SlideShare a Scribd company logo

SIEM для чайников

BAKOTECH
BAKOTECH

SIEM – корреляция и анализ данных о событиях безопасности в сети (log management; корреляция событий реагирование на инциденты; отчетность и оповещение)

Business
1 of 18
Download to read offline
SIEM ДЛЯ ЧАЙНИКОВ www.alienvault.com ВСЕ, ЧТО ВЫ ХОТЕЛИ ЗНАТЬ ПРО УПРАВЛЕНИЕ ЛОГАМИ, НО БОЯЛИСЬ СПРОСИТЬ
Хотя ИТ-индустрия и сделала выбор в пользу термина «SIEM», как универсального для этого типа решений информационной безопасности, он развился из нескольких различных технологий, которые были до него. • LMS (Система управления логами, англ. Log Management System) ― система, которая собирает и хранит логи (операционных систем, приложений и т. д.) с нескольких хостов и систем в одном месте, обеспечивая централизованный доступ к этим данным. • • • • Применяющиеся технологии SLM/LMS, SIM, SEM, SEC, SIEM SLM / SEM (Система управления логами/событиями, англ. Security Log/Event Management) ― SLM предназначена в первую очередь для аналитиков по безопасности, а не системных администраторов. SEM ― это система определения наиболее значимых для безопасности событий. SIM (Система управления информацией, англ. Security information Management) ― это система управления активами с возможностями обработки событий безопасности. С ее помощью хосты могут генерировать отчеты об уязвимостях в системе, обнаруживать вторжения, предупреждения антивируса могут быть показаны в соответствии с определенной системой. SEC (Корреляция событий безопасности, англ. Security Event Correlation) ― три неудачные попытки входа в одну учетную запись из трех разных источников ― это всего три строки в логах. Для аналитика это своеобразная последовательность событий, которые необходимо рассмотреть более подробно, а поиск шаблонов в логах ― причина подать сигнал тревоги, когда это происходит. SIEM (Управление информацией и событиями безопасности, англ. Security information and Event Managemen) ― это все вышеперечисленное. Поскольку вышеупомянутые технологии объединяются в отдельных продуктах, произошел общий термин для управления событиями и информацией, созданной с помощью элементов управления и инфраструктуры безопасности. Мы будем использовать термин SIEM для остальной части этой брошюры.
Вопросы, на которые нужно дать ответ: “ ”Кто сегодня нас атакует? “Как они получили доступ к нашей корпоративной сети?” Многие думают, что элементы управления безопасностью дают полную информацию, необходимую для обеспечения безопасности. Но часто они содержат только то, что они обнаружили ― в них нет контекста «до и после». Этот контекст, как правило, очень важен для того, чтобы отделить “ложное положительное” (false positive) от “истинного” (true) обнаружения, реальную атаку от просто неправильно настроенной системы. Успешные атаки на компьютерные системы редко выглядят как настоящие атаки, за исключением самых примитивных. Если бы это было не так, мы могли бы автоматизировать все средства защиты без необходимости использования человеческих сил. Злоумышленники обычно пытаются удалить или исправить записи в логах, чтобы спрятать свои следы. Ведь это источник информации, которому можно доверять, и который имеет критически важное значение для любого исследования вмешательства в работу компьютерных систем. Что в логах? Что в логах?!!В: О:
SIEM более подробно и детально видит то, что происходит в вашей сети, чем это может обеспечить любая другая система управления безопасностью или источник информации: Ничего из вышеперечисленного по отдельности не может сказать, что происходит у вас в системе… Но вместе они могут! • ваша система обнаружения вторжений (IDS) распознает только пакеты, протоколы и IP-адреса; • ваш Endpoint Security видит файлы, имена хостов и пользователей; • в ваших service logs отображаются логины пользователей, активность служб и изменения конфигурации; • ваша система управления активами видит приложения, процессы и владельцев. Слепые и слон
SIEM ― это просто управление над имеющимися системами и контроль безопасности. Он объединяет и унифицирует информацию, содержащуюся в ваших системах, позволяя анализировать ее и управлять при помощи единого интерфейса. SIEM является прекрасным примером принципа «garbage in, garbage out». SIEM полезен только тогда, когда вы отправляете ему информацию. Чем более полная информация о вашей сети, системах и активах, которую получает SIEM, тем более эффективнее он будет помогать вам обнаруживать и анализировать угрозы. SIEM Единый взгляд на вашу безопасность
