security event and information management n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Security Event and Information Management: Мониторинг состояния информационной безопасности и разбор инцидентов PowerPoint Presentation
Download Presentation
Security Event and Information Management: Мониторинг состояния информационной безопасности и разбор инцидентов

Loading in 2 Seconds...

play fullscreen
1 / 21

Security Event and Information Management: Мониторинг состояния информационной безопасности и разбор инцидентов - PowerPoint PPT Presentation


  • 115 Views
  • Uploaded on

Security Event and Information Management: Мониторинг состояния информационной безопасности и разбор инцидентов. Алексей Чередниченко Symantec Corporation. Legal Dept. Compliance. Help Desk. Инциденты. События. Данные из сети, от хостов и устройств .

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Security Event and Information Management: Мониторинг состояния информационной безопасности и разбор инцидентов' - dorie


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
security event and information management

Security Event and Information Management:Мониторинг состояния информационной безопасности и разбор инцидентов

Алексей Чередниченко

Symantec Corporation

slide2

Legal Dept

Compliance

Help Desk

Инциденты

События

Данные из сети, от хостов и устройств

Трудности обработки событий ИБ:Огромный объем поступающей информации

Security Information Management

  • Security Intelligence
  • Correlation
  • Prioritization
  • Workflow

100

Event Management

  • IDS/IPS, IDM, Firewall, Antivirus
  • Policy Compliance
  • Vulnerability Assessment

100000

Log Consolidation

  • IDS/IPS, IDM, Firewall, Antivirus
  • Policy Compliance
  • Vulnerability Assessment

10000000

symantec security information manager
Symantec Security Information Manager, обзор продукта
  • Symantec™ Security Information Manager (SSIM) это готовый программно-аппаратный комплекс, выполняющий:
    • Сбор информации ИБ, ее классификацию и приоритетность
    • Корреляцию и определение истинных причин инцидентов
    • Постоянный мониторинг и управление безопасностью,
    • Измерение эффективности ресурсов и элементов контроля безопасности
slide4

Повышает ROI и снижает затраты на обслуживание

Централизованный сбор событий и логов безопасности
  • Централизованный сбор и хранение данных (в исходных форматах)…
    • Для forensic анализа
    • Для соответствия политикам
  • Поддержка долговременного хранения
    • Архивное сжатие до 20%-50%
    • Гибкая поддержка устройств хранения(SAN/NAS/DAS)
  • Не требуется DBA!
    • Своя система архива и бэкапа
    • Возможность online доступа к нужным файлам, для поиска, проверок и восстановления
    • Не требуется обслуживание базы данных

SQL

Queries

И

Отчеты

Общая база событий

Входящие события

Сжатый файловый архив событий

slide5

Привлечение внимания только на действительно важные события

Активы и приоритеты
  • Автоматическая расстановка приоритетов, основываясь на:
    • Критичность для бизнеса
    • Политики и соответствия
    • Состояние уязвимости
    • Открытые порты/сервисы
  • Изменение расстановки приоритетов через «тонкие» настройки
    • Интуитивный редактор правил
    • Тест эффективности с помощью архивных событий
  • Минимизация ложных срабатываний
    • Например критичен ли Windows RPC exploit направленный на Unix server?
slide6

Выявление истинных причин

Определение и Корреляция (выявление важных причин)
  • Легкостьиспользования – графический редактор правил
  • «Нормирование» событий – события автоматически классифицируются и коррелируются для выявления истинных причин
  • Мониторинг контента - анализ IP и URL используя листы DeepSight и Symantec MSS
  • Проверенные предопределенные правила корреляции -worms propagations, viruses, DoS, malicious attacks и другие типы деструктивной активности
identity management user activity monitoring

Выявления аномальных действий

Идентификация – Identity Management и User Activity Monitoring
  • Поиск по действиям пользователей:
    • Разбор действий пользователей на основе событий полученных от различных источников (VPN, OS, Firewall, IDS)
    • Поиск и анализ по событиям из архивов.
  • Корреляция и оповещение о действиях пользователей:
    • Создание таблиц пользователей для использования в правилах
    • Создание правил основанных на действиях пользователей
slide8

