Документ описывает решение по обнаружению и анализу угроз, которое стартовало в 2014 году и предлагает конкурентоспособные цены и высокую производительность. Система включает в себя технологии сбора и корреляции событий, а также готовые решения для SMB и корпоративного сектора. Также приводятся примеры кейсов применения и способы внедрения системы с акцентом на гибкость и масштабируемость.

1. 2

2. 3
• Официальный дистрибьютор – http://it-task.ru (info@it-task.ru)
• Проект стартовал в ноябре 2014
• На данный момент имеются успешные внедрения
• Вышли с релизной версией еще в 2015 году. Готовы к внедрениям.
О нас

3. Заказчики
• SMB, Enterprise, SOC, CERT +
• Российский и мировой рынок
• Ценовая политика: варьируется.
• Ценовой диапазон: в разы ниже существующих конкурентов
4

4. Основные отличие от конкурентов
• Высокая производительность системы
• Интерпретация событий понятная оператору
• Гибкость правил корреляции
• Встроенная аналитика
• Нет лимита на количество собираемых событий и объем
хранилища
• Полностью готовое решение без необходимости в приобретении
дополнительного ПО
• Ценовая политика в разы меньшая чем у конкурентов
5

5. Пример решаемых кейсов
• Попытки подбора паролей с различных систем, в том числе растянутые по
времени
• Успешный вход после многочисленных неуспешных попыток
• Обнаружение вируса по перехваченному по сети файлу (электронная почта,
файловый сервер, http/ftp/tcp траффик)
• Обнаружение сетевых атак с помощью сетевого сенсора и корреляции
• Обнаружение попыток несанкционированного доступа к документам на
файловом сервере
• Обнаружение массового удаления файлов
• Массовые изменения учетных записей
• Изменения учетных записей администраторов
• Выявление фактов использования служебных учетных записей
• Использование внешних накопителей на серверах
6

6. Пример решаемых кейсов (2)
• Изменение конфигураций СЗИ (отключение антивирусной защиты и т.п.)
• Вирусные эпидемии (один и тот же вирус на нескольких хостах, не
вылеченные файлы, по хэшам процессов)
• Выявление фактов сканирований сети и уязвимостей
• Обнаружение не валидных сертификатов (просроченные, самоподписанные,
с неустановленным УЦ)
• Обнаружение фактов установки ПО
• Обнаружение установки ПО для удаленного администрирования,
несанкционированного доступа
• Отказ в обслуживании сервиса (количество http.error, неустановленные
соединения, потеря пакетов)
• Контроль трафика, в том числе по зонам для обеспечения policy
compliance/compliance policy
7

7. Инструментарий и методы обнаружения
• «Беглый просмотр событий»
• «Всплески»
• Сигнатурный анализ
• «Песочницы» (сравнение по хэшам, отправка подозрительных файлов
и получение результатов в облаке)
• Корреляция счетчиком (по условию события, количеству событий)
• Корреляция триггером (триггерное, например: 3 неуспешных попытки
входа, затем успешная)
• Симптоматика
• Агрегация (суммарные веса объектов симптомов за интервалы)
• Фиды (репутационные списки)

8. Методы обнаружения угроз
9
Up to
2min
Up to
3min
Correlation
Rules
Dashboard
Active
searches
Feeds,
Reputation
lists
Basic
symptoms
Symptoms
aggregations
Data Analytics (in
development)
time
completenessofthethreatassessment

9. Варианты поставки
• OVF template (ESX 5.5+, MS HyperV)
• Физический сервер (заказчика или Hardware Appliance)
• Одно нодовая (all-in-one) или кластер
• Вертикальная и горизонтальная масштабируемость
10

10. Варианты применения и внедрения
• LM (сбор, симптоматика)
• SIEM (симптоматика, корреляция)
• Analytics (все вышеперечисленное + аналитика)
• Сокращение стоимости имеющихся SIEM систем c подключением большего
числа источников
• ИТ/ИБ потребности, anti-fraud, контроль действий в бизнес-системах (SOX)
11

11. Компоненты системы
• Агент и модули (без лимита в лицензии, уже в составе продукта)
• Парсеры (по-компонентная лицензия)
• Корреляция (по-компонентная лицензия)
• Симптоматика (по-компонентная лицензия)
• Аналитика (отдельная лицензия)
• Фиды (отдельная лицензия)
• Хранилище данных (без лимита в лицензии, уже в составе
продукта)
• Сетевой сенсор (опционально, лицензия)
12

12. Производительность
• От 3 500 EPS на ядро (тяжелыми 300+байт событиями)
• От 8 000 EPS на ядро (легкие, syslog-like события)
• Предел EPS - не лимитирован
• Объем хранилища – не лимитирован
• Количество правил симптоматики – от 5 000, не лимитировано
• Правил корреляции – от 5 000, не лимитировано
13

