Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
IT-Task. Максим Степченков. "SIEM как головной мозг системы обеспечения информационной безопасности"
1. SIEM как головной мозг системы
обеспечения информационной
безопасности
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
2. Инфраструктура
➢ Антивирус
➢ Межсетевой экран
➢ СКУД
➢ Целевые системы
➢ DLP
➢ СЗИ от НСД
➢ Средства защиты
виртуализации
Когда Вы
проверяли
статус?
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
3. Сосредоточим внимание
экспертов на важном
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
Миллионы
исходных
событий в
секунду
Тысячи
влияющих на
ИТ и ИБ
Сотни
проблем
Десяток
«реальных
инцидентов»
➢ Мы можем сохранять все события так
как это может сказаться на
расследовании инцидентов (можем
отфильтровать по желанию)
➢ Оператор не должен просматривать
все события, а только важные
инциденты (уже готовые выводы)
➢ Средства workflow позволяют
контролировать работу над
инцидентами, а не оставлять их
забытыми без внимания
➢ Применяемые методы позволяют
оператору понимать «о чем это
событие»
4. Примеры реализации
➢ Сетевые атаки
➢ Фрод и мошенничество
➢ Откуда и когда блокировались
учетные записи
➢ Изменение конфигураций «не
админами»
➢ Повышение привилегий
➢ Выявление несанкционированных
сервисов
➢ Обнаружение НСД (вход под учетной
записью уволенного сотрудника)
➢ Отсутствие антивирусной защиты на
новом установленном компьютере
➢ Изменение критичных конфигураций
с VPN подключений
➢ Контроль выполняемых команд на
серверах и сетевом оборудовании
➢ Аудит изменений конфигураций
(сетевых устройств, приложений, ОС)
➢ Выполнение требований
Законодательства и регуляторов (PCI
DSS, СТО БР, ISO 27xx)
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
5. Примеры реализации
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
➢ Аномальная активность
пользователя (массовое
удаление/копирование)
➢ Обнаружение вирусной
эпидемии
➢ Обнаружение
уязвимости по событию
об установке софта
➢ Оповещение об
активной уязвимости по
запуску ранее
отключенной службы
➢ Обнаружение
распределенных по
времени атаках
➢ Влияние отказа в
инфраструктуре на
бизнес-процессы
6. Масштабируемость
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
➢ Вертикальное (филиалы) и
горизонтальное
(производительность)
➢ «Горячее» расширение
без остановки сбора
➢ Поддержка слабых
каналов между
удаленными объектами
➢ Корреляция в
центральном офисе без
необходимости передачи
всех событий «наверх»
➢ Распределенный поиск по
событиям без
необходимости «единого
хранилища»
7. Пример
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
• Доступ к критичным ресурсам в нерабочее время
• Доступ извне к внутренним критичным ресурсам
• Изменение конфигурации сетевого оборудования
• Контроль межзонных соединений
(DMZ to Internet, Test zone – Production
• Очистка журналов событий на оборудовании
• Многочисленные попытки соединения с множеством хостов
• Обнаружение траффика на нестандартных портах
8. Что мы предлагаем?
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
Основные преимущества:
➢ Собственная разработка, не зависящая от санкций и
развития open-source.
➢ Полная поддержка русского языка
➢ Приведенная к общему формату объектная
нормализация
➢ Встроенная управляемая и редактируемая
корреляция
➢ Высокая производительность (Свыше 90000
событий на одну ноду).
➢ Нет ограничений по количеству событий и
источникам
➢ Сохранение исходных RAW-событий
➢ Нет ограничений по размеру архивного хранилища
➢ Коннекторы от производителя
➢ Real-time и историческая корреляция.
➢ Наличие собственных модульных агентов.
➢ Разделение нагрузки на несколько серверов или
виртуальных машин.
➢ Легкая вертикальная масштабируемость.
9. RUSIEM?
➢ Real-time и историческая корреляция
с возможностью настройки правил
пользователем
➢ Сбор информации с Windows, MacOS,
Linux, сетевого оборудования и
любых приложений имеющих
возможность вывода событий
➢ Отсутствие необходимости
приобретения дополнительного ПО
➢ Собственный Workflow для инцидент-
менеджмента
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
10. Источники событий
➢ Syslog UDP/TCP с любых источников
*nix/BSD/cisco/juniper/windows
➢ Файл в формате Json, txt, csv, txt
➢ Windows event log (любой, даже созданный
пользователем журнал)
➢ Строки в БД MS SQL (любой) как события
➢ Строки в Firebird (используется для СКУД,
DPI систем) как события
➢ Tcp input
➢ Netflow (любая версия)
➢ Java events
➢ Nagios events
➢ Stream pipe
➢ Unix socket
➢ S3 stream
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
➢ Веб-сервера
➢ Реляционные БД
➢ Nosql БД
➢ Прокси-сервера
➢ Windows Event log
➢ Бизнес-приложения
➢ Балансеры
➢ DLP, DPI
➢ Антивирусная защита
➢ Активное оборудование
➢ СКУД
➢ АСУ ТП
➢WMI
➢Stomp
➢Sqlite
➢Zeromq
➢Rabbitmq
➢Прочие AMPQ
➢Kafka Apache
➢HDFS (файлы)
➢Lamberjack
➢JMX
➢Heroku
➢Log4j
➢Gelf
➢Xmpp
➢Collectd
➢SNMP Trap
11. Вопросы
ООО «АйТи Таск»
➢ Тел./факс: +7 (495) 972-98-26
➢ Адрес: 105082, Россия, г. Москва
ул. Большая Почтовая 55/59с1
➢ E-mail: info@it-task.ru
➢ Web: www.It-task.ru
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru