2. Зачем LM/SIEM в компании?
• Для управления множеством сотрудников – есть отдел кадров.
• Для управления в каждом отделе выделен руководитель/team leader.
• В компаниях множество полезных источников, предупреждающих о
сбоях, несанкционированном доступе, вирусных эпидемиях, ошибках
соединений, ошибках оформления заказов и прочих.
• Подключив гетерогенные источники в единую консоль – получаем
полное представление о том, что происходит в инфраструктуре,
бизнес-системах в режиме, близком к реальному времени.
2
3. Зачем LM/SIEM в компании?
1) Видеть в режиме реального времени что происходит (в
инфраструктуре, в сети, в бизнес-системах) в единой центральной
консоли
2) Понять что где есть (инвентаризация)
3) Обеспечить соответствие стандартам и внутренним политикам
4) Возможность задать параметры «инцидента» и воспользоваться
встроенной базой знаний для обнаружения
5) Выявлять инциденты автоматически в режиме реального времени
6) Своевременно оповещать и фиксировать инциденты
7) Агрегировать события в единое хранилище для расследования
инцидентов
8) Формировать отчеты
3
4. Зачем LM/SIEM в компании?
Пример – Соответствие стандартам
• PCI DSS: 1.1.6.b, 1.2, 1.2.1, 1.2.2, 1.2.3, 1.3, 1.3.2, 1.3.3, 1.3.4, 1.3.5,
1.3.7, 1.4, 2.1, 2.1.1.b, 2.1.1.c, 2.2.2.b, 2.2.3, 2.3, 2.4, 4.1, 5.1, 6.1,
6.2, 6.5.4, 6.5.5, 6.5.8, 7.1, 7.2, 8.1.2, 8.1.4, 8.1.5, 8.1.6, 8.1.7, 8.2.3,
8.2.4, 8.5, 8.6, 8.7, 10.*, 11.* а также некоторые другие пункты
стандарта
• SOX, ISO 2700x, СТО БР ИББС …
4
5. Зачем LM/SIEM в компании?
• Сканеры уязвимости выявляют проблемы, в среднем, один раз в
неделю
• Множество средств защиты – разрозненные данные, которые
необходимо сохранять, просматривать и анализировать
• Просмотр событий на отдельно взятом средстве защиты может не
дать полноты картины, в отличие от выборки событий с
нескольких
• Сигнатуры у средства защиты может и не быть, что легко
дополнить с помощью правила SIEM или запросом к базе LM по
событиям
5
6. Пример 1
• Мы убедились что соответствуем политике ИБ:
• telnet нигде не включен
• не используются системные учетные записи
• password never expire у учетных записей не установлен
• для доступа используется не уязвимое ПО
• Проверили сканером уязвимостей, опросили сотрудников.
• Считаем что в нашей компании все нормально.
• А тем временем, на следующий день, появляется системная учетная
запись по умолчанию, устанавливаются опции password never expire,
используется уязвимая версия putty, эксплойт на которую вышел
сегодня. Обо всем этом – мы можем не узнать.
6
7. Пример 2
• Третий день подряд в нашем интернет-магазине нет заказов. И не
понятно почему.
• А тем временем, при оформлении товара, клиенты видят ошибку
и не могут продолжить процедуру оформления. Без LM/SIEM мы
узнаем об этом только при жалобе сознательного клиента.
7
8. Пример 3
• Кто то сменил пароль генерального директора и отправил письма
по контактам в адресной книге
• Как назло журналы событий на сервере очищены или затерты
более новыми?
8
9. Методы контроля
LM SIEM
Где увидим инцидент На дашбордах, в выборке по
событиям, в отчетах
В автоматически
зарегистрированных
инцидентах в режиме реального
времени
Как увидим инцидент Регулярно просматривать
события
Автоматически
зарегистрированные
инциденты, просмотр событий,
обновление правил корреляции,
аналитика
На что полагаемся Опыт операторов Опыт вендора, практические
кейсы и аналитика вложенные в
инструментальные
автоматические средства в
SIEM
9
10. • Стоимость LM/SIEM систем в минимальной инсталляции –
от 300 000 р. С учетом необходимости хранения событий от полугода.
• Стоимость адаптации open-source LM системы в компании под
потребности:
• 1-2 сотрудника с заработной платой от 100 000 р
• Минимум полгода работы с занятостью 70%
• ± 840 000 р.
• При этом, большинство источников не будут подключены, система будет
работать со сбоями, при уходе сотрудников, скорее всего, проект будет
провален и бюджет потрачен зря.
• Написать свою LM/SIEM работоспособную систему – от 20 000 000/70
000 000 р.
10
11. Что такое LM
• LM (log management) – предназначен для сбора, нормализации,
обработки событий с различных источников (операционных
систем, программного обеспечения, сетевого оборудования и
т.п).
