Proč zvolit “Security Information and
Event Management (SIEM)“ pro
monitoring aktivit Vašich systémů??
Část 1 – Obchodní
Karel Klumpner
COMGUARD a.s.
Proč SIEM?
AUDITOR
•
•
•
Hodnotí, zda a jak je IT řízeno?
Zda je definována bezpečnostní politika a jak je formalizována?
Jak je sledováno a vyhodnocováno její plnění?
 Detekce/ Řešení incidentů
 Nápravná opatření, aby se neopakovaly
 Porovnání stavu před a po nápravném opatření
Potřebuje vyřešit:
 Heterogenní prostředí produkují obrovské množství logů a pokaždé v
jiném specifickém formátu, z nichž jen malá část je zajímavá.
 Pouze konkrétní lidé rozumí „jazyku” konkrétního zařízení a najít
vzájemné vztahy mezi událostmi znamená nutit tyto adminy podávat reporty,
komunikovat navzájem.
Proč SIEM?
MANAGEMENT SPOLEČNOSTI
•
•
Investuje do technologií a bezpečnosti
Potřebuje reporty o trendech změn a stavu, aby byl schopen hodnotit
celkový trend dopadu investice na stav IT
Potřebuje vyřešit:
 Reportovat ve stejném formátu ze všech heterogenních zařízení
 Pojmenovávat stejný typ událostí stejným způsobem
 Umožnit export dat do dalších analytických nástrojů
Proč SIEM?
SECURITY MANAGER
•
•
Sleduje, jak jsou dodržována přijatá opatření, případně ve vztahu s normami
(ISO27001, PCI-DSS, SOX)
Plánuje a doporučuje změny
Potřebuje vyřešit:
 Plošně sledovat a reportovat v heterogenním prostředí, a to
nezávisle na administrátorech zařízení
 Reporty musí vycházet ze standardů, jimiž se chce nebo musí organizace
řídit
 Je potřeba automaticky detekovat anomálie a nebezpečné události,
které potom security manager řeší s managery zodpovědnými za danou část
infrastruktury
Proč SIEM?
IT ODDĚLENÍ, SUPPORT
•
•
Provozuje služby
Garantuje kvalitu, dostupnost a bezpečnost
Potřebuje vyřešit:
 Zajistit detekci událostí porovnáním (korelací) samostatně „nezávadných”
událostí na jednotlivých zařízeních, které nespravuje stejný administrátor
 Snížit objem logů, 90% obsahu je nezajímavého
 Troubleshooting události, jež je způsobena vzájemným souběhem
problémů na více různých zařízení v infrastruktuře (VPN-Radius-MS AD,
aplikace – DNS – databáze), možnost provádět na jednom zařízení
troubleshooting s využitím všech dostupných žurnálů, které lze porovnat dle
stejných kriterií, zobrazení normalizovaných, klasifikovaných a „obohacených”
dat
Proč SIEM?
Ještě jednou „Proč?“
• Bez SIEM musíte kombinovat více nástrojů
• Nativní audit různých operačních systémů
• Emailovou bránu a webovou proxy s podporou DLP
• Monitorování uživatelské práce s databázemi
• Audit práce s Mass Storage zařízeními
• …
• SIEM jako jednotící a bezpečnostní prvek
• Prezentace událostí na jednom místě
• Archivace originálních logů se zajištěním jejich integrity
Pozice v Gartner
Silné stránky McAfee SIEM řešení
Pozice v Gartner







Vývoj od roku 1999
Revoluční nástroj - v reálném čase
propojuje informace o vnějších
hrozbách (nové zranitelnosti a reputace
dat) s aktuálním stavem vnitřního
systému
Umožňuje vyvolat okamžité reakce
(alert/aktualizace/blokování,…)
Unikátní databázový systém
zpracovává miliardy logů/událostí i
několik let zpětně - odhalí dlouhodobé
útoky typu Advanced Persistent
Threats.
