1. Москва, 2017Публичная информация (С0, Public)
Концепция построения SIEM/ SOC на базе Splunk
Enterprise в банке
Руководитель ОИБ:
Соленик Всеслав Сергеевич
Старший специалист ОИБ:
Рягин Николай Анатольевич
2. 1
About DeltaCredit
Публичная информация (С0, Public)
Первый специализированный
ипотечный банк – один из
лидеров в области ипотечного
кредитования.
Входит в число крупнейших банков на рынке ипотеки
Количество выданных кредитов – более 80 000
Объем выданных кредитов – более 150 млрд руб.
Ипотечный кредитный портфель – более 130 млрд руб.
(на 01.01.2016)
С 2014 года банк является единой ипотечной
платформой группы Societe Generale в России
Российский банк, имеющий
рейтинги международных
агентств
Банк, ориентированный на
качественное обслуживание
клиентов
Средняя оценка качества обслуживания
4,9 балла из 5 по данным регулярных опросов
клиентов
Прозрачная организация с иностранным капиталом,
работающая по международным стандартам
управления и делового поведения
Fitch – рейтинг BBB- на 01.04.2016
Moody s – Ba2 (FC) / Ba1 (DC) на 26.04.2016
3. 1
About DeltaCredit (Cont.)
Публичная информация (С0, Public)
Общее количество работников Банка около 900.
Представлен более, чем в 40 городах России.
Отдел информационной безопасности Банка расположен в Москве.
4. 2
Why Splunk?
Публичная информация (С0, Public)
Ролевая модельНереляционная база данных
Подключение многих новых источников «из коробки»
Визуализация данных
Открытое сообщество
«Простое» внедрение
Возможность решить многие вопрос, не покупая еще одно решение.
Магазин приложений
Бонус Компетенция
Хорошая документация SPL
Alert Actions
Python
CIM
5. 3
Our Goals
Публичная информация (С0, Public)
Выполнение требований нормативно-правовых документов
Первостепенные цели
Текущие и будущие цели
Построение централизованного хранилища событий
Сбор необходимых событий для расследования инцидентов
IOC
Экономия времени работников отдела ИБ
Обеспечить сбор и транспортировку событий во внешний SOC
Выстроить процесс по обработке инцидентов
Обеспечить автоматическое реагирование при возникновение инцидентов ИБ
6. 4
Centralized Log Management (1st
Stage)
Публичная информация (С0, Public)
Forwarders
Deployment
Server
Heavy
Forwarder
Search
Head
Indexer
Splunk DBX
Windows & Unix Servers
Network Devices
Databases
Security Solutions
IT Solutions
Server - 1 Server - 2
Dashboards
Investigation
Alerting
9. 7
SOC & SIEM (the 2nd
Stage)
Публичная информация (С0, Public)
Heavy
Forwarder
Indexer
Heavy
Forwarder
Indexer Search
Head
License
Server
Deployment
Server
Syslog
Server
SOC
Outside
Inside
CISO
Syslog
Sources
Non-syslog
Sources
10. 8
Incident Response System (3rd
Stage)
Публичная информация (С0, Public)
SOC
Outside
Inside
CISO
Search
Head
STM
...
Employees
Security Solutions
Endpoints
Awareness
Splunk Stream
11. 9
Splunk Drawbacks
Публичная информация (С0, Public)
Недостатки
Лицензирование
Непростое внедрение и поддержка
Приложения от сторонних вендоров часто бесполезны
Ограниченная возможность фильтравовать событий на Splunk Universal Forwarder
Многие параметры настройки не доступны из Splunk Web
Необходимость использовать сторонний Syslog сервер из-за возможной потери событий
12. 10
Thank you for your attention
Публичная информация (С0, Public)
Thank you!
Questions?
Соленик Всеслав Сергеевич
(vsolenik@deltacredit.ru)
Рягин Николай Анатольевич
(nryagin@deltacredit.ru)
Happy Splunking!