McAfee SIEM
Jan Strnad
McAfee Sales Engineer for Czech Republic and Slovakia
April 30, 2013
Co je SIEM?
SIEM je evolucí a integrací dvou
rozdílných technologií

Security Event Management (SEM)
Primárně zaměřen na shromažďování
bezpečnostních událostí

Security Information Management (SIM)

―

Security Information & Event
Management (SIEM) je sada
technologií pro:
―
Primárně zaměřen na normalizaci a
korelaci bezpečnostních událostí




Sběr logů
Korelaci
Agregaci
Normalizaci
Shromažďování
Analýzu
Tři hlavní faktory ovlivňující většinu SIEM implementací
1
2
Viditelnost
hrozeb v
reálném čase
2
Efektivnost
správy
bezpečnosti
April 30, 2013
3
Požadavky na shodu a
správu logů
SIEM se stále vyvýjí …
• SIEM Content Awareness (Next Generation SIEM)
– Systém, který je schopen analyzovat události ze všech vrstev až k aplikačním datům
IM, Chat
WebMail
Email
Web Access
(HTTP)
P2P File
Sharing
Protocol
Anomalies
McAfee Security connected v1.0
SITUATIONAL AWARENESS …..
Asset Discovery
&
Endpoint
Security Assessment
Feed
GTI Feed
(IP Reputation)
Network Security
Assessment
Feed
Unified Compliance
Framework (UCF)
Feed
McAfee ESM
V9.1.3
Risk Advisor
Countermeasure
Analysis
3rd Party
Technologies
Event Info
Feed
McAfee Security connected v2.0:
SITUATIONAL AWARENESS & RESPONSE ….
Threat
Intelligence Feed
(LTI & GTI)
Network Security
Assessment
&
Countermeasure
Response
3rd Party
Technology
Feeds
Endpoint Security
Assessment
&
Countermeasure
Response
Asset Discovery
&
Vulnerability
Assessment
McAfee SIEM Architectura
•SIEM základní řešení
–
–
•
High-end McAfee SIEM je založen na HW INTEL appliancích (ESM, REC, ACE, ELM,
DSM,ADM)
– GEN4 HW: Intel R2312GZ4GC4 (S2600GZ)
Low-end provozován na VMware (ESM, REC & ACE).
Přehled sizingu
McAfee SIEM appliance jsou navrhovány na základě EPS (Events per Second)
– Výběr appliance ja na základě výkonu, ne na limitu licence!
• McAfee SIEM s propustností 10,000 EPS bude i nadále zpracovávat vyšší počet EPS,
které přijímá, ale ne na optimální úrovni po delší časový úsek.
• To znamená, že McAfee SIEM nebude zahazovat přijímané události na základě limitu
appliance, ale udrží výkyvy v provozu udržováním událostí ve frontě.
•
Úložiště
–
–
Lokální úložiště - je závislé na typu appliance
Rozšíření pro ESM a ELM využívá různé typy úložišť:
• ESM – DAS (Direct Attached Storage)
• ELM – SAN, NFS, CIFS, iSCSI
McAfee SIEM komponenty
Enterprise Security Manager
content aware SIEM
ESM
SSL Connection
• Udržuje události a datové toky v McAfeeEDB databázi
Patentovaná, vysoce výkonná databáze s integrovaným
vyhledávacím engine
• SIEM GUI správa pomocí web prohlížeče
Snadné používání, nastavitelné dashboardy
• Správa pravidel pomocí Policy Manageru.
Nastavitelné zdroje dat a korelační pravidla.
• Konfigurace Reportů a Alarmů
Nastavitelné reportování a flexibilní správa alarmů
• Možná redundance a HA
Primární a sekundární ESM
• Škálovatelné řešení
Podpora až 300,000 EPS - events per second
7
April 30, 2013
McAfee SIEM komponenty
Enterprise Security Manager
content aware SIEM
Receiver
ESM
Event Receiver
3rd Party Log/Event/Flow Collection
• Sběrný bod pro události a toky
Pasivní a aktivní technologie pro sběr událostí
• Nastavitelná pravidla pro korelační engine
Nastavitelné pro celé prostředí nebo pro jednotlivé receivery
• Možnost redundance
Podpora High Availability
• Škálovatlnost
Navrženo pro přijímání až 20,000 EPS na jedné appliance
8
April 30, 2013
McAfee SIEM komponenty
Enterprise Security Manager
content aware SIEM
Receiver
ESM
Event Receiver
3rd Party Log/Event/Flow Collection
ELM
Enterprise Log Manager
Plně integrovaný Log Management
• Archivace prvotních ( originálních ) událostí
Receiver přeposílá definované události na ELM.
