Руководитель направления
комплексных решений по ИБ
7 июня 2012 г.
- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Практические аспекты реализации мониторинга событий ИБ на базе решений ArcSight ESM презентация
Содержание
- 1. Практические аспекты реализации мониторинга событий ИБ на базе решений ArcSight ESM
- 2. Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий
- 3. Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий
- 4. О компании «ДиалогНаука» ЗАО «ДиалогНаука» создано
- 5. Сертификат ФСТЭК на соответствие ТУ
- 6. Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий
- 7. Сложности эффективного мониторинга Необходимо контролировать… … Сетевые
- 8. Необходимость систем класса SIEM
- 9. Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий
- 10. Особенности сбора событий ИБ
- 11. Особенности сбора событий ИБ Перечень поддерживаемых источников
- 12. Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий
- 13. Большинство организаций использует
- 14. Ключевой момент Расчет требований к аппаратному
- 15. Ключевой момент Правила корреляции должны быть
- 16. Ключевой момент: Правильно определить область внедрения
- 17. Ключевой момент: Процессы, процедуры, персонал
- 18. Эволюция системы мониторинга событий ИБ
- 19. Сценарии использования SIEM ArcSight может быть использован для реализации разных сценариев
- 20. Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий
- 21. Рынок решений SIEM Отчет Gartner: ArcSight
- 22. Рынок решений SIEM Отчет Gartner: ArcSight
- 23. Основана в Мае 2000 года 300+ сотрудников
- 24. Платформа ArcSight www.arcsight.com © 2009
- 25. ArcSight Express vs. ArcSight ESM Возможность
- 26. Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий
- 27. ArcSight ManagerTM Анализ и корреляция SmartConnector FlexConnector
- 28. Что делает ArcSight уникальным www.arcsight.com © 2009 ArcSight Confidential Непревзойденное решение
- 29. Access and Identity Anti-Virus Applications Content Security
- 30. Управление событиями ИБ в режиме реального времени Масштабируемость
- 31. Фильтрация - исключение из рассмотрения определенных
- 32. Windows Failed Login Event Oracle Failed
- 33. Jun 17 2009 12:16:03: %PIX-6-106015: Deny
- 34. ArcSight Monitoring ArcSight Connector События Поток сжатых событий Отказоустойчивая архитектура сбора событий
- 35. Основные факторы приоритезации: Важность события
- 36. Корреляция в режиме реального времени >100
- 37. Корреляция основанная на данных об уязвимостях
- 38. Корреляция, основанная на данных о пользователе и
- 39. Разделение событий по категориям Возможность корреляции
- 40. Глобальный режим наблюдения отклонений безопасности Интерфейс реального
- 41. Гибкая система отчётности Поиск и анализ трендов
- 42. Встроенное управление инцидентами Аннотации: Отслеживание и проведение
- 43. Встроенный документооборот Этапы: обработка инцидентов в
- 44. Используется механизм партиций Запись данных на физические
- 45. Мониторинг действий пользователей
- 46. Мониторинг действий пользователей
- 47. Оповещение Успешный доступ с заблокированного аккаунта
- 48. Оповещение Обнаружение неактивного аккаунта Login
- 49. Пример: Групповые аккаунты Доступ
- 50. jimmyj: Login to host
- 51. Пример: Групповые аккаунты (продолжение)
- 52. Пример: мошенничество по географическому признаку
- 53. Мониторинг пользователей Лист мониторинга: (100s) Повторяющаяся подозрительная
- 54. Результаты Централизованный сбор, хранение и обработка событий
- 55. Вопросы
- 56. Наши контакты 117105,
Содержание О компании ЗАО «ДиалогНаука» Мониторинг событий ИБ Особенности сбора событий ИБ Практические аспекты внедрения систем мониторинга Рынок решений SIEM Архитектура ArcSight ESM и ArcSight Logger Ответы на вопросы
Слайд 1
Практические аспекты реализации мониторинга событий ИБ на базе решений ArcSight ESM
Руденко
Владимир
Руководитель направления
комплексных решений по ИБ
Руководитель направления
комплексных решений по ИБ
Слайд 2Содержание
О компании ЗАО «ДиалогНаука»
Мониторинг событий ИБ
Особенности сбора событий ИБ
Практические аспекты внедрения
систем мониторинга
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Слайд 3Содержание
О компании ЗАО «ДиалогНаука»
Мониторинг событий ИБ
Особенности сбора событий ИБ
Практические аспекты внедрения
систем мониторинга
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Слайд 4О компании «ДиалогНаука»
ЗАО «ДиалогНаука» создано 31 января 1992 года. Учредители -
СП «Диалог» и Вычислительный центр РАН.
