование
R&D
Контроль
качества
Внешние
службы
Извлечение
уроков
Playbook /
Wiki
Обогащение
Security Operations объединяет множество решений в единый комплекс!
платных и бесплатных

Прежде чем строить SOC или отдавать
мониторинг на аутсорсинг в внешний
SOC, сначала внедрите то, что будет
отдавать данные
Совет: сначала внедрите то, что вы хотите
мониторить
Для мониторинга МСЭ на периметре и
антивируса на ПК SOC не нужен!
В Н И М А Н И Е
Это частый запрос в наш
аутсорсинговый SOC

Совет 4:
Use Case

Видео!
Смотрите
внимательно!

Что вы видите?

• Мониторинг привилегированных субъектов доступа
• Множественные неудачные попытки аутентификации (brute
force)
• Аномалии аутентификации
• Сервисные учетные записи использованы для интерактивного входа
• Сервисные учетные записи использованы с неавторизованных систем
• Пользователь входит в локальную сеть сразу после входа в VPN
• Пользователь входит в систему за 1+ час до и через 1+ час после
нормальных рабочих часов
• Интерактивный вход сразу из нескольких источников под одной
учетной записью
Топ10 use case для SOC

• Аномалии аутентификации (продолжение)
• Использование учетной записи по умолчанию
• Использование общих (shared) учетных записей
• Сессионные аномалии
• Типичный пользователь должен иметь сеанс работы, длительностью
около 10 часов
• Существенное изменение профиля Web-серфинга
• Всплески в запретах исходящих соединений на МСЭ
• Сетевые коммуникации между рабочими станциями
• Превышение разумной длительности сессий

• Аномалии учетных записей
• Учетная запись используется до начала рабочего дня пользователя
• Учетная запись используется после конца рабочего дня пользователя
• Индикаторы утечек данных
• Несоответствие HTTP(S) Send/Receive
• Протоколы передачи файлов от пользователей или сервисов,
которым эти протоколы не требуются (например, FTP с принтера)
• Использование облачных хранилищ (Яндекс.Диск, Dropbox, OneDrive и
т.п.)
• Поиск известных уязвимостей

• Любые чрезмерные отказы сервисов
• Невозможность обновления антивируса или сбои бэкапов
• Индикаторы внутренней угрозы
• Доступ к хакерским сайтам или «исследованиям по ИБ» для рядовых
пользователей
• Использование USB
• Нарушение эталонного уровня аутентификации
• Отказы аутентификации на file shares, приложениях, серверах,
порталах и т.п.
• Отказы в логах безопасности

Use case для DNS-активности (пример)
1
2
3
4
5
Молодой (менее 7 дней)
или недавно
зарегистрированный домен
Имя не в списке Alexa
Странный или длинный
домен второго уровня
Шестнадцатеричное имя
домена
Энтропия символов в
названии домена
6
7
8
Трафик к внешнему IP
без запроса DNS
Запросы с длинными TXT
записями
TXT без записи типа A
9
…
Запросы к динамическим
DNS-провайдерам
Взаимодействие с
вредоносными TLD

Настройте SOC на обнаружение Топ10
use case – они встречаются у всех
Совет: SOC не умеет мониторить все –
выберите самое важное для вас
У вендоров серьезных SIEM есть уже
готовые наборы use case – не
пренебрегайте ими
Разработайте use case, которые нужны
именно вам

Совет 5:
персоналом

Разные модели работы SOC в режиме 24 х 7
Кейс 1 Кейс 2 Кейс 3
Минимальное число команд / людей 5 / 5 6 / 6 6 / 6
Часов в смену 10 10 12
Среднее число часов в неделю 42 + 2 часа
сверхурочных
40 42
Плюсы
Ротация рабочих и
нерабочих дней на
выходные
40-часовая неделя с 3-
мя выходными
Работа в те же дни
каждую неделю
Никто не работает
больше трех дней
подряд
3-хдневные каникулы
каждые выходные
Минусы
Отсутствие
постоянных
рабочих дней
3 команды каждые
выходные не работают,
а 3 – работают каждые
выходные
Длинная смена
Работа до 62 часов в
неделю
2 часа сверхурочных
на сотрудника
Цикл повторения
20 дней 21 день 28 дней

Типичные режимы работы аналитиков SOC - 8 х 5, 12 х 5, 18 х 7,
24 х 7
Режим работы SOC и длительность смена
Минимум – 7 человек для режима 7 х 24 с часовым перекрытием в
смене и одним «плавающим» сотрудником для закрытия отпусков
и болезней
10 аналитиков - для режима 24 х 7 х 365
+ 2 наиболее опытных аналитика (L2) работают в режиме 8 х 5 и
доступны для покрытия смен для запланированных и
непланируемых отсутствий

Совет 6:
учитывайте
физиологию

Сейчас вы увидите
видео
Посчитайте
количество передач
мяча, сделанных
людьми в белых
футболках!