Компьютер Боба был скомпрометирован файлом asbss.exe, который попал с вредоносного веб- сайта. Этот зловред затем использовал учетную запись Боба, чтобы попытаться заразить davEPC3, но антивирус поймал его. Однако, машина Боба "bobPC1", вероятно, все еще скомпрометирована. Мы должны блокировать вредоносный домен и очистить рабочее пространство Боба, как можно скорее. External Website 4.4.4.4 DMZ Firewall 10.90.0.1 Web Proxy 10.90.0.50 BOBPC1 10.100.23.53 DAVEPC3 10.10123.18 Domain Controller DHCP Server Antivirus Controller Router A A B C D D E E F F B C Connection to TCP port 80 - src:10.90.0.50 dst: 4.4.4.4 state: ACCEPTED HTTP Client GET - http://somebadwebsite.org/878732/asbss.exe %SEC-6-IPACCESSLOGP: list ACL-IPv4-E0/0-IN permitted tcp 10.100.23.53(38231) > 10.90.0.50(3129), 1 packet Lease for 10.100.23.53 Assigned to BOBPC1 - MAC:AE:00:AE:10:F8:D6 Authentication Package: Microsoft_Authentication_Package_V1_0 Logon Account: BRoberts Source Workstation: BOBPC1 Error Code: 0x00000064 Client: DAVEPC3 - Successfully Removed - C:WindowsTempasbss.dll - Reason: Win32/RatProxyDLL18 105
• Сбор логов ― это сердце и душа SIEM. Чем больше источников логов, отправляющих данные в SIEM, тем больше может быть достигнуто с помощью этой системы. • Необработанные логи сами по себе редко содержат легкую для понимания информацию. • Эксперты по безопасности ограничены временем и возможностями, чтобы контролировать каждую операцию в системе. • При помощи логов специалисты видят только информацию типа «Connection from host А to host B». • Аналитик нуждается в информации, чтобы сделать обоснованную оценку любого события, связанного с безопасностью. • Для получения полной информации из логов необходим процесс корреляции. Пуд логов и переполненная чаша записей об активах
Контроль безопасности • обнаружение вторжений • защита конечных точек (антивирус и т. д.) • предотвращение утечки данных • VPN-концентраторы • веб-фильтры • межсетевые экраны Инфраструктура • маршрутизаторы • коммутаторы • контроллеры доменов • беспроводные точки доступа • серверы приложений • базы данных • корпоративне порталы и приложения Данные об активах • конфигурация • местоположения • владельцы • сетевые карты • отчеты об уязвимостях • инвентаризация ПО Бизнес-информация • сопоставления бизнес-процессов • точки соприкосновения • партнерская информация ЛОГИ И СИГНАЛЫ ТРЕВОГИ ИНФОРМАЦИЯ ОБ ИНФРАСТРУКТУРЕ Рецепт от шефа: список ингредиентов для качественного развертывания SIEM
Business Locations Network MapsBusiness Units Configuration and Asset Information System Logs and Security Controls Alerts Software Inventory Software Inventory 10.100.20.0.18 10.88.6.12 10.100.20.0/24 10.88.5.0/16 Pennsylvania Boston Business Processes Accounts Receivable Accounting IT USSaleSyncAcct 10.100.20.18 инициировал копирование базы данных с использованием учетных данных USSalesSyncAcct на удаленном хосте 10.88.6.12 - Status Code 0x44F8 КАК ГЕНЕРИРУЮТСЯ ЛОГИ В ВАШЕЙ СЕТИ SIEM
Держитесь: сила корреляции События из разных источников могут быть объединены и сопоставлены друг с другом для обнаружения моделей поведения, невидимых для отдельных устройств. Они также могут быть сопоставлены с уникальной для вашего бизнеса информацией. Корреляция позволяет автоматизировать обнаружение событий, которые не должны возникать в вашей сети. Корреляция ― это процесс сопоставления событий с различных систем (хостов, сетевых устройств, элементов управления безопасностью и всего другого, что отправляет логи в SIEM).
Красота корреляции логов “14:10 7/4/20110 User BRoberts Successful Auth to 10.100.52.105 from 10.10.8.22” “Учетная запись из отдела маркетинга подключилась к системе с офисного компьютера в тот день, когда никто не должен находиться в офисе” и это: Чтобы понять разницу между обычным информированием и корреляцией логов сравните это:
Ваша сеть генерирует огромное количество данных. Например, компании из списка Fortune 500 могут генерировать 10 ТБ текстовых логов в месяц, и это в обычном режиме. Вы не можете нанять большое количество людей, чтобы искать несоответствия в каждой строке этих логов. Серьезно, даже не думайте об этом. Даже если вы прочитаете каждую строку, вам будет настолько скучно, что вы никогда ничего не обнаружите, даже если это будет прямо перед вашими глазами. Корреляция логов позволяет определять подозрительные события в ваших системах, и помогает аналитикам понять, что необходимо исследовать дополнительно. Они смогут обнаружить кусочки информации, которые приводят к другим фрагментам информации, и так далее. Это позволяет выполнить поиск логов и найти подозрительную активность в базе данных, это одна из функций SIEM. Хорошо, что SIEM ― это по большому счету... Медленно готовьте в течении восьми часов Подавайте голодным аналитикам
