1 / 21

Security Event and Information Management: Мониторинг состояния информационной безопасности и разбор инцидентов

Security Event and Information Management: Мониторинг состояния информационной безопасности и разбор инцидентов. Алексей Чередниченко Symantec Corporation. Legal Dept. Compliance. Help Desk. Инциденты. События. Данные из сети, от хостов и устройств .

dorie
Download Presentation

Security Event and Information Management: Мониторинг состояния информационной безопасности и разбор инцидентов

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Security Event and Information Management:Мониторинг состояния информационной безопасности и разбор инцидентов Алексей Чередниченко Symantec Corporation

  2. Legal Dept Compliance Help Desk Инциденты События Данные из сети, от хостов и устройств Трудности обработки событий ИБ:Огромный объем поступающей информации Security Information Management • Security Intelligence • Correlation • Prioritization • Workflow 100 Event Management • IDS/IPS, IDM, Firewall, Antivirus • Policy Compliance • Vulnerability Assessment 100000 Log Consolidation • IDS/IPS, IDM, Firewall, Antivirus • Policy Compliance • Vulnerability Assessment 10000000

  3. Symantec Security Information Manager, обзор продукта • Symantec™ Security Information Manager (SSIM) это готовый программно-аппаратный комплекс, выполняющий: • Сбор информации ИБ, ее классификацию и приоритетность • Корреляцию и определение истинных причин инцидентов • Постоянный мониторинг и управление безопасностью, • Измерение эффективности ресурсов и элементов контроля безопасности

  4. Повышает ROI и снижает затраты на обслуживание Централизованный сбор событий и логов безопасности • Централизованный сбор и хранение данных (в исходных форматах)… • Для forensic анализа • Для соответствия политикам • Поддержка долговременного хранения • Архивное сжатие до 20%-50% • Гибкая поддержка устройств хранения(SAN/NAS/DAS) • Не требуется DBA! • Своя система архива и бэкапа • Возможность online доступа к нужным файлам, для поиска, проверок и восстановления • Не требуется обслуживание базы данных SQL Queries И Отчеты Общая база событий Входящие события Сжатый файловый архив событий

  5. Привлечение внимания только на действительно важные события Активы и приоритеты • Автоматическая расстановка приоритетов, основываясь на: • Критичность для бизнеса • Политики и соответствия • Состояние уязвимости • Открытые порты/сервисы • Изменение расстановки приоритетов через «тонкие» настройки • Интуитивный редактор правил • Тест эффективности с помощью архивных событий • Минимизация ложных срабатываний • Например критичен ли Windows RPC exploit направленный на Unix server?

  6. Выявление истинных причин Определение и Корреляция (выявление важных причин) • Легкостьиспользования – графический редактор правил • «Нормирование» событий – события автоматически классифицируются и коррелируются для выявления истинных причин • Мониторинг контента - анализ IP и URL используя листы DeepSight и Symantec MSS • Проверенные предопределенные правила корреляции -worms propagations, viruses, DoS, malicious attacks и другие типы деструктивной активности

  7. Выявления аномальных действий Идентификация – Identity Management и User Activity Monitoring • Поиск по действиям пользователей: • Разбор действий пользователей на основе событий полученных от различных источников (VPN, OS, Firewall, IDS) • Поиск и анализ по событиям из архивов. • Корреляция и оповещение о действиях пользователей: • Создание таблиц пользователей для использования в правилах • Создание правил основанных на действиях пользователей

  8. Мост между безопасностью и обслуживанием Мощное обслуживание инцидентов • Мощная система оповещений • Оповещения через email, pager и SNMP • Встроенная система HelpDesk, возможность интеграции с другими • Автоматическое назначение инцидентов на пользователей • Рекомендации по исправлению (для обслуживающего персонала) • Содержит пошаговые инструкции по исправлению (постоянно обновляются)

  9. Измерение эффективности и отчет Система отчетов – Меряет эффективностьэлементов контроля ИБ • Perform forensics searches • Simplify and accelerate log review • Produce reports for auditors • Customize queries • Automate review of key reports • Customize user dashboards • Identify trends over time • Schedule automatic report distribution • Customize with query wizard • Import company logo, customize headers, footers, legends, etc. • Generate multi-page, multi-query reports • Export to multiple file formats (CSV, pdf, html, xml)

  10. Спасибо!!!

  11. Security Information Manager Architecture

  12. Flexible Options and Easy Deployment Symantec Security Information Manager Appliance Models • Correlation Model 9650 • Required to normalize, filter, aggregate, correlate, store, monitor, and manage all tiers of the network infrastructure • Collection Model 9630 • Optional model to normalize, filter, aggregate firewall, IDS, integrated security events • Both models include agent-less collectors for CheckPoint, Cisco PIX, Juniper NetScreen, SNORT, Generic Syslog and more.

