'

Практические аспекты реализации мониторинга событий ИБ на базе решений ArcSight ESM

Понравилась презентация – покажи это...





Слайд 0

Практические аспекты реализации мониторинга событий ИБ на базе решений ArcSight ESM Руденко Владимир Руководитель направления комплексных решений по ИБ 7 июня 2012 г.


Слайд 1

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы


Слайд 2

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы


Слайд 3

О компании «ДиалогНаука» ЗАО «ДиалогНаука» создано 31 января 1992 года. Учредители - СП «Диалог» и Вычислительный центр РАН. Первыми и самыми известными отечественными продуктами, поставляемыми компанией, были Aidstest, ADinf, Sheriff, Doctor Web и DSAV. С 2004 года по настоящее время «ДиалогНаука» - системный интегратор, консультант и поставщик комплексных решений в сфере защиты информации.


Слайд 4

Сертификат ФСТЭК на соответствие ТУ 2010 год. ЗАО ДиалогНаука сертифицирует ArcSight ESM на соответствие техническим условиям ФСТЭК


Слайд 5

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы


Слайд 6

Сложности эффективного мониторинга Необходимо контролировать… … Сетевые устройства … Актуальные угрозы … Хранилища критичных данных … Привилегированных пользователей … Сетевые соединения … Мошеннические операции … Активность приложений 00100000000000001000000010000010000 0011000100100000001000001001000110001000 10101010 100000000100000 0010000 1101011 00010000010000 1010001 000010000001001100000001 0010000000000010100000001000001000011010 001000000010000 0001000000100000001000010010010010000011 0010000001110000100000001000001001100000 00100000011100001000 0010000001 100010011001000000110100000100001001010100100 010110101 10100010000100001000010010000010101


Слайд 7

Необходимость систем класса SIEM


Слайд 8

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы


Слайд 9

Особенности сбора событий ИБ


Слайд 10

Особенности сбора событий ИБ Перечень поддерживаемых источников событий ИБ Широко распространенные источники, обновления Проприетарные протоколы сбора и передачи данных Производительность Выявление инцидентов Построение отчетов Хранение и поиск Хранение больших объемов Оптимизация работы с большими объемами Архитектура, масштабируемость Поддерживаемые платформы Горизонтальное и вертикальное масштабирование


Слайд 11

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы


Слайд 12

Большинство организаций использует SIEM таким образом Более продвинутые пользователи Использование SIEM для защиты бизнеса Сценарии использования SIEM


Слайд 13

Ключевой момент Расчет требований к аппаратному обеспечению (сайзинг) Ошибки: Недальновидность Некорректные настройки аудита источников событий Практические аспекты внедрения систем мониторинга событий ИБ


Слайд 14

Ключевой момент Правила корреляции должны быть основаны на актуальных угрозах Ошибки Правила корреляции «из коробки» Отсутствие пересмотра правил корреляции при изменениях в системе Нежелание донастраивать источники событий, чтобы они регистрировали адекватную информацию Практические аспекты внедрения систем мониторинга событий ИБ


Слайд 15

Ключевой момент: Правильно определить область внедрения (перечень источников событий) и типы событий Ошибки: Пакеты решений от вендора Самостоятельная подготовка Практические аспекты внедрения систем мониторинга событий ИБ


Слайд 16

Ключевой момент: Процессы, процедуры, персонал Основные ошибки: Неадекватное взаимодействие между подразделениями Отсутствие обучения и тестирования сотрудников, задействованных в процессе управления инцидентами Практические аспекты внедрения систем мониторинга событий ИБ


Слайд 17

Эволюция системы мониторинга событий ИБ


Слайд 18

Сценарии использования SIEM ArcSight может быть использован для реализации разных сценариев


Слайд 19

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы


Слайд 20

Рынок решений SIEM Отчет Gartner: ArcSight становится единоличным лидером рынка RSA теряет позиции CA уходит с рынка


Слайд 21

Рынок решений SIEM Отчет Gartner: ArcSight становится единоличным лидером рынка RSA теряет позиции CA уходит с рынка


Слайд 22

Основана в Мае 2000 года 300+ сотрудников 500+ прямых клиентов, 850+ партнерских клиентов ArcSight входит в состав HP в октябре 2010 года О компании ArcSight