Первыми и самыми известными отечественными продуктами, поставляемыми компанией, были Aidstest, ADinf, Sheriff, Doctor Web и DSAV.
С 2004 года по настоящее время «ДиалогНаука» - системный интегратор, консультант и поставщик комплексных решений в сфере защиты информации.
Первыми и самыми известными отечественными продуктами, поставляемыми компанией, были Aidstest, ADinf, Sheriff, Doctor Web и DSAV.
С 2004 года по настоящее время «ДиалогНаука» - системный интегратор, консультант и поставщик комплексных решений в сфере защиты информации.
Слайд 5Сертификат ФСТЭК
на соответствие ТУ
2010 год. ЗАО ДиалогНаука сертифицирует ArcSight ESM на
соответствие техническим условиям ФСТЭК
Слайд 6Содержание
О компании ЗАО «ДиалогНаука»
Мониторинг событий ИБ
Особенности сбора событий ИБ
Практические аспекты внедрения
систем мониторинга
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Слайд 7Сложности эффективного мониторинга
Необходимо контролировать…
… Сетевые устройства
… Актуальные угрозы
… Хранилища критичных данных
…
Привилегированных пользователей
… Сетевые соединения
… Мошеннические операции
… Активность приложений
… Сетевые соединения
… Мошеннические операции
… Активность приложений
00100000000000001000000010000010000
0011000100100000001000001001000110001000
10101010
100000000100000
0010000
1101011
00010000010000
1010001
000010000001001100000001
0010000000000010100000001000001000011010
001000000010000
0001000000100000001000010010010010000011
0010000001110000100000001000001001100000
00100000011100001000
0010000001
100010011001000000110100000100001001010100100
010110101
10100010000100001000010010000010101
Слайд 9Содержание
О компании ЗАО «ДиалогНаука»
Мониторинг событий ИБ
Особенности сбора событий ИБ
Практические аспекты внедрения
систем мониторинга
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Слайд 11Особенности сбора событий ИБ
Перечень поддерживаемых источников событий ИБ
Широко распространенные источники, обновления
Проприетарные
протоколы сбора и передачи данных
Производительность
Выявление инцидентов
Построение отчетов
Хранение и поиск
Хранение больших объемов
Оптимизация работы с большими объемами
Архитектура, масштабируемость
Поддерживаемые платформы
Горизонтальное и вертикальное масштабирование
Производительность
Выявление инцидентов
Построение отчетов
Хранение и поиск
Хранение больших объемов
Оптимизация работы с большими объемами
Архитектура, масштабируемость
Поддерживаемые платформы
Горизонтальное и вертикальное масштабирование
Слайд 12Содержание
О компании ЗАО «ДиалогНаука»
Мониторинг событий ИБ
Особенности сбора событий ИБ
Практические аспекты внедрения
систем мониторинга
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Слайд 13
Большинство организаций использует SIEM таким образом
Более продвинутые пользователи
Использование SIEM
для защиты
бизнеса
Сценарии использования SIEM
Слайд 14
Ключевой момент
Расчет требований к аппаратному обеспечению (сайзинг)
Ошибки:
Недальновидность
Некорректные настройки аудита
источников событий
Практические
аспекты внедрения систем мониторинга событий ИБ
Слайд 15
Ключевой момент
Правила корреляции должны быть основаны на актуальных угрозах
Ошибки
Правила корреляции «из
коробки»
Отсутствие пересмотра правил корреляции при изменениях в системе
Нежелание донастраивать источники событий, чтобы они регистрировали адекватную информацию
Отсутствие пересмотра правил корреляции при изменениях в системе
Нежелание донастраивать источники событий, чтобы они регистрировали адекватную информацию
Практические аспекты внедрения систем мониторинга событий ИБ
Слайд 16
Ключевой момент:
Правильно определить область внедрения (перечень источников событий) и типы событий
Ошибки:
Пакеты
решений от вендора
Самостоятельная подготовка
Самостоятельная подготовка
Практические аспекты внедрения систем мониторинга событий ИБ
Слайд 17
Ключевой момент:
Процессы, процедуры, персонал
Основные ошибки:
Неадекватное взаимодействие между подразделениями
Отсутствие обучения и тестирования
сотрудников, задействованных в процессе управления инцидентами
Практические аспекты внедрения систем мониторинга событий ИБ
Слайд 20Содержание
О компании ЗАО «ДиалогНаука»
Мониторинг событий ИБ
Особенности сбора событий ИБ
Практические аспекты внедрения
систем мониторинга
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Слайд 21Рынок решений SIEM
Отчет Gartner:
ArcSight становится единоличным лидером рынка
RSA теряет позиции
CA уходит
с рынка
Слайд 22Рынок решений SIEM
Отчет Gartner:
ArcSight становится единоличным лидером рынка
RSA теряет позиции
CA уходит
с рынка
Слайд 23Основана в Мае 2000 года
300+ сотрудников
500+ прямых клиентов, 850+ партнерских клиентов
ArcSight
входит в состав HP в октябре 2010 года
О компании ArcSight
Слайд 24Платформа ArcSight
www.arcsight.com
© 2009 ArcSight Confidential
Преимущество: общий сбор, низкая стоимость владения
и интеграция
Направленное
реагирование
Расширенная
корреляция
Безопасность Конфиденциальных данных
Мониторинг активности пользователей
Обнаружение
мошенничества
Безопасность транзакций приложения
Управление
журналами
Сбор
Слайд 25ArcSight Express
vs.
ArcSight ESM
Возможность доступа с помощью Web Console
Программно-аппаратная реализация
Предустановленные правила
и отчеты
Корреляция событий
Настраиваемые дополнительные пакеты
Неограниченное кол-во типов правил и источников
Настраиваемые правила/отчеты
Корреляция событий
Настраиваемые дополнительные пакеты
Неограниченное кол-во типов правил и источников
Настраиваемые правила/отчеты
Поставка в виде программного обеспечения
Неограниченное расширение кол-ва устройств
Поведенческие шаблоны (Pattern Discovery)
Мониторинг пользователей, мошеннических операций
Расширение дискового пространства
Дополнительные возможности интеграции
ArcSight Express
ArcSight ESM
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
Слайд 26Содержание
О компании ЗАО «ДиалогНаука»
Мониторинг событий ИБ
Особенности сбора событий ИБ
Практические аспекты внедрения
систем мониторинга
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Рынок решений SIEM
Архитектура ArcSight ESM и ArcSight Logger
Ответы на вопросы
Слайд 27ArcSight
ManagerTM
Анализ и корреляция
SmartConnector
FlexConnector
Сбор данных
Консоль управления
Web-интерфейс
Архитектура ArcSight ESM
Слайд 28Что делает ArcSight уникальным
www.arcsight.com
© 2009 ArcSight Confidential
Непревзойденное решение
Слайд 29Access and Identity
Anti-Virus
Applications
Content Security
Database
Data Security
Firewalls
Honeypot
Network IDS/IPS
Host IDS/IPS
Integrated Security
Log Consolidation
Mail Relay &
Filtering
Mail Server
Mainframe
Network Monitoring
Operating Systems
Payload Analysis
Policy Management
Router
Switch
Security Management
Web Cache
Web Server
VPN
Vulnerability Mgmt
Wireless Security
Web Filtering
ArcSight SmartConnectors и FlexConnectors
180+ продуктов
в 35+ категориях от 80+ партнеров
Слайд 31
Фильтрация - исключение из рассмотрения определенных событий, соответствующих заданным критериям
Агрегация
Фильтрация и
агрегация
Слайд 32
Windows
Failed Login Event
Oracle
Failed Login Event
UNIX
Failed Login Event
Badge Reader
Entry Denied
OS/390
Failed Login
Event
Нормализация
Слайд 33
Jun 17 2009 12:16:03: %PIX-6-106015: Deny TCP (no connection) from 10.50.215.102/15605
to 204.110.227.16/443 flags FIN ACK on interface outside
Jun 17 2009 14:53:16 drop gw.foobar.com >eth0 product VPN-1 & Firewall-1 src xxx.xxx.146.12 s_port 2523 dst xxx.xxx.10.2 service ms-sql-m proto udp rule 49
Jun 17 2009 14:53:16 drop gw.foobar.com >eth0 product VPN-1 & Firewall-1 src xxx.xxx.146.12 s_port 2523 dst xxx.xxx.10.2 service ms-sql-m proto udp rule 49
Без категоризации и нормализации…
Результат
Категоризация и нормализация
Слайд 34
ArcSight Monitoring
ArcSight Connector
События
Поток сжатых событий
Отказоустойчивая архитектура сбора событий