Правильный
ответ - 16

Вы заметили
гориллу?!

уход девушки
в черной
футболке?!

уход смену
цвета штор на
заднем
плане?!

После 12-ти минут непрерывного
мониторинга аналитик пропускает 45%
активности на мониторе. После 22-х – 95%
Совет: учитывайте физиологию работы
аналитика
После 20-40 минут активного мониторинга
у аналитика наступает психологическая
слепота
Подумайте о ротации смен, режиме отдыха
аналитиков и, возможно, замене L1 машинным
обучением или иными технологиями

Не забудьте про естественный дневной ритм
человека
100%
-50%
+50%
6 8 10 12 14 16 18 20 22 24 2 4 6 t, время суток
Работоспособность
У «жаворонков» и «сов» графики будут чуть сдвинуты
относительно друг друга
В обед
работоспособность
аналитика
снижается
В ночное время
работоспособность
падает
катастрофически
Работоспособность =
внимательность,
способность принимать
решения и т.п.

Совет 7:
разработайте
workflow и
playbook

Основы Playbook
Что мы пытаемся защитить Какие у нас угрозы Как мы детектируем их Как
мы реагируем?
Минимальные
требования
• Скажи нам о зараженных машинах (боты, трояны, черви и т.д.)
• Скажи нам о подозрительной сетевой активности (сканирование,
посторонний сетевой трафик)
• Найди неожиданное / попытки неавторизованных аутентификаций
на узле
• Покажи сводку, включая тенденции, статистику, числа
• Дай нам особый взгляд на окружение (отчеты о целях,
критических активах, «горячих» угрозах, особых событиях и т.д.)
• Подключи все необходимые источники данных
• Опиши и пойми все исходящие потоки и аномалии
• Предоставь удобный и быстрый доступ к статистике и метрикам

Фишинговый workflow в SOC
Пользователь
ГосСОПКА
Поддержка
SIEM
Приоритезация
Анализ
сообщения
Блокирование
сообщения
Документирование
Первичный сбор
данных
L1 эскалирует
на L2
Определение
scope и
последствий
Блокирование
домена / URL
Закрытие кейса
Профилирование
пользователя
Смена паролей
Отчет по
инциденту
Мониторинг
учетных записей
Улучшение /
обновление
процесса
Malware
Playbook
Targeted Attack
Playbook
Тревога
T
I
R
P
T
I
R
P
СТО
П
L1
L2

Детальный workflow: фрагмент
Проверка
исторических
данных по
аналогичным
кейсам
Если кейс
повторный, то это
фишинговая
кампания.
Уведомляем CISO
Отправляем аттач
или ссылку в
песочницу или TIP
для анализа
Проверяем
репутацию
отправителя, URL
и хэш аттача
Запускаем
процедуру
блокирования?
Уведомляем
пользователей,
получивших
фишинговое
письмо
Удаляем аттач и
перезаписываем
URL?
Блокируем e-mail
на relay
Удаляем e-mail на
серверах
Уведомляем
получивших e-
mail
Обновляем TIP
Уточняем у
открывали ли они
фишинговое
письмо?
Закрываем кейс
как ложное
срабатывание
Запускаем
malware playbook
Посылаем
awareness
сообщения
нужным
пользователям
Отслеживаем
артефакты в
организации
Нет
ДаВредонос
Невредонос
Невредонос
Вредонос
Открыли Нет
Получили
сообщение о
фишинге (и сам
e-mail)
Да
Нет
Можно
раскрыть в еще
больших
деталях

Workflow анализа: пример для e-mail
Проверяем e-mail
Извлекаем
индикаторы
Извлекаем IP-
адрес
отправителя
Извлекаем URL
Извлекаем хэш
аттача
Извлекаем
заголовок
Проверяем
Вредоносные
найдены?
Проверяем файл
Нет
Файл
вредоносный?

