1. SIEM: время пришло?
Фадин Андрей, CISSP
НПО «Эшелон» Департамент программных разработок
ЗАО «НПО «Эшелон»
2012
2. Управление событиями безопасности без SIEM
Сетевые устройства
Операционные системы и приложения
Средства защиты информации
FW
AV
IDS/IPS
IAM
DLP
...
3. Управление событиями безопасности с SIEM
Сетевые устройства
Операционные системы и приложения
Средства защиты информации
FW
AV
IDS/IPS Security Information Event
Management (SIEM)
• Централизованное хранение
IAM логов
• Объединение данных
• Корреляция событий
DLP • Оповещение об инцидентах
• Оценка соответствия
5. Технологии: SIM + SEM = SIEM
SIM («управление информацией
безопасности»)
сбор, хранение и анализ данных (взятых из
журналов)
подготовка отчетов по соответствию
нормативным требованиям;
SEM («управление событиями
безопасности»)
в реальном времени мониторинг событий
безопасности
выявление и реагирование на инциденты
безопасности.
5
6. SANS Practical Application of SIM/SEM/SIEM
Automating Threat Identification
1. Log Consolidation – centralized logging to a server
2. Threat Correlation –sort through multiple logs and log
entries to identify attackers
3. Incident Management – workflow – What happens once a
threat is identified?
• Notification – email, pagers, informs to enterprise managers (MOM, HP
Openview…)
• Trouble Ticket Creation - Automated responses execution of scripts
• Response and Remediation logging
4. Reporting
6
7. Определение класса продуктов SIEM по Gartner (май 2012)
Обнаружение внешних и внутренних угроз
• (Discover external and internal threats)
Мониторинг действий привилегированных пользователей
• (Monitor the activities of privileged users)
Мониторинг доступа к серверам и БД
Управление database resource access) management)
• (Monitor server and
журналами (Log
Мониторинг и анализ действий польз. в среде различных систем и приложений
• (Monitor and analyze user activity across multiple systems and applications
Отчетность о соответствии требованиям нормативных документов
• (Provide compliance reporting)
Аналитика и технологический процесс для обеспечения реакции на инциденты
• (Provide analytics and workflow to support incident response)
7
8. Требования к системам SIEM (SIEM Implementation:
David Miller, Shon Harris, Allen Harper)
Управление журналами (Log management)
Соответствие требованиям нормативных документов IT
(IT regulatory compliance)
Корреляция событий (Event correlation)
Активный ответ (Active response)
Контроль безопасности на уровне конечных
компонентов (Endpoint security)
8
9. Эволюция SIEM Подозрительные
события
Подозрительные
события
9
10. Развертывание SIEM
Scheme of work systems with SIEM
Internet
Initiator connection
Network scanner API interface
Initiator of the
connection from SIEM
system to Connector
servers Monitoring (External) IP
Internal LAN IP
CISCO Firewall
SysLog (Virtual - Etrust) SIEM Connector (Virtual – Etrust)
AD
DHCP Server
Monitoring (Internal) IP
CISCO Router
MSSQL SCOM
IDS
Internet monitoring SIEM Connector (Virtual)
SysLog (Virtual)
SIEM Connector (Virtual)
Branch servers Special segment SIEM segment
DHCP Server
SIEM Consol SIEM ESM SIEM Terminal server
SIEM Logger
10
11. Фазы атаки в системах с SIEM и без него
Фаза выполнения Компрометация
Фаза
целевого действия системы
исследования
с обходом IDS (нарушение CIA)
Повышение Повышение Повышение
уровня уровня уровня
угрозы до угрозы до угрозы до
«низкий» «средний» «высокий»
11
15. Методы сбора событий
Syslog and Syslog-ng
SNMPv2 and SNMPv3
Opsec
HTTP
SQL, ODBC
WMI
FTP, SFTP
Socket Unix
Plain log
SSH
Rsync
Samba
NFS
SDEE, RDEP
OPSEC, CPMI
15
16. Нормализация событий (пример – Sasser Worm)
Производитель IDS Идентификатор Описание
Cisco Systems 3030/0 IDS Signature TCP SYN Host Sweep
Cisco Systems 3338/0 IDS Signature Windows LSASS RPC Overflow
Cisco Systems 3142/0
SNORT 2507
SNORT 2508
SNORT 2509
SNORT 2510
SNORT 2511
SNORT 2512
SNORT 2513
SNORT 2514
SNORT 2524
SNORT 2525
SNORT 2526
ISS Real Secure 15699 16
17. Построение отчетов с выборочной
детализацией (Drill-Down)
Events, Alarms
• Incidents and related tickets
• Knowledge based information
• Vulnerabilities
• Asset information such as:
‣ Inventory
‣ Network
‣ Profile information
‣ Availability
‣ Resource utilization
17
25. Gartner: Функционал критичный для SIEM (май 2012)
Scalable architecture and deployment flexibility
Real-time event data collection
Event normalization and taxonomy
Real-time monitoring
Behavior profiling
Управление журналами (Log management)
Threat intelligence
Log management and compliance reporting
Analytics
Incident management support
User activity and data access monitoring
Application monitoring
Deployment and support simplicity
25
29. Игроки рынка SIEM
AlienVault (OSSIM, SIEM Pro, Compliance Management, Unified Security Management)
• Open-source, интеграция
CorreLog (Server, Tracker, Agent)
• Кастомизация, z/OS, нет интеграции DLP, DAM, прилож.
eIQnetworks (SecureVue)
• Масштабируемость, больше на security configuration management
HP (ArcSight)
• Известность, цена, сложность
Управление журналами (Log management)
IBM (Qradar)
• NetFlow, развертывание
Tibco Software LogLogic
• Поддержка БД, вопросы к масштабируемости
LogRhythm
• Быстрое развертывание, вопросы кастомизации
McAfee (NitroSecurity)
• высокая производит. и масштабируемость, вопросы ADM и поддержки сторонних источников событий
EMC, RSA (enVision, NetWitness)
• Высокая прозводит с анализом полного содержимого пакетов, встроенный DLP, GRC, вопросы производит. Запросов,
переходный период
29
30. Заключение
Текущее состояние
Технологическая зрелость
Рост числа игроков на рынке
Актуальные вопросы
Масштабирование и производительность
Интероперабельность с источниками событий
Интеграция с IT и другими бизнес-
процессами
30