SlideShare una empresa de Scribd logo
1 de 27
Descargar para leer sin conexión
RvSIEM
CEO RuSIEM Ltd, Olesya
Shelestova
oshelestova@rusiem.com
https://rvsiem.com
Зачем LM/SIEM в компании?
• Для управления множеством сотрудников – есть отдел кадров.
• Для управления в каждом отделе выделен руководитель/team leader.
• В компаниях множество полезных источников, предупреждающих о
сбоях, несанкционированном доступе, вирусных эпидемиях, ошибках
соединений, ошибках оформления заказов и прочих.
• Подключив гетерогенные источники в единую консоль – получаем
полное представление о том, что происходит в инфраструктуре,
бизнес-системах в режиме, близком к реальному времени.
2
Зачем LM/SIEM в компании?
1) Видеть в режиме реального времени что происходит (в
инфраструктуре, в сети, в бизнес-системах) в единой центральной
консоли
2) Понять что где есть (инвентаризация)
3) Обеспечить соответствие стандартам и внутренним политикам
4) Возможность задать параметры «инцидента» и воспользоваться
встроенной базой знаний для обнаружения
5) Выявлять инциденты автоматически в режиме реального времени
6) Своевременно оповещать и фиксировать инциденты
7) Агрегировать события в единое хранилище для расследования
инцидентов
8) Формировать отчеты
3
Зачем LM/SIEM в компании?
Пример – Соответствие стандартам
• PCI DSS: 1.1.6.b, 1.2, 1.2.1, 1.2.2, 1.2.3, 1.3, 1.3.2, 1.3.3, 1.3.4, 1.3.5,
1.3.7, 1.4, 2.1, 2.1.1.b, 2.1.1.c, 2.2.2.b, 2.2.3, 2.3, 2.4, 4.1, 5.1, 6.1,
6.2, 6.5.4, 6.5.5, 6.5.8, 7.1, 7.2, 8.1.2, 8.1.4, 8.1.5, 8.1.6, 8.1.7, 8.2.3,
8.2.4, 8.5, 8.6, 8.7, 10.*, 11.* а также некоторые другие пункты
стандарта
• SOX, ISO 2700x, СТО БР ИББС …
4
Зачем LM/SIEM в компании?
• Сканеры уязвимости выявляют проблемы, в среднем, один раз в
неделю
• Множество средств защиты – разрозненные данные, которые
необходимо сохранять, просматривать и анализировать
• Просмотр событий на отдельно взятом средстве защиты может не
дать полноты картины, в отличие от выборки событий с
нескольких
• Сигнатуры у средства защиты может и не быть, что легко
дополнить с помощью правила SIEM или запросом к базе LM по
событиям
5
Пример 1
• Мы убедились что соответствуем политике ИБ:
• telnet нигде не включен
• не используются системные учетные записи
• password never expire у учетных записей не установлен
• для доступа используется не уязвимое ПО
• Проверили сканером уязвимостей, опросили сотрудников.
• Считаем что в нашей компании все нормально.
• А тем временем, на следующий день, появляется системная учетная
запись по умолчанию, устанавливаются опции password never expire,
используется уязвимая версия putty, эксплойт на которую вышел
сегодня. Обо всем этом – мы можем не узнать.
6
Пример 2
• Третий день подряд в нашем интернет-магазине нет заказов. И не
понятно почему.
• А тем временем, при оформлении товара, клиенты видят ошибку
и не могут продолжить процедуру оформления. Без LM/SIEM мы
узнаем об этом только при жалобе сознательного клиента.
7
Пример 3
• Кто то сменил пароль генерального директора и отправил письма
по контактам в адресной книге
• Как назло журналы событий на сервере очищены или затерты
более новыми?
8
Методы контроля
LM SIEM
Где увидим инцидент На дашбордах, в выборке по
событиям, в отчетах
В автоматически
зарегистрированных
инцидентах в режиме реального
времени
Как увидим инцидент Регулярно просматривать
события
Автоматически
зарегистрированные
инциденты, просмотр событий,
обновление правил корреляции,
аналитика
На что полагаемся Опыт операторов Опыт вендора, практические
кейсы и аналитика вложенные в
инструментальные
автоматические средства в
SIEM
9
• Стоимость LM/SIEM систем в минимальной инсталляции –
от 300 000 р. С учетом необходимости хранения событий от полугода.
• Стоимость адаптации open-source LM системы в компании под
потребности:
• 1-2 сотрудника с заработной платой от 100 000 р
• Минимум полгода работы с занятостью 70%
• ± 840 000 р.
• При этом, большинство источников не будут подключены, система будет
работать со сбоями, при уходе сотрудников, скорее всего, проект будет
провален и бюджет потрачен зря.
• Написать свою LM/SIEM работоспособную систему – от 20 000 000/70
000 000 р.
10
Что такое LM
• LM (log management) – предназначен для сбора, нормализации,
обработки событий с различных источников (операционных
систем, программного обеспечения, сетевого оборудования и
т.п).
• LM собирает и агрегирует события для анализа (что происходит),
расследования инцидентов, построения отчетов.
• В отличие от SIEM, LM не имеет штатных средств корреляции для
автоматического анализа и оповещения об инцидентах.
• Тем не менее, LM – эффективный инструмент для анализа и
мониторинга, способный помочь в решении проблем
11
Мы рады помочь Вам и предоставляем в свободный доступ для
использования готовое решение класса LM – Free RvSIEM
12
О RuSIEM
• Разработка ведется с 2014 года
• Команда разработки имеет большой опыт
• Мы делаем не просто классический SIEM. Он нужен чтобы
подготовить данные для дальнейшего анализа – автоматической
аналитики без правил корреляции, AI, deep learning.
• Наши разработки широко используются во множестве крупных
компаний по всему миру
• Мы резиденты Сколково
https://rvsiem.com
13
Линейка продуктов
RuSIEM “Analytics” Network Sensor Free RvSIEM
SIEM SIEM+Аналитика Сетевой сенсор LM версия
14
• Все продукты имеют модульную архитектуру
• Free RvSIEM расширяется до коммерческих версий RuSIEM
и Analytics
Что такое Free RvSIEM
• Free RvSIEM – свободно распространяемая версия LM (log
manager), без публикации открытого кода.
• Распространяется для использования «как есть»
• Изменение авторского права и наименования продукта не
допускается
• Почему название SIEM, ведь free-версия – LM возможности?
• Возможно расширение по-модульно в сторону коммерческой версии
SIEM
15
RuSIEM RuSIEM Analytics Free RvSIEM
Дашборды (набор виджетов для оценки показателей в режиме реального времени)   
Поиск по событиям   
Сохраненные запросы   
RBR (rule-based) корреляция  
Инцидент менеджмент по ITIL  
Симптоматика для тегирования событий понятным описанием   
Риск-метрики   
Отчеты   
Отчеты соответствия стандартам и политикам  
Аналитика (агрегация событий) для обнаружения инцидентов без корреляции 
Аналитика (baseline) для обнаружения инцидентов без корреляции 
Обновляемые ленты угроз (feeds: потенциально опасные ip, hash, url, fqdn, mail) 
Аналитика (сложные отчеты с расчетами) 
ИТ активы с обновлением в режиме реального времени 
Агент с универсальными коннекторами к источникам   
Масштабируемость   limited
Обновление базы знаний (правила корреляции, отчеты, симтомы)   
Поддержка 24x7 24x7 limited
Обновление версий   
16
Сравнение с аналогами
Free RvSIEM Splunk OSSIM ELK
Модуль отчетности + +* +* -
Наличие собственного агента + - - -
Сбор одним агентом с множества источников + - - -
Без лимита по EPS + - - +
Универсальные коннекторы + - - -
Наличие готовых коннекторов к основным системам (1-5
баллов)
4 2 2 1
Возможность подключения новых источников (1-5) 4 3 2 2
Гибкость поисковых запросов по событиям (1-5) 5 5 3 3
Agent Hash module + - - -
Agent WMI Query + - - -
LDAP Authentication + + + -*
Доступ на основе ролей + - - -
Модульное расширение возможностей системы + - + -
17
Лицензия RvSIEM (free)
Свободное использование в личных целях 
Установка и использование в компаниях 
Открытый исходный код x
White-label x
Продажа/использование в коммерческих целях
Изменение/доработка кода в личных целях и в компаниях без изменения
наименования продукта

