1. RuSIEM
• Олеся Шелестова, CEO RuSIEM
• IT-Task
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
2. Технические задачи
• Сбор данных, необходимых для дальнейшего анализа системой
• До-получить данные с помощью сопутствующих инструментов (сканеры VM, фиды, агент,
span)
• Обеспечить целостность, доступность, конфиденциальность собранных данных
• Обеспечить обнаружение основных распространенных угроз (из коробки)
• Предоставить возможность кастомизации пользователем механизмов обнаружения угроз
• Предоставить пользователю возможность мониторинга в режиме реального времени
• Предоставить пользователю инструменты для оперативного расследования инцидента
• Обнаружение угроз в режиме реального времени
• Уведомление пользователя об обнаруженных угрозах посредством встроенного workflow и
основных транспортов
• Обеспечение без сигнатурных механизмов обнаружения угроз (модели, накопленная
статистика, эталоны, risk-based, aggregation)
2
3. Решаемые кейсы
• Приоритезация инцидентов от СЗИ и снижение ложных срабатываний
• Аудит аутентификации и авторизации
• Аудит изменений конфигураций
• Выявление НСД
• Аудит работоспособности СЗИ, ОС и приложений
• Обнаружение сетевых атак
• Аудит действий в ОС, БД и приложениях
• Мониторинг сетевой активности
• Без сигнатурное обнаружение инцидентов
4. Кейсы (более расширенно)
• Authentication tracking
• Detection of Possible Brute Force Attack
• Compromised- and infected-system tracking; malware detection
• Validating intrusion detection system/intrusion prevention system (IDS/IPS) alerts
• Monitoring for suspicious outbound connectivity
• Tracking system changes
• Tracking of Web application attacks
• Prioritize incident
• Geo-Location Based Access (when no legacy connection in this country found)
• Geo-Location Based Account Monitoring
• Cyber attacks from malicious sources
• Continuous Risk Monitoring (events)
• Privileged Account Monitoring
• Advanced Threat Detection (analyzes these events for indicators of advanced threats)
• Application Defense Check
• Expected Host/Log Source Not Reporting
• Unexpected Events Per Second (EPS) from Log Sources
5. Кейсы (2)
• Top malicious DNS requests from user.
• Incidents from users reported at DLP, spam filtering, web proxy, etc.
• Transmission of sensitive data in plain text.
• 3rd party users network resource access.
• Resource access outside business hours.
• Sensitive resource access failure by user.
• Privileged user access by resource criticality, access failure, etc.
• Unusual network traffic spikes to and from sources.
• Endpoints with maximum number of malware threats.
• Top trends of malware observed; detected, prevented, mitigated.
• Brute force pattern check on Bastion host.
• Top Web application Attacks per server.
• Malicious SQL commands issued by administrator.
• Applications suspicious performance indicator, resource utilization vector.
• Application Platform (OS) patch-related status.
• Web attacks post configuration changed on applications.
6. ОС под сервер OVF/OVA template с предустановленной системой
Собственный агент +
Сбор одним агентом с нескольких источников +
Модульный агент +
Возможность подключения кастомных источников +
Необходимость в 3th-party лицензиях нет необходимости
Производительность системы до 7к на ядро процессора, до 100к EPS на ноду
Предельная масштабируемая производительность Отсутствуют ограничения
Масштабируемые компоненты системы +
7. Сбор данных через различные учетные записи +
Разграничение доступа к интерфейсу ролевая модель
Аутентификация через LDAP +
Разграничение доступа к наборам данных (уязвимости, группы
источников, события)
в ближайших планах
8. Корреляция RBR +
Интерпретация сути событий в понятный читаемый
формат
+
Единая нормализация событий для любых
источников
+
Кастомизация полей событий +
9. Приоритезация по рискам симптоматика, аналитика
Приоритезация по ассетам в ближайших планах
Расширенная аналитика уже частично пристутствует. В ближайших планах
10. Встроенное workflow +
Отчеты в ближайших планах
Vulnerability Management в ближайших планах
Автоматическое обновление системы и правил +
Кастомизация дашборда +
Кастомизация правил корреляции RBR пользователем +
Обогащение событий метаинформацией (geoip, risk, priority,
фиды)
+
11. Транспорты windows агента
• Windows event log (локально, удаленно, подписка)
• MS SQL
• Mysql
• Oracle
• Ftp/sftp/ftps
• File log
• 1С 8.3
13. Какие инструменты предоставляем
• Кастомизируемые:
• Дашборды
• Правила корреляции
• Симптоматика
• Представления для мониторинга и форенсики
• Фиды
• Аналитика по агрегатам симптоматики
• *прочие инструменты аналитики
14. В самых ближайших планах
• Инвентаризация активов
• Интеграция с VM/CMDB
• Nmap+
• Continuous monitoring
• Динамическое обновление ассетов в режиме реального времени из
событий и траффика
• Динамическое изменение данных об уязвимостях в режиме реального
времени
• Расширенная аналитика
• Расширенная корреляция
21. Лицензирование
• Отсутствуют ограничения по количеству данных (EPS/суточному
объему и прочее)
• Лицензируется по-компонентно (коллектор, нормализация,
корреляция, аналитика)
• Цены в 3-5+ раз ниже основных топ-10 решений
22. Контактная информация:
Инфо: support@rusiem.com
Олеся Шелестова oshelestova@rusiem.com
Максим Степченков m.stepchenkov@it-task.ru
22
СПАСИБО ЗА ВНИМАНИЕ
Остались вопросы?
Обращайтесь!
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru