15. КЛИЕНТЫ 15

2. РЕШЕНИЕ ДЛЯ КОНТРОЛЯ ВАШЕГО БИЗНЕСА SIEM : МИФЫ И РЕАЛЬНОСТЬ

16. Глеб Косоруков g.kosorukov@rusiem.com +7 9 26 101 26 58 СПАСИБО ЗА ВНИМАНИЕ # CODEIB

1. 06 ФЕВРАЛЯ ’20 УФА Siem - мифы и реальность ГЛЕБ КОСОРУКОВ Менеджер коммерческого отдела RuSIEM

10. В основе решения заложена собственная технология, основанная на потребительском спросе, практическом опыте и техническом анализе конкурентов. Используются современные принципы разработки, позволяющая решению развиваться, заменять модули и пополнять решение новыми, подстраиваться под потребности клиентов Практическое использование AI и DL технологии ТЕХНОЛОГИИ 10 1 2 3

8. SIEM vs LM Сбор событий с источников Корреляция Отчеты Инцидент - менеджмент Риск - менеджмент Поиск по событиям LM SIEM RvSIEM (free) 8 Аналитика

6. Направление развития SIEM систем очень обширно и выбор остается за Вами, что необходимо именно Вам. СЕГОДНЯ ЗАВТРА 6 SIEM Нормализация Asset Management Симптоматика GRC Threat Intelligence SOAR Vulnerability management SOC DL/ML/AI UBA

5. Какова причина роста функционала SIEM систем? • Потребность? • Отсутствие персонала? • Рост уровня угроз? ВЧЕРА СЕГОДНЯ Централизованный сбор событий (логов) Графическое представление и визуализация Оповещение Применение неуправляемых алгоритмов Корреляция Compliance 5 SIEM

7. • Дорого? • Нужен только в зрелой инфраструктуре ? Будем внедрять как внедрим остальные СЗИ ? • Сложно подключить не типовые источники ? • Необходим высококвалифицированный персонал ? • Нужна поддержка 24 *7*365? • Долго настраивать правила корреляций? • Да мы можем сами быстро сделать! SIEM: Мифы и реальность! Стандартные вопросы и заблуждения 7

14. О КОМПАНИИ 14 Программный код c оздан российскими программистами 2014 с этого года ведется активная разработка >3 00 пилотных внедрений 10000 установок free - версии в мире в 2017 - 18 годах > 5 0 партнеров в странах СНГ Резидент Сколково Включен в реестр отечественного ПО

3. ЧТО ТАКОЕ SIEM И ЗАЧЕМ ОНА НУЖНА 3 SIEM представляет собой улучшенную систему обнаружения вредоносной активности и различных системных аномалий. Работа SIEM позволяет увидеть более полную картину активности сети и событий безопасности. Когда обычные средства обнаружения по отдельности не видят атаки, но она может быть обнаружена при тщательном анализе и корреляции информации из различных источников. SIEM - система собирает, анализирует и представляет информацию из сетевых устройств, средств защиты информации и информационных систем. Также в систему входят приложения для контроля идентификацией и доступом, инструменты управления уязвимостями. Сотни и тысячи устройств живут своей жизнью и генерируют миллионы событий, сообщая о том, что происходит с ними и вокруг. При этом необходимо реагировать только на часть из них. Отдельные устройства, операционные системы только предоставляют события без детального анализа Для полной картины происходящего необходимо собрать воедино состояния с отдельных устройств Для этого и нужна SIEM система

13. КОНКУРЕНТНЫЕ ПРЕИМУЩЕСТВА 13 Полная поддержка русского языка Встроенная управляемая и редактируемая корреляция Высокая производительность (Свыше 90000 событий на одну ноду ) Нет ограничений по количеству событий и источникам Приведенная к общем формату объектная нормализация Сохранение исходных RAW - событий Нет ограничений по размеру архивного хранилища Коннекторы от производителя Real - time и историческая корреляция Наличие собственных модульных агентов Разделение нагрузки на несколько серверов или виртуальных машин Легкая вертикальная масштабируемость

11. СОБЫТИЯ НА ВХОД • Windows event log • Web servers • App servers • Load balancing • Network flow • Network payload • Транзакции • Почтовые системы • Межсетевые экраны • IPS • DNS logs • АСУТП • СКУД • Различные датчики • Спам - фильтры • Антивирусные системы • Сетевые устройства • Бизнес - приложения 11

12. СОБЫТИЯ НА ВХОД • Windows event log • Web servers • App servers • Load balancing • Network flow • Network payload • Транзакции • Почтовые системы • Межсетевые экраны • IPS • DNS logs • АСУТП • СКУД • Различные датчики • Спам - фильтры • Антивирусные системы • Сетевые устройства • Бизнес - приложения 12

4. • Сетевые атаки • Фрод и мошенничество • Откуда и когда блокировались учетные записи • Изменение конфигураций «не админами» • Повышение привилегий • Выявление несанкционированных сервисов • Обнаружение НСД (вход под учетной записью уволенного сотрудника) • Отсутствие антивирусной защиты на новом установленном компьютере • Изменение критичных конфигураций с VPN подключений • Контроль выполняемых команд на серверах и сетевом оборудовании • Аудит изменений конфигураций (сетевых устройств, приложений, ОС) • Выполнение требований Законодательства и регуляторов ( PCI DSS, СТО БР, ISO 27xx ) • Аномальная активность пользователя (массовое удаление/копирование) • Обнаружение вирусной эпидемии • Обнаружение уязвимости по событию об установке софта • Оповещение об активной уязвимости по запуску ранее отключенной службы • Обнаружение распределенных по времени атаках • Влияние отказа в инфраструктуре на бизнес - процессы ГДЕ МОЖЕТ ПРИМЕНЯТЬСЯ SIEM? Везде, где из журналов событий можно извлечь полезную информацию ПРИМЕРЫ СОБЫТИЙ 4

9. RuSIEM RuSIEM Analytics RvSIEM (free) Дашборды (набор виджетов для оценки показателей в режиме реального времени)    Поиск по событиям    Сохраненные запросы    RBR (rule - based) корреляция   Инцидент менеджмент по ITIL   Симптоматика для тегирования событий понятным описанием    Риск - метрики    Отчеты    Отчеты соответствия стандартам и политикам   Аналитика ( агрегация событий ) для обнаружения инцидентов без корреляции  Аналитика (baseline) для обнаружения инцидентов без корреляции  Обновляемые ленты угроз (feeds : потенциально опасные ip , hash, url , fqdn , mail)  Аналитика (сложные отчеты с расчетами )  ИТ активы с обновлением в режиме реального времени  Агент с универсальными коннекторами к источникам    Масштабируемость   limited Обновление базы знаний (правила корреляции, отчеты, симтомы )    Поддержка 24x7 24x7 limited Обновление версий   