Jak na McAfee SIEM
Karel Klumpner
COMGUARD a.s.
Robert Šefr
COMGUARD a.s.
Proof of Concept
• Předem odsouhlasený seznam požadavků na PoC
• Konkrétní definice zdrojů logů
• Typy zdrojů logů
• Počty událostí
• Očekávané výstupy a chování
• Pohledy na data
• Upozornění
• Korelace
Výkon a sizing
• Měřeno v Events per Second (EPS) - jeden Event vyžaduje
identický výkon na zpracování jako NetFlow
• All-in-one appliance – 1.000 / 2.500 / 5.000 EPS
• Enterprise Security Manager – 50.000 – 300.000 EPS
• Event Receiver – 5.000 – 20.000 EPS
• Enteprise Log Manager – 40.000 – 75.000 EPS
• Virtuální stroje (VMware) all-in-one i každý modul zvlášť
• 4/12/32 vCPU
• 4 vCPU (all-in-one) ~ 1250 EPS
Zkušenosti z implementací
• Events : NetFlow – 1 : 2
• V pracovních hodinách se úroveň EPS dostane na 2-3 násobek
průměrné hodnoty, přes noc naopak na polovinu
• SIEM má být v prvé řadě analytický nástroj, který velmi rychle
poskytne analytikovi informace načtené z logů zdrojových
zařízení
• Velmi rychlé nasazení McAfee SIEM – nastavení IP adresy a SIEM
je připraven pro sběr logů
• Extrémně ohebné uživatelské prostředí – během přípravy
dashboardu je možné pracovat se všemi sbíranými atributy
• Velmi rychlá databáze a práce s velkým objemem dat – projevuje
se znatelně až po týdnech nebo měsících nasazení
1•
Rychlost
– Založený na specializované databázi
– 10x až 100x rychlejší než konkurenční řešení
– Jediný SIEM kombinující přidávání dat a dotazy v reálném čase
McAfee SIEM výhody
2•
Škálovatelnost
– Od integrovaných all-in-one appliance po enterprise
– Až 300K EPS pomocí jedné appliance
3•
4•
5
Integrace
–
–
–
–
GTI (reputace & geolokace)
ePO (centrální security management)
MVM (skenování zranitelností)
NSP (IPS a karanténa podezřelých strojů)
Jednoduchost
- Nasazení, správa i používání
- Není potřeba tvořit db dotazy nebo používat skripty
- Žádné upgrady db (časté příčiny ztráty konfigurace a dat)
Licencování a ceny
McAfee SIEM
GARTNER
Silné stránky McAfee SIEM řešení







Vývoj od roku 1999
Revoluční nástroj - v reálném čase
propojuje informace o vnějších
hrozbách (nové zranitelnosti a reputace
dat) s aktuálním stavem vnitřního
systému
Umožňuje vyvolat okamžité reakce
(alert/aktualizace/blokování,…)
Unikátní databázový systém
zpracovává miliardy logů/událostí i několik
let zpětně - odhalí dlouhodobé útoky typu
Advanced Persistent Threats.