Пример Playbook в Cisco
Непублично

Пример работы по Playbook в Cisco

Мониторинг эффективности Playbook

• ID
• Название
• Дата последнего изменения
• Владелец
• Цель
• Область действия
• Процедуры
От workflow к playbook (шаблон)

• Проверяйте почтовый ящик phishing@yourcompany.ru каждый час
• Проверяйте почтовый ящик fincert@yourcompany.ru и gossopka@yourcompany.ru каждый час на
наличие сообщений о фишинге
• Если пришло новое сообщение создайте новый тикет в <JIRA / ServiceNow…>
• Получите оригинальное сообщение от пользователя и приложите его к тикету
• Проверьте сообщение на фишинг
• Проверьте URL внутри ссылки – он совпадает с тем, что отображается в сообщении
• Проверьте домены всех ссылок в сообщении в <ваша TIP / Cisco Umbrella / VirusTotal / …)
• Сообщение пыталось обойти спам-фильтры
• Отправитель является или выглядит поддельным?
• Если сообщение не фишинговое, то это ложное срабатывание – поблагодарите пользователя и
закройте тикет. В противном случае перейдите к следующему шагу
Пример playbook: упрощенный по тексту
И без аттача

• Получите IoC и приложите их к тикету
• Полностью загрузите URL из сообщения
• С виртуальной машины загрузите файл в URL
• Вычислите хэш (SHA256 и MD5)
• Заархивируйте файл в ZIP и задайте пароль «virus»
• Скопируйте файл на ваш десктоп
• Приложите архив и хэши к тикету
• Зафиксируйте тему сообщения
• Зафиксируйте отправителя сообщения
• Зафиксируйте имя и адрес SMTP-сервера отправителя
• Это кампания
• Поищите в <JIRA / ServiceNow / …> с аналогичными отправителями, темой, контентом или URL
• Если есть повторение, то создайте новый, мастер-тикет (для кампании) в <JIRA / ServiceNow / …>
• Свяжите ранее созданный тикет с мастер-тикетом

• Оповестите сотрудников
• Если вы связали пятый тикет с мастер-тикетом, то оповестите пользователей об угрозе
• Зайдите в папку <…> и возьмите оттуда шаблон уведомления
• Пошлите шаблон в службу внутренних коммуникаций по адресу internal.pr@yourcompany.ru
• Позвоните в службу внутренних коммуникаций по телефону <> и предупредите их, что компания столкнулась
с инцидентом, о котором надо оповестить сотрудников в течение часа
• Через час проверьте, что коммуникация по сотрудникам была осуществлена. Если нет, то свяжитесь со
службой внутренних коммуникаций и выясните причину
• Блокируйте e-mail на сервере
• Откройте в мастер-тикете <JIRA / ServiceNow / …> оригиналы сообщений
• Проанализируйте общие для кампании признаки
• Если признаки есть, свяжитесь со службой ИТ по адресу it@yourcompany.ru и попросите блокировать все
входящие сообщения, соответствующие общему шаблону

• Удалите фишинговые сообщения из почтовых ящиков пользователей
• Зайдите на <почтовый сервер / Splunk / …> по адресу <…>
• Осуществите поиск по теме из оригинального сообщения
• Осуществите поиск по адресу из оригинального сообщения
• Осуществите поиск по другим признакам из оригинального сообщения
• Если вы нашли других пользователей, получивших такие же сообщения, то свяжитесь со службой ИТ по
адресу it@yourcompany.ru и попросите их удалить все фишинговые сообщения у пострадавших
пользователей
• Блэкхолинг DNS
• …
• Блокирование URL
• …
• Уведомите о фишинговой кампании <ФинЦЕРТ / ГосСОПКУ / другие компании группы / …>
• …

Совет 8: не
полагайтесь
только на SIEM.
Особенно
отечественные

Архитектура современного SOC
Системы коммуникация и
взаимодействияУправление платформой
Расследование, Workflow и
отчетность
Управление данными
ОбогащениеHosted Security
Сервисы
Enrichment
Providers
кейсами
Malware
Intel
Providers
Threat
Intel
Providers
Платформа TI
Threat
Intelligence
КоммуникацииWiki
Репликация
данных
IT
Service
Mgmt
CPE
Security
Analytics
данными
Анализ
ВПО
Портал
CRM
Финансы
Отчеты и
визуализа-
ция
HRM
Оценка
соответстви
я
Сканирование
дыр
Hosted
Infrastructure
Security
Call
Center
CMDB
Средства защиты
Телеметрия и
другие источники
Госорганы
Другие
системы
Физические
средства
Удаленная
аналитика
Cyber Security
Controls
Киберсредства
Другие
источник
и
Другие системы
Платформа
SOC
Сервисы
корпорат
.
Третьи
фирмы
Другие
платформы
Легенда:
Односторонняя
Двусторонняя
интеграция

