15. Технологии в жизни

19. A Micro Focus line of business

18. Вопросы ?

5. Потребности SecOps сегодня

1. ArcSight Platform Необходимые возможности аналитики в мире современных угроз

9. ArcSight Platform – коллаборация наших лучших технологий

6. Потребности SecOps сегодня 6 Разрозненные инструменты Масштабируемость Объёмы данных Сложные атаки Дефицит кадров

2. Содержание Что такое CyberRes ? Потребности SecOps сегодня ArcSight Platform – коллаборация наших лучших технологий Технологии в жизни

8. Необходимые возможности 8 Endpoints Authentication Data Repositories and more... Сбор Обнаружение Расследование Противодействие Rules & Thresholds Pattern Matching Behavioral Analytics with Machine Learning Triage Collaborate Transition Remediation Orchestration & Automation

7. Потребности SecOps сегодня 7 Fragmented Security Scalability Advanced Attacks The War for Talent Big Data в основе Многоуровневая аналитика Масштабируемая архитектура Умная автоматизация Единая экосистема

16. T1566.001 | Подготовленное письмо T1204.002 | Запуск вложения T1547.001 | Закрепиться в системе T1027.002/T1564.001 | Скрыть присутствие T1057/T1518 | Анализ окружения T1071.001 | Отправка данных T1574.001 | Подмена библиотек T1219 | Удалённое управление T1003.001 | Дамп учётных данных T1021.001 | Распространение T1020/T1565.001 | Утечка данных $

10. Стек наших лучших технологий 10  Современная архитектура – ITOM CDF (Container Deployment Foundation)  Единое озеро данных – Vertica  Лучший корреляционный движок – ArcSight ESM  Аналитические алгоритмы ML – Interset  Возможности SOAR – Atar Labs

4. Что такое CyberRes ? CyberRes объединяет следующие семейства продуктов : ▪ ArcSight – Security Operations ▪ Fortify – Application Security ▪ Interset – Artificial Intelligence ▪ NetIQ – Identity and Access Management ▪ Voltage – Data Privacy and Protection 4

11. Архитектура платформы 11 Event Data Source ArcSight Connectors ArcSight Platform ArcSight Databas e ArcSight Database Transformation Hub SSO ArcSight Fusion Dashboard Recon Intelligence Respond Command Center Schema Registry ArcSight Databas e NFS Store Server Application Security device Network Scanner ESM Logger

3. Что такое CyberRes ? CyberRes – это выделенное направление бизнеса компании Micro Focus , занимающееся созданием продуктов и сервисов в области информационной безопасности . Имя отражает нашу новую глобальную идеологию продуктов для обеспечения киберустойсивости ( Cyber Resiliency). 3

12. Transformation Hub Универсальная шина данных для многоуровневой аналитики SecOps • Основан на Apache Kafka для открытости и производительности • Масштабируемость и отказоустойчивость за счёт применения контейнеризации • Нативная интеграция со всеми продуктами семейства ArcSight • Настраиваемая маршрутизация и фильтрация событий • Обогащение событий (2021) Connector Connector Connector 3rd party Logger Logger Logger ESM Recon Hadoop ArcMC Vertica THub

17. 17 T1566.001 T1204.002 T1547.001 T1027.002/T1564.001 T1057/T1518 T1071.001 T1574.001 T1219 T1003.001 T1021.001 Detect Recon SOAR Intelligence Аномальный отправитель Аномальный процесс Модификация реестра Системные пути Аномалии процесса Аномалия трафика DLL Hijacking Аномальный инициатор Mimikatz Распространение Корреляционные события хоста Аномалии хоста Репутация и обогащение Расследование и противодействие Блокировка компрометированных аккаунтов Отправка обнаруженных IOC

14. SOAR 14 Автоматизация расследования и противодействия • Часть ArcSight Platform • Полное и полуавтоматическое создание кейсов , приоритизация , расследование , противодействие • Готовый набор сценариев ( playbooks) с возможностью кастомизации • Средства совместной работы аналитиков • Настраиваемый кейс - менеджмент с классификацией • Более 110 интеграций с продуктами крупнейших вендоров • Делегация задач внутри команды с разграничением уровней доступа • Детальная история работы по инциденту • Мониторинг различных метрик эффективности SOC • Без дополнительной платы для пользователей ESM и Recon!

13. Recon Аналитика базовых событий на технологиях больших данных Поиск  Удобный пользовательский web - интерфейс: диаграмма распределения событий по времени , подсказки по поисковому синтаксису , управление глубиной поиска , подсветка синтаксиса  Просмотр RAW - событий  Выделенная панель информации по событию  Единая схема событий и единое хранилище данных Производительность  Высокая степень сжатия данных  Уменьшенные требования к ресурсам для индексирования  Скорость поиска значительно превосходит Logger Отчётность  Полноценный модуль отчётности  Встроенные отчёты MITRE , OWASP, Cloud и др. Аналитика  Data Quality Dashboard для контроля входящего потока событий на предмет ошибок конфигурации даты / времени  Базовый функционал профилирования (выявления отклонений) Варианты инсталляции  All in One – для работы на одном сервере (небольшие инсталляции, пилот)  Распределённый кластер (на основе Transformation Hub)