Wykład przybliży słuchaczom proces budowania środowiska SIEM zoptymalizowanego pod kątem indywidualnych potrzeb przedsiębiorstwa. Omówione technologie pozwalają na realizacje założeń IT Security, przy pełnym dopasowaniu do niestandardowych procedur i zagadnień - dbając o utrzymanie ekonomiki całego projektu. EMCA również zaprezentuje środowisko Energy Logserver, który to projekt adresuje nadmieniony obszar wywodząc się ze stosu Elasticsearch, Logstash, Kibana.
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
"SIEM według potrzeb: Elasticsearch, Energy Logserver, Wazuh, Bro..."
1. OD CENTRALIZACJI LOGÓW
DO SIEM
ELASTICSEARCH
ENERGY LOGSERVER
WAZUH
BRO
Confidence 2019
WWW.ENERGYLOGSERVER.PL
2. IT INFRASTRUCTURE MONITORING
Wdrażamy rozwiązania z obszaru monitoringu infrastruktury IT,
aplikacji, analizy ruchu sieciowego (NetFlow, sFlow, jFlow), Log &
Event management, SIEM oraz Network Access Control.
NETWORK MONITORING
LOG MANAGEMENT & SIEM
KIM JESTEŚMY?
APPLICATION PERFORMANCE MANAGEMENT
3. 3Presented By: EMCA SA
IT Infrastructure
Monitoring
Server, Network, Application Monitoring, High Scalability,
Performanace & Availability, Customizability
Comprehensive IT Infrastructure Monitoring,
Customizability, Visiability, Open-source, Proactive
Planning &Awareness
Digital Performance
Management Digital Performance Management, User Experinece, Big
Data, Full-stack, Network Monitoring, Synthetic
Monitoring
uberAgent for ElasticSearch and Splunk
Windows APM monitoring with a strong focus on
user experience
Netflow Monitoring
Clever Network Monitoring and Security Solution, Netflow
Anaytics, APM Behavior Analytics, DDoS Protection
Netflow Analytics, Advanced Reporting, Enterprise
Visibility, Multi-Tenancy, Real-time analytics,
Behavior Monitoring
SIEM
Log Management, SIEM, Big Data, Operational Intelligence,
Behavior Analytics, Service Intelligence
Next-Gen SIEM, Threat Intelligence, Network
Forensics, Endpoint Monitoring, File Integrity
Monitoring, Security Analytics
Unified Security for Threat
Detection and Incident
Response, SIEM
Log Management Advanced Log Management, Big Data, Visualize, Search,
Analyze, Store Data, Monitoring & Alerting
Central Log Management based on Elastic, Big
Data, Analytics & Reporting, High Scalability,
Events Correlaton, Alarming
PARTNERZY TECHNOLOGICZNI
5. 5Presented By: EMCA SA
HISTORIA PROJEKTU
Szukamy systemu dla klienta
✔ 60 000 EPS
✔ Wolumen danych 1-2 Peta bajty
✔ 1 Tera bajt / dzień
✔ Full text search
✔ Bardzo wysoka wydajność
✔ Bezpieczny dostęp do danych / RBAC
✔ Export danych, raportowanie
✔ Analiza: Splunk, Logrhythm, Graylog, Hadoop,
Elasticsearch
WEB DEVELOPMENT
SEKTOR FINANSOWY
6. 6Presented By: EMCA SA
PRZYJMOWANIE KOMUNIKATÓW
Mechanizm Windows Events
Application
Log files
Syslog
Exec scripts
HTTP/JSON/API
JDBC
Kafka
JMX
Log4j
SNMPTrap
TCP/UDP raw
Netflow
9. 9
OPENSOURCE
ELK Stack is an OpenSource project
• No support
• No username and password
• No data access controll, all is open
• No reports
• No alerts
• No Audit
BUT things work:
• Data collection
• Dashboards
10. 10
ELASTIC X-PACK
X-Pack provides
• Support
• Roles and Users
• Reports
• Alerts
• Audit
BUT
• Licence is subscription only
• They cout data nodes + master nodes, we only data nodes
• Support is only to Elasticsearch NOT Logstash and Kibana
11.
12. 12Presented By: EMCA SA
CZYM JEST ENERGY LOGSERVER?
✔ Środowisko centralizacji logów i zdarzeń tekstowych
✔ Komercyjna implementacja stosu
Elasticsearch/Logstash/Kibana ze wsparciem
programistycznym
✔ Funkcjonalności:
✔ Kontrola dostępu do danych
✔ Integracja z AD
✔ Silnik Alertowania
✔ Raporty, Eksport danych
✔ Audyt
✔ Gotowe parsery i wizualizacje
✔ Centralne zarządzanie agentami Beats
✔ Artificial Intelligence (predykcja, nauczanie)
✔ Integracje : op5 Monitor, Nagios, Splunk
WEB DEVELOPMENT
13. 13Presented By: EMCA SA
KOMPONENTY SIEM
KATEGORYZACJA DANYCH
REGUŁY DETEKCJI
06
05
04 03
02
01
ANALIZA RUCHU SIECIOWEGO
SECURITY FEEDS
BEHAVIORAL MONITORING
CENTRALIZACJA ZDARZEŃ
25. 25Presented By: EMCA SA
CENTER FOR INTERNET SECURITY
CIS FOR REDHAT/CENTOS
Zasady CIS Red Hat Enterprise Linux 5/6/7 wskazują poprawną
konfiguracją systemu operacyjnego, sieci, jądra pod względem
bezpieczeństwa
https://security.uri.edu/files/CIS_Red_Hat_Enterprise_Linux_7
_Benchmark_v1.1.0.pdf
35. 35Presented By: EMCA SA
BRO(ZEEK) - NETWORK MONITORING PROJECT
BRO jest zaawansowanym narzędziem do analizy
ruchu sieciowego w trybie real time
• Monitoruje ruch sieciowy
• Dekoduje protokoły aplikacyjne
• Realizuje nasłuch na span portach
• Tworzy skrót informacji w postaci logów
• Zapisuje dane w postaci
• Raw log
• JSON
50. 50Presented By: EMCA SA
ALERT - LISTA REGUŁ
ALARMUJ, GDY POLE ZMIENIA
WARTOŚĆ
✔ Any
✔ Blacklist
✔ Whiltelist
✔ Change
✔ Spike
✔ Flatline
✔ New term
✔ Cardinality
✔ Metric Aggregation
✔ Percentage Match
53. 53Presented By: EMCA SA
ENERGY LOGSERVER MOBILE APP
MOBILE APPS
DEVELOPMENT
Standard Pro
Darmowa Płatna
ELK ; Energy Logserver X-pack
Profile dla wielu klastrów
Dowolny wybór wizualizacji i dashboardów
Optymalizacja na małe ekrany
Optymalizacja opisów, legendy
Dostępna za 2-3 tygodnie
55. Kluczowe Partnerstwa
op5 AB
Centrala : Szwecja, Sztokholm
Liczba pracowników: 100
Oddziały własne: Szwecja, Norwegia, Finlandia, Niemcy, USA
Liczba partnerów: 25
Produkt : op5 Log Analytics
ITRS
Centrala : Anglia, Londyn
Liczba pracowników: 300
Oddziały własne: UK, Hiszpania, USA, Filipiny, Hongkong, Singapur
Liczba partnerów: 20
Produkt : ITRS Log Analytics
56. Zamknięte projekty i POC
Skandynawia
Handelsbanken
SLL
Swedish Social Security
Nokia
33k
Zollner
Jamtkraft
Reszta Świata
Telecom Italy
T-Mobile
Apple Inc.
Vanderlande
Redshift
Comcast