SlideShare a Scribd company logo

RuSIEM (15.11.2015)

Download as PPTX, PDF
Olesya Shelestova
Olesya Shelestova

Software
1 of 22
RuSIEM • Олеся Шелестова, CEO RuSIEM • IT-Task 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru
Технические задачи • Сбор данных, необходимых для дальнейшего анализа системой • До-получить данные с помощью сопутствующих инструментов (сканеры VM, фиды, агент, span) • Обеспечить целостность, доступность, конфиденциальность собранных данных • Обеспечить обнаружение основных распространенных угроз (из коробки) • Предоставить возможность кастомизации пользователем механизмов обнаружения угроз • Предоставить пользователю возможность мониторинга в режиме реального времени • Предоставить пользователю инструменты для оперативного расследования инцидента • Обнаружение угроз в режиме реального времени • Уведомление пользователя об обнаруженных угрозах посредством встроенного workflow и основных транспортов • Обеспечение без сигнатурных механизмов обнаружения угроз (модели, накопленная статистика, эталоны, risk-based, aggregation) 2
Решаемые кейсы • Приоритезация инцидентов от СЗИ и снижение ложных срабатываний • Аудит аутентификации и авторизации • Аудит изменений конфигураций • Выявление НСД • Аудит работоспособности СЗИ, ОС и приложений • Обнаружение сетевых атак • Аудит действий в ОС, БД и приложениях • Мониторинг сетевой активности • Без сигнатурное обнаружение инцидентов
Кейсы (более расширенно) • Authentication tracking • Detection of Possible Brute Force Attack • Compromised- and infected-system tracking; malware detection • Validating intrusion detection system/intrusion prevention system (IDS/IPS) alerts • Monitoring for suspicious outbound connectivity • Tracking system changes • Tracking of Web application attacks • Prioritize incident • Geo-Location Based Access (when no legacy connection in this country found) • Geo-Location Based Account Monitoring • Cyber attacks from malicious sources • Continuous Risk Monitoring (events) • Privileged Account Monitoring • Advanced Threat Detection (analyzes these events for indicators of advanced threats) • Application Defense Check • Expected Host/Log Source Not Reporting • Unexpected Events Per Second (EPS) from Log Sources
Кейсы (2) • Top malicious DNS requests from user. • Incidents from users reported at DLP, spam filtering, web proxy, etc. • Transmission of sensitive data in plain text. • 3rd party users network resource access. • Resource access outside business hours. • Sensitive resource access failure by user. • Privileged user access by resource criticality, access failure, etc. • Unusual network traffic spikes to and from sources. • Endpoints with maximum number of malware threats. • Top trends of malware observed; detected, prevented, mitigated. • Brute force pattern check on Bastion host. • Top Web application Attacks per server. • Malicious SQL commands issued by administrator. • Applications suspicious performance indicator, resource utilization vector. • Application Platform (OS) patch-related status. • Web attacks post configuration changed on applications.
ОС под сервер OVF/OVA template с предустановленной системой Собственный агент + Сбор одним агентом с нескольких источников + Модульный агент + Возможность подключения кастомных источников + Необходимость в 3th-party лицензиях нет необходимости Производительность системы до 7к на ядро процессора, до 100к EPS на ноду Предельная масштабируемая производительность Отсутствуют ограничения Масштабируемые компоненты системы +
Сбор данных через различные учетные записи + Разграничение доступа к интерфейсу ролевая модель Аутентификация через LDAP + Разграничение доступа к наборам данных (уязвимости, группы источников, события) в ближайших планах
Корреляция RBR + Интерпретация сути событий в понятный читаемый формат + Единая нормализация событий для любых источников + Кастомизация полей событий +
Приоритезация по рискам симптоматика, аналитика Приоритезация по ассетам в ближайших планах Расширенная аналитика уже частично пристутствует. В ближайших планах
Встроенное workflow + Отчеты в ближайших планах Vulnerability Management в ближайших планах Автоматическое обновление системы и правил + Кастомизация дашборда + Кастомизация правил корреляции RBR пользователем + Обогащение событий метаинформацией (geoip, risk, priority, фиды) +
Транспорты windows агента • Windows event log (локально, удаленно, подписка) • MS SQL • Mysql • Oracle • Ftp/sftp/ftps • File log • 1С 8.3
Транспорты on-box агента beats, couchdb, drupal, elasticsearch, ganglia, gelf, generator, graphite, github, heartbeat, heroku, http, http_poller, irc, imap, jdbc, jmx, kafka, log4j, lumberjack, meetup, pipe, puppet_facter, relp, rss, rackspace, rabbit mq, redis, salesforce, snmptrap, stdin, sqlite, s3, sqs, stomp, syslog, tcp, twitter, unix, udp, varnishlog, wmi, websocket, xmpp, zenoss, zeromq, …
Какие инструменты предоставляем • Кастомизируемые: • Дашборды • Правила корреляции • Симптоматика • Представления для мониторинга и форенсики • Фиды • Аналитика по агрегатам симптоматики • *прочие инструменты аналитики
В самых ближайших планах • Инвентаризация активов • Интеграция с VM/CMDB • Nmap+ • Continuous monitoring • Динамическое обновление ассетов в режиме реального времени из событий и траффика • Динамическое изменение данных об уязвимостях в режиме реального времени • Расширенная аналитика • Расширенная корреляция
Дашборд
Симптоматика
Корреляция RBR (rule based reasoning)
Workflow
Транспорты windows агента
Ролевая модель доступа
Лицензирование • Отсутствуют ограничения по количеству данных (EPS/суточному объему и прочее) • Лицензируется по-компонентно (коллектор, нормализация, корреляция, аналитика) • Цены в 3-5+ раз ниже основных топ-10 решений
Контактная информация: Инфо: support@rusiem.com Олеся Шелестова oshelestova@rusiem.com Максим Степченков m.stepchenkov@it-task.ru 22 СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru

Recommended

автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
RuSIEM 2016
RuSIEM 2016RuSIEM 2016
RuSIEM 2016Olesya Shelestova
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
SIEM для ИТ
SIEM для ИТSIEM для ИТ
SIEM для ИТOlesya Shelestova
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.Olesya Shelestova
 
Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системахOlesya Shelestova
 
Rusiem 2017_обзор
Rusiem 2017_обзорRusiem 2017_обзор
Rusiem 2017_обзорOlesya Shelestova
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 

Recommended

автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
RuSIEM 2016
RuSIEM 2016RuSIEM 2016
RuSIEM 2016Olesya Shelestova
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
SIEM для ИТ
SIEM для ИТSIEM для ИТ
SIEM для ИТOlesya Shelestova
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.Olesya Shelestova
 
Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системахOlesya Shelestova
 
Rusiem 2017_обзор
Rusiem 2017_обзорRusiem 2017_обзор
Rusiem 2017_обзорOlesya Shelestova
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствTeymur Kheirkhabarov
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Expolink
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
Этичный хакинг
Этичный хакингЭтичный хакинг
Этичный хакингPositive Hack Days
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийSelectedPresentations
 
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Ancud Ltd.
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложенияMaxim Krentovskiy
 
Symantec
SymantecSymantec
SymantecExpolink
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Ontico
 
Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Alexey Kachalin
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS SecurityIlya Karpov
 

More Related Content

What's hot

Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствTeymur Kheirkhabarov
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Expolink
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийSelectedPresentations
 
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Ancud Ltd.
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложенияMaxim Krentovskiy
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Ontico
 

What's hot (20)

Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструменты
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge accepted
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройств
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
 
Этичный хакинг
Этичный хакингЭтичный хакинг
Этичный хакинг
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложений
 
Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»Исследовательская лаборатория фирмы «анкад»
Исследовательская лаборатория фирмы «анкад»
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложения
 
Symantec
SymantecSymantec
Symantec
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...
 