Изменение кода в коммерческих целях x
Модификация ПО или использование частей при разработке другого ПО x
Изменение конфигурационных файлов 
18
Установка – проще ELK
• VmWare ESX 5.5+, MS HyperV из образа OVF
• Версия ОС в образе – Ubuntu 14.04-5 x64
• Установка через dpkg – планируется
• Обновления – через git автоматически с возможностью отключения.
• Портал поддержки и взаимодействия – планируется
• Языковые пакеты – пока только русский и английский.
• Агент – под MS Windows 7+, .net 4.5+. x64/x86
• Минимальные требования для free RvSIEM:
• 4 GB ОЗУ, 1 процессор 2-4 ядра, 70 GB Hdd для системы, диск под данные – под
ваши требования.
19
Шаги установки
• Развернуть OVF образ
• Подключить диск для данных согласно руководства
• Настроить сетевые параметры
• Настроить LDAP аутентификацию, параметры агентов и хранения
• Установить агента
• Настроить агента из веб-консоли для сбора с источников
20
Демо
21
Синтаксис конфигурационных файлов парсеров
22
23
24
25
• Релиз – 17 апреля 2017 года
• Доступны Rus/Eng языковые пакеты.
• Документация для РФ – уже доступна.
• Документация на английском языке – скоро.
• Портал поддержки – скоро.
26
Спасибо за внимание
Сайт и поддержка:
• https://rvsiem.com
• support@rvsiem.com
Bug bounty: support@rvsiem.com
27