Мост между безопасностью и обслуживанием

Мощное обслуживание инцидентов
  • Мощная система оповещений
    • Оповещения через email, pager и SNMP
    • Встроенная система HelpDesk, возможность интеграции с другими
    • Автоматическое назначение инцидентов на пользователей
  • Рекомендации по исправлению (для обслуживающего персонала)
    • Содержит пошаговые инструкции по исправлению (постоянно обновляются)
slide9

Измерение эффективности и отчет

Система отчетов – Меряет эффективностьэлементов контроля ИБ
  • Perform forensics searches
    • Simplify and accelerate log review
    • Produce reports for auditors
    • Customize queries
  • Automate review of key reports
    • Customize user dashboards
    • Identify trends over time
    • Schedule automatic report distribution
  • Customize with query wizard
    • Import company logo, customize headers, footers, legends, etc.
    • Generate multi-page, multi-query reports
    • Export to multiple file formats (CSV, pdf, html, xml)
symantec security information manager appliance models

Flexible Options and Easy Deployment

Symantec Security Information Manager Appliance Models
  • Correlation Model 9650
    • Required to normalize, filter, aggregate, correlate, store, monitor, and manage all tiers of the network infrastructure
  • Collection Model 9630
    • Optional model to normalize, filter, aggregate firewall, IDS, integrated security events
  • Both models include agent-less collectors for CheckPoint, Cisco PIX, Juniper NetScreen, SNORT, Generic Syslog and more.
deployment scenario 2 regional deployments

Flexible Role-based Access Control and Data Management

Deployment scenario 2: Regional Deployments

Symantec Security Information Manager

Model 9650 (Correlation Appliance)

Symantec Security

Information Manager 9630

(Collection Appliance)

Management console

Vulnerability

AV

FW

NIDS

Headquarters

Regional office A

Regional office B

Symantec SecurityInformation Manager 9630

(Collection Appliance)

Symantec SecurityInformation Manager 9630

(Collection Appliance)

Firewall events

Antivirus events

Firewall events

Antivirus events

IDS events

Vulnerability events

IDS events

Vulnerability events

collector architecture syslog and database sensor examples

Collector

Collector

Custom Sensor

Custom Sensor

Syslog Sensor

Syslog Sensor

Database Sensor

Database Sensor

File Sensor

File Sensor

Agent

Collector Architecture: Syslog and Database Sensor Examples

Syslog Sensor Examples:

Unix/Linux Servers,

Switches/Hubs, Firewalls

and IDS capable of syslog.

(syslog – tcp/udp)

Symantec Security Information Manager

(Correlation or Collection Appliance)

(JDBC)

Database Sensor Examples:

HIDS, AV, Vulnerability Scanners are examples of

some of the types of products where logs are

typically stored in relational databases.

(SSL)

collector architecture custom and file sensor examples

Collector

Collector

Custom Sensor

Custom Sensor

Syslog Sensor

Syslog Sensor

Database Sensor

Database Sensor

File Sensor

File Sensor

Agent

Collector Architecture: Custom and File Sensor Examples

Custom Sensor Examples:

Windows Event Log Sensor and

Checkpoint LEA sensors

(Windows RPC)

Symantec Security Information Manager

(Correlation or Collection Appliance)

(OPSEC LEA)

File Sensor Examples:

Custom Applications, HIDS, AV, Vulnerability

Scanners are examples of some of the types of

products where logs are sometimes stored in flat

files.

Symantec slkdjflaskdjflsakdjfalskdjfalskdjflsakdjflaskdjfalskdfjalskdfjlsakdjflaskdjflsakdjfasdfaAppliance)

(SSL)

(C:\path\to\log.txt)

slide17
Коллекторы Событий - Более 100 поддерживаемых продуктов

Intrusion Detection/Prevention

Symantec Network Security (SNS)

