Системы класса SIEM могут быть вполне применимы не только для информационной безопасности, но и ИТ персоналом, разработчиками для своевременного обнаружения и предотвращения инцидентов
Когда тема SOC только обсуждалась на конференциях по информационной безопасности в России, Security Operations Center в компании МТС функционировал уже несколько лет. За эти годы мы накопили знания и опыт работы SOC в разнообразных ситуациях. С чем можно столкнуться при построении SOC? Какие особенности при реализации технологий и в бизнес-процессах нужно учитывать, обеспечивая безопасность IP/MPLS сети такого масштаба? Какие выводы мы сделали после участия в «Противостоянии» на PHDays VI? Ответы на эти и другие вопросы вы найдете в выступлении эксперта МТС.
Как подготовиться к гигабитной DDoS-атаке при помощи машинного обучения / Игн...Ontico
Обеспечение доступности — это сложная задача, которая требует совместной работы специалистов по проектированию и администрированию сетей, разработчиков приложений, тестировщиков и специалистов по IT-безопасности.
В этом докладе мы поговорим о том, какие области науки о данных применимы при защите от DDoS, взглянем на машинное обучение с позиций злоумышленников, специалистов по обеспечению доступности и по защите информации.
Рассмотрим в этом контексте обучение с обратной связью:
+ от окружающей среды (теория управления/control theory),
+ от данных (кластеризация, unsupervised learning),
+ от внешнего источника (обучение с учителем/supervised learning — классификация и регрессия).
Сделаем акцент на сложности алгоритмов и времени, необходимом для обучения. Машинное обучение нельзя просто включить по щелчку пальцев: чтобы всё работало хорошо, нужно заблаговременно подготовить данные, настроить и обучить механизмы защиты.
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
Системы анализа защищенности являются удобным и простым инструментом, помогающим своевременно обнаруживать уязвимости в информационных системах. Они прошли долгий путь от утилит из набора "для хакера" до систем обеспечения информационной безопасности в инфраструктуре любой сложности. Как все было на самом деле, что мы имеем сейчас и что нас ждет в будущем? Именно об этом и пойдет речь в этом выступлении.
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
Презентация к выступлению "Особенности проведения аудита безопасности корпоративной IT-инфраструктуры", 15 мая 2018, Fast Track
Ядром доклада станет демонстрация нескольких средств аудита (ПО, скриптов) для Windows Server, инфраструктуры AD, Linux: как они работают, какие дают результаты и как облегчают жизнь аудитору.
Анонс выступления
https://ipiskunov.blogspot.ru/2018/05/phdays-8-digital-bet.html
Telegram-канал
https://t.me/w2hack или @w2hack
Как сэкономить, вложив в информационную безопасность? Ivan Piskunov
Презентация к семинару "Как сэкономить, вложив в информационную безопасность?".
На семинаре мы расскажем как аудит безопасности для небольшого и среднего бизнеса поможет снизить операционные затраты, увеличить оборотные средства и в целом увеличь общую капитализацию (прибыль).
Ссылка на подробное описание https://ipiskunov.blogspot.ru/2017/12/blog-post.html
This document summarizes a SIEM product called RuSIEM. It describes RuSIEM's team and technology, how the product works, its components, data scaling abilities, and performance capabilities. The document also outlines how RuSIEM differs from other SIEM solutions and provides details on installations, correlations, receiving and sending events, analytics, and the product's current status and 2017 roadmap.
The document summarizes an OSINT meetup discussing open-source intelligence (OSINT) and the Recon-ng tool. The meetup agenda included an introduction to OSINT and Recon-ng, a demonstration of the tool's modules and capabilities through test cases, and a special thanks to the creators of Recon-ng. The document promoted freely collecting intelligence from public sources and using tools like Recon-ng to conduct passive reconnaissance and vulnerability hunting.
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндексyaevents
Тарас Иващенко, Яндекс
Администратор информационной безопасности в Яндексе. Специалист по информационной безопасности, проповедник свободного программного обеспечения, автор Termite, xCobra и участник проекта W3AF.
Тема доклада
Сканирование уязвимостей со вкусом Яндекса.
