SlideShare une entreprise Scribd logo

Siem

C
cnpo
Technologie
1  sur  31
SIEM: время пришло? Фадин Андрей, CISSP НПО «Эшелон» Департамент программных разработок ЗАО «НПО «Эшелон» 2012
Управление событиями безопасности без SIEM Сетевые устройства Операционные системы и приложения Средства защиты информации FW AV IDS/IPS IAM DLP ...
Управление событиями безопасности с SIEM Сетевые устройства Операционные системы и приложения Средства защиты информации FW AV IDS/IPS Security Information Event Management (SIEM) • Централизованное хранение IAM логов • Объединение данных • Корреляция событий DLP • Оповещение об инцидентах • Оценка соответствия
Компоненты SIEM 4
Технологии: SIM + SEM = SIEM SIM («управление информацией безопасности») сбор, хранение и анализ данных (взятых из журналов) подготовка отчетов по соответствию нормативным требованиям; SEM («управление событиями безопасности») в реальном времени мониторинг событий безопасности выявление и реагирование на инциденты безопасности. 5
SANS Practical Application of SIM/SEM/SIEM Automating Threat Identification 1. Log Consolidation – centralized logging to a server 2. Threat Correlation –sort through multiple logs and log entries to identify attackers 3. Incident Management – workflow – What happens once a threat is identified? • Notification – email, pagers, informs to enterprise managers (MOM, HP Openview…) • Trouble Ticket Creation - Automated responses execution of scripts • Response and Remediation logging 4. Reporting 6
Определение класса продуктов SIEM по Gartner (май 2012) Обнаружение внешних и внутренних угроз • (Discover external and internal threats) Мониторинг действий привилегированных пользователей • (Monitor the activities of privileged users) Мониторинг доступа к серверам и БД Управление database resource access) management) • (Monitor server and журналами (Log Мониторинг и анализ действий польз. в среде различных систем и приложений • (Monitor and analyze user activity across multiple systems and applications Отчетность о соответствии требованиям нормативных документов • (Provide compliance reporting) Аналитика и технологический процесс для обеспечения реакции на инциденты • (Provide analytics and workflow to support incident response) 7
Требования к системам SIEM (SIEM Implementation: David Miller, Shon Harris, Allen Harper) Управление журналами (Log management) Соответствие требованиям нормативных документов IT (IT regulatory compliance) Корреляция событий (Event correlation) Активный ответ (Active response) Контроль безопасности на уровне конечных компонентов (Endpoint security) 8
Эволюция SIEM Подозрительные события Подозрительные события 9
Развертывание SIEM Scheme of work systems with SIEM Internet Initiator connection Network scanner API interface Initiator of the connection from SIEM system to Connector servers Monitoring (External) IP Internal LAN IP CISCO Firewall SysLog (Virtual - Etrust) SIEM Connector (Virtual – Etrust) AD DHCP Server Monitoring (Internal) IP CISCO Router MSSQL SCOM IDS Internet monitoring SIEM Connector (Virtual) SysLog (Virtual) SIEM Connector (Virtual) Branch servers Special segment SIEM segment DHCP Server SIEM Consol SIEM ESM SIEM Terminal server SIEM Logger 10
Фазы атаки в системах с SIEM и без него Фаза выполнения Компрометация Фаза целевого действия системы исследования с обходом IDS (нарушение CIA) Повышение Повышение Повышение уровня уровня уровня угрозы до угрозы до угрозы до «низкий» «средний» «высокий» 11
ОПЕРАЦИИ ФУНКЦИОНИРОВАНИЯ SIEM 12
Управление активами 13
Управление событиями безопасности 14
Методы сбора событий Syslog and Syslog-ng SNMPv2 and SNMPv3 Opsec HTTP SQL, ODBC WMI FTP, SFTP Socket Unix Plain log SSH Rsync Samba NFS SDEE, RDEP OPSEC, CPMI 15
Нормализация событий (пример – Sasser Worm) Производитель IDS Идентификатор Описание Cisco Systems 3030/0 IDS Signature TCP SYN Host Sweep Cisco Systems 3338/0 IDS Signature Windows LSASS RPC Overflow Cisco Systems 3142/0 SNORT 2507 SNORT 2508 SNORT 2509 SNORT 2510 SNORT 2511 SNORT 2512 SNORT 2513 SNORT 2514 SNORT 2524 SNORT 2525 SNORT 2526 ISS Real Secure 15699 16
Построение отчетов с выборочной детализацией (Drill-Down) Events, Alarms • Incidents and related tickets • Knowledge based information • Vulnerabilities • Asset information such as: ‣ Inventory ‣ Network ‣ Profile information ‣ Availability ‣ Resource utilization 17
Анализ рисков 18
Поисковые возможности 19
Автоматический анализ 20
Создание тикетов 21
Мониторинг доступности активов и наличия ресурсов 22
Оперативный контроль 23
Критерии выбора. Ведущие игроки. Оценки потенциала. СОВРЕМЕННОЕ СОСТОЯНИЕ РЫНКА SIEM-СИСТЕМ 24
Gartner: Функционал критичный для SIEM (май 2012) Scalable architecture and deployment flexibility Real-time event data collection Event normalization and taxonomy Real-time monitoring Behavior profiling Управление журналами (Log management) Threat intelligence Log management and compliance reporting Analytics Incident management support User activity and data access monitoring Application monitoring Deployment and support simplicity 25
Анализ рынка: Gartner Magic Quadrant 26
Весовые коэффициенты возможностей для различных случаев использования SIEM 27
Рейтинг продуктов по критичному функционалу 28
Игроки рынка SIEM AlienVault (OSSIM, SIEM Pro, Compliance Management, Unified Security Management) • Open-source, интеграция CorreLog (Server, Tracker, Agent) • Кастомизация, z/OS, нет интеграции DLP, DAM, прилож. eIQnetworks (SecureVue) • Масштабируемость, больше на security configuration management HP (ArcSight) • Известность, цена, сложность Управление журналами (Log management) IBM (Qradar) • NetFlow, развертывание Tibco Software LogLogic • Поддержка БД, вопросы к масштабируемости LogRhythm • Быстрое развертывание, вопросы кастомизации McAfee (NitroSecurity) • высокая производит. и масштабируемость, вопросы ADM и поддержки сторонних источников событий EMC, RSA (enVision, NetWitness) • Высокая прозводит с анализом полного содержимого пакетов, встроенный DLP, GRC, вопросы производит. Запросов, переходный период 29
Заключение Текущее состояние Технологическая зрелость Рост числа игроков на рынке Актуальные вопросы Масштабирование и производительность Интероперабельность с источниками событий Интеграция с IT и другими бизнес- процессами 30
Спасибо за внимание! Контакты докладчика: Вопросы? 31

