Upload File

Современное управление siem и контроль качества soc ·...

  • Home
  • Documents
  • Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,
46
Современное управление SIEM и контроль качества SOC Игорь Волошин Региональный менеджер по продажам|CIS| SOC Prime

Upload: others

Post on 22-May-2020

10 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

Современное управление SIEM и

контроль качества SOC

Игорь Волошин

Региональный менеджер по продажам|CIS| SOC Prime

Page 2: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

Международный вендор

Компания основана в 2014 г.

200+ лет кумулятивного опыта в ИБ

Опыт 100+ SIEM проектов

Технологические партнёры:

HPE ArcSight, IBM QRadar, Splunk,

Qualys, Vulners

25 October 2017

Slide #2

О нас

Подкаст «Методологии внедрения SIEM» https://risspa.podster.fm/23

Page 3: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #3

миссия SOC Prime:

Мы помогаем компаниям улучшить качество и зрелость кибер-безопасности

Повышение качества работы SOC за счет непрерывного мониторинга и обеспечения прозрачности оценки работы технической поддержки.

Снижение общей стоимости владения SOC за счет автоматизации операций и обмена аналитическими правилами обнаружения инцидентов.

Контроль результатов работы SOC в виде понятном руководству.

Page 4: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #4

Возможности SOC Prime:

Наши собственные исследования: База знаний и десятилетия повседневной практики в ИБ, 200 + лет

совокупный опыт наших сотрудников

Глобальные стандарты: база знаний SANS, MITRE ATT&CK, Lockheed Martin Cyber Kill Chain

Собственные и открытые алгоритмы машинного обучения

Мы запускаем модель SaaS Business, поэтому мы не просто «в облаке», но и поддерживаем полностью

отказоустойчивую архитектуру в AWS, On-Premise или Offline (без Интернета)

Поддержка, обновления и службы TAM включаются в каждую подписку

Мы решаем наиболее сложные задачи безопасности с нашей платформой, услугами и партнерами

Page 5: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

MSSP

25 October 2017

Slide #5

Наши клиенты

Финансы Телеком Лого конфиденциально

Государственный сектор

Агропромышленный сектор

Медиа сектор

Легкая промышленность

Forbes Global 2000

Page 6: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #6

Ну всё … купили

Из коробки Ожидание Реальность

Page 7: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #7

ОСТОРОЖНО: дальше примеры на ArcSight

ArcSight:

“I’m old, not obsolete.”

Page 8: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #8

Данные для SOC на примере ArcSight

Connectors

Logger

ESMLog Data

Network Data

Intelligence Data

Asset Data

Diagnostic Data

Application Data

Page 9: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #9

Тренды: SIEM =//= SOC

30% проектов SIEM не имеют выделенных FTE или 1 FTE maxСредний размер команды SIEM <= 3 специалистов

Большинство проектов не имеют выделенного SIEM администратораСпрос и дефицит на специалистов высокого класса SIEM ростут

Низкие бюджеты на обучение персонала являются обычным явлением, особо остро в Центральной и Восточной Европе и СНГ

Удержание персонала процесс не простой

Page 10: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #10

Сбор данных

Доступность: а все ли данные к нам поступают?

Актуальность: данные приходят вовремя?

Page 11: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #11

Сбор данных: доступность

Все меняется = журналы теряются по пути к SIEM

Изменение паролей, неправильная конфигурация,

сетевой доступ, регламентные работы...

Больше проект = больше FTE

Page 12: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #12

Диагностика доступности

3 места где начинать поиск

Источник журналов

«Коннектор»

«Logger и ESM»

Page 13: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #13

Диагностика доступности | источники событий

‘System Monitored’ статус (HPE Activate)

Тренд и профилирование EPS для каждого источника

Page 14: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #14

Диагностика доступности: ADP

arc_active_list

arc_session_list

arc_trendinformation_schema

arc_resource

agent.log

agent.properties

agent.wrapper.conf

agent.out.wrapper.log

logger_web.log

logger_server.log

server.log

server.std.log

server.properties

server.wrapper.conf

Connector

Logger

ESM & Express

Full list for ‘Health Check’ @ https://www.protect724.hpe.com/docs/DOC-11167

Page 15: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #15

Диагностика доступности | Connector

Connector: device event statistics

Page 16: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #16

Диагностика доступности | «путь тру джедая»

[2016-08-15 09:48:44,486][ERROR][default.com.arcsight.agent.qd.t][isAbleToConnectToHost] Testing the thread: [WUC[fjCmUFYBABCADGx8ckFFTQ==][3]]. Could not connect to host [10.10.30.60]

