1 / 41

Metody i produkty do zarządzania, analizy , korelacji i archiwizacji logów

Metody i produkty do zarządzania, analizy , korelacji i archiwizacji logów. Krzysztof Nierodka nierodka@checkpoint.com. Agenda. 1. 2. 3. 4. SmartEvent. SmartEvent Intro. SmartWorkFlow. Podsumowanie. Zarządzanie dużą ilością zdarzeń. Zbyt dużo zdarzeń. Wiele urządzeń.

ronda
Download Presentation

Metody i produkty do zarządzania, analizy , korelacji i archiwizacji logów

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Metody i produkty do zarządzania, analizy, korelacji i archiwizacji logów Krzysztof Nierodka nierodka@checkpoint.com

  2. Agenda 1 2 3 4 SmartEvent SmartEvent Intro SmartWorkFlow Podsumowanie

  3. Zarządzanie dużą ilością zdarzeń Zbyt dużo zdarzeń Wiele urządzeń Brak czasu na analizę zdarzeń

  4. Be SMART

  5. Zarządzanie dużą ilością zdarzeń Zbyt dużo zdarzeń Wiele urządzeń Brak czasu na analizę zdarzeń

  6. Zarządzanie dużą ilością zdarzeń Jak znaleźć istotny komunikat? Skąd wiedzieć co jest prawdziwym zagrożeniem?

  7. Zarządzanie dużą ilością zdarzeń Potrzeba użytecznych informacji Wykorzystanie informacji w celu zablokowania ataków

  8. Najczęstsze potrzeby Większa Czytelność Szybsza Naprawa Proste Wdrożenie ŁatwaIntegracja

  9. Agenda 1 2 3 4 SmartEvent SmartEvent Intro SmartWorkFlow Podsumowanie

  10. Trochę historii • SmartEvent blade jest dostępny w dwóch wersjach: • SmartEvent Full Package • Zapewnia scentralizowaną, działającą w czasie rzeczywistym korelację zdarzeńoraz zarządzanie zdarzeniami generowanymi przez produkty Check Point oraz produkty firm trzecich. • Znany wcześniej jako Event Correlation blade lub Eventia Analyzer • SmartEvent Intro package • Zapewnia scentralizowaną, działającą w czasie rzeczywistym korelację zdarzeń oraz zarządzanie zdarzeniami generowanymi przez pojedynczy produkt Check Point (blade) • Zastąpił IPS Event Analysis blade SmartEvent Intro Package SmartEvent Full Package

  11. Monitorujtylkoto co ważne! Łatwo monitoruj najczęstsze zdarzenia Zobacz wszystkie krytyczne zdarzenia Sprawdź źródła i cele ataków Szybko ustal najczęstsze żródła, cele i rodzaje ataków

  12. Pełna integracja Monitorujzdarzenia dla IPS, DLP, endpoint’ówi inne

  13. Timelines View Pojedynczy obiekt informuje o liczbie, czasie wystąpienia i istotności zdarzenia Obserwuj trendy i anomalie

  14. Chart View Wykresy koliste pokazują rozkład procentowy zdarzeń Analizuj problemy używając różnych rodzajów wykresów Wykresy słupkowe pokazują jak zdarzenia rożnią się w czasie Skonfiguruj jak tworzyć wykres W razie potrzeby użyj ponownie

  15. Map View Map view pokazuje kraj źródła lub celu Kolor ilustruje aktywność z danego kraju

  16. Map View Używaj filtry z dowolnymi parametrami

  17. Compliance Reporting Obejrzyj i konfiguruj raporty SOX Compliance

  18. Events Window Wpisz tekst by wyszukać zdarzenie Zdarzenia są teraz pogrupowane Szybko sprawdź liczbę zdarzeń per grupa Przypisz administratora do obsługi zdarzenia Jim jest teraz przypisany do obsługi tego zdarzenia Możliwość obejrzenia zdarzeń zgodnie z predefiniowanymi lub własnymi parametrami

  19. Nazwy użytkowników i komputerów Nie tylko IP, ale również nazwa użytkownika i komputera Typ klienta i serwera

  20. Client Information Tool Oszczędza czas na weryfikację skutków ataku Prawy klik pozwala zdobyć dodatkowe info o kliencie Określenie czy maszyna jest podatna na specyficzny błąd oprogramowania Możliwość analizy ataku wykorzystującego podatność Pokazuje informacje o stacji użytkownika