Similar to RuSIEM (15.11.2015)

Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Alexey Kachalin
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS SecurityIlya Karpov
 
SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написатьOlesya Shelestova
 
Обзор научно-исследовательских работ
Обзор научно-исследовательских работОбзор научно-исследовательских работ
Обзор научно-исследовательских работAncud Ltd.
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdftrenders
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиУчебный центр "Эшелон"
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
презентация
презентацияпрезентация
презентацияhbfire
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication SystemsSSA KPI
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
Kaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security centerKaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security centerExpolink
 

Similar to RuSIEM (15.11.2015) (20)

Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS Security
 
SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написать
 
Обзор научно-исследовательских работ
Обзор научно-исследовательских работОбзор научно-исследовательских работ
Обзор научно-исследовательских работ
 
2003
20032003
2003
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdf
 
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPS
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасности
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
презентация
презентацияпрезентация
презентация
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
 
Обзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure AnalyticsОбзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure Analytics
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication Systems
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
Kaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security centerKaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security center
 

More from Olesya Shelestova

Руководство по формату событий для разработчиков
Руководство по формату событий для разработчиковРуководство по формату событий для разработчиков
Руководство по формату событий для разработчиковOlesya Shelestova
 
RuSiem events collection and forwarding
RuSiem events collection and forwardingRuSiem events collection and forwarding
RuSiem events collection and forwardingOlesya Shelestova
 
How to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMHow to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMOlesya Shelestova
 
From SIEM to Business processes
From SIEM to Business processesFrom SIEM to Business processes
From SIEM to Business processesOlesya Shelestova
 
RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)Olesya Shelestova
 

More from Olesya Shelestova (10)

Руководство по формату событий для разработчиков
Руководство по формату событий для разработчиковРуководство по формату событий для разработчиков
Руководство по формату событий для разработчиков
 
RuSIEM vs SOC (En)
RuSIEM vs SOC (En)RuSIEM vs SOC (En)
RuSIEM vs SOC (En)
 
RuSIEM vs SOC (Rus)
RuSIEM vs SOC (Rus)RuSIEM vs SOC (Rus)
RuSIEM vs SOC (Rus)
 
RuSiem events collection and forwarding
RuSiem events collection and forwardingRuSiem events collection and forwarding
RuSiem events collection and forwarding
 
RuSIEM IT assets
RuSIEM IT assetsRuSIEM IT assets
RuSIEM IT assets
 
How to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMHow to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEM
 
From SIEM to Business processes
From SIEM to Business processesFrom SIEM to Business processes
From SIEM to Business processes
 
Deploy RvSIEM (eng)
Deploy RvSIEM (eng)Deploy RvSIEM (eng)
Deploy RvSIEM (eng)
 
Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)
 
RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)
 

RuSIEM (15.11.2015)