Spolupracuje GTI a ePolicyOrchestrator
Bezúdržbové, plně integrované
řešení
Dostupný API toolkit
McAfee SIEM
Škálovatelná Architektura
Inteligence a
Provozní efektivita
Adaptivní Risk Analýza &
Historická Korelace
SIEM Korelace/Management
Zajišťuje integritu/
compliance logů a uchování
Sběr a sumarizace logů
Analýza Aplikačních dat &
Sledování obsahu DB
GTI
ePO
MRA
SIA
McAfee Advanced Correlation Engine (ACE)
McAfee Enterprise Security Manager (ETM)
McAfee Enterprise Log Manager (ELM)
Data DB
CIFS
NFS
SAN
McAfee Receivers (ERC)
McAfee Application
Data Monitor (ADM)
McAfee Database
Event Monitor (DBM)
McAfee SIEM
Porovnání funkcí jednotlivých appliancí
Model
ETM4600-ELM,ERC
ETM5600-ELM,ERC
ETM6000-ELM,ERC
ETM5600
ETM6000
ETM X4
ETM X6
ERC2600-ELM
ERC3450-ELM
ERC4600-ELM
ERC 1250
ERC 2600
ERC 3450
ERC 4600
ELM 4600
ELM 5600
ELM 6000
Sběr a normalizace
logů
Uchovávání logů
v surové podobě
Zpracovávání
událostí a reporting
Zpracovaných Event/log za
sekundu
✓
✓
1 000
47.000
USD/ks/1✓year
✓ ALL IN ONE
✓ (ETM + ELM
✓
2 500year
70.000
+ ERC)
USD/ks/1
104.000
USD/ks/1
✓
✓ year
✓
5 000
✓
70.000
USD/ks/1- year
✓
150.000 USD/ks/1 year
✓
275.000
USD/ks/1
year
✓
500.000 USD/ks/1 year
✓
✓
5 000
51.000 USD/ks/1
year
✓ INTEGRACE
✓ (ELM + ERC)
8 000
65.000 USD/ks/1 year
✓
✓
10 000
80.000 USD/ks/1 year
✓
5 000
21.000
USD/ks/1 year
✓
10 000
44.000
USD/ks/1
year
✓
15 000
59.000 USD/ks/1 year
✓
20 000
87.000
USD/ks/1
year
✓
40 000
39.000 USD/ks/1✓ year
50 000
46.000 USD/ks/1
✓
75 000year
99.000 USD/ks/1 year
Poznámka: Řešení ETM, ERC a ALL in ONE je možno pořídit v podobě Virtual appliance
Vestavěná paměť
3 TB
8 TB
14 TB
8 TB
14 TB
14 TB + 800 SSD
14 TB + 3,2 TB Flash
1 TB
1,8 TB
1,8 TB
6 TB
1,8 TB
8 TB
14 TB
McAfee SIEM
Porovnání funkcí jednotlivých VM appliancí
McAfee
Enterprise
Security
Manager
Software
McAfee Enterprise Security
Manager, Enterprise Log
Manager and Event Receiver
VM
(ELU)
LICENSE: Per ESX Server
McAfee Enterprise Security
Manager Event Receiver VM
(ECU)
McAfee Event
Receiver
Software
Obsahuje McAfee:
• SIEM
• Compliant Enterprise Log Management
• Event Receiver
• Network Analysis functions
• Integrated McAfee Event Receiver for collection of
39.000
USD/ESX/1
Year
3rd party
feeds.
Obsahuje McAfee:
• SIEM
• Network Analysis functions.
32.000
USD/ESX/1 Year
• Integrated McAfee Event Receiver for collection of
LICENSE: Per ESX Server
3rd party feeds..
McAfee Enterprise Security
Obsahuje McAfee:
• SIEM
Manager VM
32.000
USD/ESX/1
Year
• Network
(ENU)
Analysis functions
• NEOBSAHUJE A VYŽADUJE: „Event Receiver
LICENSE: Per ESX Server
appliance nebo VM Software“
McAfee Event Receiver VM 25 Obsahuje McAfee:
McAfee Event Receiver VM 500 • McAfee Event Receiver VM collects 3rd party logs,
events and flow data for correlation and analysis
LICENSE: Per Receiver
by McAfee Enterprise Security Manager.
• Provides
Event Receiver
9.000
USD/Rec/1
Yearfor up to 25/500
devices.
29.000
USD/Rec/1
Year
• NEOBSAHUJE
A VYŽADUJE „Enterprise Security
Manager appliance nebo VM Software“
McAfee SIEM
Doplňková funkce
McAfee Global Threat
Intelligence Enterprise
Security Manager Module
(GTE)
LICENSE: Per Node
Obsahuje McAfee:
• Integrates McAfee Global Threat Intelligence (GTI)
• Umožňuje zjistit s jakými podezřelými nebo
škodlivými IP adresami uživatelé komunikovali
Současně umožňuje
4 •USD/node/1
Year upozorňovat na potenciálně
škodlivé transakce
McAfee SIEM
Nejčastější konkurenti
Value Added Distribuce
•
Kompetenční centrum
•
•
•
•
Testování Vašich požadavků
Vývoj nových řešení
Předdefinovaných 16 případových zapojení
Možnost vzdáleného připojení
www.comguard.cz
Dotazy?
Děkujeme za pozornost
Ing. Karel Klumpner, MSc. (Obchodní ředitel)
Tel.: +420 723 444 105, [email protected]
Robert Šefr
[email protected]
Download

Jak na McAfee SIEM