  21. Szybka dogłębna analiza zdarzeń Od ogółu do szczegółu w trzech kliknięciach 1 klik na symbolu obrazującym zespół zdarzeń 2 klik by wyświetlić zdarzenia na Event View 3 klik wyświetla zawartość pakietu

  22. Szybkie usuwanie podatności Dodawanie ochron z poziomu dziennika zdarzeń Łatwo dodasz ochrony dla wykrytych zagrożeń Zmień politykę by dodać nowe ochrony Ochrona przed wykorzystaniem podatności jest włączona

  23. Geo Protection Możliwośc zablokowania ruchu z całego kraju Możliwośc zablokowania ruchu z całego kraju Zablokuj ruch z danego kraju używając Geo Protection Ruch z Trojanland jest niepożądany Trojanlandzostał właśnie zablokowany Trojanland Trojanland Trojanland Trojanland Trojanland Trojanland Trojanland Trojanland Trojanland See lots of Suspicious Activity from Hacker Land – a know source of attacks Trojanland

  24. Smart-1 SmartEvent Appliances Smart-1 SmartEvent 5 Smart-1 SmartEvent 25 Smart-1 SmartEvent 50 All-in-one Management Appliances

  25. Agenda 1 2 3 4 SmartEvent SmartEvent Intro SmartWorkFlow Podsumowanie

  26. SmartEventIntro - różnice • SmartEvent Intro blade zapewnia scentralizowaną, działającą w czasie rzeczywistym korelację zdarzeń oraz zarządzanie zdarzeniami generowanymi przez pojedynczy produkt Check Point (blade) • Pełne właściwości raportujące są częścią SmartReporter blade (który jest częścią fullSmartEvent blade) • The SmartEvent Intro blade for IPS zapewnia tes same funkcjonalności coIPS Event Analysis blade.

  27. A skoro mowa o IPS... IPS-1 2070 IPS-1 4070 IPS-1 5070 IPS-1 9070

  28. Dedicated vs. Integrated IPS

  29. Agenda 1 2 3 4 SmartEvent SmartEvent Intro SmartWorkFlow Podsumowanie

  30. Zmiany, zmiany, zmiany Potrzeby biznesowe Administratorzy IT Zapory Sieciowe Ciągłe zmiany polityki Ciągłe żądania zmian dostępu • Bezpieczeństwo • Zgodność z normami • Wydajność • Dostepność Ciągłe zmiany polityki Częste zmiany polityki prowadzą do pomyłek i obniżenia poziomu bezpieczeństwa

  31. SmartWorkflow Blade Zarządzanie zmianami polityki bezpieczeństwa

  32. SmartWorkflow– cykl działania

  33. Edycja Polityki Wszystkie zmiany są widoczne Changes Highlighted in SmartDashboard Nowy Obiekt Oznaczona zmiana Zmiany w polityce są oznaczone celem lepszej samokontroli

  34. Kontrola zmian polityki Możliwośćutworzeniaraporturóżnicowego Polityka PRZED zmianą Polityka PO zmianie

  35. Zatwierdzenie zmian Widoczne zmiany ułatwiają proces akceptacji Review and Approve Changes Changes Highlighted in SmartDashboard Dodany obiekt Zmieniona polityka APPROVED!

  36. Śledzenie zmian Co? Dlaczego? Kiedy? Jak? Kto? Śledzenie zmian polityki dla potrzeb audytu Review and Approve Changes Changes Highlighted in SmartDashboard Proces audytowy

  37. SmartWorkflow- Podsumowanie Zarządzanie zmianami polityki bezpieczeństwa Wizualne zarządzanie zmianami Możliwość definiowania ról Śledzenie zmian na potrzeby audytu Element SmartConsole

  38. Agenda 1 2 3 4 SmartEvent SmartEvent Intro SmartWorkFlow Podsumowanie

  39. SmartConsole R71 GoTo: https://sth-se.diino.com/kniero/CPSD2010

  40. Check Point Software Blades Puste „chassis” jest bezużyteczne

  41. Dziękuję! Emilii Plater 53 00-113 Warszawa, Poland Tel. : +48 509 014 100 Email : nierodka@checkpoint.com Web : www.checkpoint.com Krzysztof Nierodka Security Engineer

More Related