Тезисы
В докладе будет рассказано о внедрении в Яндексе сканирования сервисов на уязвимости как одного из контроля безопасности в рамках SDLC (Secure Development Life Cycle). Речь пойдет о сканировании уязвимостей на этапе тестирования сервисов, а также о сканировании сервисов, находящихся в промышленной эксплуатации. Мы рассмотрим проблемы, с которыми столкнулись, и объясним, почему в качестве основного механизма решили выбрать открытое программное обеспечение (сканер уязвимостей w3af), доработанное под наши нужды.
- Out of box: базовые настройки современных роутеров?
- Почему на коробке написано 300Mb/s а реальная скорость около 140Mb/s?
- Сколько роутеру нужно антенн?
- Несколько способов борьбы с соседями;
- Шифрование, скрывать имя сети или нет?
Руководство по формату событий для разработчиков программного обеспечения в целях полноценного логирования и интеграции с любыми системами SIEM (Security information and event management) и LM (log management).
Вебинар: Функциональные возможности современных SIEM-системDialogueScience
Современная SIEM-система представляет собой единое хранилище событий ИБ, обладающее также механизмами агрегирования, нормализации, корреляции и приоритезации. Кроме событий ИБ SIEM-система также содержит данные об активах, получаемых в том числе со сканеров уязвимостей, а также данные о пользователях, получаемых из IDM-систем или иных хранилищ учётных данных.
Monitoring driven эксплуатация / Николай Сивко (HeadHunter)Ontico
Огромная часть работы службы эксплуатации, так или иначе, связана с мониторингом существующей инфраструктуры.
Если система мониторинга настроена хорошо, она позволяет сократить время простоя, какие-то проблемы показать на ранней стадии, формализовать рабочие процессы команды админов.
То есть она является носителем знания о нашей инфраструктуре и о том, как именно работают админы.
Можно ли извлечь дополнительную пользу из этого?
В hh.ru мы используем систему мониторинга ещё и как check list для повседневных задач админов (алерты в данном случае являются задачами для человека: сделал задачу - триггер проверил результат и погас), идея взята из TDD.
Также расскажу, как мы работаем с внештатными ситуациями: реагируем на алерты, чиним, разбираем и классифицируем.
Еще на основе разобранных инцидентов мы считаем показатели работы службы эксплуатации, из этих показателей высчитываются наши премии (данный KPI получился удачным: с ним согласен и бизнес и админы).
Доклад является обобщением моего опыт по работе с системами мониторинга серверных приложений в Qiwi.
Цель доклада:
- Получить общее представление о подходах к мониторингу серверных приложений
- Разобраться с популярными средствами для мониторинга серверных приложений
Оглавление:
- Мотивация
- Теория
---- Определение
---- Модель системы с точки зрения мониторинга
---- Классификация систем мониторинга
---- Уровни мониторинга
---- Инструменты мониторинга
- Практика
---- Системы мониторинга и сбора логов
---- Интерфейсы мониторинга
---- Инструменты мониторинга в JVM-based приложениях
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMDialogueScience
В настоящее время средства защиты корпоративных систем обнаруживают всё больше подозрительных событий и аномального трафика. При этом требуется выявление действительно опасных событий и инцидентов. Одними из лучших средств для данных задач являются системы HP ArcSight ESM\Logger. На вебинаре рассмотрены ключевые возможности и примеры из практики.
SICenter - презентация по BSM (Business Service Management) - системам монито...Yuriy Eysmont
Управление бизнес-услугами (Business Service Management, BSM) - это стратегия управления ИТ, осуществляемая средствами программного обеспечения с точки зрения перспектив бизнеса. Реализуя BSM, компании могут переориентировать свои ИТ-операции таким образом, чтобы они напрямую поддерживали критичные цели бизнеса. Такая стратегия помогает компаниям быстро распознавать и оптимизировать ключевые процессы на своем предприятии - и это действительно важно, ибо качество базовых бизнес-услуг может серьезно повлиять на успешность бизнеса.
- Как начать развивать систему аналитики в компании, не имея армию data-инженеров.
- Как перейти из состояния «я не понимаю какие квадратики на этой схеме нужны для моих задач» и при этом не уйти в R&D на несколько месяцев.
- Как реализовать потоковую обработку данных на PHP (~40К записей в минуту).
- Какие технические решения применяли в нашем решении и какие факторы учитывали в принятии решений.