Слайд 35
Основные факторы приоритезации:
Важность события
История событий (System Active Lists)
Критичность актива (Very High,
High,
Medium, Low, Very Low)
Medium, Low, Very Low)
Приоритезация
Слайд 36
Корреляция в режиме реального времени
>100 установленных правил корреляции
Статистическая корреляция
Историческая корреляция
Корреляция основанная
на данных об уязвимостях
Корреляция основанная на данных о пользователе и его роли
Графический редактор для изменений правил (без использования программирования)
Корреляция основанная на данных о пользователе и его роли
Графический редактор для изменений правил (без использования программирования)
Механизмы корреляции
Слайд 37Корреляция основанная на данных об уязвимостях
Событие
с уровнем
приоритета
Vulnerability
Scanner
Уязвимости
Существуют ли уязвимости
у актива?
История атак
Есть ли исторические
записи об атакующем
или атаках на эту цель?
Критичность
актива
Насколько важен данный
актив для бизнеса?
Слайд 38Корреляция, основанная на данных о пользователе и его роли
SmartConnectors
Корреляция
Событие
с уровнем
приоритета
Identity
Management
Роль
Соответствует ли событие роли/правам пользователя?
Профайл пользователя
Было ли замечено за данным пользователем подозрительное поведение в прошлом?
Directories
События о
действиях
Идентификация
Кто именно скрывался
за IP во время атаки ?
Политика
Каково влияние
данного события
на бизнес риски?
События
идентификации
Слайд 39Разделение событий по категориям
Возможность корреляции событий в реальном режиме времени, как
по ресурсам, так и по злоумышленникам
Возможности подробного анализа
Возможность создания коррелированных отчетов
Возможности подробного анализа
Возможность создания коррелированных отчетов
Визуализация
Консоль реального времени
Категоризация событий обеспечивает мгновенную идентификацию атаки
Слайд 40Глобальный режим наблюдения отклонений безопасности
Интерфейс реального времени с географическим расположением объектов
и представлением отклонений в параметрах безопасности
Отображение событий по подразделениям или устройствам
Выбор между опасностью события или его категорией
Интуитивно понятный инструментальный интерфейс или показ карты нарушений безопасности
Отображение событий по подразделениям или устройствам
Выбор между опасностью события или его категорией
Интуитивно понятный инструментальный интерфейс или показ карты нарушений безопасности
Слайд 41Гибкая система отчётности
Поиск и анализ трендов
Простое создание новых шаблонов
Создание графических отчётов
Не
требует программирование
Экспорт в различные форматы
HTML, XLS, PDF
Экспорт в различные форматы
HTML, XLS, PDF
Слайд 42Встроенное управление инцидентами
Аннотации: Отслеживание и проведение инцидента в системе документооборота
Cases:
Создание инцидентов для специфических событий
Этапы: Обработка инцидентов в соответствии с заданным порядком совместной работы
Вложения: Дополнительные данные для расследований
Оповещение в реальном времени
Email, пейджер или текстовые сообщения
SNMP сообщения
Этапы: Обработка инцидентов в соответствии с заданным порядком совместной работы
Вложения: Дополнительные данные для расследований
Оповещение в реальном времени
Email, пейджер или текстовые сообщения
SNMP сообщения
Слайд 43Встроенный документооборот
Этапы: обработка инцидентов в соответствии с заранее заданным, предназначенном для
совместной работы процессом
Аннотация инцидентов для более полного анализа
Интеграция со сторонними системами документооборота
Аннотация инцидентов для более полного анализа
Интеграция со сторонними системами документооборота
Слайд 44Используется механизм партиций
Запись данных на физические
носители по расписанию
Активные партиции
Будущие партиции
Каталог заархивированных партиций
Заархивированные партиции, которые были
активированы
База данных
Слайд 47Оповещение
Успешный доступ с заблокированного аккаунта
Login Success:
danAlan
Is User Active?
