Siem - мифы и реальность_QazSiem

889 просмотры
0 Лайки
0 0

Поделиться в социальных сетях

Поделиться Ссылкой

Use permanent link to share in social media

Поделиться с другом

Пожалуйста Логин послать это presentation по электронной почте!

Встроить в свой сайт

Выберите страницу, чтобы начать с

2. РЕШЕНИЕ ДЛЯ КОНТРОЛЯ ВАШЕГО БИЗНЕСА SIEM : МИФЫ И РЕАЛЬНОСТЬ

1. Siem - мифы и реальность АЛЕКСАНДР УЧИТЕЛЕВ Менеджер по работе с партнерами QAZSIEM 27 ФЕВРАЛЯ ’20 АЛМАТЫ

12. Александр Учителев a.uchitelev@qazsiem.kz +7 916 372 04 40 СПАСИБО ЗА ВНИМАНИЕ # CODEIB

9. Вертикальное (филиалы) и горизонтальное (производительность) «Горячее» расширение без остановки сбора Поддержка слабых каналов между удаленными объектами Корреляция в центральном офисе без необходимости передачи всех событий «наверх» Распределенный поиск по событиям без необходимости «единого хранилища» 9 МАСШТАБИРУЕМОСТЬ

6. Направление развития SIEM систем очень обширно и выбор остается за Вами, что необходимо именно Вам. СЕГОДНЯ ЗАВТРА 6 Нормализация Asset Management Симптоматика GRC Threat Intelligence SOAR Vulnerability management SOC DL/ML/AI UBA

5. Какова причина роста функционала SIEM систем? • Потребность? • Отсутствие персонала? • Рост уровня угроз? ВЧЕРА СЕГОДНЯ Централизованный сбор событий (логов) Графическое представление и визуализация Оповещение Применение неуправляемых алгоритмов Корреляция Compliance 5

7. • Дорого? • Нужен только в зрелой инфраструктуре ? Будем внедрять как внедрим остальные СЗИ ? • Сложно подключить не типовые источники ? • Необходим высококвалифицированный персонал ? • Нужна поддержка 24 *7*365? • Долго настраивать правила корреляций? • Да мы можем сами быстро сделать! SIEM: Мифы и реальность! Стандартные вопросы и заблуждения 7

11. О КОМПАНИИ 11 Программный код c оздан отечественными программистами 2014 с этого года ведется активная разработка > 300 пилотных внедрений 12000 установок free - версии в мире в 2017 - 19 годах >50 партнеров в странах СНГ

3. ЧТО ТАКОЕ SIEM И ЗАЧЕМ ОНА НУЖНА 3 SIEM представляет собой улучшенную систему обнаружения вредоносной активности и различных системных аномалий. Работа SIEM позволяет увидеть более полную картину активности сети и событий безопасности. Когда обычные средства обнаружения по отдельности не видят атаки, но она может быть обнаружена при тщательном анализе и корреляции информации из различных источников. SIEM - система собирает, анализирует и представляет информацию из сетевых устройств, средств защиты информации и информационных систем. Также в систему входят приложения для контроля идентификацией и доступом, инструменты управления уязвимостями. Сотни и тысячи устройств живут своей жизнью и генерируют миллионы событий, сообщая о том, что происходит с ними и вокруг. При этом необходимо реагировать только на часть из них. Отдельные устройства, операционные системы только предоставляют события без детального анализа Для полной картины происходящего необходимо собрать воедино состояния с отдельных устройств Для этого и нужна SIEM система

10. КОНКУРЕНТНЫЕ ПРЕИМУЩЕСТВА 10 Встроенная управляемая и редактируемая корреляция Высокая производительность (Свыше 90000 событий на одну ноду ) Нет ограничений по количеству событий и источникам Приведенная к общем формату объектная нормализация Сохранение исходных RAW - событий Нет ограничений по размеру архивного хранилища Коннекторы от производителя Real - time и историческая корреляция Наличие собственных модульных агентов Разделение нагрузки на несколько серверов или виртуальных машин Легкая вертикальная масштабируемость

8. СОБЫТИЯ НА ВХОД • Windows event log • Web servers • App servers • Load balancing • Network flow • Network payload • Транзакции • Почтовые системы • Межсетевые экраны • IPS • DNS logs • АСУТП • СКУД • Различные датчики • Спам - фильтры • Антивирусные системы • Сетевые устройства • Бизнес - приложения 8

4. • Сетевые атаки • Фрод и мошенничество • Откуда и когда блокировались учетные записи • Изменение конфигураций «не админами» • Повышение привилегий • Выявление несанкционированных сервисов • Обнаружение НСД (вход под учетной записью уволенного сотрудника) • Отсутствие антивирусной защиты на новом установленном компьютере • Изменение критичных конфигураций с VPN подключений • Контроль выполняемых команд на серверах и сетевом оборудовании • Аудит изменений конфигураций (сетевых устройств, приложений, ОС) • Выполнение требований Законодательства и регуляторов ( PCI DSS, СТО БР, ISO 27xx ) • Аномальная активность пользователя (массовое удаление/копирование) • Обнаружение вирусной эпидемии • Обнаружение уязвимости по событию об установке софта • Оповещение об активной уязвимости по запуску ранее отключенной службы • Обнаружение распределенных по времени атаках • Влияние отказа в инфраструктуре на бизнес - процессы ГДЕ МОЖЕТ ПРИМЕНЯТЬСЯ SIEM? Везде, где из журналов событий можно извлечь полезную информацию ПРИМЕРЫ СОБЫТИЙ 4

Просмотры

  • 889 Всего просмотров
  • 592 Просмотров Веб-сайта
  • 297 Embedded Views

Действия

  • 0 Social Shares
  • 0 Лайки
  • 0 Дизлайки
  • 0 Комментарии

Поделиться счетчик

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+