Презентация с мероприятия https://habr.com/ru/company/tuturu/blog/426059/
На вебинаре участники ознакомились с актуальными проблемами, связанными с реализацией задач по сбору, анализу и корреляции событий информационной безопасности, регистрируемых в территориально-распределенных автоматизированных системах предприятий.
В рамках мероприятия были рассмотрены основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности
и также рассмотрена одна из возможных реализаций центра мониторинга событий безопасности (Security Operation Center, SOC) на базе программных продуктов HP ArcSight.
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности.
Спикер:
Родион Чехарин,
Руководитель проекта технического департамента ЗАО «ДиалогНаука»
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
Совместный вебинар Positive Technologies и ДиалогНаука будет посвящен типичным сложностям, с которыми сталкиваются организации при внедрении SIEM-систем, а также тому, с чем сталкиваются организации при попытке оценить уровень своей защищенности.
RuSIEM provides security information and event management capabilities that can serve as a security operation center (SOC). It allows forwarding of syslog events, notification via email, and triggering of scripts based on correlation rules. RuSIEM has a hierarchical structure that allows distributed event collection, correlation, and storage across multiple nodes that can be remotely managed from a single console. It also offers an "only SOC" option where customer sites install collectors and storage nodes that are managed solely by the SOC for access to incidents and events.
This document discusses using RuSIEM software to collect and forward event logs between different server regions. It provides examples of configuring RuSIEM nodes to:
1. Forward all event logs or logs matching conditions from Server Region A to Server Region B using TCP/UDP or a message queue.
2. Collect logs from other servers in a DMZ and forward to Server Region B, with firewall rules only allowing connections to the DMZ.
3. Stream events from Region A to a load balanced cluster in Region B using a message queue.
4. Correlate events across Region A, B, and C by forwarding selected events to a central HQ using a message queue.
It details the
1) The document discusses IT assets including hardware, software, processes, services, users and groups.
2) IT assets that can be monitored include NetBIOS/FQDN, IP/MAC addresses, processes and their hashes, Windows services, installed software and patches.
3) A SIEM can provide real-time information about changes to assets by monitoring event logs, network traffic, and through active checks and integrations to identify risks, vulnerabilities, and policy violations.
How to create correlation rule for threat detection in RuSIEMOlesya Shelestova
How to create correlation rule for threat detection in RuSIEM. In case - Ransomware Win32/Diskcoder.Petya.C
Video for this presentation: https://youtu.be/WK5q26iE09I
This document discusses RuSIEM Analytics, a product that provides log management, security information and event management, and real-time analytics capabilities. It aims to automate business processes, detect security incidents, analyze business metrics, and provide a single interface for employees. The product is already in use by many enterprise customers. It collects data from various sources, normalizes it, stores it for analysis, and ensures continuous data collection. It also provides security incident detection and prevention, reporting, and compliance functions. Real-time analytics are performed to detect incidents, establish baselines, and analyze multiple algorithms. The solution has various applications for IT, security, business units, and other teams.
This document provides step-by-step instructions for deploying the RvSIEM virtual machine and configuring the RuSIEM agent to collect and analyze Windows event logs. Key steps include downloading the RvSIEM virtual image, deploying it in VMware or Hyper-V, configuring the network settings, installing the RuSIEM agent on Windows machines, and configuring the agent to send events to the RvSIEM server for analysis and querying. The document also provides tips on licensing, event searching, and troubleshooting log collection.
2. Что такое SIEM
• Security Information and Event Management
Сменим аббревиатуру?
• Ну к примеру, СIEM – Continuous Information Event Manager
3
3. CIEM (SIEM)
• На входе всегда события. Это минимальная и необходимая
единица измерения, повествование о чем либо (не важно о чем).
• События приводятся к единому формату key:value
• Обогащаются метаинформацией
• Аггрегируются (схлопываются)
• Коррелируются по правилам написанным пользователем
• Анализируются различными методами и алгоритмами
• На выходе – не 100 алертов, а 1 инцидент о коренной проблеме.