[2016-08-15 9:49:11,261] [ERROR] default.com.arcsight.agent.loadable.transport.commandresponse._AgentHTTPCommandResponseTransport] [onSingleEvent] com.arcsight.common.db.f: java.net.NoRouteToHostException: No route to host

at com.arcsight.agent.transport.fb.a(fb.java:638)at com.arcsight.agent.transport.fb.a(fb.java:389)at com.arcsight.agent.transport.fb.a(fb.java:349)at com.arcsight.agent.transport.fb.a(fb.java:307)at com.arcsight.agent.transport.t.onSingleEvent(t.java:101)at com.arcsight.agent.transport.a.m.onSingleEvent(m.java:45)

Page 17: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #17

Доступность: люди против машин

[2016-08-15 9:49:11,261] [ERROR] default.com.arcsight.agent.loadable.transport.commandresponse._AgentHTTPCommandResponseTransport] [onSingleEvent] com.arcsight.common.db.f: java.net.NoRouteToHostException: No route to host

at com.arcsight.agent.transport.fb.a(fb.java:638)at com.arcsight.agent.transport.fb.a(fb.java:389)at com.arcsight.agent.transport.fb.a(fb.java:349)at com.arcsight.agent.transport.fb.a(fb.java:307)at com.arcsight.agent.transport.t.onSingleEvent(t.java:101)

данные для машин инфомация для людей

Page 18: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

Какой процент данных поступает вовремя?

Скорость обнаружения инцидента < скорость получения данных

25 October 2017

Slide #18

Сбор данных: Актуальность

Page 19: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

Производительностью у источников событий, сети и самой SIEM

Синхронизацией времени

Конфигурацией SIEM

Количеством ошибок, но «плохо» у каждого своё

Всплесками данных вызывающих перегрузку компонент

25 October 2017

Slide #19

Актуальность «плачет» если плохо с:

Page 20: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #20

Сбор данных: актуальность

Формула: время получения менеджером - время генерации на источнике

Page 21: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #21

Сбор данных: актуальность

Page 22: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #22

Сбор данных: актуальность

Page 23: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #23

Качество данных

Page 24: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #24

Качество данных: целостность

Не все данные в журналах соответствует стандартамНе все API одинаковы и стандартизированны

CEF, LEEF, SYSLOG формат «у каждого свой»

Обновление ОС / ПО / Прошивки = обновление парсера

На этапе сбора данных «успешно» проводится парсинг,а уже во время корреляции выявляются ошибки мапинга полей

PCI, SOX, ISO 27К = хранить данные в «формате без изменений»

Page 25: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #25

Качество данных: целостность

«Парсинг» необходимо контролировать непрерывно

Статус по каждому устройству

Page 26: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #26

Качество данных: категоризация

Знать все коды событийДля всех систем в вашей организации

Быть в курсе всех измененийЕжедневно следить и проводить обновление SIEM

VSДовериться категоризации и универсальному контенту

Page 27: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #27

Качество данных: категоризация

Page 28: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #28

Качество данных: инвентаризация

Инвентарная модель – это важноИнвентаризация = более точная корреляция &

расставление приоритетовНеобходимо создавать & обновлять на ESM уровне

Формула: Общее кол-во IP-адресов с инвентарной моделью / Общее кол-во IP-адресов

Page 29: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #29

Производительность

Page 30: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #30

Производительность

Page 31: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #31

Безопасность

SIEM является идеальной мишенью для атаки, так как он имеет:

Хэши паролей Ваших критически важных ИТ-системПрава доступа к ним же

Интерфейсы удаленного/дистанционного управленияВозможность фильтрации для скрытия данных

Компоненты Endpoint Security и контроля целостности часто не устанавливаются на SIEM

Page 32: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #32

Безопасность

Page 33: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #33

Собираем всё вместе

Page 34: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

Преимущества для бизнеса с Predictive Maintenance

Slide #34

Контроль качества и простое управление сервисом SOC

Снижение затрат и уверенность в соответствии GDPR, SOX, PCI DSS

Возможность прогнозировать аномалии в работе SIEM и устранять ошибки,до того как они перерастут в критичные сбои системы

Copyright © 2017 SOC Prime. All rights reserved

Page 35: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

http25 October 2017

Slide #35

Use Case Cloud

Page 36: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #36

Cyber Incidents Insight

Page 37: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #37

Use Case Library

Page 38: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #38

Use Case Library

Page 39: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #39

Use Case Library

Page 40: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #40

Health Check

Page 41: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

Преимущества для бизнеса с Use Case Library

Slide #41

Передовые технологии для вашей команды по борьбе с киберугрозами

Онлайн доступ к глобальной экспертизе в отрасли кибербезопасности

Сделайте вашу SIEM умнее, выявляйте и расследуйте инциденты быстрее

Copyright © 2017 SOC Prime. All rights reserved

Page 42: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

CyberView SOC мониторинг

Slide #42

Copyright © 2017 SOC Prime. All rights reserved

Page 43: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

CyberView SOC мониторинг

Slide #43

Copyright © 2017 SOC Prime. All rights reserved

Page 44: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

CyberView SOC мониторинг

Slide #44

Copyright © 2017 SOC Prime. All rights reserved

Page 45: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

Преимущества для бизнеса с CyberView

Slide #45

Постоянное методичное улучшение эффективности и зрелости SOC

Проактивное управление рисками и быстрое принятие решений

Качественные и простые отчеты и метрики для диалога на одном языке для всех сторон вовлеченных в безопасность компании

Copyright © 2017 SOC Prime. All rights reserved

Page 46: Современное управление SIEM и контроль качества SOC · 2017-10-26 · Forbes Global 2000. 25 October 2017 Slide #6 ... ArcSight: “I’m old,

25 October 2017

Slide #46

SOC Prime: сохранит время для более важных дел!