Más contenido relacionado

La actualidad más candente

Siem
SiemSiem
Siemcnpo
 
Safe inspect. Средство контроля за действиями привилегированных пользователей
Safe inspect. Средство контроля за действиями привилегированных пользователейSafe inspect. Средство контроля за действиями привилегированных пользователей
Safe inspect. Средство контроля за действиями привилегированных пользователейDialogueScience
 
Подход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеПодход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеKirill Ermakov
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данныхPete Kuzeev
 
Почему вам не нужен SOC
Почему вам не нужен SOCПочему вам не нужен SOC
Почему вам не нужен SOCKirill Ermakov
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инцидентыPositive Hack Days
 
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...DialogueScience
 
Siem от positive technologies maxpatrol siem (система мониторинга и корреляци...
Siem от positive technologies maxpatrol siem (система мониторинга и корреляци...Siem от positive technologies maxpatrol siem (система мониторинга и корреляци...
Siem от positive technologies maxpatrol siem (система мониторинга и корреляци...SIEM Analytics
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийАльбина Минуллина
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
 
Телеканал Russia Today Splunk История успеха
Телеканал Russia Today Splunk История успехаТелеканал Russia Today Splunk История успеха
Телеканал Russia Today Splunk История успехаAlexander Kulakov
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 

La actualidad más candente (20)

Siem
SiemSiem
Siem
 
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)RuSIEM (15.11.2015)
RuSIEM (15.11.2015)
 
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
 
Safe inspect. Средство контроля за действиями привилегированных пользователей
Safe inspect. Средство контроля за действиями привилегированных пользователейSafe inspect. Средство контроля за действиями привилегированных пользователей
Safe inspect. Средство контроля за действиями привилегированных пользователей
 
CyberArk 21.10.2014
CyberArk 21.10.2014CyberArk 21.10.2014
CyberArk 21.10.2014
 
Подход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеПодход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновение
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данных
 
