Duration 10:39
16+
Play
Video

Жизнеспособность SOC, построенного на базе опенсорсного SIEM

Duration 10:39
16+
Play
Video

Жизнеспособность SOC, построенного на базе опенсорсного SIEM

Игорь Питерских
Независимый эксперт по ИБ at
  • Video
  • Audio
  • Table of contents
  • Video
  • Audio
Код ИБ Онлайн 2020
January 29, 2020, Екатеринбург, Россия
Код ИБ Онлайн 2020
Video
Жизнеспособность SOC, построенного на базе опенсорсного SIEM
Available
In cart
Free
Free
Free
Free
Free
Free
Add to favorites
19
I like 0
I dislike 0
Available
In cart
Free
Free
Free
Free
Free
Free
  • Description
  • Transcript
  • Discussion

Меня зовут питерских Игорь теме соков наверное примерно 10 лет когда они конечно назывались немного по-другому вообще я вырос скажем так всем arcsight и во многом во многих аспектах считаю это он им всем А может достаточно удобный инструмент который падает очень большим спектром возможностей и скажем так составляет наверное любую задачу по срокам которые можно придумать где то хорошо то плохо Ну скажем так arcsight не тема разговора с некоторых пор я интересуюсь сложные

решения в части сроков и Попробую рассказать Ну вот например в шорт-лист схемов который я выбрал Давайте кратко их обговорим Ну например 17 достаточно известная штука этом скажем так бесплатно версия сильно отличается платный Ну и целом он довольно тяжело песен горелок больше тоже налогов Чем пропитать 7 Apache metron это чай нацистский по-моему проект который был передан в opensource и начала называться Apache metron скажем так он уже довольно давно довольно много релизов выпущена

но при этом Community у него не такое большое и какой-либо информации Вы по нему особо и не найдёте это всем от могилы Как можно догадаться по названию построенную с участием стёк скажем так Пошли они Подворье интересного пути взяли готовый Ёлка Ну то есть у них внутри тот же elastic kibana logstash можно использовать и к нему сверху приделали интерфейс по созданию торрент скриптами входит в базу и различные действие выполняет воздух в принципе тоже построена Ёлка он идёт примерно как продолжение наверное aoshima

Ну и не совсем сел kibana plugin sentinel которые можно поставить на экран позволяет строить правила начального уровня и довольно быстро выйти вообще в тему Ну если говорить их примерно общий плюсы и минусы минусом можно считать что большинство Не такой уж и большой сообщество если не говорить на примерах конкретных участие отсутствует визуализации нилогов такая какая имеется участии других продуктов интеграция со сторонними сервисами хромает чаще всего приходится дописывать самостоятельно часть немеют

агентов или немеют самостоятельных Я например нужно использовать элементы того же такие Ёлка электронные инструменты сложность внедрения можно отнести также к минусам множество необходимых доработок отсутствии техподдержки Ну соответственно когда он будет техподдержка если Ну и скудные инвентарь средств по сравнению с базисным решением плюсы можно отнести низкую стоимость низкую цену прохождение гибкость при наличии разработчика в вашей команде сейчас мы написали что у нас может быть теперь давай идём

к тому как должен работать сок Какие примеры задач он должен выполнять Ну то есть есть у слова говорят линии у кого-то может быть другое мнение Ну скажем так я привык примерно следующим параметрам 21 Линия комментарием поступающих событий их фильтрация нахождение инструментов которые подпадают под показатель того что это реально инцидент Вторая линия обследование уже получают цемент от первой ли заниматься расследованием завершением где-то устранением последствий и передает свои мысли 3 линии которые можно подумать

осмыслить понять Как не допустить подобный инцидент в следующий раз настраивать новые правила корреляции отслеживать актуальные угрозы дружить между собой и всех остальных сотрудников и остальные системы если смотреть более глобально то сок может во-первых разных уровней на каждом уровне развития требования которые предъявляются к слову совершенно различаются и каким-то компаниям достаточного уровня каким-то последующих зависимости от того насколько критичны данные могут потечь то есть также он не живет в вакууме Он защищает выполняют конкретных угроз

он не просто живет сам по себе что вы должны делать сок потому что у вас должен быть Сок Сок это средствами минимизации рисков это средство от раннего обнаружения вторжения в систему и предотвращения последствий который может вызвать это вторжение если Вторжение не переживали и думаете что это то что случится не с вами Ну скажем так киберпреступность развивается и в конце концов когда-нибудь дойдут это что у вас можно украсить что у вас можно уничтожить чем

возможно шантажировать и так далее Ну и по уровням развития сок Например если условиться начальный уровень когда все Три линии могут сочетаться в одном сотруднике он сам настроил все системы например 1 1 час в день проверяет события Ну то есть на Первом уровне у нас есть заведения начального перечня событий либо просто какая-то поставить корреляция система в каком-то видео где они ведутся развиваются обрастают подробности никогда если мы возьмёмся средний уровень инцидентов ты тоже Машина времени событий какая-то сложная корреляция

когда она отправила работают одни на других правилах идёт обогащения событий вас написано покетбуке на синтез РНК каждый сотрудник примерно знаю чем он должен заниматься и имеет какое-то время работы 48 на 5 то есть у вас уже выделены отдельные сотрудники на работу соки Ну скажем так пока вы не решили ещё кредит 24 на семь в следующем уровне большое количество есть примеры круглосуточно работающие Первая линия Вторая линия готова также круглосуточно подключиться по первой линии но есть

квалифицированный аналитики на 3 линии при этом тематический контроль песен косцов тестирование компонентов есть используются сложные правила корреляции многоэтажные которых интернет и автоматизированные Который час работы снимает система автоматического регулирования инструментов и так далее если перенести на эту модель ТОО чём мы говорили ранее там можно сказать что у подсосных тему по большей части могут обеспечить вам первый уровень 40 причём это не так плохо скажем так если кто-то не создает у тебя столько или думаешь что он не смог потому что он этим занимается то это наверное не

так начальном уровне Вы можете сделать очень полезные вещи для вашей организации и понять скажем так о том что кому проникли неделя к тоже помощники всё сделают в течение какого-то времени в течение которого вы сможете отреагировать найти причину проникновения и пользователя среднего уровня наверное слова доступным и комфортным схемам виду того что вам нужно много потратить нам нужно иметь достаточно разработчика который уже давно общался с развитыми соками знает это правильная схема и может применить какие-то методики для

доработки насос на стену как вывод можно сказать Что На каждом уровне сок предлагает вам разные требования и зрелой сок может быть лишь компании совсем не нужен как вот например вчера говорил на Архипова что не сок потому что нет желания тратить денег на сколько семян при этом неизвестно ведутся ли вообще какие-то работы то есть для вашей компании не может быть уже начальный уровень сока но по-моему мнению сок вообще необходим виду обстоятельств Ну ну, наверное, на этом я свою презентацию заканчиваю. Всем спасибо за внимание.

Cackle comments for the website

Buy this talk

Access to the talk “Жизнеспособность SOC, построенного на базе опенсорсного SIEM”
Available
In cart
Free
Free
Free
Free
Free
Free

Buy this video

Video

Access to the talk “Жизнеспособность SOC, построенного на базе опенсорсного SIEM”
Available
In cart
Free
Free
Free
Free
Free
Free