Wykład przybliży słuchaczom proces budowania środowiska SIEM zoptymalizowanego pod kątem indywidualnych potrzeb przedsiębiorstwa. Omówione technologie pozwalają na realizacje założeń IT Security, przy pełnym dopasowaniu do niestandardowych procedur i zagadnień - dbając o utrzymanie ekonomiki całego projektu. EMCA również zaprezentuje środowisko Energy Logserver, który to projekt adresuje nadmieniony obszar wywodząc się ze stosu Elasticsearch, Logstash, Kibana.

1. OD CENTRALIZACJI LOGÓW
DO SIEM
ELASTICSEARCH
ENERGY LOGSERVER
WAZUH
BRO
Confidence 2019
WWW.ENERGYLOGSERVER.PL

2. IT INFRASTRUCTURE MONITORING
Wdrażamy rozwiązania z obszaru monitoringu infrastruktury IT,
aplikacji, analizy ruchu sieciowego (NetFlow, sFlow, jFlow), Log &
Event management, SIEM oraz Network Access Control.
NETWORK MONITORING
LOG MANAGEMENT & SIEM
KIM JESTEŚMY?
APPLICATION PERFORMANCE MANAGEMENT

3. 3Presented By: EMCA SA
IT Infrastructure
Monitoring
Server, Network, Application Monitoring, High Scalability,
Performanace & Availability, Customizability
Comprehensive IT Infrastructure Monitoring,
Customizability, Visiability, Open-source, Proactive
Planning &Awareness
Digital Performance
Management Digital Performance Management, User Experinece, Big
Data, Full-stack, Network Monitoring, Synthetic
Monitoring
uberAgent for ElasticSearch and Splunk
Windows APM monitoring with a strong focus on
user experience
Netflow Monitoring
Clever Network Monitoring and Security Solution, Netflow
Anaytics, APM Behavior Analytics, DDoS Protection
Netflow Analytics, Advanced Reporting, Enterprise
Visibility, Multi-Tenancy, Real-time analytics,
Behavior Monitoring
SIEM
Log Management, SIEM, Big Data, Operational Intelligence,
Behavior Analytics, Service Intelligence
Next-Gen SIEM, Threat Intelligence, Network
Forensics, Endpoint Monitoring, File Integrity
Monitoring, Security Analytics
Unified Security for Threat
Detection and Incident
Response, SIEM
Log Management Advanced Log Management, Big Data, Visualize, Search,
Analyze, Store Data, Monitoring & Alerting
Central Log Management based on Elastic, Big
Data, Analytics & Reporting, High Scalability,
Events Correlaton, Alarming
PARTNERZY TECHNOLOGICZNI

4. BUDUJEMY ROZWIĄZANIE ENERGY
LOGSERVER
Specjalizujemy się w projektach Elasticsearch :
REALIZUJEMY PROJEKTY W PEŁNEJ SKALI
PRZEPROWADZAMY INTEGRACJE
DOKĄD ZMIERZAMY?
ŚWIADCZYMY WSPARCIE

5. 5Presented By: EMCA SA
HISTORIA PROJEKTU
Szukamy systemu dla klienta
✔ 60 000 EPS
✔ Wolumen danych 1-2 Peta bajty
✔ 1 Tera bajt / dzień
✔ Full text search
✔ Bardzo wysoka wydajność
✔ Bezpieczny dostęp do danych / RBAC
✔ Export danych, raportowanie
✔ Analiza: Splunk, Logrhythm, Graylog, Hadoop,
Elasticsearch
WEB DEVELOPMENT
SEKTOR FINANSOWY

6. 6Presented By: EMCA SA
PRZYJMOWANIE KOMUNIKATÓW
Mechanizm Windows Events
Application
Log files
Syslog
Exec scripts
HTTP/JSON/API
JDBC
Kafka
JMX
Log4j
SNMPTrap
TCP/UDP raw
Netflow

7. 7Presented By: EMCA SA
ŚWIAT AGENTÓW ELASTICSEARCH

8. 8Presented By: EMCA SA
OPRACOWANA ARCHITEKTURA

9. 9
OPENSOURCE
ELK Stack is an OpenSource project
• No support
• No username and password
• No data access controll, all is open
• No reports
• No alerts
• No Audit
BUT things work:
• Data collection
• Dashboards

10. 10
ELASTIC X-PACK
X-Pack provides
• Support
• Roles and Users
• Reports
• Alerts
• Audit
BUT
• Licence is subscription only
• They cout data nodes + master nodes, we only data nodes
• Support is only to Elasticsearch NOT Logstash and Kibana

12. 12Presented By: EMCA SA
CZYM JEST ENERGY LOGSERVER?
✔ Środowisko centralizacji logów i zdarzeń tekstowych
✔ Komercyjna implementacja stosu
Elasticsearch/Logstash/Kibana ze wsparciem
programistycznym
✔ Funkcjonalności:
✔ Kontrola dostępu do danych
✔ Integracja z AD
✔ Silnik Alertowania
✔ Raporty, Eksport danych
✔ Audyt
✔ Gotowe parsery i wizualizacje
✔ Centralne zarządzanie agentami Beats
✔ Artificial Intelligence (predykcja, nauczanie)
✔ Integracje : op5 Monitor, Nagios, Splunk
WEB DEVELOPMENT

13. 13Presented By: EMCA SA
KOMPONENTY SIEM
KATEGORYZACJA DANYCH
REGUŁY DETEKCJI
06
05
04 03
02
01
ANALIZA RUCHU SIECIOWEGO
SECURITY FEEDS
BEHAVIORAL MONITORING
CENTRALIZACJA ZDARZEŃ