Почему вам не нужен SOC
Почему вам не нужен SOCПочему вам не нужен SOC
Почему вам не нужен SOC
 
Sandblast
SandblastSandblast
Sandblast
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инциденты
 
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
 
Siem от positive technologies maxpatrol siem (система мониторинга и корреляци...
Siem от positive technologies maxpatrol siem (система мониторинга и корреляци...Siem от positive technologies maxpatrol siem (система мониторинга и корреляци...
Siem от positive technologies maxpatrol siem (система мониторинга и корреляци...
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
 
Телеканал Russia Today Splunk История успеха
Телеканал Russia Today Splunk История успехаТелеканал Russia Today Splunk История успеха
Телеканал Russia Today Splunk История успеха
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 

Similar a Free RvSIEM. Intro (Rus)

Руководство по формату событий для разработчиков
Руководство по формату событий для разработчиковРуководство по формату событий для разработчиков
Руководство по формату событий для разработчиковOlesya Shelestova
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраExpolink
 
SIEM для чайников
SIEM для чайниковSIEM для чайников
SIEM для чайниковBAKOTECH
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...UISGCON
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля  привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля  привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...Expolink
 
Tools to ensure quality of information system
Tools to ensure quality of information system Tools to ensure quality of information system
Tools to ensure quality of information system soft-point
 
Андрей Завадский "Бессерверная архитектура"
 Андрей Завадский "Бессерверная архитектура" Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура"Fwdays
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
НТБ. Сергей Шерстюк. "Проблемы контроля  привилегированных пользователей Safe...НТБ. Сергей Шерстюк. "Проблемы контроля  привилегированных пользователей Safe...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...Expolink
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
CodeFest 2014. Сибирев А. — Управление инфраструктурой под Cocaine
CodeFest 2014. Сибирев А. — Управление инфраструктурой под CocaineCodeFest 2014. Сибирев А. — Управление инфраструктурой под Cocaine
CodeFest 2014. Сибирев А. — Управление инфраструктурой под CocaineCodeFest
 
Программы для Метрологии от Вискомп (Саратов)
Программы для Метрологии от Вискомп (Саратов)Программы для Метрологии от Вискомп (Саратов)
Программы для Метрологии от Вискомп (Саратов)Viscomp Ltd.
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
SAM за 7 шагов. Рецепт для небольших компаний
SAM за 7 шагов. Рецепт для небольших компанийSAM за 7 шагов. Рецепт для небольших компаний
SAM за 7 шагов. Рецепт для небольших компанийValery Bychkov
 

Similar a Free RvSIEM. Intro (Rus) (20)

Руководство по формату событий для разработчиков
Руководство по формату событий для разработчиковРуководство по формату событий для разработчиков
Руководство по формату событий для разработчиков
 
RuSIEM
RuSIEMRuSIEM
RuSIEM
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
 
SIEM для чайников
SIEM для чайниковSIEM для чайников
SIEM для чайников
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля  привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля  привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
 
Tools to ensure quality of information system
Tools to ensure quality of information system Tools to ensure quality of information system
Tools to ensure quality of information system
 
Андрей Завадский "Бессерверная архитектура"
 Андрей Завадский "Бессерверная архитектура" Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура"
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
НТБ. Сергей Шерстюк. "Проблемы контроля  привилегированных пользователей Safe...НТБ. Сергей Шерстюк. "Проблемы контроля  привилегированных пользователей Safe...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
 
Sys admin
Sys adminSys admin
Sys admin
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
CodeFest 2014. Сибирев А. — Управление инфраструктурой под Cocaine
CodeFest 2014. Сибирев А. — Управление инфраструктурой под CocaineCodeFest 2014. Сибирев А. — Управление инфраструктурой под Cocaine
CodeFest 2014. Сибирев А. — Управление инфраструктурой под Cocaine
 