Spolupracuje s McAfee Risk Advisor a
ePolicyOrchestrator
Bezúdržbové, plně integrované
řešení
Dostupný API toolkit
Škálovatelná Architektura
Inteligence a
Provozní efektivita
Adaptivní Risk Analýza &
Historická Korelace
Integrovaný SIEM
& Log Management
Rich App &
DB Context
Škálovatelné seskupování&
Distribuované Korelace
GTI
ePO
MRA
SIA
McAfee Advanced Correlation Engine (ACE)
McAfee Enterprise Security Manager (ESM)
McAfee Enterprise Log Manager (ELM)
McAfee Application
Data Monitor (ADM)
McAfee Database
Event Monitor (DBM)
McAfee Receivers (ERC)
Big
Security
Data DB
McAfee SIEM - Architektura
McAfeeView Enterprise Security Manager
Content-Aware SIEM
Receiver
ESM
ELM
Receiver
McAfeeViewReceiver
Receiver
3rd
Receiver
Party Log/Event/Flow Collection and Correlation Engine
Receiver
AES Encrypted Channel
AES Encrypted Channel
ELM
McAfeeView ELM
Enterprise Log
Manager
CIFS
NFS
SAN
AES Encrypted Channel
Fully integrated Compliant Log Management
ACE
McAfeeView Advanced Correlation Engine
DBM
McAfeeView Database Monitor
ADM
McAfeeView Application Data
Monitor
McAfeeRSC, Rule, and Historical Correlation
Database Activity Monitoring
Content Visibility
eMail@
chat
VoIP
http:/
/
LDP, PS
P2P
Shell
/
FTP
McAfee SIEM – Topologie v síti
Compliance Log Management –
Sběr logů se zachováním
integrity dat s použitím lokální
NAS nebo SAN storage
Centrální bezpečnostní konzola
Sběr dat
Korelace událostí
Management politik
Forenzní analýza dat, drill-down
Reporting / Alertovací funkce
McAfee ESM
CIFS
NFS
SAN
McAfee ELM
McAfee Receiver
McAfee DBM
McAfee ADM
Monitoring potencionálního
úniku citlivých informaci přes
email, chat, web, P2P
Sběr a sumarizace bezp. logů,
alertů a událostí ze serverů,
firewallů, IPS, síťových
zařízení,...
Full-session db activita a
vytvoření logu, použití obsahu,
automatická detekce db
serveru
SIA Integrační Architektura
• McAfee ePO Data Source zjistí produkty
McAfee instalovány v rámci ePolicy
Orchestrator
• Každý produkt McAfee je potom
reprezentován jednotlivě v SIEM
grafickém uživatelském rozhraní
• Normalizované události ze
SIEM mohou být
prezentovány v ePO
NPP
SIEM API
SYSLOG
ePO
Extension
Scripts / API
McAfee API
SQL
McAfee ESM
• Kombinace ePO a SIEM události mohou být
korelovány s cílem zlepšit detekci hrozeb a
sanace pomocí McAfee API
ePO
Proč propojit SIEM s GTI?
SIEM Vám pak odpoví na často kladené otázky…
Komunikoval jsem s nesprávnými lidmi?
Podvodníky?
Která komunikace nebyla zastavena?
18,000 alertů
a logů
Jaké konkrétní servery / body / zařízení byly poškozeny?
Desítky konc.
bodů
Které uživatelské účty byly ohroženy?
RESPOND
200M
událostí
Hrst uživatelů
Co se stalo s těmito účty?
Porušení
specifických
souborů
Jak mám reagovat?
Optimistická
reakce
McAfee SIEM - výhody
•
•
•
•
•
•
•
•
Nejvýkonnější SIEM na trhu
Žádné licenční omezení
Předinstalované zařízení – rychlé uvedení do provozu
Snadná konfigurace - intuitivní a přehledné GUI
Předdefinované dashboardy a reporty
Škálovatelnost a HA
Rozšiřitelnost ( ACE, DBM, ADM)
Všechny komponenty jsou dostupné jako HW nebo SW
•
Certifikace (státní správa, armádní složky a kritická infrastruktura):
•
•
•
•
•
Certified to Common Criteria EAL 3, enhanced
FIPS 140-2, Level 2 Validated
Conforms with cyber asset requirements of NERC CIP-007
Suitable for deployment in defense and critical infrastructures under NIST SP 800-53
Certified and Listed on DOD Unified Capabilities Approved Products List (UC APL)
McAfee SIEM - reference
www.comguard.cz
Otázky ?
Děkujeme za pozornost
Ing. Karel Klumpner (Obchodní ředitel)
Tel.: +420 723 444 105, [email protected]
Download

Prezentace aplikace PowerPoint