Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Free RvSIEM. Intro (Rus)

683 vues

Publié le

free RvSIEM

Publié dans : Logiciels
  • Soyez le premier à commenter

Free RvSIEM. Intro (Rus)

  1. 1. RvSIEM CEO RuSIEM Ltd, Olesya Shelestova oshelestova@rusiem.com https://rvsiem.com
  2. 2. Зачем LM/SIEM в компании? • Для управления множеством сотрудников – есть отдел кадров. • Для управления в каждом отделе выделен руководитель/team leader. • В компаниях множество полезных источников, предупреждающих о сбоях, несанкционированном доступе, вирусных эпидемиях, ошибках соединений, ошибках оформления заказов и прочих. • Подключив гетерогенные источники в единую консоль – получаем полное представление о том, что происходит в инфраструктуре, бизнес-системах в режиме, близком к реальному времени. 2
  3. 3. Зачем LM/SIEM в компании? 1) Видеть в режиме реального времени что происходит (в инфраструктуре, в сети, в бизнес-системах) в единой центральной консоли 2) Понять что где есть (инвентаризация) 3) Обеспечить соответствие стандартам и внутренним политикам 4) Возможность задать параметры «инцидента» и воспользоваться встроенной базой знаний для обнаружения 5) Выявлять инциденты автоматически в режиме реального времени 6) Своевременно оповещать и фиксировать инциденты 7) Агрегировать события в единое хранилище для расследования инцидентов 8) Формировать отчеты 3
  4. 4. Зачем LM/SIEM в компании? Пример – Соответствие стандартам • PCI DSS: 1.1.6.b, 1.2, 1.2.1, 1.2.2, 1.2.3, 1.3, 1.3.2, 1.3.3, 1.3.4, 1.3.5, 1.3.7, 1.4, 2.1, 2.1.1.b, 2.1.1.c, 2.2.2.b, 2.2.3, 2.3, 2.4, 4.1, 5.1, 6.1, 6.2, 6.5.4, 6.5.5, 6.5.8, 7.1, 7.2, 8.1.2, 8.1.4, 8.1.5, 8.1.6, 8.1.7, 8.2.3, 8.2.4, 8.5, 8.6, 8.7, 10.*, 11.* а также некоторые другие пункты стандарта • SOX, ISO 2700x, СТО БР ИББС … 4
  5. 5. Зачем LM/SIEM в компании? • Сканеры уязвимости выявляют проблемы, в среднем, один раз в неделю • Множество средств защиты – разрозненные данные, которые необходимо сохранять, просматривать и анализировать • Просмотр событий на отдельно взятом средстве защиты может не дать полноты картины, в отличие от выборки событий с нескольких • Сигнатуры у средства защиты может и не быть, что легко дополнить с помощью правила SIEM или запросом к базе LM по событиям 5
  6. 6. Пример 1 • Мы убедились что соответствуем политике ИБ: • telnet нигде не включен • не используются системные учетные записи • password never expire у учетных записей не установлен • для доступа используется не уязвимое ПО • Проверили сканером уязвимостей, опросили сотрудников. • Считаем что в нашей компании все нормально. • А тем временем, на следующий день, появляется системная учетная запись по умолчанию, устанавливаются опции password never expire, используется уязвимая версия putty, эксплойт на которую вышел сегодня. Обо всем этом – мы можем не узнать. 6
  7. 7. Пример 2 • Третий день подряд в нашем интернет-магазине нет заказов. И не понятно почему. • А тем временем, при оформлении товара, клиенты видят ошибку и не могут продолжить процедуру оформления. Без LM/SIEM мы узнаем об этом только при жалобе сознательного клиента. 7
  8. 8. Пример 3 • Кто то сменил пароль генерального директора и отправил письма по контактам в адресной книге • Как назло журналы событий на сервере очищены или затерты более новыми? 8
  9. 9. Методы контроля LM SIEM Где увидим инцидент На дашбордах, в выборке по событиям, в отчетах В автоматически зарегистрированных инцидентах в режиме реального времени Как увидим инцидент Регулярно просматривать события Автоматически зарегистрированные инциденты, просмотр событий, обновление правил корреляции, аналитика На что полагаемся Опыт операторов Опыт вендора, практические кейсы и аналитика вложенные в инструментальные автоматические средства в SIEM 9
  10. 10. • Стоимость LM/SIEM систем в минимальной инсталляции – от 300 000 р. С учетом необходимости хранения событий от полугода. • Стоимость адаптации open-source LM системы в компании под потребности: • 1-2 сотрудника с заработной платой от 100 000 р • Минимум полгода работы с занятостью 70% • ± 840 000 р. • При этом, большинство источников не будут подключены, система будет работать со сбоями, при уходе сотрудников, скорее всего, проект будет провален и бюджет потрачен зря. • Написать свою LM/SIEM работоспособную систему – от 20 000 000/70 000 000 р. 10