Программы для Метрологии от Вискомп (Саратов)
Программы для Метрологии от Вискомп (Саратов)Программы для Метрологии от Вискомп (Саратов)
Программы для Метрологии от Вискомп (Саратов)
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
SAM за 7 шагов. Рецепт для небольших компаний
SAM за 7 шагов. Рецепт для небольших компанийSAM за 7 шагов. Рецепт для небольших компаний
SAM за 7 шагов. Рецепт для небольших компаний
 

Más de Olesya Shelestova

RuSiem events collection and forwarding
RuSiem events collection and forwardingRuSiem events collection and forwarding
RuSiem events collection and forwardingOlesya Shelestova
 
How to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMHow to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMOlesya Shelestova
 
From SIEM to Business processes
From SIEM to Business processesFrom SIEM to Business processes
From SIEM to Business processesOlesya Shelestova
 
RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)Olesya Shelestova
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 

Más de Olesya Shelestova (9)

RuSIEM vs SOC (En)
RuSIEM vs SOC (En)RuSIEM vs SOC (En)
RuSIEM vs SOC (En)
 
RuSIEM vs SOC (Rus)
RuSIEM vs SOC (Rus)RuSIEM vs SOC (Rus)
RuSIEM vs SOC (Rus)
 
RuSiem events collection and forwarding
RuSiem events collection and forwardingRuSiem events collection and forwarding
RuSiem events collection and forwarding
 
RuSIEM IT assets
RuSIEM IT assetsRuSIEM IT assets
RuSIEM IT assets
 
How to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEMHow to create correlation rule for threat detection in RuSIEM
How to create correlation rule for threat detection in RuSIEM
 
From SIEM to Business processes
From SIEM to Business processesFrom SIEM to Business processes
From SIEM to Business processes
 
Deploy RvSIEM (eng)
Deploy RvSIEM (eng)Deploy RvSIEM (eng)
Deploy RvSIEM (eng)
 
RuSIEM overview (english version)
RuSIEM overview (english version)RuSIEM overview (english version)
RuSIEM overview (english version)
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сети
 

Free RvSIEM. Intro (Rus)