Recommandé

IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетяхHP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетяхКомпания УЦСБ
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 

Recommandé

IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетяхHP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетяхКомпания УЦСБ
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийАльбина Минуллина
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностьюАльбина Минуллина
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыPositive Hack Days
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...Компания УЦСБ
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инцидентыPositive Hack Days
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством! Альбина Минуллина
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыАйдар Гилязов
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозAleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от изAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасностиАльбина Минуллина
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOCDenis Batrankov, CISSP
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системахOlesya Shelestova
 
Web based remote monitoring systems
Web based remote monitoring systemsWeb based remote monitoring systems
Web based remote monitoring systemsBattushig Namsraidorj
 

Contenu connexe

Tendances

Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийАльбина Минуллина
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыPositive Hack Days
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...Компания УЦСБ
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инцидентыPositive Hack Days
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством! Альбина Минуллина
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыАйдар Гилязов
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозAleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 

Tendances (20)

Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
 
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессы
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инциденты
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством!
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объекты
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
3.про soc от из
3.про soc от из3.про soc от из
3.про soc от из
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOC
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 

En vedette

Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системахOlesya Shelestova
 
кодирование информации
кодирование информациикодирование информации
кодирование информацииbulb314
 
Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.Александр Лысяк
 
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...Expolink
 
Internet Marketing Company of the Year 2012
Internet Marketing Company of the Year 2012Internet Marketing Company of the Year 2012
Internet Marketing Company of the Year 2012Clearpath Technology
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...UISGCON
 
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...Netwrix Россия/СНГ
 
Mining Your Logs - Gaining Insight Through Visualization
Mining Your Logs - Gaining Insight Through VisualizationMining Your Logs - Gaining Insight Through Visualization
Mining Your Logs - Gaining Insight Through VisualizationRaffael Marty
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Решение для автоматизации деятельности подразделения информационной безопасности
Решение для автоматизации деятельности подразделения информационной безопасностиРешение для автоматизации деятельности подразделения информационной безопасности
Решение для автоматизации деятельности подразделения информационной безопасностиTechExpert
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 

En vedette (20)

Корреляция в SIEM системах
Корреляция в SIEM системахКорреляция в SIEM системах
Корреляция в SIEM системах
 
Web based remote monitoring systems
Web based remote monitoring systemsWeb based remote monitoring systems
Web based remote monitoring systems
 
кодирование информации
кодирование информациикодирование информации
кодирование информации
 
3 nlp
3 nlp3 nlp
3 nlp
 
Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.
 