…Гигантская база данных с логами Было бы очень удобно, если бы каждая ОС и каждое приложение в мире записывали свои логи в одинаковом формате. Но это не так. Большинство логов написано, чтобы их читали люди, а не компьютеры. По этой причине использование поиска логов из разных источников становится затруднительным. Эти два лога говорят одно и то же для человека, но очень отличаются с точки зрения машины: “User Broberts Successfully Authenticated to 10.100.52.105 from client 10.10.8.22” “100.100.52.105 New Client Connection 10.10.8.22 on account: Broberts: Success” Нам необходимо преобразовать каждый лог в приемлемый для человека формат “User [USERNAME] [STATUS] Authenticated to [DESTIP] from client [SOURCEIP]” “100.100.52.105 New Client Connection 10.10.8.22 on account: Broberts: Success” Поэтому, когда вы видите SIEM, в описании которого говорится о том, сколько устройств он поддерживает – имеется ввиду с какого количества устройств он может собирать и анализировать логи.
Это позволяет нам также выполнять автоматическую корреляцию, сравнивая поля между логами, периодами времени, типами устройств. Как и в случае с любой базой данных, нормализация событий позволяет формировать итоговый отчет, основываясь на информации в логах. Show [All Logs] From [All Devices] from the [last two weeks], where the [username] is [Broberts] Если определенный актив ошибается при входе на 3 разных сервера, использовав одинаковые логин и пароль за последние 6 секунд, подать сигнал тревоги Какие учетные записи пользователей получили доступ к наибольшему числу отдельных хостов за последний месяц? Какая подсеть генерирует наибольшее количество неудачных попыток входа в день в среднем за полгода? Поиск и кросс-корреляция Разбирая логи на составляющие, мы нормализуем их, что позволяет производить поиск в логах с нескольких устройств и коррелировать события между ними. Как только мы нормализовали логи и добавили в таблицу базы данных, мы можем выполнять поиск в стиле базы данных, например:
Но погодите, есть кое-что еще! • Теперь вы знаете, что SIEM — это способ собирать и обрабатывать данные с систем, которые формируют вашу информационную инфраструктуру. • SIEM может давать аналитикам доступ к информации из систем, не предоставляя им доступ к самим системам. • Корреляция событий позволяет кодировать знания(encode security knowledge) о безопасности в автоматическом поиске событий и информации об активах. Это нужно для предупреждения о событиях, которые происходят в вашей системе, и служит отправной точкой для анализа логов. • Чтобы оставаться в курсе сегодняшних угроз и вектора их развитий, вам необходимо больше, чем просто SIEM. Вам нужны соответствующие данные, унифицированный подход и интегрированная информация об угрозах, чтобы действительно получить полную картину о структуре вашей безопасности.
AlienVault® USM™ предоставляет это все вместе Определение и инвентаризация активов Обнаруживайте все активы в вашей сети при помощи пассивного и активного сканирования SIEM и Log Management Быстро коррелируйте и анализируйте события безопасности при помощи встроенных SIEM и Log Management Определение вторжений Определяйте и реагируйте на угрозы быстрее со встроенной сетевой системой обнаружения вторжений (NIDS), хостовой системой обнаружения вторжений (HIDS) и мониторингом целостности файлов Сканер уязвимостей Находите уязвимости на ваших активах при помощи активного сетевого сканирования и беспрерывного мониторинга уязвимостей Мониторинг поведения Анализируйте NetFlow (sFlow), следите за сервисами на ваших устройствах powered by AV Labs Threat Intelligence
Trouble Ticketing Asset Discovery Log Management Event Management Event Correlation Reporting Features: AlienVault USM Traditional SIEM Built-in $$ (3rd-party product that requires integration) Security Monitoring Technologies Network IDS Host IDS Netflow Full Packet Capture File Integrity Monitoring Vulnerability Assessment Additional Capabilities: Built-in $$ (3rd-party product that requires integration) Built-in $$ (3rd-party product that requires integration) Built-in $$ (3rd-party product that requires integration) Built-in $$ (3rd-party product that requires integration) Built-in $$ (3rd-party product that requires integration) Built-in $$ (3rd-party product that requires integration) Built-in $$ (3rd-party product that requires integration) Continuous Threat Intelligence Built-in Not available Unified Management Console for security monitoring technologies Built-in Not available Management
Следующие шаги: www.alienvault.com • Посмотрите 3-минутный обзор • Попробуйте попробуйте live-демо на нашем сайте • Начните обнаруживать угрозы при помощи бесплатной 30-дневной триальной версии • Получить от SIEM больше, благодаря нашей USM • Присоединяйтесь к открытому сообществу обмена данными об угрозах (OTX) Try it Free Группа компаний БАКОТЕК ― официальный дистрибьютор решений AlienVault в Украине, Казахстане, странах Балтии, Восточной Европы и СНГ. По всем вопросам, связанным с продукцией AlienVault, пожалуйста, обращайтесь: +380 44 273-3333, alienvault@bakotech.com