• ELM Management database
Schopnost spravovat analyzované a originální události současně.
• Integrity Management uložených událostí
Zajišťuje forenzní integritu.
• Komprese ukládaných událostí ( až do 20:1)
Poskytuje maximální efektivitu úložiště
• Flexibilní úložiště
Lokální, SAN (Fibre), CIFS, NFS, iSCSI, NAS a jejich kombinace
9
April 30, 2013
McAfee SIEM komponenty
Enterprise Security Manager
content aware SIEM
Receiver
ESM
Event Receiver
rd Party
3AES
Log/Event/Flow
Collection
Encrypted
Channel
ReceiverELM
ELM
Enterprise Log Manager
Plně integrovaný Log Management
10
April 30, 2013
McAfee SIEM komponenty
Enterprise Security Manager
content aware SIEM
Event Receiver
3rd Party Log/Event/Flow Collection
Receiver
ESM
AES Encrypted Channel
Receiver
AES Encrypted Channel
ELM
Enterprise Log Manager
Plně integrovaný Log Management
11
April 30, 2013
Receiver
DAS
CIFS
NFS
SAN
iSCSI
McAfee SIEM komponenty
Flexibilní a různé možnosti nasazení
All-In-One Appliance – Combo box
Receiver
DAS
CIFS
NFS
SAN
iSCSI
ESM
ELM
• Jedna SIEM appliance
1U nebo 3U Appliance
• Obsahuje ESM, Receiver a ELM
Stejné funkce jako v distribuované verzi
• Určeno pro SMB prostředí
• 3TB Appliance s podporou do 1000 EPS
• 8TB Appliance s podporou do 2500 EPS
• 14TB Appliance s podporou do 5000 EPS
12
April 30, 2013
McAfee SIEM komponenty
Flexibilní možnosti nasazení
ESM
Distribuované prostředí ∙ ESM, Receiver a ELM
AES Encrypted Channel
Receiver
AES Encrypted Channel
ELM
DAS
CIFS
NFS
SAN
iSCSI
• Samostatná ESM Appliance
Standardně 3U Appliance
• Samostatný Receiver
Výkon až 20,000 EPS
• Samostatný ELM s lokálním a/nebo externím úložištěm
Stejné vlastnosti jako distribuovaná verze
• Počáteční nasazení pro velká Enterprise prostředí
Předpoklad 20,000 EPS a vyšší
13
April 30, 2013
McAfee SIEM komponenty
Flexibilní možnosti nasazení
Distribuované prostředí ∙ Plně distribuované
prostředí
Receiver
ESM
AES Encrypted Channel
Receiver
AES Encrypted Channel
ELM
• Samostatná ESM Appliance
Receiver
DAS
CIFS
NFS
SAN
iSCSI
Standardně 3U Appliance
• Více samostatných Receiverů
Kombinace HW a virtuálních appliancí
• Samostatný ELM s lokálním a/nebo externím úložištěm
Stejné vlastnosti jako distribuovaná verze
• Navrženo pro velké Enterprise prostředí
Předpoklad 100,000 EPS a vyšší
14
April 30, 2013
McAfee SIEM komponenty
Flexibilní možnosti nasazení
Externí úložiště ∙ SAN, CIFS, NFS, iSCSI
Receiver
ESM
AES Encrypted Channel
Receiver
AES Encrypted Channel
ELM
Receiver
CIFS
NFS
SAN
iSCSI
CIFS
NFS
SAN
iSCSI
• ESM úložiště může být rozšířeno o externí úložiště
CIFS, NFS, SAN, iSCSI can be used
15
April 30, 2013
McAfee SIEM komponenty
Flexibilní možnosti nasazení
Externí úložiště - box ∙ DAS
Receiver
ESM
AES Encrypted Channel
Receiver
AES Encrypted Channel
ELM
Receiver
CIFS
NFS
SAN
iSCSI
CIFS
NFS
SAN
iSCSI
DAS
• McAfee ESM DAS subsystems
Dodávané s kapacitou 10TB, 25TB, 50TB a 100TB
16
April 30, 2013
