1. Опыт работы с McAfee ESM: функционал, плюсы и минусы
Павел АРЛАНОВ
Руководитель отдела ИБ
Туту.ру
2. McAfee esm – черная лошадка?
3. Архитектура и функциональные модули
1 Enterprise Security Manager Платформа хранения данных и базовой корреляции.
2 Event Receiver Платформа сбора и обработки / индексирования данных.
3 Enterprise Log Management Платформа оптимизации хранения логов и журналов.
4 Advanced Correlation Engine Усовершенствованный модуль корреляции со скоростью близкой к реальному времени и расширенными возможностями по совершению исторических запросов.
5 Enterprise Log Search Усовершенствованный двигатель поиска
1-5 McAfee SIEM
4. 6 причин любить mcafee esm
1 Легкость и понятность для оператора. Все события обрабатываемые платформой легко нормализуются во внутреннем механизме ESM и принимают наиболее понятную и заранее заданную форму
2 Легкость администрирования. Составление новых правил корреляции, обогащения и автообработки инцидентов
3 Встроенная тикет система. Нет необходимости вести расследование постоянно заглядывая в текущие логи или пытаясь интегрироваться с внешними решениями
4 Легкая сборка дашбордов Для сборки дашбордов не нужно знать какой либо внутренний язык запросов, все интуитивно и с выбором нужных переменных
5 API Удобно и хорошо документировано
6 Унаследованный sub search В случае если необходимо объединить 2 и более инцидентов в единый – есть корреляционный компонент
5. Легкость и понятность для оператора
В каждом событии оператор видит не только сырой лог целиком, но видит представление его, разбитое по именованным полям.
Например:
Antivirus – Trojan Attack
Source IP – 127.0.0.1
HostName – TestHost
Virus Type – Old Trojan
6. 6 причин любить mcafee esm
1 Легкость и понятность для оператора. Все события обрабатываемые платформой легко нормализуются во внутреннем механизме ESM и принимают наиболее понятную и заранее заданную форму
2 Легкость администрирования. Составление новых правил корреляции, обогащения и автообработки инцидентов
3 Встроенная тикет система. Нет необходимости вести расследование постоянно заглядывая в текущие логи или пытаясь интегрироваться с внешними решениями
4 Легкая сборка дашбордов Для сборки дашбордов не нужно знать какой либо внутренний язык запросов, все интуитивно и с выбором нужных переменных
5 API Удобно и хорошо документировано
6 Унаследованный sub search В случае если необходимо объединить 2 и более инцидентов в единый – есть корреляционный компонент
7. Легкость администрирования
Абсолютно все правила могут быть созданы при помощи нескольких опциональных полей обозначающих ограничения для значений внутри инцидента или логических операторов
8. 6 причин любить mcafee esm
1 Легкость и понятность для оператора. Все события обрабатываемые платформой легко нормализуются во внутреннем механизме ESM и принимают наиболее понятную и заранее заданную форму
2 Легкость администрирования. Составление новых правил корреляции, обогащения и автообработки инцидентов
3 Встроенная тикет система. Нет необходимости вести расследование постоянно заглядывая в текущие логи или пытаясь интегрироваться с внешними решениями
4 Легкая сборка дашбордов Для сборки дашбордов не нужно знать какой либо внутренний язык запросов, все интуитивно и с выбором нужных переменных
5 API Удобно и хорошо документировано
6 Унаследованный sub search В случае если необходимо объединить 2 и более инцидентов в единый – есть корреляционный компонент
9. 3 причины не любить mcafee esm
1 Отсутствие верификации pcre выражений Если парсер корректен, но может отправить Reciever в бесконечный цикл – он это сделает.
2 Работа с JSON Если JSON имеет много повторяющихся полей – будет найдено только одно из них.
3 8 опциональных полей Нет необходимости вести расследование постоянно заглядывая в текущие логи или пытаясь интегрироваться с внешними решениями
10. СПАСИБО ЗА ВНИМАНИЕ
# CODEIB
Павел Арланов
arlanov@tutu.tech
@TeErevia