  • 1. RvSIEM CEO RuSIEM Ltd, Olesya Shelestova oshelestova@rusiem.com https://rvsiem.com
  • 2. Зачем LM/SIEM в компании? • Для управления множеством сотрудников – есть отдел кадров. • Для управления в каждом отделе выделен руководитель/team leader. • В компаниях множество полезных источников, предупреждающих о сбоях, несанкционированном доступе, вирусных эпидемиях, ошибках соединений, ошибках оформления заказов и прочих. • Подключив гетерогенные источники в единую консоль – получаем полное представление о том, что происходит в инфраструктуре, бизнес-системах в режиме, близком к реальному времени. 2
  • 3. Зачем LM/SIEM в компании? 1) Видеть в режиме реального времени что происходит (в инфраструктуре, в сети, в бизнес-системах) в единой центральной консоли 2) Понять что где есть (инвентаризация) 3) Обеспечить соответствие стандартам и внутренним политикам 4) Возможность задать параметры «инцидента» и воспользоваться встроенной базой знаний для обнаружения 5) Выявлять инциденты автоматически в режиме реального времени 6) Своевременно оповещать и фиксировать инциденты 7) Агрегировать события в единое хранилище для расследования инцидентов 8) Формировать отчеты 3
  • 4. Зачем LM/SIEM в компании? Пример – Соответствие стандартам • PCI DSS: 1.1.6.b, 1.2, 1.2.1, 1.2.2, 1.2.3, 1.3, 1.3.2, 1.3.3, 1.3.4, 1.3.5, 1.3.7, 1.4, 2.1, 2.1.1.b, 2.1.1.c, 2.2.2.b, 2.2.3, 2.3, 2.4, 4.1, 5.1, 6.1, 6.2, 6.5.4, 6.5.5, 6.5.8, 7.1, 7.2, 8.1.2, 8.1.4, 8.1.5, 8.1.6, 8.1.7, 8.2.3, 8.2.4, 8.5, 8.6, 8.7, 10.*, 11.* а также некоторые другие пункты стандарта • SOX, ISO 2700x, СТО БР ИББС … 4
  • 5. Зачем LM/SIEM в компании? • Сканеры уязвимости выявляют проблемы, в среднем, один раз в неделю • Множество средств защиты – разрозненные данные, которые необходимо сохранять, просматривать и анализировать • Просмотр событий на отдельно взятом средстве защиты может не дать полноты картины, в отличие от выборки событий с нескольких • Сигнатуры у средства защиты может и не быть, что легко дополнить с помощью правила SIEM или запросом к базе LM по событиям 5
  • 6. Пример 1 • Мы убедились что соответствуем политике ИБ: • telnet нигде не включен • не используются системные учетные записи • password never expire у учетных записей не установлен • для доступа используется не уязвимое ПО • Проверили сканером уязвимостей, опросили сотрудников. • Считаем что в нашей компании все нормально. • А тем временем, на следующий день, появляется системная учетная запись по умолчанию, устанавливаются опции password never expire, используется уязвимая версия putty, эксплойт на которую вышел сегодня. Обо всем этом – мы можем не узнать. 6
  • 7. Пример 2 • Третий день подряд в нашем интернет-магазине нет заказов. И не понятно почему. • А тем временем, при оформлении товара, клиенты видят ошибку и не могут продолжить процедуру оформления. Без LM/SIEM мы узнаем об этом только при жалобе сознательного клиента. 7
  • 8. Пример 3 • Кто то сменил пароль генерального директора и отправил письма по контактам в адресной книге • Как назло журналы событий на сервере очищены или затерты более новыми? 8
  • 9. Методы контроля LM SIEM Где увидим инцидент На дашбордах, в выборке по событиям, в отчетах В автоматически зарегистрированных инцидентах в режиме реального времени Как увидим инцидент Регулярно просматривать события Автоматически зарегистрированные инциденты, просмотр событий, обновление правил корреляции, аналитика На что полагаемся Опыт операторов Опыт вендора, практические кейсы и аналитика вложенные в инструментальные автоматические средства в SIEM 9
  • 10. • Стоимость LM/SIEM систем в минимальной инсталляции – от 300 000 р. С учетом необходимости хранения событий от полугода. • Стоимость адаптации open-source LM системы в компании под потребности: • 1-2 сотрудника с заработной платой от 100 000 р • Минимум полгода работы с занятостью 70% • ± 840 000 р. • При этом, большинство источников не будут подключены, система будет работать со сбоями, при уходе сотрудников, скорее всего, проект будет провален и бюджет потрачен зря. • Написать свою LM/SIEM работоспособную систему – от 20 000 000/70 000 000 р. 10
