7. LAN Internet

1. Практика использования систем управления информацией о безопасности и событиями безопасности Сергей Шерстюк АйТи Таск

8. Есть авторизация на АРМ ... ... не зафиксирован проход через СКУД . ИНЦИДЕНТ ? Контроль доступа на разных уровнях

4. SIEM и регуляторы Article 30 EU GDPR "Records of processing activities" Requirement 10: Track and monitor all access to network resources and cardholder data Logging mechanisms and the ability to track user activities are critical in preventing, detecting, or minimizing the impact of a data compromise. The presence of logs in all environments allows thorough tracking, alerting, and analysis when something does go wrong. Determining the cause of a compromise is very difficult, if not impossible, without system activity logs. «1. Each controller and, where applicable, the controller’s representative, shall maintain a record of processing activities under its responsibility... »

11. Сергей Шерстюк s.sherstyuk@it - task.ru +7 (916) 100 - 77 - 68 it - task.ru rusiem.com Испытайте RuSIEM в вашей инфраструктуре ! Пилоты бесплатные ! Пилотная лицензия - 3 месяца Выделенный инженер По итогам составляется ПМИ и проводятся испытания

6. Доступ к критичным ресурсам в нерабочее время Доступ извне к внутренним критичным ресурсам Изменение конфигурации сетевого оборудования Контроль межзонных соединений (DMZ to Internet, Test zone – Production Очистка журналов событий на оборудовании Многочисленные попытки соединения с множеством хостов Обнаружение траффика на нестандартных портах Сетевые инциденты Многочисленные неуспешные попытки авторизации на точке доступа

10. Real - time и историческая корреляция с возможностью настройки правил пользователем Отсутствие необходимости приобретения дополнительного ПО Собственный Workflow для инцидент - менеджмента Файл в формате Json , txt, csv, txt Строки в БД MS SQL ( любой ) как события Windows event log ( любой , даже созданный пользователем журнал ) Бизнес - приложения СКУД АСУ ТП Syslog UDP/TCP с любых источников * nix/BSD/cisco/juniper/windows Реляционные БД

5. Примеры реализации Фрод и мошенничество Изменение конфигураций « не админами » Обнаружение НСД ( вход под учетной записью уволенного сотрудника ) Выявление несанкционированных сервисов Повышение привилегий Аудит изменений конфигураций ( сетевых устройств , приложений , ОС ) Выполнение требований законодательства и регуляторов Аномальная активность пользователя ( массовое удаление / копирование ) Контроль выполняемых команд на серверах и сетевом оборудовании

3. SIEM не отразит все атаки , но поможет упорядочить хаос , расследовать уже произошедшие инциденты и не допускать новых Сохранять все события так как это может сказаться на расследовании инцидентов , собрать доказательную базу Средства workflow позволяют контролировать работу над инцидентами, а не оставлять их забытыми без внимания Оператор не должен просматривать все события , а только важные инциденты ( уже готовые выводы ) Применяемые методы позволяют оператору понимать « о чем это событие » Инвентаризация и комплайнс

9.  Собственная разработка  Приведенная к общему формату объектная нормализация  Встроенная управляемая и редактируемая корреляция  Высокая производительность ( Свыше 90000 событий на одну ноду ).  Нет ограничений по количеству событий и источникам  Сохранение исходных RAW - событий  Нет ограничений по размеру архивного хранилища  Коннекторы от производителя  Наличие собственных модульных агентов .  Разделение нагрузки на несколько серверов или виртуальных машин .  Легкая вертикальная масштабируемость .

2. Что творится в инфраструктуре ? Большое количество сетевых устройств , приложений Стирание , переполнение журнала событий Непонятный исходный формат событий Кто дал полный доступ к базе данных для нового сотрудника Реагировать на каждый чих систем безопасности – неправильно ! Не будем смотреть логи – об инцидентах узнаем из газет Увидеть инцидент в логах нереально . Необходима масса факторов А « насколько плох вот этот алерт ?» - нет данных о критичности и влияния на процессы Распределенная инфраструктура