1 / 34

SIEM

SIEM. Michal Červinka , michal.cervinka@soft-tronik.cz Pre-Sales System Engineer SOFT-TRONIK, a.s. Web cache & proxy logs. Web server activity logs. Content management logs. Switch logs. IDS/IDP logs. VA Scan logs. Router logs. Windows logs. Windows domain logins. VPN logs.

claral
Download Presentation

SIEM

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SIEM Michal Červinka, michal.cervinka@soft-tronik.cz Pre-Sales System Engineer SOFT-TRONIK, a.s.

  2. Web cache & proxy logs Web server activity logs Content management logs Switch logs IDS/IDP logs VA Scan logs Router logs Windows logs Windows domain logins VPN logs Firewall logs Wireless access logs Linux, Unix, Windows OS logs Oracle Financial Logs Mainframe logs Client & file server logs DHCP logs San File Access Logs VLAN Access & Control logs Database Logs Dnešní podniková IT infrastrukturaHory dat, mnoho “vlastníků“ Malicious Code Detection Spyware detection Real-Time Monitoring Troubleshooting Access Control EnforcementPrivileged User Management Configuration ControlLockdown enforcement UnauthorizedService DetectionIP Leakage False Positive Reduction SLA Monitoring User Monitoring How do you collect & protect all the data necessary to secure your network and comply with critical regulations?

  3. ACCESS CONTROL SOFTWARE FINANCIAL SOFTWARE FIREWALLS OPERATING SYSTEMS WORK- STATIONS ANTIVIRUS SOFTWARE INTRUSION PREVENTION Vznik informačních„sil“Redundant Information Management

  4. Server Engineering Business Ops. Compliance Audit Risk Mgmt. Security Ops. Desktop Ops. Network Ops. Application & Database Alert/Correlation Asset Ident. Report Baseline Forensics Log Mgmt. Incident Mgmt. Solution: RSA enVisionA 3-in-1 Log Management Platform… Enhance Security & Mitigate Risk Simplify Compliance Optimize IT & Network Operations Access Control Enforcement SLA Compliance Monitoring False Positive Reduction Real-time Alerts Unauthorized Network Service Detection Privileged User Monitoring Access Control Configuration Control Malicious Software Policy Enforcements User Monitoring & Management Environmental & Transmission Security Monitor network assets Troubleshoot network issues Assist with Helpdesk operations Optimize network performance Gain visibility into user behavior Build baseline of normal network activity All the Data Log Management Any enterprise IP device – Universal Device Support (UDS) No filtering, normalizing, or data reduction Security events & operational information No agents required …for Compliance, Security and IT & Network Operations

  5. Požadavky na „dobrý Log Management“ • Sbírat a uchovávat VŠECHNA DATA • Umožňovat„Compliance and Security Operations“ • Minimalizovat náklady na provoz

  6. RSA enVision – Architektura řešení Michal Červinka Pre-Sales System Engineer SOFT-TRONIK, a.s.

  7. Co je enVision? • enVision = síťové řešení, které umožní centrálně • vidět • rozumět • reportovat • chránit • dlohodobě ukládat co se děje v síti a na jejích hranicích

  8. Klíčové vlastnosti řešení enVision • Žádní agenti na sledovaných systémech • Žádná ztráta informací • Žádné nepodporované systémy

  9. Obsah prezentace • Funkční části řešení enVision • Zpracování dat – sběr • Zpracování dat – správa dat • Zpracování dat – analýza • Topologie řešení • Produktová řada

  10. Funkční části řešení enVision • Zpracování dat – sběr • Zpracování dat – správa dat • Zpracování dat – analýza • Topologie řešení • Produktová řada

  11. Funkční části enVision sestává ze 3 funkčních celků: • Collector–sbírá informace o událostech • Database–řídí přístup k uloženým informacím • Application–poskytuje uživatelům analytické nástroje

  12. Funkční části řešení enVision • Zpracování dat – sběr • Zpracování dat – správa dat • Zpracování dat – analýza • Topologie řešení • Produktová řada

  13. Sběr bez agentů - podporované protokoly • Syslog, Syslog NG • SNMP • Formatted log files • ODBC connection to remote databases • Windows event logging API • CheckPoint OPSEC interface • Cisco IDS POP/RDEP/SDEE B-2

  14. Zpracování dat – sběr

  15. Výhoda LogSmart IPDB– rychlost ukládání

  16. Funkční části řešení enVision • Zpracování dat – sběr • Zpracování dat – správa dat • Zpracování dat – analýza • Topologie řešení • Produktová řada

  17. Data Loss • Data Loss: events are lost due to selective collection or system bottleneck Data Explosion • Data Explosion: indexes & related data structure information is added (can result in <10x data) LogSmart IPDB Princip rychlého ukládání Limitations of Relational Database • Not designed for unstructured data (log) • Requires processing (filter, normalize, parse) Parallel analysis • Unpredictable consumption: collection bottleneck impacts use of data (e.g. alerts) Authenticated Unpredictable Alerts Compressed Relational Database Encrypted

  18. Zpracování dat - správa

  19. Výhoda LogSmart IPDB - komprese

  20. Problém – dlouhodobá správa dat Source: Enterprise Strategy Group, 2006

  21. Online Policy (1 Year) Retention Policy EMC Centera EMC Celerra RSA enVision Information Lifecycle Management • uživatel definuje ILM • RSA enVision automaticky zajišťuje Capture Compress Retain in Nearline Retire Secure Store Online

  22. Funkční části řešení enVision • Zpracování dat – sběr • Zpracování dat – správa dat • Zpracování dat – analýza • Topologie řešení • Produktová řada

  23. Podpora „libovolných“ zařízení Přímo podporovaná zařízení • viz. http://www.rsasecured.com Universal Device Support • vlastní definice formátu

  24. Zpracování dat - analýza

  25. Analytické nástroje Event Explorer Dashboards Over 800 reports for regulatory compliance & security operations

  26. Funkční části řešení enVision • Zpracování dat – sběr • Zpracování dat – správa dat • Zpracování dat – analýza • Topologie řešení • Produktová řada

  27. Single Appliance řešení – ES Series

  28. Multi-appliance řešení – LS Series

  29. 3 4 6 2 1 7 5 Distribuované řešení - DOMAIN • MASTER SITE • SUBORDINATE SITE

  30. Funkční části řešení enVision • Zpracování dat – sběr • Zpracování dat – správa dat • Zpracování dat – analýza • Topologie řešení • Produktová řada

  31. LS Series ES Series Pricing is Tied to a Performance RatingEPS Plus Device Count 300,000 EPS 30000 10000 7560 7500 5060 5000 A60 D60 L605, L610 R601, R602 ES 2560 2500 3060 1060 1000 560 1260 # DEVICES 500 100 200 400 750 1250 1500 2048 30,000

  32. Požadavky na „dobrý Log Management“ • Sbírat a uchovávat VŠECHNA DATA • Umožňovat„Compliance and Security Operations“ • Minimalizovat náklady na provoz

  33. Požadavky na „dobrý Log Management“  • Sbírat a uchovávat VŠECHNA DATA • Any enterprise IP device • Security exception events and IT operations information • No filtering, normalizing, or data reduction • Umožňovat„Compliance and Security Operations“ • Customizable work environments for compliance and security professionals • Standard, customizable compliance & security reports / alerts • Industry leadership Compliance and Security ILM tools • Minimalizovat náklady na provoz • Compressed data store • Easy to deploy appliance package • No DBA resources required • No agents required  

  34. Thank you!

More Related