  • 11. Что такое LM • LM (log management) – предназначен для сбора, нормализации, обработки событий с различных источников (операционных систем, программного обеспечения, сетевого оборудования и т.п). • LM собирает и агрегирует события для анализа (что происходит), расследования инцидентов, построения отчетов. • В отличие от SIEM, LM не имеет штатных средств корреляции для автоматического анализа и оповещения об инцидентах. • Тем не менее, LM – эффективный инструмент для анализа и мониторинга, способный помочь в решении проблем 11
  • 12. Мы рады помочь Вам и предоставляем в свободный доступ для использования готовое решение класса LM – Free RvSIEM 12
  • 13. О RuSIEM • Разработка ведется с 2014 года • Команда разработки имеет большой опыт • Мы делаем не просто классический SIEM. Он нужен чтобы подготовить данные для дальнейшего анализа – автоматической аналитики без правил корреляции, AI, deep learning. • Наши разработки широко используются во множестве крупных компаний по всему миру • Мы резиденты Сколково https://rvsiem.com 13
  • 14. Линейка продуктов RuSIEM “Analytics” Network Sensor Free RvSIEM SIEM SIEM+Аналитика Сетевой сенсор LM версия 14 • Все продукты имеют модульную архитектуру • Free RvSIEM расширяется до коммерческих версий RuSIEM и Analytics
  • 15. Что такое Free RvSIEM • Free RvSIEM – свободно распространяемая версия LM (log manager), без публикации открытого кода. • Распространяется для использования «как есть» • Изменение авторского права и наименования продукта не допускается • Почему название SIEM, ведь free-версия – LM возможности? • Возможно расширение по-модульно в сторону коммерческой версии SIEM 15
  • 16. RuSIEM RuSIEM Analytics Free RvSIEM Дашборды (набор виджетов для оценки показателей в режиме реального времени)    Поиск по событиям    Сохраненные запросы    RBR (rule-based) корреляция   Инцидент менеджмент по ITIL   Симптоматика для тегирования событий понятным описанием    Риск-метрики    Отчеты    Отчеты соответствия стандартам и политикам   Аналитика (агрегация событий) для обнаружения инцидентов без корреляции  Аналитика (baseline) для обнаружения инцидентов без корреляции  Обновляемые ленты угроз (feeds: потенциально опасные ip, hash, url, fqdn, mail)  Аналитика (сложные отчеты с расчетами)  ИТ активы с обновлением в режиме реального времени  Агент с универсальными коннекторами к источникам    Масштабируемость   limited Обновление базы знаний (правила корреляции, отчеты, симтомы)    Поддержка 24x7 24x7 limited Обновление версий    16
  • 17. Сравнение с аналогами Free RvSIEM Splunk OSSIM ELK Модуль отчетности + +* +* - Наличие собственного агента + - - - Сбор одним агентом с множества источников + - - - Без лимита по EPS + - - + Универсальные коннекторы + - - - Наличие готовых коннекторов к основным системам (1-5 баллов) 4 2 2 1 Возможность подключения новых источников (1-5) 4 3 2 2 Гибкость поисковых запросов по событиям (1-5) 5 5 3 3 Agent Hash module + - - - Agent WMI Query + - - - LDAP Authentication + + + -* Доступ на основе ролей + - - - Модульное расширение возможностей системы + - + - 17
  • 18. Лицензия RvSIEM (free) Свободное использование в личных целях  Установка и использование в компаниях  Открытый исходный код x White-label x Продажа/использование в коммерческих целях Изменение/доработка кода в личных целях и в компаниях без изменения наименования продукта  Изменение кода в коммерческих целях x Модификация ПО или использование частей при разработке другого ПО x Изменение конфигурационных файлов  18
  • 19. Установка – проще ELK • VmWare ESX 5.5+, MS HyperV из образа OVF • Версия ОС в образе – Ubuntu 14.04-5 x64 • Установка через dpkg – планируется • Обновления – через git автоматически с возможностью отключения. • Портал поддержки и взаимодействия – планируется • Языковые пакеты – пока только русский и английский. • Агент – под MS Windows 7+, .net 4.5+. x64/x86 • Минимальные требования для free RvSIEM: • 4 GB ОЗУ, 1 процессор 2-4 ядра, 70 GB Hdd для системы, диск под данные – под ваши требования. 19
  • 20. Шаги установки • Развернуть OVF образ • Подключить диск для данных согласно руководства • Настроить сетевые параметры • Настроить LDAP аутентификацию, параметры агентов и хранения • Установить агента • Настроить агента из веб-консоли для сбора с источников 20
  • 23. 23
  • 24. 24
  • 25. 25
  • 26. • Релиз – 17 апреля 2017 года • Доступны Rus/Eng языковые пакеты. • Документация для РФ – уже доступна. • Документация на английском языке – скоро. • Портал поддержки – скоро. 26
  • 27. Спасибо за внимание Сайт и поддержка: • https://rvsiem.com • support@rvsiem.com Bug bounty: support@rvsiem.com 27