Recommended

комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...Expolink
 
комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...Expolink
 
Защита АСУ ТП средствами Cisco IPS
Защита АСУ ТП средствами Cisco IPSЗащита АСУ ТП средствами Cisco IPS
Защита АСУ ТП средствами Cisco IPSCisco Russia
 
Брошюра SecureTower
Брошюра SecureTowerБрошюра SecureTower
Брошюра SecureTowerКомпания ИНТРО
 
КСИБ
КСИБКСИБ
КСИБpesrox
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Александр Лысяк
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar securityAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...Expolink
 
комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...комплексный подход к обеспечению информационной безопасности современной комп...
комплексный подход к обеспечению информационной безопасности современной комп...Expolink
 
Защита АСУ ТП средствами Cisco IPS
Защита АСУ ТП средствами Cisco IPSЗащита АСУ ТП средствами Cisco IPS
Защита АСУ ТП средствами Cisco IPSCisco Russia
 
Брошюра SecureTower
Брошюра SecureTowerБрошюра SecureTower
Брошюра SecureTowerКомпания ИНТРО
 
КСИБ
КСИБКСИБ
КСИБpesrox
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Александр Лысяк
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar securityAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Компания УЦСБ
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рискамиАлександр Лысяк
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017Alexey Kachalin
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасностиАлександр Лысяк
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Александр Лысяк
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пмAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
10160
1016010160
10160nreferat
 
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Solar Security
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПAlexander Dorofeev
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCSolar Security
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 

More Related Content

What's hot

Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Компания УЦСБ
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017Alexey Kachalin
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасностиАлександр Лысяк
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Александр Лысяк
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Solar Security
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПAlexander Dorofeev
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCSolar Security
 

What's hot (20)

Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рисками
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасности
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в России
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
 
4.про soc от пм
4.про soc от пм4.про soc от пм
4.про soc от пм
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
10160
1016010160
10160
 
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТП
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOC
 

Similar to SIEM для чайников

Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance BAKOTECH
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication SystemsSSA KPI
 
Контрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателейКонтрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателейCisco Russia
 
SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написатьOlesya Shelestova
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Stealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозStealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозCisco Russia
 
Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007atamur
 
Практические аспекты реализации системы информационной безопасности в российс...
Практические аспекты реализации системы информационной безопасности в российс...Практические аспекты реализации системы информационной безопасности в российс...
Практические аспекты реализации системы информационной безопасности в российс...BDA
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информацииАльбина Минуллина
 
Почему вам не нужен SOC
Почему вам не нужен SOCПочему вам не нужен SOC
Почему вам не нужен SOCKirill Ermakov
 
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Konstantin Feoktistov
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 

Similar to SIEM для чайников (20)

Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
 
RuSIEM
RuSIEMRuSIEM
RuSIEM
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
 
Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)Free RvSIEM. Intro (Rus)
Free RvSIEM. Intro (Rus)
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication Systems
 
Контрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателейКонтрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателей
 
SIEM use cases - как их написать
SIEM use cases - как их написатьSIEM use cases - как их написать
SIEM use cases - как их написать
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Stealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозStealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угроз
 
Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007
 
Практические аспекты реализации системы информационной безопасности в российс...
Практические аспекты реализации системы информационной безопасности в российс...Практические аспекты реализации системы информационной безопасности в российс...
Практические аспекты реализации системы информационной безопасности в российс...
 
Обзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure AnalyticsОбзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure Analytics
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информации
 
Почему вам не нужен SOC
Почему вам не нужен SOCПочему вам не нужен SOC
Почему вам не нужен SOC
 
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 

More from BAKOTECH

Threat Detection & Response
Threat Detection & ResponseThreat Detection & Response
Threat Detection & ResponseBAKOTECH
 
WatchGuard SD-WAN
WatchGuard SD-WAN WatchGuard SD-WAN
WatchGuard SD-WAN BAKOTECH
 
WatchGuard WIPS
WatchGuard WIPSWatchGuard WIPS
WatchGuard WIPSBAKOTECH
 
WatchGuard Authpoint
WatchGuard Authpoint WatchGuard Authpoint
WatchGuard Authpoint BAKOTECH
 
McAfee Labs Threats Report, August 2019
McAfee Labs Threats Report, August 2019 McAfee Labs Threats Report, August 2019
McAfee Labs Threats Report, August 2019 BAKOTECH
 
F5 labs 2018. Отчет по защите веб-приложений
F5 labs 2018. Отчет по защите веб-приложенийF5 labs 2018. Отчет по защите веб-приложений
F5 labs 2018. Отчет по защите веб-приложенийBAKOTECH
 
Miercom Unified Threat Management Report - WatchGuard M270
Miercom Unified Threat Management Report - WatchGuard M270Miercom Unified Threat Management Report - WatchGuard M270
Miercom Unified Threat Management Report - WatchGuard M270BAKOTECH
 