  13. Symantec Security Information Manager Example Deployment

  14. Flexible Role-based Access Control and Data Management Deployment scenario 2: Regional Deployments Symantec Security Information Manager Model 9650 (Correlation Appliance) Symantec Security Information Manager 9630 (Collection Appliance) Management console Vulnerability AV FW NIDS Headquarters Regional office A Regional office B Symantec SecurityInformation Manager 9630 (Collection Appliance) Symantec SecurityInformation Manager 9630 (Collection Appliance) Firewall events Antivirus events Firewall events Antivirus events IDS events Vulnerability events IDS events Vulnerability events

  15. Collector Collector Custom Sensor Custom Sensor Syslog Sensor Syslog Sensor Database Sensor Database Sensor File Sensor File Sensor Agent Collector Architecture: Syslog and Database Sensor Examples Syslog Sensor Examples: Unix/Linux Servers, Switches/Hubs, Firewalls and IDS capable of syslog. (syslog – tcp/udp) Symantec Security Information Manager (Correlation or Collection Appliance) (JDBC) Database Sensor Examples: HIDS, AV, Vulnerability Scanners are examples of some of the types of products where logs are typically stored in relational databases. (SSL)

  16. Collector Collector Custom Sensor Custom Sensor Syslog Sensor Syslog Sensor Database Sensor Database Sensor File Sensor File Sensor Agent Collector Architecture: Custom and File Sensor Examples Custom Sensor Examples: Windows Event Log Sensor and Checkpoint LEA sensors (Windows RPC) Symantec Security Information Manager (Correlation or Collection Appliance) (OPSEC LEA) File Sensor Examples: Custom Applications, HIDS, AV, Vulnerability Scanners are examples of some of the types of products where logs are sometimes stored in flat files. Symantec slkdjflaskdjflsakdjfalskdjfalskdjflsakdjflaskdjfalskdfjalskdfjlsakdjflaskdjflsakdjfasdfaAppliance) (SSL) (C:\path\to\log.txt)

  17. Коллекторы Событий - Более 100 поддерживаемых продуктов Intrusion Detection/Prevention Symantec Network Security (SNS) Symantec HIDS Symantec ITA Snort Symantec Sygate Symantec Critical System Protection Cisco IDS Cisco Security Agents TippingPoint NIPS Enterasys Network Dragon eEye Retina JuniperIDP ISS Siteprotector McAfee Intrushield SourceFire Firewalls Symantec Gateway Security Cisco PIX Cisco FWSM Nokia FW Juniper NetScreen Firewall Checkpoint Firewall-1 Nortel Contivity Fortinet Fortigate SunScreen Microsoft Windows Firewall Microsoft ISA Routers, Switches and VPN Cisco IOS Juniper VPN CyberGuard Cisco VPN 3000 Concentrator Enterprise AV Solutions Symantec AntiVirus Symantec Client Security Symantec Mail Security for Exchange Symantec Mail Security for Lotus Domino Symantec Mail Security for SMTP  McAfee EPOMcAfee GroupShield McAfee VirusScan Trend Micro Control Manager (TMCM) Trend Micro OfficeScan Trend Server Protect Information Server Trend Interscan Messaging Security Suite Trend Scanmail for Exchange Trend Scanmail for Notes Trend Interscan Viruswall Trend Interscan Web Security Suite Operating systems Microsoft Windows Event Log Solaris OS Collector Sun BSM SUSE Linux Debian Linux RedHat Linux IBM AIX HP/UX Tandem SELinux IPTables • Web servers, Filters and Proxies • Apache Web Server • IBM Websphere • Bluecoat Proxy • Microsoft ISA • Microsoft IIS • Sun One WebServer Other Cisco Netflow Fox Server Control Blue Lance LT Auditor PassGo UPM Kiwi Syslog Generic Syslog Symantec Cyberwolf Symantec Wholesecurity Vulnerability/Policy Scanners Symantec ESM Symantec Bindview Nessus nCircle Qualys QualysGuard StillSecure VAM Identifty Management Microsoft Windows DHCP Microsoft Operations Manager Microsoft Active DirectoryRSA SecurID Cisco ACS Databases Oracle Security Logs (9i & 10g) MS SQL Server Logs

  18. Key Competitive Points • SSIM does not require a database for storing security & compliance data • Other solutions are very costly to purchase and require constant maintenance • Arcsight, Netforencis, ESecurity • SSIM’s integration of the Global Intelligent Network (GIN) provides detailed security knowledge updates in real-time • None of the competitors do this • SSIM’s correlation performance is unmatched • SSIM’s correlation method is unique in the way we classify events and tie them back to the GIN security knowledge • SSIM provides comprehensive AV reporting • SSIM’s administration model is much more scalable from a distributed enterprise perspective • SSIM enables delegated administration across multiple domains • SSIM is much easier to deploy • Arcsight

  19. What’s New in SSIM 4.5 • Long term log and event archiving • Enables long term retention of raw and normalized event logs for forensic and compliance mandates • Numerous new storage options now available including DAS, SAN, NAS and NetBackup certification • Increased event capacity and higher performance data queries • Improved Compliance, Risk and Security Management Reporting • Hundreds of pre-canned reports for specific reporting mandates which can be customized to fit your needs • Reports can be automatically scheduled and distributed to stakeholders • Stronger manageability for enterprise deployments • Richer granular and role based access controls • Improved performance through improved archiving and hardware platform • Rule grouping to simplify management of correlation rules • Web Service API to securely access and update the data that is stored on an appliance • Use the API to publish asset, incident, and ticket information, or to integrate SIM with help desk, inventory, and notification applications • Improved threat identification • Anomaly detection through custom rules script • Richer information from Symantec’s Global Intelligence Network

  20. FY07 Product Goals • Satisfy important regulatory compliance requirements • Log retention/archive (including raw events) • Incident/event forensics • Improve usability for large-scale deployments • Automated report scheduling and distribution • Enhanced incident, ticket, and asset management • Lower total cost of ownership • Cost-effective storage options (DAS; NAS) • Self-management capabilities • Improve system and reporting performance • Build library of supported event collectors

  21. Identify Prioritize Respond Review Security Management Workflow

More Related