  • 1. RuSIEM • Олеся Шелестова, CEO RuSIEM • IT-Task 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru
  • 2. Технические задачи • Сбор данных, необходимых для дальнейшего анализа системой • До-получить данные с помощью сопутствующих инструментов (сканеры VM, фиды, агент, span) • Обеспечить целостность, доступность, конфиденциальность собранных данных • Обеспечить обнаружение основных распространенных угроз (из коробки) • Предоставить возможность кастомизации пользователем механизмов обнаружения угроз • Предоставить пользователю возможность мониторинга в режиме реального времени • Предоставить пользователю инструменты для оперативного расследования инцидента • Обнаружение угроз в режиме реального времени • Уведомление пользователя об обнаруженных угрозах посредством встроенного workflow и основных транспортов • Обеспечение без сигнатурных механизмов обнаружения угроз (модели, накопленная статистика, эталоны, risk-based, aggregation) 2
  • 3. Решаемые кейсы • Приоритезация инцидентов от СЗИ и снижение ложных срабатываний • Аудит аутентификации и авторизации • Аудит изменений конфигураций • Выявление НСД • Аудит работоспособности СЗИ, ОС и приложений • Обнаружение сетевых атак • Аудит действий в ОС, БД и приложениях • Мониторинг сетевой активности • Без сигнатурное обнаружение инцидентов
  • 4. Кейсы (более расширенно) • Authentication tracking • Detection of Possible Brute Force Attack • Compromised- and infected-system tracking; malware detection • Validating intrusion detection system/intrusion prevention system (IDS/IPS) alerts • Monitoring for suspicious outbound connectivity • Tracking system changes • Tracking of Web application attacks • Prioritize incident • Geo-Location Based Access (when no legacy connection in this country found) • Geo-Location Based Account Monitoring • Cyber attacks from malicious sources • Continuous Risk Monitoring (events) • Privileged Account Monitoring • Advanced Threat Detection (analyzes these events for indicators of advanced threats) • Application Defense Check • Expected Host/Log Source Not Reporting • Unexpected Events Per Second (EPS) from Log Sources
  • 5. Кейсы (2) • Top malicious DNS requests from user. • Incidents from users reported at DLP, spam filtering, web proxy, etc. • Transmission of sensitive data in plain text. • 3rd party users network resource access. • Resource access outside business hours. • Sensitive resource access failure by user. • Privileged user access by resource criticality, access failure, etc. • Unusual network traffic spikes to and from sources. • Endpoints with maximum number of malware threats. • Top trends of malware observed; detected, prevented, mitigated. • Brute force pattern check on Bastion host. • Top Web application Attacks per server. • Malicious SQL commands issued by administrator. • Applications suspicious performance indicator, resource utilization vector. • Application Platform (OS) patch-related status. • Web attacks post configuration changed on applications.
  • 6. ОС под сервер OVF/OVA template с предустановленной системой Собственный агент + Сбор одним агентом с нескольких источников + Модульный агент + Возможность подключения кастомных источников + Необходимость в 3th-party лицензиях нет необходимости Производительность системы до 7к на ядро процессора, до 100к EPS на ноду Предельная масштабируемая производительность Отсутствуют ограничения Масштабируемые компоненты системы +
  • 7. Сбор данных через различные учетные записи + Разграничение доступа к интерфейсу ролевая модель Аутентификация через LDAP + Разграничение доступа к наборам данных (уязвимости, группы источников, события) в ближайших планах
  • 8. Корреляция RBR + Интерпретация сути событий в понятный читаемый формат + Единая нормализация событий для любых источников + Кастомизация полей событий +
  • 9. Приоритезация по рискам симптоматика, аналитика Приоритезация по ассетам в ближайших планах Расширенная аналитика уже частично пристутствует. В ближайших планах
  • 10. Встроенное workflow + Отчеты в ближайших планах Vulnerability Management в ближайших планах Автоматическое обновление системы и правил + Кастомизация дашборда + Кастомизация правил корреляции RBR пользователем + Обогащение событий метаинформацией (geoip, risk, priority, фиды) +
  • 11. Транспорты windows агента • Windows event log (локально, удаленно, подписка) • MS SQL • Mysql • Oracle • Ftp/sftp/ftps • File log • 1С 8.3
  • 12. Транспорты on-box агента beats, couchdb, drupal, elasticsearch, ganglia, gelf, generator, graphite, github, heartbeat, heroku, http, http_poller, irc, imap, jdbc, jmx, kafka, log4j, lumberjack, meetup, pipe, puppet_facter, relp, rss, rackspace, rabbit mq, redis, salesforce, snmptrap, stdin, sqlite, s3, sqs, stomp, syslog, tcp, twitter, unix, udp, varnishlog, wmi, websocket, xmpp, zenoss, zeromq, …
  • 13. Какие инструменты предоставляем • Кастомизируемые: • Дашборды • Правила корреляции • Симптоматика • Представления для мониторинга и форенсики • Фиды • Аналитика по агрегатам симптоматики • *прочие инструменты аналитики
  • 14. В самых ближайших планах • Инвентаризация активов • Интеграция с VM/CMDB • Nmap+ • Continuous monitoring • Динамическое обновление ассетов в режиме реального времени из событий и траффика • Динамическое изменение данных об уязвимостях в режиме реального времени • Расширенная аналитика • Расширенная корреляция
  • 17. Корреляция RBR (rule based reasoning)
  • 21. Лицензирование • Отсутствуют ограничения по количеству данных (EPS/суточному объему и прочее) • Лицензируется по-компонентно (коллектор, нормализация, корреляция, аналитика) • Цены в 3-5+ раз ниже основных топ-10 решений
  • 22. Контактная информация: Инфо: support@rusiem.com Олеся Шелестова oshelestova@rusiem.com Максим Степченков m.stepchenkov@it-task.ru 22 СПАСИБО ЗА ВНИМАНИЕ Остались вопросы? Обращайтесь! 105082, Россия, г. Москва ул. Большая Почтовая, 55/59с1 Телефон: +7 (495) 972-98-26 E-mail: info@it-task.ru