WatchGuard Internet Security Report
WatchGuard Internet Security ReportWatchGuard Internet Security Report
WatchGuard Internet Security ReportBAKOTECH
 
BreakingPoint от Ixia
BreakingPoint от IxiaBreakingPoint от Ixia
BreakingPoint от IxiaBAKOTECH
 
Cloud Visibility for Dummies от IXIA
Cloud Visibility for Dummies от IXIACloud Visibility for Dummies от IXIA
Cloud Visibility for Dummies от IXIABAKOTECH
 
Network Visibility for Dummies
Network Visibility for DummiesNetwork Visibility for Dummies
Network Visibility for DummiesBAKOTECH
 
SIEM for Beginners
SIEM for BeginnersSIEM for Beginners
SIEM for BeginnersBAKOTECH
 
Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии BAKOTECH
 
Надежная защита от утечек информации в условиях современных тенденций ИТ
Надежная защита от утечек информации в условиях современных тенденций ИТНадежная защита от утечек информации в условиях современных тенденций ИТ
Надежная защита от утечек информации в условиях современных тенденций ИТBAKOTECH
 
Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...
Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...
Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...BAKOTECH
 
Внутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITВнутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITBAKOTECH
 
Обзор инструментов Toad для администраторов Oracle
Обзор инструментов Toad для администраторов OracleОбзор инструментов Toad для администраторов Oracle
Обзор инструментов Toad для администраторов OracleBAKOTECH
 
Toad for Oracle для разработчиков – обзор, советы и скрытые возможности
Toad for Oracle для разработчиков – обзор, советы и скрытые возможностиToad for Oracle для разработчиков – обзор, советы и скрытые возможности
Toad for Oracle для разработчиков – обзор, советы и скрытые возможностиBAKOTECH
 
Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...
Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...
Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...BAKOTECH
 

More from BAKOTECH (20)

SOAR
SOARSOAR
SOAR
 
Threat Detection & Response
Threat Detection & ResponseThreat Detection & Response
Threat Detection & Response
 
WatchGuard SD-WAN
WatchGuard SD-WAN WatchGuard SD-WAN
WatchGuard SD-WAN
 
WatchGuard WIPS
WatchGuard WIPSWatchGuard WIPS
WatchGuard WIPS
 
WatchGuard Authpoint
WatchGuard Authpoint WatchGuard Authpoint
WatchGuard Authpoint
 
McAfee Labs Threats Report, August 2019
McAfee Labs Threats Report, August 2019 McAfee Labs Threats Report, August 2019
McAfee Labs Threats Report, August 2019
 
F5 labs 2018. Отчет по защите веб-приложений
F5 labs 2018. Отчет по защите веб-приложенийF5 labs 2018. Отчет по защите веб-приложений
F5 labs 2018. Отчет по защите веб-приложений
 
Miercom Unified Threat Management Report - WatchGuard M270
Miercom Unified Threat Management Report - WatchGuard M270Miercom Unified Threat Management Report - WatchGuard M270
Miercom Unified Threat Management Report - WatchGuard M270
 
WatchGuard Internet Security Report
WatchGuard Internet Security ReportWatchGuard Internet Security Report
WatchGuard Internet Security Report
 
BreakingPoint от Ixia
BreakingPoint от IxiaBreakingPoint от Ixia
BreakingPoint от Ixia
 
Cloud Visibility for Dummies от IXIA
Cloud Visibility for Dummies от IXIACloud Visibility for Dummies от IXIA
Cloud Visibility for Dummies от IXIA
 
Network Visibility for Dummies
Network Visibility for DummiesNetwork Visibility for Dummies
Network Visibility for Dummies
 
SIEM for Beginners
SIEM for BeginnersSIEM for Beginners
SIEM for Beginners
 
Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии Обеспечение безопасности активов современного бизнеса с помощью криптографии
Обеспечение безопасности активов современного бизнеса с помощью криптографии
 
Надежная защита от утечек информации в условиях современных тенденций ИТ
Надежная защита от утечек информации в условиях современных тенденций ИТНадежная защита от утечек информации в условиях современных тенденций ИТ
Надежная защита от утечек информации в условиях современных тенденций ИТ
 
Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...
Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...
Проблематика безопасности баз данных. Выявление уязвимостей, контроль транзак...
 
Внутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITВнутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveIT
 
Обзор инструментов Toad для администраторов Oracle
Обзор инструментов Toad для администраторов OracleОбзор инструментов Toad для администраторов Oracle
Обзор инструментов Toad для администраторов Oracle
 
Toad for Oracle для разработчиков – обзор, советы и скрытые возможности
Toad for Oracle для разработчиков – обзор, советы и скрытые возможностиToad for Oracle для разработчиков – обзор, советы и скрытые возможности
Toad for Oracle для разработчиков – обзор, советы и скрытые возможности
 
Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...
Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...
Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Ча...
 