• Инцидент фиксируется во встроенной или внешней системе
4
4. • Фактически, не важно какими данными кормить систему
• Результат зависит от качества входных данных, набора правил
обработки и анализа «внутри»
• Именно поэтому, SIEMы уже широко применяются для анализа
финансовых потоков, анти-фрода, целевого маркетинга и для
прочих целей
5
5. SIEM: мифы
• SIEM только для информационной безопасности
• Дорого стоит
• Zabbix/Nagios «хватает»
• «MTTR не для нас»
• В SIEM не пускает ИБ
• «Захламляете вашими ИТ-шными логами/нет лицензии на EPS»
6
6. • В аббревиатуре SIEM есть «security». Но ставить на этом акцент не
нужно.
• В логах есть информация полезная для ИТ
• Системы мониторинга дают много ложных уведомлений
• Системы мониторинга не могут связать в логическую цепочку
разрозненные алерты
7
7. • Проблемы с дисковыми подсистемами
• Зависшие и неработающие приложения
• Ошибки приложений
• Отсутствие соединения до бек-энда
• Внезапные сбои в работе веб-приложений
• Ошибки сети
• Проблемы с маршрутизацией
• Проблемы с доступами и блокировками
• Флип-флоп интерфейсов приводящие к различным проблемам
• Проблемы аутентификации из за сбоев
• Отслеживание изменение конфигураций и обновлений
• Многочисленные проблемы инвентаризации
• Многочисленные ошибки доставки электронной почты
• И многое другое
8
8. Как обходимся, коллеги?
• cat/grep/tail логов
• Ни дай бог если это «тяжелый» лог или windows event log на
загруженном сервере
• Приходится просить коллег, так как доступа на
сервер/приложение/базу данных - нет
• Если сервер упал или что то с диском – не узнаем причин
• Смотрим когда «все уже плохо»
• Форенсикой занимаются другие и может уйти значительное
время
• «Бревна в глазу не видим»
9
9. Что даст CIEM?
• Снижение времени реакции на возникающие инциденты
• Предотвращение инцидентов на ранних стадиях
• Видимость происходящего в инфраструктуре
• Инвентаризация программного обеспечения, оборудования,
процессов, сервисов, групп и пользователей, прав доступа, ip
адресации
10
10. Что даст CIEM?
• Централизованный сбор в автоматическом режиме
• Удобные методы и инструменты поиска по событиям
• Понятный вид событий
• Графические представления
• Отчеты с автоматической доставкой
• Корреляция – вы будете видеть корень проблемы, а не миллионы
уведомлений и логов
• Фиксация инцидентов с возможностью постановки задач для
оперативного реагирования
11
11. Какие события можно послать?
• Фактически – любые
• Текстовые w3c/txt/csv/cef/etc логи с разделителями ключей и
значений
• Syslog tcp/udp любого формата согласно syslog rfc, в том числе
plain/json/msgpack/cef/etc
• Windows event log
12
12. Цены
• В зависимости от набора и количества компонент
• В среднем, для SMB варьируется 600 000р – 3 500 000
13
14. Но придется наступать на грабли
• «Виснет»
• Падает при накоплении объема и висит на выборке
• Ограничение на объем или количество источников
• Не всякий источник можно подключить
• Приобретение сторонних лицензий (Click-view, MS SQL, etc)
• Логи теряются
• Json поля без вложенности
15
15. «Напильник»
• Корреляцию писать вам самим
• Нормализацию источников писать самим
• Сторонние транспорты для сбора – самим
• Отчеты – скорее всего самим
Все это не так просто. Многим ли под силу? Что произойдет если
уйдет сотрудник писавший это? Посчитайте затраты.
16
16. Что в итоге экономии?