Symantec HIDS

Symantec ITA

Snort

Symantec Sygate

Symantec Critical System Protection

Cisco IDS

Cisco Security Agents

TippingPoint NIPS

Enterasys Network Dragon

eEye Retina

JuniperIDP

ISS Siteprotector

McAfee Intrushield

SourceFire

Firewalls

Symantec Gateway Security

Cisco PIX

Cisco FWSM

Nokia FW

Juniper NetScreen Firewall

Checkpoint Firewall-1

Nortel Contivity

Fortinet Fortigate

SunScreen

Microsoft Windows Firewall

Microsoft ISA

Routers, Switches and VPN

Cisco IOS

Juniper VPN

CyberGuard

Cisco VPN 3000 Concentrator

Enterprise AV Solutions

Symantec AntiVirus

Symantec Client Security

Symantec Mail Security for Exchange

Symantec Mail Security for Lotus Domino

Symantec Mail Security for SMTP 

McAfee EPOMcAfee GroupShield

McAfee VirusScan

Trend Micro Control Manager (TMCM)

Trend Micro OfficeScan

Trend Server Protect Information Server

Trend Interscan Messaging Security Suite

Trend Scanmail for Exchange

Trend Scanmail for Notes

Trend Interscan Viruswall

Trend Interscan Web Security Suite

Operating systems

Microsoft Windows Event Log

Solaris OS Collector

Sun BSM

SUSE Linux

Debian Linux

RedHat Linux

IBM AIX

HP/UX

Tandem

SELinux

IPTables

  • Web servers, Filters and Proxies
  • Apache Web Server
  • IBM Websphere
  • Bluecoat Proxy
  • Microsoft ISA
  • Microsoft IIS
  • Sun One WebServer

Other

Cisco Netflow

Fox Server Control

Blue Lance LT Auditor

PassGo UPM

Kiwi Syslog

Generic Syslog

Symantec Cyberwolf

Symantec Wholesecurity

Vulnerability/Policy Scanners

Symantec ESM

Symantec Bindview

Nessus

nCircle

Qualys QualysGuard

StillSecure VAM

Identifty Management

Microsoft Windows DHCP

Microsoft Operations Manager

Microsoft Active DirectoryRSA SecurID

Cisco ACS

Databases

Oracle Security Logs (9i & 10g)

MS SQL Server Logs

key competitive points
Key Competitive Points
  • SSIM does not require a database for storing security & compliance data
    • Other solutions are very costly to purchase and require constant maintenance
      • Arcsight, Netforencis, ESecurity
  • SSIM’s integration of the Global Intelligent Network (GIN) provides detailed security knowledge updates in real-time
    • None of the competitors do this
  • SSIM’s correlation performance is unmatched
  • SSIM’s correlation method is unique in the way we classify events and tie them back to the GIN security knowledge
  • SSIM provides comprehensive AV reporting
  • SSIM’s administration model is much more scalable from a distributed enterprise perspective
  • SSIM enables delegated administration across multiple domains
  • SSIM is much easier to deploy
    • Arcsight
what s new in ssim 4 5
What’s New in SSIM 4.5
  • Long term log and event archiving
    • Enables long term retention of raw and normalized event logs for forensic and compliance mandates
    • Numerous new storage options now available including DAS, SAN, NAS and NetBackup certification
    • Increased event capacity and higher performance data queries
  • Improved Compliance, Risk and Security Management Reporting
    • Hundreds of pre-canned reports for specific reporting mandates which can be customized to fit your needs
    • Reports can be automatically scheduled and distributed to stakeholders
  • Stronger manageability for enterprise deployments
    • Richer granular and role based access controls
    • Improved performance through improved archiving and hardware platform
    • Rule grouping to simplify management of correlation rules
    • Web Service API to securely access and update the data that is stored on an appliance
      • Use the API to publish asset, incident, and ticket information, or to integrate SIM with help desk, inventory, and notification applications
  • Improved threat identification
    • Anomaly detection through custom rules script
    • Richer information from Symantec’s Global Intelligence Network
fy07 product goals
FY07 Product Goals
  • Satisfy important regulatory compliance requirements
    • Log retention/archive (including raw events)
    • Incident/event forensics
  • Improve usability for large-scale deployments
    • Automated report scheduling and distribution
    • Enhanced incident, ticket, and asset management
  • Lower total cost of ownership
    • Cost-effective storage options (DAS; NAS)
    • Self-management capabilities
    • Improve system and reporting performance
  • Build library of supported event collectors