SIEM для чайников

  • 1. SIEM ДЛЯ ЧАЙНИКОВ www.alienvault.com ВСЕ, ЧТО ВЫ ХОТЕЛИ ЗНАТЬ ПРО УПРАВЛЕНИЕ ЛОГАМИ, НО БОЯЛИСЬ СПРОСИТЬ
  • 2. Хотя ИТ-индустрия и сделала выбор в пользу термина «SIEM», как универсального для этого типа решений информационной безопасности, он развился из нескольких различных технологий, которые были до него. • LMS (Система управления логами, англ. Log Management System) ― система, которая собирает и хранит логи (операционных систем, приложений и т. д.) с нескольких хостов и систем в одном месте, обеспечивая централизованный доступ к этим данным. • • • • Применяющиеся технологии SLM/LMS, SIM, SEM, SEC, SIEM SLM / SEM (Система управления логами/событиями, англ. Security Log/Event Management) ― SLM предназначена в первую очередь для аналитиков по безопасности, а не системных администраторов. SEM ― это система определения наиболее значимых для безопасности событий. SIM (Система управления информацией, англ. Security information Management) ― это система управления активами с возможностями обработки событий безопасности. С ее помощью хосты могут генерировать отчеты об уязвимостях в системе, обнаруживать вторжения, предупреждения антивируса могут быть показаны в соответствии с определенной системой. SEC (Корреляция событий безопасности, англ. Security Event Correlation) ― три неудачные попытки входа в одну учетную запись из трех разных источников ― это всего три строки в логах. Для аналитика это своеобразная последовательность событий, которые необходимо рассмотреть более подробно, а поиск шаблонов в логах ― причина подать сигнал тревоги, когда это происходит. SIEM (Управление информацией и событиями безопасности, англ. Security information and Event Managemen) ― это все вышеперечисленное. Поскольку вышеупомянутые технологии объединяются в отдельных продуктах, произошел общий термин для управления событиями и информацией, созданной с помощью элементов управления и инфраструктуры безопасности. Мы будем использовать термин SIEM для остальной части этой брошюры.
  • 3. Вопросы, на которые нужно дать ответ: “ ”Кто сегодня нас атакует? “Как они получили доступ к нашей корпоративной сети?” Многие думают, что элементы управления безопасностью дают полную информацию, необходимую для обеспечения безопасности. Но часто они содержат только то, что они обнаружили ― в них нет контекста «до и после». Этот контекст, как правило, очень важен для того, чтобы отделить “ложное положительное” (false positive) от “истинного” (true) обнаружения, реальную атаку от просто неправильно настроенной системы. Успешные атаки на компьютерные системы редко выглядят как настоящие атаки, за исключением самых примитивных. Если бы это было не так, мы могли бы автоматизировать все средства защиты без необходимости использования человеческих сил. Злоумышленники обычно пытаются удалить или исправить записи в логах, чтобы спрятать свои следы. Ведь это источник информации, которому можно доверять, и который имеет критически важное значение для любого исследования вмешательства в работу компьютерных систем. Что в логах? Что в логах?!!В: О:
  • 4. SIEM более подробно и детально видит то, что происходит в вашей сети, чем это может обеспечить любая другая система управления безопасностью или источник информации: Ничего из вышеперечисленного по отдельности не может сказать, что происходит у вас в системе… Но вместе они могут! • ваша система обнаружения вторжений (IDS) распознает только пакеты, протоколы и IP-адреса; • ваш Endpoint Security видит файлы, имена хостов и пользователей; • в ваших service logs отображаются логины пользователей, активность служб и изменения конфигурации; • ваша система управления активами видит приложения, процессы и владельцев. Слепые и слон
  • 5. SIEM ― это просто управление над имеющимися системами и контроль безопасности. Он объединяет и унифицирует информацию, содержащуюся в ваших системах, позволяя анализировать ее и управлять при помощи единого интерфейса. SIEM является прекрасным примером принципа «garbage in, garbage out». SIEM полезен только тогда, когда вы отправляете ему информацию. Чем более полная информация о вашей сети, системах и активах, которую получает SIEM, тем более эффективнее он будет помогать вам обнаруживать и анализировать угрозы. SIEM Единый взгляд на вашу безопасность