McAfee SIEM komponenty
Flexibilní možnosti nasazení
Externí úložiště ∙ DAS, SAN, CIFS, NFS, iSCSI
Receiver
ESM
AES Encrypted Channel
Receiver
AES Encrypted Channel
ELM
Receiver
CIFS
NFS
SAN
iSCSI
CIFS
NFS
SAN
iSCSI
DAS
DAS
• McAfee ESM DAS subsystems
Dodávané s kapacitou 10TB, 25TB, 50TB a 100TB
• Pro obě ESM a ELM appliance
Externí úložiště pro analyzované a originální události
17
April 30, 2013
McAfee SIEM komponenty
Flexibilní možnosti nasazení
Podpora HA ∙ Redundantní ESM
Primární ESM
Receiver
ESM
AES Encrypted Channel
Receiver
AES Encrypted Channel
ELM
Receiver
HA Sync Path
CIFS
NFS
SAN
iSCSI
• Redundance mezi ESM
Data se synchronizují stejně jako u procesu ESM/Receiver
• ESM nasazení v různých geografických oblastech
Může být umístěno mezi budovami, městy, zeměmi
• Sekundární ESM může být povýšen kdykoliv na primární
Receivery udržují logy tak, aby nedošlo k jejich ztrátě
ESM
Sekundární ESM
18
April 30, 2013
McAfee SIEM komponenty
Flexibilní možnosti nasazení
Podpora HA ∙ HA pro Receivery
Primární ESM
Receiver
Receiver
ESM
Receiver
HA Sync
Receiver
ELM
HA Sync Path
CIFS
NFS
SAN
iSCSI
• Duální Receivery sdílí virtuální IP
Používají Cross Connect IPMI pro kontrolu stavu
ESM
• Navrženo pro prostředí s vysokou dostupností
Zajišťuje nepřetržitý sběr informací
• Limit – ELM musí být samostatná appliance
Sekundární ESM
19
April 30, 2013
McAfee SIEM komponenty
Flexibilní možnosti nasazení
Podpora HA ∙ zrcadlená ELM úložiště
Primární ESM
Receiver
ESM
HA Sync
Receiver
HA Sync Path
ELM
• Zrcadlené úložiště
Používá více úložišť pro přijímané události
ESM
• Poskytuje redundanci v případě poruchy úložiště
Zajišťuje, že originální data/události nebudou ztracena
Sekundární ESM
20
April 30, 2013
CIFS
NFS
SAN
iSCSI
Mirrored Pools
CIFS
NFS
SAN
iSCSI
McAfee SIEM komponenty
Enterprise Security Manager
content aware SIEM
Event Receiver
3rd Party Log/Event/Flow Collection
Receiver
ESM
AES Encrypted Channel
Receiver
AES Encrypted Channel
ELM
Receiver
Enterprise Log Manager
AES Encrypted
Plně integrovaný Log Management
ACE
DAS
CIFS
NFS
SAN
iSCSI
Advanced Correlation Engine
Dedikovaná appliance pro logickou korelaci událostí
• Kvantitativní korelační engine založený na skóre
ACE používá pravidla se skóre ke zjištění nežádoucích aktivit
• Podporuje historickou korelaci
Možnost vytváření pravidel pro historické události v reálném čase
• Kombinované korelační enginy bez režie
Pracuje nezávisle na korelaci událostí receiverů a ESM
21
April 30, 2013
McAfee SIEM komponenty
Enterprise Security Manager
content aware SIEM
Event Receiver
3rd Party Log/Event/Flow Collection
Receiver
ESM
AES Encrypted Channel
Receiver
AES Encrypted Channel
ELM
Receiver
DAS
CIFS
NFS
SAN
iSCSI
Enterprise Log Manager
AES Encrypted
Plně integrovaný Log Management
ACE
Advanced Correlation Engine
DEM
Database Event Monitor
Monitoring databázových transakcí
Span or Tap
• Pasivní monitoring transakcí