• Вы будете видеть только логи
• Отсутствует интерпретация событий понятным языком
• Может удастся создать какие то алерты с уведомлением на почту
• Почтовые уведомления вы перестанете читать через 4 дня
17
18. Дашборды
• Наборы настраиваемых виджетов
• Настройки индивидуальны для каждого пользователя
• Автоматическое обновление данных
• Импорт/экспорт другим пользователям
• Наборы страниц с виджетами для быстрого анализа
• Возможность отображения данных как по базе данных событий,
так и по аналитике
19
19. Навигация по событиям
• Графическое отображение событий
• Быстрая выборка событий
• Проваливание по графику в интересующий интервал
• Полнотекстовый и точечный поиск
• Быстрый поиск внутри выбранных данных
• Составной поиск через операторы and/or/not и другие
• Группировка и сортировка
• Вывод только интересующих полей в определенном порядке
• Выгрузка отобранных событий в csv файл
• Поиск через симптоматику без знания как выглядят события (например, «Ошибки сети»,
«Ошибки диска», «Неуспешные входы»)
• Подсчет траффика или других количественных характеристик с группировкой по любому
полю
20
20. Симптоматика
• Подпись каждому событию русским текстом – о чем оно с
возможностью использования этих тегов во всех компонентах
системы
• Весовые параметры критичности
• Событие может попадать под несколько симптомов, добавляя
подписи мета-тегов и увеличивая/уменьшая суммарную
критичность события
• Последовательные цепочки симптомов для выявления коренной
или итоговой проблемы
• Возможность добавления симптомов пользователем
21
21. Корреляция
• Real-time Rule based reasoning корреляция
• Графический понятный конструктор
• По одному событию (например, message:”disk full”)
• По серии событий (count.message:”http.error>500” >= 100/60 sec)
• По последовательности событий (service.stopped and not started in 5 minutes)
• Логические объединяемые условия с drag-and-drop перестановкой
• Подсчет уникальных значений
• Группировка по одному или нескольким полям и значениям через and/or
• Возможность использования симптоматики вместо сложных выражений
• Учет времени. К примеру – в определенные дни недели в указанное время.
• Возможность запуска скрипта с передачей значений. Например, для автоматического патча или
блокирования.
• Установка приоритета и исполнителей инцидента с ограничением видимости другими
пользователями
• Правила может редактировать и создавать пользователей
22
22. Встроенный инцидент-менеджмент
• Инциденты формируются в результате срабатывания правил корреляции
• Уведомление об инциденте и задачах по электронной почте со ссылкой на инцидент
• Ограничение видимости инцидента другими пользователями системы
• Постановка задач с открытием видимости другим сотрудникам/группам
• Эскалация инцидента
• Статусы инцидента: назначен, в работе, эскалирован, приостановлен, закрыт
• При эскалации меняется область видимости инцидента
• Повторно по одному и тому же объекту группировки инцидент не открывается до тех пор пока
текущий не закрыт, пополняется уже открытый
• События отвязаны от инцидента, но поиск породивших инцидентов возможен по ссылке на любом
поле внутри инцидента
• Подсчет количества попаданий по каждому полю в рамках инцидента
• Веса инцидента и количество событий
• Быстрое закрытие инцидента «по кнопке» - ложное срабатывание/решен
• Просмотр правила корреляции из инцидента
23
23. Аналитика
• Агрегация весов симптоматики по объектам
(host/process.name/user.name и прочим) с формированием
инцидента в случае превышения суммарного веса
• Baseline по любым параметрам. От одного до 4х параметров в
каждом правиле. Например, количество ошибок в связке с хостом
по каждому хосту в событиях. При превышении указанной дельты
(то есть в случае всплеска) – формируется инцидент.
• Поведенческий анализ
• Прочие алгоритмы для обнаружения аномалий и инцидентов
• Правила могут редактироваться и создаваться пользователем
24
24. Взаимосвязи
• Построение графического представления связей для быстрой аналитики
• Указание уточняющего запроса sql-like с фильтрацией
• Ограничение запроса по «топ 10-500000»
• Возможность построения по любым критериям, симптомам, полям.
Например:
• пользователь-группа отобразит в какие группы входит.
• Пользователь-хост отобразит куда пользователь входил за указанный интервал
времени.
• Симптомы-пользователь покажет что делал пользователь за указанный период
времени, какие ошибки возникали.
• Geoip-хост покажет с каких стран/городов были соединения с данным хостом
25
25. Отчеты
• Пред-заданные шаблоны отчетов и возможность добавление
пользователем
• Наборы графиков, таблиц в отчете. В том числе, возможность
добавления различных наборов в одном отчете.
• Формирование по расписанию отчета с возможностью отправки
по электронной почте указанным получателям.
• Построение отчетов по базе данных событий и аналитике.
26
26. Контактная информация:
Сайт разработчика: https://www.rusiem.com
Инфо: info@it-task.ru , support@rusiem.com
Максим Степченков m.stepchenkov@it-task.ru
Олеся Шелестова oshelestova@rusiem.com (skype, mail)
Официальный дистрибьютор:
СПАСИБО ЗА ВНИМАНИЕ
Остались вопросы?
Обращайтесь!
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
27