Берегите себя[email protected]


Настольные игры. Современное состояние

Z F Z ] h f ^ h :.. = m g Z r :.. КОНТРОЛЬ КАЧЕСТВА

Системы менеджмента качества Требования2i.tusur.ru/media/files/GOST_R_ISO_9001-2008.pdf · 2008 Системы менеджмента качества

ВНУТРЕННИЙ ФИНАНСОВЫЙ КОНТРОЛЬ И …uk.nso.ru/sites/uk.nso.ru/wodby_files/files/page_346/vfk...Внутренний финансовый контроль

ГОСТ 7512-82 Контроль неразрушающий. Соединения … · Title: ГОСТ 7512-82 Контроль неразрушающий. Соединения

Программа «Compact Hydro» - ANDRITZ...разработка, конструирование, изготов-ление, контроль качества, поставка,

MANAGE–CONTROL-ANALYZEКОНТРОЛЬ И ОЦЕНКА КАЧЕСТВА РАБОТ, СТАНДАРТОВ КОНТРОЛЬ СОБЛЮДЕНИЯ ТЕХНИКИ БЕЗОПАСНОСТИ

ГОСТ Р 55724-2013 Контроль неразрушающий ...Title ГОСТ Р 55724-2013 Контроль неразрушающий. Соединения сварные

Современное украшение блюд

Современное садоводство 1/2016 Contemporary horticulture ...journal-vniispk.ru/pdf/2016/1/10.pdf · 2016-03-24 · Современное садоводство

СПЕЦИАЛИСТЫ В КОНТРОЛЕ КАЧЕСТВА ВОДЫ

ESET Cyber Security Pro...Родительский контроль Родительский контроль позволяет блокировать веб-сайты, которые

News April 2019 ПРОИЗВОДСТВО И КОНТРОЛЬ КАЧЕСТВА€¦ · ПРОИЗВОДСТВО И КОНТРОЛЬ КАЧЕСТВА Наше производство

Контроль доступа к Интернет - Cisco · • Контроль не-web приложений (Skype, Oracle) • Сетевые протоколы (SMTP, DNS,

Методы и способы обеспечения качества и менеджмента качества при эксплуатации ж/д инфраструктуры

Родительский контроль Care4Teen

Современное общество

Сертификация систем качества - PQM-online · 2009. 5. 9. · Сертификация систем качества 6.1. Разработка и внедрение

ГОСТ 18576-96 Контроль неразрушающий. …Title: ГОСТ 18576-96 Контроль неразрушающий. Рельсы железнодорожные

Готовое решение "TouchInform: Оценка качества"

SDT-270. Контроль механического оборудования

Blue Ocean...Контроль качества Сертификаты и стандарты ... Контроль качества начинается с проверки поступающих

ГОСТ 27870-88 Вибрация. Оценка качества балансировки ... · Title: ГОСТ 27870-88 Вибрация. Оценка качества балансировки

production manager - PSI · процесса и контроль качества. Система ин-тегрирована как с модулем планирования программ

2 НОРМАТИВНЫЕ ССЫЛКИ - Areliability.com...ГОСТ 16504-81 СГИП. Испытания и контроль качества продукции. Основные

контроль качества строительстваgostrf.com/normadata/1/4293845/4293845035.pdf · Title: Серия 3.015-1/92 Выпуск II-2. Сборные железобетонные

K : F : J K D B C Э G ? J = ? L BЧ ? K D B C D H E E ...Ÿоложение о...2.12. Оценка качества освоения ППССЗ включает текущий контроль

Система Менеджмента Качества …smk.ssuwt.ru/_media/security/stp/kdpo.pdfЦентр Система Менеджмента Качества ДОПОЛНИТЕЛЬНОЕ

Тестовый контроль по специальности ...trmo.ru/media/tests/materials/second...Тестовый контроль по специальности «сестринское

Современное искусство. Направления

контроль качества строительства · Title: Серия 5.904-75.94 Выпуск 1-9. Оросительная секция для приточной камеры

СИСТЕМЫ МЕНЕДЖМЕНТА КАЧЕСТВА Требования · systems — Requirements (Системы менеджмента качества. Требования)

РЕФЕРАТ - COnnecting REpositories · Актуальность исследования. Современное общество характеризуется ростом

Контроль в начальной школе

Транспортная система России: итоги развития и современное состояние