Eliminuje zatížení spojené s kontrolou DB logů
• Ukládá jednotlivé události jako session
Možnost rekontrukce aktivity od Loginu až po Logoff
• Korelace databázových aktivit do Security Eventů
22
April 30, 2013
McAfee SIEM komponenty
Enterprise Security Manager
content aware SIEM
Event Receiver
3rd Party Log/Event/Flow Collection
Receiver
ESM
AES Encrypted Channel
Receiver
AES Encrypted Channel
ELM
Receiver
DAS
CIFS
NFS
SAN
iSCSI
Enterprise Log Manager
AES Encrypted
Fully integrated Compliant Log Management
ACE
Advanced Correlation Engine
eMail
DEM
Database Event Monitor
chat
P2P
Shell /
FTP
LDP, PS
ADM
Application Data Monitor
Span or Tap
Viditelnost obsahu
• Protocol & Application Monitoring
Plná inspekce aplikačního obsahu
• Monitoruje citlivá data posílaná aplikacemi
23
April 30, 2013
VoIP
http://
McAfee SIEM sizing
April 30, 2013
SIEM architectura – ESMRECLM (combo)
Main Office
Linux
ESM / Receiver
Desktops
Switches / Routers
VPN Endpoints
Wireless
Access Points
Servers
IDS / IPS
SIEM Architectura – ESM / REC / ELM
Main Office
ESM
Linux
Receiver
ELM
Desktops
Switches / Routers
VPN Endpoints
Wireless
Access Points
Servers
IDS / IPS
SIEM Architectura – Distribuovaná a HA
DC Office
Cisco IOS FW
Windows Servers
Via SNARE
Main Office
HP-UX
Servers
Receiver
ESM
Linux
Receiver
CIFS
NFS
SAN
ELM
Desktop
VPN Endpoints
Switches / Routers
Remote Office
Receiver
Core
Switch
Wireless
Access Points
Servers
Cisco IOS FW
Switch
Windows Servers
Via SNARE
IDS / IPS
HP-UX
Servers
SCTMDFR-1
Switch
SIEM Specification sheet
Novinky ve verzi 9.2
April 30, 2013
Nové ESM zařízení: ePO, NSM, MVM
• ePO, NSM, MVM se zobrazují jako nativní zařízení v McAfee ESM
– Hluboká integrace těchto platforem zlepšuje sdílení a výměnu
informací mezi systémy a usnadňuje správu pro zákazníky
McAfee SIEM uživatelské rozhraní
33
HBSS – McAfee Business Brief
April 30, 2013
Vidíme SPOUSTU
podezřelých aktivit
spojených se
zařízením
(WinXPHost01)
Čas provést
Akci.....
34
April 30, 2013
Krok 1: Tento externí
systém (killerbean.com)
vypadá podezřele.
Provedeme jeho
karanténu
35
April 30, 2013
36
April 30, 2013
37
April 30, 2013
38
April 30, 2013
39
April 30, 2013
Úspěšná karanténa !!
Command and Control
síťový provoz na systém
Killerbean.com je
zablokován pomocí
McAfee ESM
Blacklisting !!!
40
April 30, 2013
Krok 2: Koncové interní
zařízení je pravděpodobně
infikováno nebo
kompromitováno.
Akce: okamžité zamknutí
zařízení a spuštění skenování
Pohled na systém
WinXPHost01, kde
v default politice je
systémový firewall
vypnutý.
V rámci vteřin je systémový
firewall na stanici
WinXPHost01 aktivován za
pomoci tagu „Policy Lockdown
System“, iniciovaným z ESM.
Komunikace trojského koně
ja zablokována!
Zároveň definicí
politiky v tagu
„Task: Full AV
Scan“ se spustí
skenování systému
Detekovaný malware
je ze systému
odstraněn!
MVM integrace
Alarm Actions
Praktická ukázka SIEM
30 April 2013
Download

McAfee SIEM