Security Analytics Suite
NTA
EDR
SIEM
UEBA /
CASB

Совет 9: не все
можно купить за
деньги –
посмотрите в
сторону open
source

Технологии для SecOps (ядро SOC)
Технология Стоимость, $ Важность
SIEM 200.000
Network Traffic Analysis (Flow) 140.000
Network PCAP 0
Network IDS / IPS 15.000
EDR 35.000
Хранение и парсинг логов 0
Wi-Fi IDS и мониторинг 3.000
Обманные системы 50.000
UEBA 75.000
CASB 45.000
Высокая Средняя Низкая * - зависит от стоящих задач

Технологии для CSIRT / CTI
ПО для Endpoint Forensics (включая мобильные устройства) 0
ПО для Network Forensics (включая облака) 0
Железо для Forensics 100.000
Реверсинг вредоносного ПО (включая дебаггеры) 0
Песочница 50.000
ПО для анализа памяти 0
Фиды Threat Intelligence 20.000
Платформа Threat Intelligence 35.000
Анализ DNS / IP / AS 30.000

Технологии для администрирования SOC
Управление тикетами 35.000
Wiki 0
Аналитика и отчетность 15.000
УПАТС 0
Защита коммуникаций 5.000
Система управления инцидентами 25.000
Шредер 1.000

На что обратить внимание при расчете цены?
Технология Продукт
Свой /
аутсорсинг
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
поддержка на 1
год
Годовая
поддержка на
2-й год
Годовая
3-й год
Продукт
Многие решения
могут быть
некоммерческими, а
open source. Стоит
учитывать стоимость
железа для них
Владение
Некоторые
(например, NTA или
хранилище логов или
система тикетов)
могут быть уже
приобретены и
находиться во
владении других
отделов
Аутсорсинг
Технология может
быть либо куплена в
собственность, либо
взята в аутсорсинг.
Возможны и иные
схемы (лизинг,
аренда…)
Поддержка
Некоторые
продаются больше
чем на 1 год, что
может быть дешевле
Open Source
Поддержка open
source бесплатна,
но может
понадобиться
доработка, а
также
специалисты иной
квалификации
+ инфляция

Несколько вариантов расчета
Свой /
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
год
Годовая
2-й год
Годовая
3-й год
536.000 123.000 153.200 161.350
Свой /
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
год
Годовая
2-й год
Годовая
3-й год
112.000 26.000 31.200 37.440
Вариант №1. На базе коммерческих решений
Вариант №2. Коммерческие решения + open source
Свой /
Кто-то уже
владеет?
Ожидаемая
цена
Годовая
год
Годовая
2-й год
Годовая
3-й год
16.000 3.200 3.840 4.600
Вариант №3. На базе open source + сервера под него

Покупать или создавать инструментарий?
Остальные 99%
Лучшие 1%
99% SOCов используют
готовые, приобретенные
решения по ИБ
1% SOCов разрабатывают
свой инструментарий или
дорабатывают open source
решения

Пример: irflow
• Приложение для
автоматизации процесса
реагирования на
инциденты с помощью
решений Cisco
• Интеграция различных
решений Cisco и других
компаний
• Исходный код выложен
на GitHub

Пример: irflow
Визуализация через Cisco CMX
Формирование тикета
Интеграция с ServiceNow
Интеграция с Webex Teams

Совет 10:
хранилищем
событий ИБ

Какие данные собирает ваш SOC?
События ИБ
• МСЭ
• IDS
• AV / EPP / EDR
• DLP
• VPN
• Web-доступ
• Обманные
системы
• WAF
Сетевые события
• Маршрутизаторы
• Коммутаторы
• Точки доступа
• DNS-сервера
• Частные облака
• Публичные
облака
Приложения и
• Базы данных
• Сервера
приложений
• Web-
• SaaS-
• Мобильные
• Десктопы и
лэптопы
ИТ-
инфраструктура
• Конфигурации
• Геолокация
• Владельцы
• Инвентаризация
• Сетевые карты
• Уязвимости

Некоторые нормативные акты требуют
хранения данных от одного года до семи
лет (PCI DSS, HIPAA, SOX и др.)
Особенности обрабатываемых в SOC данных
Данные для анализа бывают в виде логов
(syslog, Event Log и др.), потоков (Netflow,
IPFIX и др.), а также захваченных сетевых
сессий (pcap)
Сырые данные необходимо также
обогащать за счет внешних источников