  11. 11. Что такое LM • LM (log management) – предназначен для сбора, нормализации, обработки событий с различных источников (операционных систем, программного обеспечения, сетевого оборудования и т.п). • LM собирает и агрегирует события для анализа (что происходит), расследования инцидентов, построения отчетов. • В отличие от SIEM, LM не имеет штатных средств корреляции для автоматического анализа и оповещения об инцидентах. • Тем не менее, LM – эффективный инструмент для анализа и мониторинга, способный помочь в решении проблем 11
  12. 12. Мы рады помочь Вам и предоставляем в свободный доступ для использования готовое решение класса LM – Free RvSIEM 12
  13. 13. О RuSIEM • Разработка ведется с 2014 года • Команда разработки имеет большой опыт • Мы делаем не просто классический SIEM. Он нужен чтобы подготовить данные для дальнейшего анализа – автоматической аналитики без правил корреляции, AI, deep learning. • Наши разработки широко используются во множестве крупных компаний по всему миру • Мы резиденты Сколково https://rvsiem.com 13
  14. 14. Линейка продуктов RuSIEM “Analytics” Network Sensor Free RvSIEM SIEM SIEM+Аналитика Сетевой сенсор LM версия 14 • Все продукты имеют модульную архитектуру • Free RvSIEM расширяется до коммерческих версий RuSIEM и Analytics
  15. 15. Что такое Free RvSIEM • Free RvSIEM – свободно распространяемая версия LM (log manager), без публикации открытого кода. • Распространяется для использования «как есть» • Изменение авторского права и наименования продукта не допускается • Почему название SIEM, ведь free-версия – LM возможности? • Возможно расширение по-модульно в сторону коммерческой версии SIEM 15
  16. 16. RuSIEM RuSIEM Analytics Free RvSIEM Дашборды (набор виджетов для оценки показателей в режиме реального времени)    Поиск по событиям    Сохраненные запросы    RBR (rule-based) корреляция   Инцидент менеджмент по ITIL   Симптоматика для тегирования событий понятным описанием    Риск-метрики    Отчеты    Отчеты соответствия стандартам и политикам   Аналитика (агрегация событий) для обнаружения инцидентов без корреляции  Аналитика (baseline) для обнаружения инцидентов без корреляции  Обновляемые ленты угроз (feeds: потенциально опасные ip, hash, url, fqdn, mail)  Аналитика (сложные отчеты с расчетами)  ИТ активы с обновлением в режиме реального времени  Агент с универсальными коннекторами к источникам    Масштабируемость   limited Обновление базы знаний (правила корреляции, отчеты, симтомы)    Поддержка 24x7 24x7 limited Обновление версий    16
  17. 17. Сравнение с аналогами Free RvSIEM Splunk OSSIM ELK Модуль отчетности + +* +* - Наличие собственного агента + - - - Сбор одним агентом с множества источников + - - - Без лимита по EPS + - - + Универсальные коннекторы + - - - Наличие готовых коннекторов к основным системам (1-5 баллов) 4 2 2 1 Возможность подключения новых источников (1-5) 4 3 2 2 Гибкость поисковых запросов по событиям (1-5) 5 5 3 3 Agent Hash module + - - - Agent WMI Query + - - - LDAP Authentication + + + -* Доступ на основе ролей + - - - Модульное расширение возможностей системы + - + - 17
  18. 18. Лицензия RvSIEM (free) Свободное использование в личных целях  Установка и использование в компаниях  Открытый исходный код x White-label x Продажа/использование в коммерческих целях Изменение/доработка кода в личных целях и в компаниях без изменения наименования продукта  Изменение кода в коммерческих целях x Модификация ПО или использование частей при разработке другого ПО x Изменение конфигурационных файлов  18
  19. 19. Установка – проще ELK • VmWare ESX 5.5+, MS HyperV из образа OVF • Версия ОС в образе – Ubuntu 14.04-5 x64 • Установка через dpkg – планируется • Обновления – через git автоматически с возможностью отключения. • Портал поддержки и взаимодействия – планируется • Языковые пакеты – пока только русский и английский. • Агент – под MS Windows 7+, .net 4.5+. x64/x86 • Минимальные требования для free RvSIEM: • 4 GB ОЗУ, 1 процессор 2-4 ядра, 70 GB Hdd для системы, диск под данные – под ваши требования. 19
  20. 20. Шаги установки • Развернуть OVF образ • Подключить диск для данных согласно руководства • Настроить сетевые параметры • Настроить LDAP аутентификацию, параметры агентов и хранения • Установить агента • Настроить агента из веб-консоли для сбора с источников 20
  21. 21. Демо 21
  22. 22. Синтаксис конфигурационных файлов парсеров 22
  23. 23. 23
  24. 24. 24
  25. 25. 25
  26. 26. • Релиз – 17 апреля 2017 года • Доступны Rus/Eng языковые пакеты. • Документация для РФ – уже доступна. • Документация на английском языке – скоро. • Портал поддержки – скоро. 26
  27. 27. Спасибо за внимание Сайт и поддержка: • https://rvsiem.com • support@rvsiem.com Bug bounty: support@rvsiem.com 27

×