Слайд 23

Платформа ArcSight www.arcsight.com © 2009 ArcSight Confidential 24 Преимущество: общий сбор, низкая стоимость владения и интеграция Направленное реагирование Расширенная корреляция Безопасность Конфиденциальных данных Мониторинг активности пользователей Обнаружение мошенничества Безопасность транзакций приложения Управление журналами Сбор


Слайд 24

ArcSight Express vs. ArcSight ESM Возможность доступа с помощью Web Console Программно-аппаратная реализация Предустановленные правила и отчеты Корреляция событий Настраиваемые дополнительные пакеты Неограниченное кол-во типов правил и источников Настраиваемые правила/отчеты Поставка в виде программного обеспечения Неограниченное расширение кол-ва устройств Поведенческие шаблоны (Pattern Discovery) Мониторинг пользователей, мошеннических операций Расширение дискового пространства Дополнительные возможности интеграции ArcSight Express ArcSight ESM ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?


Слайд 25

Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы


Слайд 26

ArcSight ManagerTM Анализ и корреляция SmartConnector FlexConnector Сбор данных Консоль управления Web-интерфейс Архитектура ArcSight ESM


Слайд 27

Что делает ArcSight уникальным www.arcsight.com © 2009 ArcSight Confidential 28 Непревзойденное решение


Слайд 28

Access and Identity Anti-Virus Applications Content Security Database Data Security Firewalls Honeypot Network IDS/IPS Host IDS/IPS Integrated Security Log Consolidation Mail Relay & Filtering Mail Server Mainframe Network Monitoring Operating Systems Payload Analysis Policy Management Router Switch Security Management Web Cache Web Server VPN Vulnerability Mgmt Wireless Security Web Filtering ArcSight SmartConnectors и FlexConnectors 180+ продуктов в 35+ категориях от 80+ партнеров


Слайд 29

Управление событиями ИБ в режиме реального времени Масштабируемость


Слайд 30

Фильтрация - исключение из рассмотрения определенных событий, соответствующих заданным критериям Агрегация Фильтрация и агрегация


Слайд 31

Windows Failed Login Event Oracle Failed Login Event UNIX Failed Login Event Badge Reader Entry Denied OS/390 Failed Login Event Нормализация


Слайд 32

Jun 17 2009 12:16:03: %PIX-6-106015: Deny TCP (no connection) from 10.50.215.102/15605 to 204.110.227.16/443 flags FIN ACK on interface outside Jun 17 2009 14:53:16 drop gw.foobar.com >eth0 product VPN-1 & Firewall-1 src xxx.xxx.146.12 s_port 2523 dst xxx.xxx.10.2 service ms-sql-m proto udp rule 49 Без категоризации и нормализации… Результат Категоризация и нормализация


Слайд 33

ArcSight Monitoring ArcSight Connector События Поток сжатых событий Отказоустойчивая архитектура сбора событий


Слайд 34

Основные факторы приоритезации: Важность события История событий (System Active Lists) Критичность актива (Very High, High, Medium, Low, Very Low) Приоритезация


Слайд 35

Корреляция в режиме реального времени >100 установленных правил корреляции Статистическая корреляция Историческая корреляция Корреляция основанная на данных об уязвимостях Корреляция основанная на данных о пользователе и его роли Графический редактор для изменений правил (без использования программирования) Механизмы корреляции


Слайд 36

Корреляция основанная на данных об уязвимостях Событие с уровнем приоритета Vulnerability Scanner Уязвимости Существуют ли уязвимости у актива? История атак Есть ли исторические записи об атакующем или атаках на эту цель? Критичность актива Насколько важен данный актив для бизнеса?


Слайд 37

Корреляция, основанная на данных о пользователе и его роли SmartConnectors Корреляция Событие с уровнем приоритета Identity Management Роль Соответствует ли событие роли/правам пользователя? Профайл пользователя Было ли замечено за данным пользователем подозрительное поведение в прошлом? Directories События о действиях Идентификация Кто именно скрывался за IP во время атаки ? Политика Каково влияние данного события на бизнес риски? События идентификации


Слайд 38

Разделение событий по категориям Возможность корреляции событий в реальном режиме времени, как по ресурсам, так и по злоумышленникам Возможности подробного анализа Возможность создания коррелированных отчетов Визуализация Консоль реального времени Категоризация событий обеспечивает мгновенную идентификацию атаки