  • 6. Компьютер Боба был скомпрометирован файлом asbss.exe, который попал с вредоносного веб- сайта. Этот зловред затем использовал учетную запись Боба, чтобы попытаться заразить davEPC3, но антивирус поймал его. Однако, машина Боба "bobPC1", вероятно, все еще скомпрометирована. Мы должны блокировать вредоносный домен и очистить рабочее пространство Боба, как можно скорее. External Website 4.4.4.4 DMZ Firewall 10.90.0.1 Web Proxy 10.90.0.50 BOBPC1 10.100.23.53 DAVEPC3 10.10123.18 Domain Controller DHCP Server Antivirus Controller Router A A B C D D E E F F B C Connection to TCP port 80 - src:10.90.0.50 dst: 4.4.4.4 state: ACCEPTED HTTP Client GET - http://somebadwebsite.org/878732/asbss.exe %SEC-6-IPACCESSLOGP: list ACL-IPv4-E0/0-IN permitted tcp 10.100.23.53(38231) > 10.90.0.50(3129), 1 packet Lease for 10.100.23.53 Assigned to BOBPC1 - MAC:AE:00:AE:10:F8:D6 Authentication Package: Microsoft_Authentication_Package_V1_0 Logon Account: BRoberts Source Workstation: BOBPC1 Error Code: 0x00000064 Client: DAVEPC3 - Successfully Removed - C:WindowsTempasbss.dll - Reason: Win32/RatProxyDLL18 105
  • 7. • Сбор логов ― это сердце и душа SIEM. Чем больше источников логов, отправляющих данные в SIEM, тем больше может быть достигнуто с помощью этой системы. • Необработанные логи сами по себе редко содержат легкую для понимания информацию. • Эксперты по безопасности ограничены временем и возможностями, чтобы контролировать каждую операцию в системе. • При помощи логов специалисты видят только информацию типа «Connection from host А to host B». • Аналитик нуждается в информации, чтобы сделать обоснованную оценку любого события, связанного с безопасностью. • Для получения полной информации из логов необходим процесс корреляции. Пуд логов и переполненная чаша записей об активах
  • 8. Контроль безопасности • обнаружение вторжений • защита конечных точек (антивирус и т. д.) • предотвращение утечки данных • VPN-концентраторы • веб-фильтры • межсетевые экраны Инфраструктура • маршрутизаторы • коммутаторы • контроллеры доменов • беспроводные точки доступа • серверы приложений • базы данных • корпоративне порталы и приложения Данные об активах • конфигурация • местоположения • владельцы • сетевые карты • отчеты об уязвимостях • инвентаризация ПО Бизнес-информация • сопоставления бизнес-процессов • точки соприкосновения • партнерская информация ЛОГИ И СИГНАЛЫ ТРЕВОГИ ИНФОРМАЦИЯ ОБ ИНФРАСТРУКТУРЕ Рецепт от шефа: список ингредиентов для качественного развертывания SIEM
  • 9. Business Locations Network MapsBusiness Units Configuration and Asset Information System Logs and Security Controls Alerts Software Inventory Software Inventory 10.100.20.0.18 10.88.6.12 10.100.20.0/24 10.88.5.0/16 Pennsylvania Boston Business Processes Accounts Receivable Accounting IT USSaleSyncAcct 10.100.20.18 инициировал копирование базы данных с использованием учетных данных USSalesSyncAcct на удаленном хосте 10.88.6.12 - Status Code 0x44F8 КАК ГЕНЕРИРУЮТСЯ ЛОГИ В ВАШЕЙ СЕТИ SIEM
  • 10. Держитесь: сила корреляции События из разных источников могут быть объединены и сопоставлены друг с другом для обнаружения моделей поведения, невидимых для отдельных устройств. Они также могут быть сопоставлены с уникальной для вашего бизнеса информацией. Корреляция позволяет автоматизировать обнаружение событий, которые не должны возникать в вашей сети. Корреляция ― это процесс сопоставления событий с различных систем (хостов, сетевых устройств, элементов управления безопасностью и всего другого, что отправляет логи в SIEM).
  • 11. Красота корреляции логов “14:10 7/4/20110 User BRoberts Successful Auth to 10.100.52.105 from 10.10.8.22” “Учетная запись из отдела маркетинга подключилась к системе с офисного компьютера в тот день, когда никто не должен находиться в офисе” и это: Чтобы понять разницу между обычным информированием и корреляцией логов сравните это:
  • 12. Ваша сеть генерирует огромное количество данных. Например, компании из списка Fortune 500 могут генерировать 10 ТБ текстовых логов в месяц, и это в обычном режиме. Вы не можете нанять большое количество людей, чтобы искать несоответствия в каждой строке этих логов. Серьезно, даже не думайте об этом. Даже если вы прочитаете каждую строку, вам будет настолько скучно, что вы никогда ничего не обнаружите, даже если это будет прямо перед вашими глазами. Корреляция логов позволяет определять подозрительные события в ваших системах, и помогает аналитикам понять, что необходимо исследовать дополнительно. Они смогут обнаружить кусочки информации, которые приводят к другим фрагментам информации, и так далее. Это позволяет выполнить поиск логов и найти подозрительную активность в базе данных, это одна из функций SIEM. Хорошо, что SIEM ― это по большому счету... Медленно готовьте в течении восьми часов Подавайте голодным аналитикам