13. Сбор событий агентом
• Windows event log. Локально и удаленно с множества узлов одним агентом.
• Windows event log – подписка.
• 1С (8.3)
• Ftp/ftps/sftp (Unified log source)
• Mysql (Unified log source)
• MS SQl (Unified log source)
• Oracle (Unified log source)
• Сбор событий с текстовых форматов файлов (локально или по сети, Unified
log source)
• Хэшер – сбор md5/sha1 сумм запущенных процессов и сверка с известными
угрозами
14
*все остальные источники – напрямую на сервер (snmp,
syslog, tcp/udp, flow)

14. Особенности сбора агентом
• Агент полностью управляется с управляющего сервера
• Новые источники задаются для агента с управляющего сервера
• Для каждого источника возможно указать свою учетную запись
для сбора
• Коннекторы универсальные, что позволяет подключать любой
источник
• Один агент может собирать с множества источников
• Количество агентов и источников не лимитировано
15

15. Общая схема решения
16
Сетевой сенсор
Журналы приложений, баз данных,
ОС, cобытия с СЗИ
Сервер с агентом
RuSIEM
All-in-One
Сетевое оборудование
RuSIEM
Аналитика
Backend

16. Сетевой сенсор
• Опциональный компонент
• Устанавливается на отдельный сервер (физический или мощный
виртуальный) вторым интерфейсом в span/tap
• Собирает заголовки трафика и отправляет на коллектор
• Позволяет:
• анализировать трафик
• сверять хэши файлов с известными угрозами по фидам и правилам
корреляции
• Строить представления и искать сетевые соединения
• Прописывать политики правилами корреляции
17

17. Коллектор, нормализация
• Автоматическое определение источника
• Парсинг по key:value событий
• Приведение к общей схеме именования полей
• Обогащение событий метаинформацией (nslookup, whois, geoip,
etc)
• Разбор одного большого потока множеством парсеров
• Пересылки событий между компонентами через брокер без
потери событий
18

18. Симптоматика
19
Имя симптома(ов)
Категория(и)
Суммарный вес
RAW
Парсеры
Симптоматика
Unified key:value
pairs
message (raw)
Влияние
• Поиск событий по имени симптома(ов)
• Отчеты в виде списка событий (к примеру,
«Управление учетными записями»)
• Использование в корреляции симптомов, а не
регекспов и различных event.id
• Использование весов симптомов как фильтр
для отбора по критичности событий
• Агрегация весов по объектам (ip, host, user,
etc)
• Логический абстрактный уровень «о чем
событие»
• Логическая связь «что делал
пользователь/процесс»

19. Корреляция
• Возможность добавления правил пользователем
• Поставка пакета правил корреляции и обновление
• Совпадение или распределение во времени совпадений по условию (ex.
«count(http.error) > 60 in 300 sec», «symptoms.id(Удаление файла) > 200 in 60 sec»
• Последовательности событий (ex. «Вирус обнаружен, но не вылечен в течение 600 сек»)
• Группировка по объектам (ex. «20 неуспешных попыток входа с одного и того же src.ip или по
одному и тому же user.name»)
• Результатом корреляции является:
• Регистрация инцидента во встроенном workflow с параметрами указанными в правиле
• Оповещение об инциденте
• Запуск локально команды с параметрами
• Инцидент виден только тем, кому назначен (роли, группы, пользователи)
20

20. Аналитика
• Агрегация по весам по объектам для без сигнатурного обнаружения
угроз и аномалий
• Сравнение md5, sha1, fqdn, ip, url, email с имеющимися в фид-листах
значениями с целью определения угроз (malware, botnets, spammers и
так далее)
• Near real-time проверки для формирования отчетности, обнаружения
угроз, аномалий и policy compliance. Например, соединение которого
еще не было, хост с которого пользователь вошел в первый раз,
контроль получения событий от источника и так далее.
• Быстрый доступ к статистике, функциям и выборке по событиям
(например, для систем анти-фрода и поведенческого анализа)
21

21. Контактная информация:
Инфо: info@it-task.ru
Максим Степченков m.stepchenkov@it-task.ru
Олеся Шелестова oshelestova@rusiem.com (skype, mail)
Официальный дистрибьютор:
СПАСИБО ЗА ВНИМАНИЕ
Остались вопросы?
Обращайтесь!
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
22

23. Минимальная одно-нодовая конфигурация
• Физический сервер или гипервизор
• 1 сервер
• ОЗУ: 16 GB без аналитики, 32GB – с аналитикой
• Процессор 2x2.4 GHz, суммарно не менее 4х ядер
• HDD 100GB под систему + под данные. На что то постарше тестов
желательно RAID/SSD
24

24. Оптимальная конфигурация
• 3 ноды (виртуальные или физические сервера)
• +1+ нода для сетевого сенсора
• Ресурсы нод: от 16GB ОЗУ, по 4-6 ядер CPU
25

25. Порядок внедрения
• Поднимается тестовый стенд, подключаются частично интересующие
источники
• Аудит совместно с заказчиком (какие источники исходя из кейсов и
векторов)
• План внедрения/договора
• Подключение источников. Интеграции. При необходимости - разработка
коннекторов, доработка системы.
• Настройка правил корреляции, симптоматики, аналитики.
• Масштабирование.
• Сдача проекта. Доработки при необходимости.
26