# событий безопасности
«Сколько вешать в граммах» или сколько
данных вам нужно собирать?
период времени в сек
= EPS (event per second)
Событий в день = (Total Peak Events per Day + Total
Normal Events per Day) * 110% (про запас) * 110% (на
рост)
Total Peak Events per Day = (Number of Peaks per Day * Duration in Seconds of a Peak) * Peak EPS
Total Normal Events per Day = (Total Seconds – Total Peak Seconds per Day) * Normal EPS
На интервале в 90 дней

Знайте ваши средства защиты
Разный уровень
регистрации событий (от
Informational до Debug)
Средняя длина события –
300 байт (может
меняться)
Не забывайте про Flow
Per Second (FPS) и PCAP

Для хранения 1000 EPS (86.4 миллиона
событий в день) и средней длине
события в 300 байт вам потребуется:
Совет 3: продумайте, где вы будете хранить
данные до внедрения SOC
- 25.9 Гб в день
- 777 Гб в месяц
- 9.331 Тб в год

1,2 триллиона
событий ИБ
22 инцидента ИБ
Максимальное количество звезд в нашей галактике «Млечный путь» - 400 миллиардов
Источник: служба ИБ Cisco

Учтите формат хранения – flat file,
реляционная база данных или Hadoop
Совет 3: продумайте, где вы будете хранить
данные до внедрения SOC
Данные можно хранить на своих серверах
или в облаке
Многие SIEMы сжимают данные 1 к 8
Вам нужно резервирование данных или их
длительное хранение?

Совет 11:
выбирайте
правильные
жесткие диски

Угрозы на
Cisco за один
день
1.2 триллиона
Событий безопасности в день по всей сети
28 миллиарда
Netflows анализируется в день (Stealthwatch)
47 ТБ
Internet-трафика инспектируется
7.6 миллиарда
DNS-запросов в день (Umbrella)
13.4 миллиона
Срабатываний NGIPS в день
4.4 миллиона
Emails получается в день (ESA)
1000 фишинговых писем от службы ИБ
Не каждый
SIEM
подойдет

Корзина – индексированные данные
• Новые индексированные данные
• Открыты для записи
• Поиск возможенHot
• Данные, перенесенные из hot bucket
• Данные активно не записываются
• Поиск возможенWarm
• Данные, перенесенные из warm bucket
• Данные не записываются
• Поиск возможенCold
• Данные, перенесенные из cold bucket
• По умолчанию удаляются, но можно настроить на архивное хранение
• Поиск невозможенFrozen
• Данные, восстановленные из архива
• Поиск возможенThawed

Время поиска и индексации – ключевые
параметры

Компактный. Например, «найди мне
среднее время отклика приложения А за
последние 24 часа». Последовательное
обращение к диску на чтение.
Два типа поиска
«Поиск иголки в стогу сена». Например,
«найди мне UserID во всех моих данных за
последний год». Случайные обращения к
диску на чтение.

Выбор дисков для SIEM очень важен
При компактном поиске
разницы между SSD и
SATA/SAS HDD почти нет
При поиску «иголки в
стогу сена» диски SSD
имеют многократное
преимущество (на
порядки)

Чем крупнее объект мониторинга для
SOC, тем больше данных будет
собираться
Совет 4: правильно выбирайте жесткие диски
Для небольших объектов может
потребоваться поиск на длительном
интервале времени
При крупных объектах или длительном
интервале времени поиска лучше
выбирать SSD-диски (хоть они и дороже)
Про шифрование тоже подумайте…

Совет 12: не
игнорируйте
выбор и ремонт в
помещении для
SOC

Для кого вы строите SOC? Для себя или для ТВ?
Аналитик не способен
мониторить больше
двух экранов
Что вы планируете
показывать на
больших плазмах и
кто будет на них
смотреть?

Ключевые компоненты помещения для SOC
ОсвещениеАкустика
ДругоеЭстетика
• Шумопоглощение
• Эхо
• Реверберация
• Шумы от
вентиляторов,
чайников, проекторов
• Комната отдыха
• Кактусы на мониторах
и картины на стенах
• Настольные игры
• Эргономика рабочего
места
• Запахи
• Кондиционирование
• Влаго- и
теплообразование
• Теплообмен
• Давление в кухне
• Блики на мониторах
• Наличие окон
• Освещенность
• Теплота, яркость
освещения

Обратите внимание
• ГОСТ Р ИСО 11064-1-2015 Эргономическое проектирование
центров управления. Часть 1. Принципы проектирования
центров управления. Часть 2. Принципы организации
комплексов управления
центров управления. Часть 3. Расположение зала
управления
центров управления. Часть 4. Расположение и размеры
рабочих мест
центров управления. Часть 5. Дисплеи и элементы
управления
центров управления. Часть 6. Требования к окружающей
среде
центров управления. Часть 7. Принципы верификации и
валидации

Итого: SOC нам обойдется (пример расчета)

Совет 13:
продумайте
варианты оценки
эффективности

Разработка Dashboard для разных задач

Стоимость
украденного
аккаунта
клиента в
Darknet?!