14. CENTRALIZACJA ZDARZEŃ:
SYSLOG, WINDOWS EVENTS
NETWORK/FIREWALL LOGS
APPLICATION & DB LOGS

15. 15Presented By: EMCA

16. 16Presented By: EMCA

17. 17Presented By: EMCA

18. SŁOWNIKOWANIE I KATEGORYZACJA
DANYCH

19. 19Presented By: EMCA

20. 20Presented By: EMCA
LOGSTASH POSIADA MAPĘ ZDARZEŃ, ICH OPISÓW I
KATEGORII

21. 21Presented By: EMCA

22. INTEGRALNOŚĆ PLIKÓW I REJESTRÓW
ROOTKITS
SECURITY POLICY
COMPLIANCE : PCI-DSS, CIS
SKANER PODATNOŚCI

23. 23Presented By: EMCA

24. 24Presented By: EMCA

25. 25Presented By: EMCA SA
CENTER FOR INTERNET SECURITY
CIS FOR REDHAT/CENTOS
Zasady CIS Red Hat Enterprise Linux 5/6/7 wskazują poprawną
konfiguracją systemu operacyjnego, sieci, jądra pod względem
bezpieczeństwa
https://security.uri.edu/files/CIS_Red_Hat_Enterprise_Linux_7
_Benchmark_v1.1.0.pdf

26. 26Presented By: EMCA SA
CIS 4.1.1

27. 27Presented By: EMCA SA
CIS 6.2.9

28. 28Presented By: EMCA

29. 29Presented By: EMCA

30. 30Presented By: EMCA

31. 31Presented By: EMCA

32. 32Presented By: EMCA

33. NETFLOW - RUCH SIECIOWY
IDS – BRO/ZEEK

34. 34Presented By: EMCA SA
NETFLOW LOGSTASH INPUT

35. 35Presented By: EMCA SA
BRO(ZEEK) - NETWORK MONITORING PROJECT
BRO jest zaawansowanym narzędziem do analizy
ruchu sieciowego w trybie real time
• Monitoruje ruch sieciowy
• Dekoduje protokoły aplikacyjne
• Realizuje nasłuch na span portach
• Tworzy skrót informacji w postaci logów
• Zapisuje dane w postaci
• Raw log
• JSON

36. 36Presented By: EMCA SA
BRO(ZEEK) - ZAKRES INFORMACJI

37. 37Presented By: EMCA

38. 38Presented By: EMCA

39. 39Presented By: EMCA SA
BRO WEIRED LOG

40. 40Presented By: EMCA SA
BRO WEIRED LOG

41. ACTIVE FEEDS

42. 42Presented By: EMCA SA
FEEDS - OTX (Open Threat Exchange)

43. BEHAVIORAL MONITORING
• OP5 MONITOR
• ZABBIX
• NAGIOS

44. 44Presented By: EMCA
op5 Monitor -> Energy Logserver

45. 45Presented By: EMCA

46. 46Presented By: EMCA SA
ALERTY - JAK REAGOWAĆ NA ZAMIANY?

47. 47Presented By: EMCA SA
ALERT - REGUŁA SPIKE

48. 48Presented By: EMCA SA
ALERT - REGUŁA FREQUENCY
Alarmuj, gdy powyżej linii

49. 49Presented By: EMCA SA
ALERT - REGUŁA FLATLINE
ALARMUJ, GDY PONIŻEJ LINII

50. 50Presented By: EMCA SA
ALERT - LISTA REGUŁ
ALARMUJ, GDY POLE ZMIENIA
WARTOŚĆ
✔ Any
✔ Blacklist
✔ Whiltelist
✔ Change
✔ Spike
✔ Flatline
✔ New term
✔ Cardinality
✔ Metric Aggregation
✔ Percentage Match

51. 51Presented By: EMCA

52. 52Presented By: EMCA SA
CENTRALNE ZARZĄDZANIE AGENTEM

53. 53Presented By: EMCA SA
ENERGY LOGSERVER MOBILE APP
MOBILE APPS
DEVELOPMENT
Standard Pro
Darmowa Płatna
ELK ; Energy Logserver X-pack
Profile dla wielu klastrów
Dowolny wybór wizualizacji i dashboardów
Optymalizacja na małe ekrany
Optymalizacja opisów, legendy
Dostępna za 2-3 tygodnie

54. 54
Sektor
finansowy
Sektor
energetyczny
Telekom,
Media,
Public,
Pozostali

55. Kluczowe Partnerstwa
op5 AB
Centrala : Szwecja, Sztokholm
Liczba pracowników: 100
Oddziały własne: Szwecja, Norwegia, Finlandia, Niemcy, USA
Liczba partnerów: 25
Produkt : op5 Log Analytics
ITRS
Centrala : Anglia, Londyn
Liczba pracowników: 300
Oddziały własne: UK, Hiszpania, USA, Filipiny, Hongkong, Singapur
Liczba partnerów: 20
Produkt : ITRS Log Analytics

56. Zamknięte projekty i POC
Skandynawia
Handelsbanken
SLL
Swedish Social Security
Nokia
33k
Zollner
Jamtkraft
Reszta Świata
Telecom Italy
T-Mobile
Apple Inc.
Vanderlande
Redshift
Comcast

57. DZIĘKUJEMY
ZA UWAGĘ
KONTAKT:
sales@it.emca.pl
www.it.emca.pl
EMCA SA , ul. Wiejska 20, 00-490 Warszawa, Poland