• LM собирает и агрегирует события для анализа (что происходит),
расследования инцидентов, построения отчетов.
• В отличие от SIEM, LM не имеет штатных средств корреляции для
автоматического анализа и оповещения об инцидентах.
• Тем не менее, LM – эффективный инструмент для анализа и
мониторинга, способный помочь в решении проблем
11
12. Мы рады помочь Вам и предоставляем в свободный доступ для
использования готовое решение класса LM – Free RvSIEM
12
13. О RuSIEM
• Разработка ведется с 2014 года
• Команда разработки имеет большой опыт
• Мы делаем не просто классический SIEM. Он нужен чтобы
подготовить данные для дальнейшего анализа – автоматической
аналитики без правил корреляции, AI, deep learning.
• Наши разработки широко используются во множестве крупных
компаний по всему миру
• Мы резиденты Сколково
https://rvsiem.com
13
14. Линейка продуктов
RuSIEM “Analytics” Network Sensor Free RvSIEM
SIEM SIEM+Аналитика Сетевой сенсор LM версия
14
• Все продукты имеют модульную архитектуру
• Free RvSIEM расширяется до коммерческих версий RuSIEM
и Analytics
15. Что такое Free RvSIEM
• Free RvSIEM – свободно распространяемая версия LM (log
manager), без публикации открытого кода.
• Распространяется для использования «как есть»
• Изменение авторского права и наименования продукта не
допускается
• Почему название SIEM, ведь free-версия – LM возможности?
• Возможно расширение по-модульно в сторону коммерческой версии
SIEM
15
16. RuSIEM RuSIEM Analytics Free RvSIEM
Дашборды (набор виджетов для оценки показателей в режиме реального времени)
Поиск по событиям
Сохраненные запросы
RBR (rule-based) корреляция
Инцидент менеджмент по ITIL
Симптоматика для тегирования событий понятным описанием
Риск-метрики
Отчеты
Отчеты соответствия стандартам и политикам
Аналитика (агрегация событий) для обнаружения инцидентов без корреляции
Аналитика (baseline) для обнаружения инцидентов без корреляции
Обновляемые ленты угроз (feeds: потенциально опасные ip, hash, url, fqdn, mail)
Аналитика (сложные отчеты с расчетами)
ИТ активы с обновлением в режиме реального времени
Агент с универсальными коннекторами к источникам
Масштабируемость limited
Обновление базы знаний (правила корреляции, отчеты, симтомы)
Поддержка 24x7 24x7 limited
Обновление версий
16
17. Сравнение с аналогами
Free RvSIEM Splunk OSSIM ELK
Модуль отчетности + +* +* -
Наличие собственного агента + - - -
Сбор одним агентом с множества источников + - - -
Без лимита по EPS + - - +
Универсальные коннекторы + - - -
Наличие готовых коннекторов к основным системам (1-5
баллов)
4 2 2 1
Возможность подключения новых источников (1-5) 4 3 2 2
Гибкость поисковых запросов по событиям (1-5) 5 5 3 3
Agent Hash module + - - -
Agent WMI Query + - - -
LDAP Authentication + + + -*
Доступ на основе ролей + - - -
Модульное расширение возможностей системы + - + -
17
18. Лицензия RvSIEM (free)
Свободное использование в личных целях
Установка и использование в компаниях
Открытый исходный код x
White-label x
Продажа/использование в коммерческих целях
Изменение/доработка кода в личных целях и в компаниях без изменения
наименования продукта
Изменение кода в коммерческих целях x
Модификация ПО или использование частей при разработке другого ПО x
Изменение конфигурационных файлов
18
19. Установка – проще ELK
• VmWare ESX 5.5+, MS HyperV из образа OVF
• Версия ОС в образе – Ubuntu 14.04-5 x64
• Установка через dpkg – планируется
• Обновления – через git автоматически с возможностью отключения.
• Портал поддержки и взаимодействия – планируется
• Языковые пакеты – пока только русский и английский.
• Агент – под MS Windows 7+, .net 4.5+. x64/x86
• Минимальные требования для free RvSIEM:
• 4 GB ОЗУ, 1 процессор 2-4 ядра, 70 GB Hdd для системы, диск под данные – под
ваши требования.
19
20. Шаги установки
• Развернуть OVF образ
• Подключить диск для данных согласно руководства
• Настроить сетевые параметры
• Настроить LDAP аутентификацию, параметры агентов и хранения
• Установить агента
• Настроить агента из веб-консоли для сбора с источников
20
26. • Релиз – 17 апреля 2017 года
• Доступны Rus/Eng языковые пакеты.
• Документация для РФ – уже доступна.
• Документация на английском языке – скоро.
• Портал поддержки – скоро.
26
27. Спасибо за внимание
Сайт и поддержка:
• https://rvsiem.com
• support@rvsiem.com
Bug bounty: support@rvsiem.com
27