Бонус: мониторинг
облаков и АСУ ТП

Как мониторить облака? На примере Cisco
Компонент Предпочитаемое решение Альтернатива
Облачный L3-шлюз Cisco CSR Нет данных
Intrusion Detection (IDS) SourceFire for AWS (Beta) Snort
Сбор NetFlow Stealthwatch Cloud License nfcapd/nfdump
Passive DNS Cisco’s PDNS Tool OpenDNS
PDNS (Open Source Project)
Operational Intelligence Splunk ELK
Захват сетевых пакетов CSIRT’s PCAP Solution В процессе изучения
Прикладные данные CloudLock SkyHigh

• Фундаментально C-Bridge – это сетевое решение, использующее
маршрутизаторы, коммутаторы и средства защиты Cisco, для предоставления
быстрого, защищенного подключения и мониторинга безопасности новых
площадок
• Автономное решение, которые задействует управление идентификацией и
проверку пользовательских устройств для обеспечения доступа к
корпоративным ресурсам без компрометации безопасности предприятия
• Обеспечивает базу для реализации защитных мер и мониторинга старых сетей
• Плотное взаимодействие разных команд Cisco:
• IT Acquisition Integration
• IT Network Services
• InfoSec Architecture
• InfoSec CSIRT
Что такое C-Bridge?

Внешний вид C-Bridge

Физическая безопасность C-Bridge
• Два набора замков (внутри +
снаружи) на внутренней и
внешней «дверцах» C-Bridge
• Закрытые двери не мешают
работать с проводами для их
подключения к сети и питанию
• После подключения внешняя
дверца может быть оставлена
открытой для обеспечения
вентиляции

Наполнение C-Bridge
• Стойка может быть высотой
до 20 RU
• Сейчас стойка заполнена на
16 RU с дополнительными
(запасными) 4 RU
• 4 RU для IT-наполнения, 12
RU для целей безопасности
и мониторинга

Аппаратные компоненты C-Bridge
Маршрутизация
• Cisco 4451 Integrated Services Router
• Cisco 2901 Integrated Services Router
Коммутация • Cisco Catalyst 3850 Switches
Безопасность
• Cisco ASA5545-X Adaptive Security Appliance
• Cisco FirePOWER 7150 Appliance with
Advanced Malware Protection
• Cisco NetFlow Generation Appliance 3340
• Cisco StealthWatch Flow Collector
Сервера • Cisco UCS C-Series rack servers

• InfoSec CSIRT мониторит весь доступ к/через Интернет
• В дополнение к межсетевому экранированию:
• Sourcefire IDS 7150 with AMP for Networks
• vWSA с AMP for Content с интеграцией с ThreatGrid
• Генерация несемплированного Netflow и передача в Cisco
Stealthwatch vFlowCollector
• CSIRT PDNS и Cisco Umbrella
• Qualys Vulnerability Scanner (виртуальный)
• BGP Black Hole/Quarantine
• DLP-функциональность
• Сбор Syslog
Программные компоненты C-Bridge

Создание многоуровневой
архитектуры C-Bridge :
• Малая: 2RU = ISR4451 с
модулем Etherswitch, FTD
для ISR (UCS-E) и UCS-E для
CSIRT VMs, до ~300Mbps
• Средняя: 3RU = ISR4451 с
модулем коммутации и 2x
UCS-E для CSIRT VMs +
ASA5555X-FTD, до
~600Mbps
• Большое: стандартное
решение на ½ стойки C-
Bridge, 1Gbps+
Облегченная версия C-Bridge
ß vs à

Вопросы?

Дополнительная информация
96

13 советов, от которых зависит успешность вашего SOC

13 советов, от которых зависит успешность вашего SOC

More Related Content

What's hot

Similar to 13 советов, от которых зависит успешность вашего SOC

More from Aleksey Lukatskiy

13 советов, от которых зависит успешность вашего SOC