  • 13. …Гигантская база данных с логами Было бы очень удобно, если бы каждая ОС и каждое приложение в мире записывали свои логи в одинаковом формате. Но это не так. Большинство логов написано, чтобы их читали люди, а не компьютеры. По этой причине использование поиска логов из разных источников становится затруднительным. Эти два лога говорят одно и то же для человека, но очень отличаются с точки зрения машины: “User Broberts Successfully Authenticated to 10.100.52.105 from client 10.10.8.22” “100.100.52.105 New Client Connection 10.10.8.22 on account: Broberts: Success” Нам необходимо преобразовать каждый лог в приемлемый для человека формат “User [USERNAME] [STATUS] Authenticated to [DESTIP] from client [SOURCEIP]” “100.100.52.105 New Client Connection 10.10.8.22 on account: Broberts: Success” Поэтому, когда вы видите SIEM, в описании которого говорится о том, сколько устройств он поддерживает – имеется ввиду с какого количества устройств он может собирать и анализировать логи.
  • 14. Это позволяет нам также выполнять автоматическую корреляцию, сравнивая поля между логами, периодами времени, типами устройств. Как и в случае с любой базой данных, нормализация событий позволяет формировать итоговый отчет, основываясь на информации в логах. Show [All Logs] From [All Devices] from the [last two weeks], where the [username] is [Broberts] Если определенный актив ошибается при входе на 3 разных сервера, использовав одинаковые логин и пароль за последние 6 секунд, подать сигнал тревоги Какие учетные записи пользователей получили доступ к наибольшему числу отдельных хостов за последний месяц? Какая подсеть генерирует наибольшее количество неудачных попыток входа в день в среднем за полгода? Поиск и кросс-корреляция Разбирая логи на составляющие, мы нормализуем их, что позволяет производить поиск в логах с нескольких устройств и коррелировать события между ними. Как только мы нормализовали логи и добавили в таблицу базы данных, мы можем выполнять поиск в стиле базы данных, например:
  • 15. Но погодите, есть кое-что еще! • Теперь вы знаете, что SIEM — это способ собирать и обрабатывать данные с систем, которые формируют вашу информационную инфраструктуру. • SIEM может давать аналитикам доступ к информации из систем, не предоставляя им доступ к самим системам. • Корреляция событий позволяет кодировать знания(encode security knowledge) о безопасности в автоматическом поиске событий и информации об активах. Это нужно для предупреждения о событиях, которые происходят в вашей системе, и служит отправной точкой для анализа логов. • Чтобы оставаться в курсе сегодняшних угроз и вектора их развитий, вам необходимо больше, чем просто SIEM. Вам нужны соответствующие данные, унифицированный подход и интегрированная информация об угрозах, чтобы действительно получить полную картину о структуре вашей безопасности.
  • 16. AlienVault® USM™ предоставляет это все вместе Определение и инвентаризация активов Обнаруживайте все активы в вашей сети при помощи пассивного и активного сканирования SIEM и Log Management Быстро коррелируйте и анализируйте события безопасности при помощи встроенных SIEM и Log Management Определение вторжений Определяйте и реагируйте на угрозы быстрее со встроенной сетевой системой обнаружения вторжений (NIDS), хостовой системой обнаружения вторжений (HIDS) и мониторингом целостности файлов Сканер уязвимостей Находите уязвимости на ваших активах при помощи активного сетевого сканирования и беспрерывного мониторинга уязвимостей Мониторинг поведения Анализируйте NetFlow (sFlow), следите за сервисами на ваших устройствах powered by AV Labs Threat Intelligence
  • 17. Trouble Ticketing Asset Discovery Log Management Event Management Event Correlation Reporting Features: AlienVault USM Traditional SIEM Built-in $$ (3rd-party product that requires integration) Security Monitoring Technologies Network IDS Host IDS Netflow Full Packet Capture File Integrity Monitoring Vulnerability Assessment Additional Capabilities: Built-in $$ (3rd-party product that requires integration) Built-in $$ (3rd-party product that requires integration) Built-in $$ (3rd-party product that requires integration) Built-in $$ (3rd-party product that requires integration) Built-in $$ (3rd-party product that requires integration) Built-in $$ (3rd-party product that requires integration) Built-in $$ (3rd-party product that requires integration) Continuous Threat Intelligence Built-in Not available Unified Management Console for security monitoring technologies Built-in Not available Management
  • 18. Следующие шаги: www.alienvault.com • Посмотрите 3-минутный обзор • Попробуйте попробуйте live-демо на нашем сайте • Начните обнаруживать угрозы при помощи бесплатной 30-дневной триальной версии • Получить от SIEM больше, благодаря нашей USM • Присоединяйтесь к открытому сообществу обмена данными об угрозах (OTX) Try it Free Группа компаний БАКОТЕК ― официальный дистрибьютор решений AlienVault в Украине, Казахстане, странах Балтии, Восточной Европы и СНГ. По всем вопросам, связанным с продукцией AlienVault, пожалуйста, обращайтесь: +380 44 273-3333, alienvault@bakotech.com