Renuncia de Mario Gomez
Renuncia de Mario GomezRenuncia de Mario Gomez
Renuncia de Mario Gomez
 
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
 
Internet Marketing Company of the Year 2012
Internet Marketing Company of the Year 2012Internet Marketing Company of the Year 2012
Internet Marketing Company of the Year 2012
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
 
Cre ar toledo juegos_101
Cre ar toledo juegos_101Cre ar toledo juegos_101
Cre ar toledo juegos_101
 
Кузнецов_v1
Кузнецов_v1Кузнецов_v1
Кузнецов_v1
 
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
 
Mining Your Logs - Gaining Insight Through Visualization
Mining Your Logs - Gaining Insight Through VisualizationMining Your Logs - Gaining Insight Through Visualization
Mining Your Logs - Gaining Insight Through Visualization
 
SIEM Security Capsule
SIEM Security CapsuleSIEM Security Capsule
SIEM Security Capsule
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
Scope of work IT DD
Scope of work IT DDScope of work IT DD
Scope of work IT DD
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Решение для автоматизации деятельности подразделения информационной безопасности
Решение для автоматизации деятельности подразделения информационной безопасностиРешение для автоматизации деятельности подразделения информационной безопасности
Решение для автоматизации деятельности подразделения информационной безопасности
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 

Similaire à Siem

Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Konstantin Feoktistov
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and backqqlan
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSoftline
 
Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...
Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...
Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...Michael Kozloff
 
построение системы адаптивной защиты от угроз иб Савин и
построение системы адаптивной защиты от угроз иб Савин ипостроение системы адаптивной защиты от угроз иб Савин и
построение системы адаптивной защиты от угроз иб Савин иDiana Frolova
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Siem от ibm qradar (система мониторинга и корреляции событий)
Siem от ibm qradar (система мониторинга и корреляции событий)Siem от ibm qradar (система мониторинга и корреляции событий)
Siem от ibm qradar (система мониторинга и корреляции событий)SIEM Analytics
 
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.RuDeep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.RuVirtSGR
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication SystemsSSA KPI
 
Pronet bmc pro activenet monitoring. Современная система мониторинга и упра...
Pronet bmc pro activenet monitoring. Современная система мониторинга и упра...Pronet bmc pro activenet monitoring. Современная система мониторинга и упра...
Pronet bmc pro activenet monitoring. Современная система мониторинга и упра...Natasha Zaverukha
 
VMware User Group Community Russia, Константин Пичугов
VMware User Group Community Russia, Константин ПичуговVMware User Group Community Russia, Константин Пичугов
VMware User Group Community Russia, Константин Пичуговmikhail.mikheev
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Архитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиАрхитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиCisco Russia
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметраCisco Russia
 

Similaire à Siem (20)

Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
 
From ERP to SCADA and back
From ERP to SCADA and backFrom ERP to SCADA and back
From ERP to SCADA and back
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
 
Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...
Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...
Защита виртуальных инфраструктур VMware: вызов для клиентов - возможности для...
 
построение системы адаптивной защиты от угроз иб Савин и
построение системы адаптивной защиты от угроз иб Савин ипостроение системы адаптивной защиты от угроз иб Савин и
построение системы адаптивной защиты от угроз иб Савин и
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Siem от ibm qradar (система мониторинга и корреляции событий)
Siem от ibm qradar (система мониторинга и корреляции событий)Siem от ibm qradar (система мониторинга и корреляции событий)
Siem от ibm qradar (система мониторинга и корреляции событий)
 
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.RuDeep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication Systems
 
Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4
 
Обзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure AnalyticsОбзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure Analytics
 
Pronet bmc pro activenet monitoring. Современная система мониторинга и упра...
Pronet bmc pro activenet monitoring. Современная система мониторинга и упра...Pronet bmc pro activenet monitoring. Современная система мониторинга и упра...
Pronet bmc pro activenet monitoring. Современная система мониторинга и упра...
 