Слайд 39

Глобальный режим наблюдения отклонений безопасности Интерфейс реального времени с географическим расположением объектов и представлением отклонений в параметрах безопасности Отображение событий по подразделениям или устройствам Выбор между опасностью события или его категорией Интуитивно понятный инструментальный интерфейс или показ карты нарушений безопасности


Слайд 40

Гибкая система отчётности Поиск и анализ трендов Простое создание новых шаблонов Создание графических отчётов Не требует программирование Экспорт в различные форматы HTML, XLS, PDF


Слайд 41

Встроенное управление инцидентами Аннотации: Отслеживание и проведение инцидента в системе документооборота Cases: Создание инцидентов для специфических событий Этапы: Обработка инцидентов в соответствии с заданным порядком совместной работы Вложения: Дополнительные данные для расследований Оповещение в реальном времени Email, пейджер или текстовые сообщения SNMP сообщения


Слайд 42

Встроенный документооборот Этапы: обработка инцидентов в соответствии с заранее заданным, предназначенном для совместной работы процессом Аннотация инцидентов для более полного анализа Интеграция со сторонними системами документооборота


Слайд 43

Используется механизм партиций Запись данных на физические носители по расписанию Активные партиции Будущие партиции Каталог заархивированных партиций Заархивированные партиции, которые были активированы База данных


Слайд 44

Мониторинг действий пользователей


Слайд 45

Мониторинг действий пользователей


Слайд 46

Оповещение Успешный доступ с заблокированного аккаунта Login Success: danAlan Is User Active? User: danAlan Проблема: аккаунт заблокирован в системе управления идентификационными данными, но продолжает существовать в критичных системах и приложениях ArcSight ESM Пример: действия заблокированного аккаунта


Слайд 47

Оповещение Обнаружение неактивного аккаунта Login Success: richardS Проблема: ИТ, ИБ аутсорсинг равен большому числу людей работающих на подряде Обновление активных аккаунтов [02.16.09 3:33:33] аккаунт недействителен richardS Пример: действия заблокированного аккаунта


Слайд 48

Пример: Групповые аккаунты 49 Доступ к приложению: Источник: 10.10.10.10 [02.5.2009 10:33:46] Login Success 10.10.10.10 fmadmin Доступ к приложению: Источник: 192.168.10.6 [02.5.2009 11:21:51] Login Success 192.168.10.6 fmadmin Проблема: Мой аудитор требует продемонстрировать активность администраторов в приложениях


Слайд 49

jimmyj: Login to host 10.10.10.10 Обновление сессий пользователя с уникальными идентификационными данными ArcSight ESM Пример: Групповые аккаунты


Слайд 50

Пример: Групповые аккаунты (продолжение) 51 Application Access: Source: 10.10.10.10 [02.5.2009 10:33:46] Login Success 10.10.10.10 fmadmin Проверка Identity Sessions Application Access: Source: 192.168.10.6 [02.5.2009 11:21:51] Login Success 192.168.10.6 fmadmin ArcSight ESM


Слайд 51

Пример: мошенничество по географическому признаку


Слайд 52

Мониторинг пользователей Лист мониторинга: (100s) Повторяющаяся подозрительная активность Повторные нарушения Проблема: кража конфиденциальных данных сотрудниками Лист наблюдений: (1000s) Уволенные Работающие по контракту Получившие выговор/замечание Новые сотрудники Нарушители политик Лист расследований: (10) Утрата доверия (нарушения) Нарастание конфликта


Слайд 53

Результаты Централизованный сбор, хранение и обработка событий ИБ Мониторинг, анализ и корреляции событий информационной безопасности в режиме реального времени Использование средств визуализации и детализации инцидента Снижение времени расследования и реагирования на инциденты Снижение рисков информационной безопасности за счет своевременного обнаружения и обработки инцидентов информационной безопасности


Слайд 54

Вопросы 117105, г. Москва, ул. Нагатинская, д. 1, стр.1 Телефон: +7 (495) 980-67-76 Факс: +7 (495) 980-67-75 http://www.DialogNauka.ru e-mail: info@DialogNauka.ru


Слайд 55

Наши контакты 117105, г. Москва, ул. Нагатинская, д. 1, стр.1 Телефон: +7 (495) 980-67-76 Факс: +7 (495) 980-67-75 http://www.DialogNauka.ru e-mail: info@DialogNauka.ru


Слайд 56


×

HTML:





Ссылка: