Системы класса SIEM могут быть вполне применимы не только для информационной безопасности, но и ИТ персоналом, разработчиками для своевременного обнаружения и предотвращения инцидентов
Системы класса SIEM могут быть вполне применимы не только для информационной безопасности, но и ИТ персоналом, разработчиками для своевременного обнаружения и предотвращения инцидентов
«Архитектура Справочного API 2ГИС» — Сергей Коржнев, 2ГИС2ГИС Технологии
В своем докладе мы рассмотрим архитектуру сервиса и основные инфраструктурные процессы.
Архитектура: Yii-фреймворк и компоненты, PgSQL, Sphinx, С++-демоны для многокритериального поиска.
Развертывание: серверы (Новосибирск, Москва, Амстердам), Phing, Chef.
Мониторинг: Zabbix API, Pinba + утилита профилирования методов API, Graylog.
Кеширование: Nginx + Lua, Redis, APC, шардинг кеша и инвалидация.
Также мы расскажем, как нам удаётся стабильно делать релизы каждый вторник и обновлять данные по всем городам каждый день. И многое другое…
Справочный API 2ГИС — крупнейший REST API в Рунете.
Более 300 партнёров, среди которых 2ГИС-Онлайн, Mail.ru, НГС, Е1.ru. Месячная аудитория — 14 млн.
Сервис предоставляет информацию об 1.3 млн. фирм и 1.8 млн. POI в 200 городах России, Падуе (Италия), нескольких городах в Украине и Казахстане.
13 октября 2016
Бизнес-завтрак «Контроль производительности приложений — ключ к успешному взаимодействию с бизнесом»
http://www.croc.ru/action/detail/66468/
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
Совместный вебинар Positive Technologies и ДиалогНаука будет посвящен типичным сложностям, с которыми сталкиваются организации при внедрении SIEM-систем, а также тому, с чем сталкиваются организации при попытке оценить уровень своей защищенности.
Cisco Threat Defense (Cisco Stealthwatch)Cisco Russia
• Введение
• Обзор системы Cisco Stealthwatch
• Архитектура и развертывание Stealthwatch
• Начало работы с системой Stealthwatch
• Модель тревог
• Резюме
«Архитектура Справочного API 2ГИС» — Сергей Коржнев, 2ГИС2ГИС Технологии
В своем докладе мы рассмотрим архитектуру сервиса и основные инфраструктурные процессы.
Архитектура: Yii-фреймворк и компоненты, PgSQL, Sphinx, С++-демоны для многокритериального поиска.
Развертывание: серверы (Новосибирск, Москва, Амстердам), Phing, Chef.
Мониторинг: Zabbix API, Pinba + утилита профилирования методов API, Graylog.
Кеширование: Nginx + Lua, Redis, APC, шардинг кеша и инвалидация.
Также мы расскажем, как нам удаётся стабильно делать релизы каждый вторник и обновлять данные по всем городам каждый день. И многое другое…
Справочный API 2ГИС — крупнейший REST API в Рунете.
Более 300 партнёров, среди которых 2ГИС-Онлайн, Mail.ru, НГС, Е1.ru. Месячная аудитория — 14 млн.
Сервис предоставляет информацию об 1.3 млн. фирм и 1.8 млн. POI в 200 городах России, Падуе (Италия), нескольких городах в Украине и Казахстане.
13 октября 2016
Бизнес-завтрак «Контроль производительности приложений — ключ к успешному взаимодействию с бизнесом»
http://www.croc.ru/action/detail/66468/
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
Совместный вебинар Positive Technologies и ДиалогНаука будет посвящен типичным сложностям, с которыми сталкиваются организации при внедрении SIEM-систем, а также тому, с чем сталкиваются организации при попытке оценить уровень своей защищенности.
Cisco Threat Defense (Cisco Stealthwatch)Cisco Russia
• Введение
• Обзор системы Cisco Stealthwatch
• Архитектура и развертывание Stealthwatch
• Начало работы с системой Stealthwatch
• Модель тревог
• Резюме
Руководство по формату событий для разработчиков программного обеспечения в целях полноценного логирования и интеграции с любыми системами SIEM (Security information and event management) и LM (log management).
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMDialogueScience
В настоящее время средства защиты корпоративных систем обнаруживают всё больше подозрительных событий и аномального трафика. При этом требуется выявление действительно опасных событий и инцидентов. Одними из лучших средств для данных задач являются системы HP ArcSight ESM\Logger. На вебинаре рассмотрены ключевые возможности и примеры из практики.
Возможно SOC уже есть или SOC - мечта, однако существуют причины по которым вы его сделали или сделаете. У каждого человека - они разные. Лучше рассмотреть все варианты и выбрать свой путь.
2. О канале
- круглосуточное вещание более чем в 100 странах мира
- 35 миллионов ежедневных зрителей
- новостной телеканал №1 на YouTube
- онлайн-аудитория приблизилась к отметке в 50 миллионов зрителей
- 5 миллиардов просмотров на всех аккаунтах
4. Сбор, выделение полей, обогащение и хранение
SPLUNK Аналитик
From
From
From
Выходные данные:
#отчеты для аналитика;
#визуализация;
#сырые данные.
Сбор>Получение событий:
#по формату источника;
#нагрузка на источник при получении не допустима;
#RealTime.
Обогащение>Дополнение недостающих полей
#app и/или addon;
#получение информации из других источников.
Выделение полей:
#должны быть доступны все поля;
предусмотренные документацией источникa;
#значение поля в отчете для аналитика = значению в GUI.
5. Сбор, выделение полей, обогащение и хранение
|подключение источников
#контроллеры домена;
#доменные и не доменные станции
(windows, macos, *nix);
#dhcp;
#dns (resolve);
#гипервизоры;
#средства антивирусной защиты;
#ids;
#сетевые экраны, коммутаторы, wlc;
#телефония (cucm, callrec, cdr);
#erp.
|время поступления логов в систему
#RealTime:Для не ротируемых журналов событий, без метки года.
Splunk> :
>распознавание существующего timestamp;
>добавление в качестве года текущего;
>получение полного timestamp для каждой записи;
>добавление в индекс только новых событий
#данный функционал реализован по умолчанию.
7. Сбор, выделение полей, обогащение и хранение
|проверка событий на источнике
#только Splunk выполнил задачу на 100%
|проверка корректности отчета
#только Splunk выполнил задачу на 100%
8. Проверка возможности написания правил корреляции
|Уменьшение числа ложных срабатываний|Достоверное определение событий |Оперативное оповещение
9. Проверка возможности написания правил корреляции
|Уменьшение числа ложных срабатываний|Достоверное определение событий |Оперативное оповещение
10. Проверка возможности написания правил корреляции
|Уменьшение числа ложных срабатываний|Достоверное определение событий |Оперативное оповещение
Firewall-события
- Построение NAT
- Для TCP сессии (302013)
- Для UDP сессии (302015)
- Запрет прохождения
сессии (106023)
IDS-событие Firewall-событие
Source-IP Inside-address
Source-Port Inside-port
Destination-IP Outside-address
Destination-Port Outside-port
11. Проверка возможности написания правил корреляции
|Уменьшение числа ложных срабатываний|Достоверное определение событий |Оперативное оповещение
12. Выделяем
индексы
IDS
•Из IDS выделяем события с индексом App=Bittorrent
•Фиксируем timestamp
Выделяем
индексы
Cisco ASA
•IDS: Source IP, Source Port, Destination IP, Destination Port, APP, Bytes, Bytes Sent, Bytes Received, Packets
Взаимно-
однозначное
соответствие
•Cisco ASA: inside_port, inside_address, global_address(inside), global_port(inside), Outside_address, Outside_port, message_number,
timestamp
Выделяем
message
numbers
•IDS: Cisco ASA:
Source IP ~ inside_port
Source Port ~ inside_address
Destination IP ~ Outside_address
Destination Port ~ Outside_port
timestamp ~ timestamp (∆)
END
•302013– слот TCP-подключения между двумя хостами был создан
•302015– слот UDP-подключения между двумя хостами был создан
•106023–запрет на проход пакета, определяемый ACL
13. Анализируем
машинные
данные с
конечной
рабочей
станции.
•Анализ данных за период 7 дней, так как станции в соответствии с политикой
безопасности могут не перезагружаться и не обновлять аренду на протяжении 7 дней
Анализ
журнала
событий типа
Security
•Выделяем следующие уникальные идентификаторы:
•4624 – вход пользователя на станцию;
•4800 – блокировка станции;
•4674 с сигнатурой «user initiated logoff» и типом «audit access» – выход пользователя со
станции;
•4779 c объектом a «session was disconnected» - при установлении со станцией RDP
сессии, соединение пользователя прерывается при разрыве семой RDP сессии.
Определяем,
какой
пользователь
был на
станции в
момент
возникновени
я инцидента
•Устанавливаем имя станции через DHCP сервер
End
•Выявляем пользователя, у которого произошло событие 4624 раньше возникновения
инцидента, но при этом еще не наступили события 4800, 4674 и 4779
14. Подмена?
Данные с IDS о dest_ip
и dest_port процесса
на конечной станции
Аудит выдает
Запускаем на станции
аудит процессов
SysMon
имя процесса,src_ip
процесса, src_port
процесса, dest_ip
процесса, dest_port
процесса.
Данные с IDS
совпадают с
результатом
аудита
Нет
Данные с IDS не
совпадают с
результатом
аудита
Да
25. М
Дополнительные плюшки Splunk
#SVM удалось снизить с 42 до 1 при 447 сессиях
#С логистической регрессией удалось снизить с 42 до 20 при 447 сессиях
27. М
Если есть новостная сенсация, то в
независимости от того есть DDoS или нет,
расширяем канал
Если присутствуют заголовки: sensation,
breaking news, то повышенный интерес к
ресурсам сайта
Анализ логов сайта
Прогноз типичного поведения трафика
для компании с использованием
фильтра Калмана
Каждая точка отклонения вводится в
модель корреляционного анализа с
данными о загрузке ресурсов
Установление допустимой области
Прогноз типичного поведения трафика
для компании с использованием
фильтра Калмана
Системы анализа машинных
данных
Есть нарушения границ
допустимой области
Данные о загрузке CPU, RAM и
канала
Есть загрузка физических
ресурсов
сайт
Новостная сенсация
Расширение канала
Нет новостной сенсации
Центр очистки
Нет загрузки физических
ресурсов
Ресурсы устойчивы к
всплеску
Нет нарушения границ
допустимой области
Нет действий