VMware User Group Community Russia, Константин Пичугов
VMware User Group Community Russia, Константин ПичуговVMware User Group Community Russia, Константин Пичугов
VMware User Group Community Russia, Константин Пичугов
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPS
 
Архитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиАрхитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасности
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 

Plus de cnpo

защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)cnpo
 
Net graph
Net graphNet graph
Net graphcnpo
 
Net topology
Net topology Net topology
Net topology cnpo
 
Russian information security market
Russian information security marketRussian information security market
Russian information security marketcnpo
 
Certification
CertificationCertification
Certificationcnpo
 
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weaknesscnpo
 
Politics
PoliticsPolitics
Politicscnpo
 
Licensing
LicensingLicensing
Licensingcnpo
 
Certification
CertificationCertification
Certificationcnpo
 
P dn docs
P dn docsP dn docs
P dn docscnpo
 
Social engineering
Social engineeringSocial engineering
Social engineeringcnpo
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Rubicon
RubiconRubicon
Rubiconcnpo
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиcnpo
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераcnpo
 
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубиконcnpo
 
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензияcnpo
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБcnpo
 
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовcnpo
 

Plus de cnpo (20)

защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)защита виртуальных сред с помощью сдз Rev01 (short)
защита виртуальных сред с помощью сдз Rev01 (short)
 
Net graph
Net graphNet graph
Net graph
 
Net topology
Net topology Net topology
Net topology
 
Russian information security market
Russian information security marketRussian information security market
Russian information security market
 
Certification
CertificationCertification
Certification
 
SHA1 weakness
SHA1 weaknessSHA1 weakness
SHA1 weakness
 
Politics
PoliticsPolitics
Politics
 
Licensing
LicensingLicensing
Licensing
 
Certification
CertificationCertification
Certification
 
P dn docs
P dn docsP dn docs
P dn docs
 
Social engineering
Social engineeringSocial engineering
Social engineering
 
Audit intro
Audit introAudit intro
Audit intro
 
Rubicon
RubiconRubicon
Rubicon
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
 
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасностиФундамент открытого кода: построение защищенных систем и аудит их безопасности
Фундамент открытого кода: построение защищенных систем и аудит их безопасности
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакера
 
МЭ и СОВ Рубикон
МЭ и СОВ РубиконМЭ и СОВ Рубикон
МЭ и СОВ Рубикон
 
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензия
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
 
Особенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктовОсобенности сертификации зарубежных продуктов
Особенности сертификации зарубежных продуктов
 

Siem

  • 1. SIEM: время пришло? Фадин Андрей, CISSP НПО «Эшелон» Департамент программных разработок ЗАО «НПО «Эшелон» 2012
  • 2. Управление событиями безопасности без SIEM Сетевые устройства Операционные системы и приложения Средства защиты информации FW AV IDS/IPS IAM DLP ...
  • 3. Управление событиями безопасности с SIEM Сетевые устройства Операционные системы и приложения Средства защиты информации FW AV IDS/IPS Security Information Event Management (SIEM) • Централизованное хранение IAM логов • Объединение данных • Корреляция событий DLP • Оповещение об инцидентах • Оценка соответствия
  • 5. Технологии: SIM + SEM = SIEM SIM («управление информацией безопасности») сбор, хранение и анализ данных (взятых из журналов) подготовка отчетов по соответствию нормативным требованиям; SEM («управление событиями безопасности») в реальном времени мониторинг событий безопасности выявление и реагирование на инциденты безопасности. 5
  • 6. SANS Practical Application of SIM/SEM/SIEM Automating Threat Identification 1. Log Consolidation – centralized logging to a server 2. Threat Correlation –sort through multiple logs and log entries to identify attackers 3. Incident Management – workflow – What happens once a threat is identified? • Notification – email, pagers, informs to enterprise managers (MOM, HP Openview…) • Trouble Ticket Creation - Automated responses execution of scripts • Response and Remediation logging 4. Reporting 6
  • 7. Определение класса продуктов SIEM по Gartner (май 2012) Обнаружение внешних и внутренних угроз • (Discover external and internal threats) Мониторинг действий привилегированных пользователей • (Monitor the activities of privileged users) Мониторинг доступа к серверам и БД Управление database resource access) management) • (Monitor server and журналами (Log Мониторинг и анализ действий польз. в среде различных систем и приложений • (Monitor and analyze user activity across multiple systems and applications Отчетность о соответствии требованиям нормативных документов • (Provide compliance reporting) Аналитика и технологический процесс для обеспечения реакции на инциденты • (Provide analytics and workflow to support incident response) 7
  • 8. Требования к системам SIEM (SIEM Implementation: David Miller, Shon Harris, Allen Harper) Управление журналами (Log management) Соответствие требованиям нормативных документов IT (IT regulatory compliance) Корреляция событий (Event correlation) Активный ответ (Active response) Контроль безопасности на уровне конечных компонентов (Endpoint security) 8
  • 9. Эволюция SIEM Подозрительные события Подозрительные события 9
  • 10. Развертывание SIEM Scheme of work systems with SIEM Internet Initiator connection Network scanner API interface Initiator of the connection from SIEM system to Connector servers Monitoring (External) IP Internal LAN IP CISCO Firewall SysLog (Virtual - Etrust) SIEM Connector (Virtual – Etrust) AD DHCP Server Monitoring (Internal) IP CISCO Router MSSQL SCOM IDS Internet monitoring SIEM Connector (Virtual) SysLog (Virtual) SIEM Connector (Virtual) Branch servers Special segment SIEM segment DHCP Server SIEM Consol SIEM ESM SIEM Terminal server SIEM Logger 10
  • 11. Фазы атаки в системах с SIEM и без него Фаза выполнения Компрометация Фаза целевого действия системы исследования с обходом IDS (нарушение CIA) Повышение Повышение Повышение уровня уровня уровня угрозы до угрозы до угрозы до «низкий» «средний» «высокий» 11
  • 14. Управление событиями безопасности 14
  • 15. Методы сбора событий Syslog and Syslog-ng SNMPv2 and SNMPv3 Opsec HTTP SQL, ODBC WMI FTP, SFTP Socket Unix Plain log SSH Rsync Samba NFS SDEE, RDEP OPSEC, CPMI 15
  • 16. Нормализация событий (пример – Sasser Worm) Производитель IDS Идентификатор Описание Cisco Systems 3030/0 IDS Signature TCP SYN Host Sweep Cisco Systems 3338/0 IDS Signature Windows LSASS RPC Overflow Cisco Systems 3142/0 SNORT 2507 SNORT 2508 SNORT 2509 SNORT 2510 SNORT 2511 SNORT 2512 SNORT 2513 SNORT 2514 SNORT 2524 SNORT 2525 SNORT 2526 ISS Real Secure 15699 16
  • 17. Построение отчетов с выборочной детализацией (Drill-Down) Events, Alarms • Incidents and related tickets • Knowledge based information • Vulnerabilities • Asset information such as: ‣ Inventory ‣ Network ‣ Profile information ‣ Availability ‣ Resource utilization 17
  • 22. Мониторинг доступности активов и наличия ресурсов 22
  • 24. Критерии выбора. Ведущие игроки. Оценки потенциала. СОВРЕМЕННОЕ СОСТОЯНИЕ РЫНКА SIEM-СИСТЕМ 24
  • 25. Gartner: Функционал критичный для SIEM (май 2012) Scalable architecture and deployment flexibility Real-time event data collection Event normalization and taxonomy Real-time monitoring Behavior profiling Управление журналами (Log management) Threat intelligence Log management and compliance reporting Analytics Incident management support User activity and data access monitoring Application monitoring Deployment and support simplicity 25
  • 26. Анализ рынка: Gartner Magic Quadrant 26
  • 27. Весовые коэффициенты возможностей для различных случаев использования SIEM 27
  • 28. Рейтинг продуктов по критичному функционалу 28
  • 29. Игроки рынка SIEM AlienVault (OSSIM, SIEM Pro, Compliance Management, Unified Security Management) • Open-source, интеграция CorreLog (Server, Tracker, Agent) • Кастомизация, z/OS, нет интеграции DLP, DAM, прилож. eIQnetworks (SecureVue) • Масштабируемость, больше на security configuration management HP (ArcSight) • Известность, цена, сложность Управление журналами (Log management) IBM (Qradar) • NetFlow, развертывание Tibco Software LogLogic • Поддержка БД, вопросы к масштабируемости LogRhythm • Быстрое развертывание, вопросы кастомизации McAfee (NitroSecurity) • высокая производит. и масштабируемость, вопросы ADM и поддержки сторонних источников событий EMC, RSA (enVision, NetWitness) • Высокая прозводит с анализом полного содержимого пакетов, встроенный DLP, GRC, вопросы производит. Запросов, переходный период 29
  • 30. Заключение Текущее состояние Технологическая зрелость Рост числа игроков на рынке Актуальные вопросы Масштабирование и производительность Интероперабельность с источниками событий Интеграция с IT и другими бизнес- процессами 30
  • 31. Спасибо за внимание! Контакты докладчика: Вопросы? 31