User: danAlan
Проблема:
аккаунт заблокирован в системе управления идентификационными данными, но продолжает существовать в критичных системах и приложениях
ArcSight ESM
Пример: действия заблокированного аккаунта
Слайд 48Оповещение
Обнаружение неактивного аккаунта
Login Success:
richardS
Проблема: ИТ, ИБ аутсорсинг равен большому
числу людей работающих на подряде
Обновление
активных
аккаунтов
[02.16.09 3:33:33]
аккаунт недействителен richardS
Пример: действия заблокированного аккаунта
Слайд 49Пример:
Групповые аккаунты
Доступ к приложению: Источник: 10.10.10.10
[02.5.2009 10:33:46] Login Success 10.10.10.10
fmadmin
Доступ к приложению: Источник: 192.168.10.6
[02.5.2009 11:21:51] Login Success 192.168.10.6 fmadmin
Проблема: Мой аудитор требует продемонстрировать активность администраторов в приложениях
Слайд 50
jimmyj: Login to host 10.10.10.10
Обновление сессий
пользователя с уникальными
идентификационными
данными
ArcSight ESM
Пример:
Групповые аккаунты
Слайд 51Пример: Групповые аккаунты (продолжение)
Application Access: Source: 10.10.10.10
[02.5.2009 10:33:46] Login Success 10.10.10.10
fmadmin
Проверка Identity Sessions
Application Access: Source: 192.168.10.6
[02.5.2009 11:21:51] Login Success 192.168.10.6 fmadmin
ArcSight ESM
Слайд 53Мониторинг пользователей
Лист мониторинга: (100s)
Повторяющаяся подозрительная активность
Повторные нарушения
Проблема: кража
конфиденциальных данных сотрудниками
Лист наблюдений: (1000s)
Уволенные
Работающие по контракту
Получившие выговор/замечание
Новые сотрудники
Нарушители политик
Лист расследований: (10)
Утрата доверия (нарушения)
Нарастание конфликта
Слайд 54Результаты
Централизованный сбор, хранение и обработка событий ИБ
Мониторинг, анализ и корреляции событий
информационной безопасности в режиме реального времени
Использование средств визуализации и детализации инцидента
Снижение времени расследования и реагирования на инциденты
Снижение рисков информационной безопасности за счет своевременного обнаружения и обработки инцидентов информационной безопасности
Использование средств визуализации и детализации инцидента
Снижение времени расследования и реагирования на инциденты
Снижение рисков информационной безопасности за счет своевременного обнаружения и обработки инцидентов информационной безопасности
Слайд 55
Вопросы
117105, г. Москва, ул. Нагатинская, д. 1, стр.1
Телефон: +7 (495)
980-67-76
Факс: +7 (495) 980-67-75
http://www.DialogNauka.ru
e-mail: info@DialogNauka.ru
Факс: +7 (495) 980-67-75
http://www.DialogNauka.ru
e-mail: info@DialogNauka.ru
Слайд 56Наши контакты
117105, г. Москва, ул. Нагатинская, д. 1, стр.1
Телефон: +7 (495)
980-67-76
Факс: +7 (495) 980-67-75
http://www.DialogNauka.ru
e-mail: info@DialogNauka.ru
Факс: +7 (495) 980-67-75
http://www.DialogNauka.ru
e-mail: info@DialogNauka.ru
