Продолжительность 10:39
16+
Воспроизвести
Видео

Жизнеспособность SOC, построенного на базе опенсорсного SIEM

Продолжительность 10:39
16+
Воспроизвести
Видео

Жизнеспособность SOC, построенного на базе опенсорсного SIEM

Игорь Питерских
Независимый эксперт по ИБ в
  • Видео
  • Аудио
  • Тезисы
  • Видео
  • Аудио
Код ИБ Онлайн 2020
29 января 2020, Екатеринбург, Россия
Код ИБ Онлайн 2020
Видеозапись
Жизнеспособность SOC, построенного на базе опенсорсного SIEM
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
19
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

Меня зовут питерских Игорь теме соков наверное примерно 10 лет когда они конечно назывались немного по-другому вообще я вырос скажем так всем arcsight и во многом во многих аспектах считаю это он им всем А может достаточно удобный инструмент который падает очень большим спектром возможностей и скажем так составляет наверное любую задачу по срокам которые можно придумать где то хорошо то плохо Ну скажем так arcsight не тема разговора с некоторых пор я интересуюсь сложные

решения в части сроков и Попробую рассказать Ну вот например в шорт-лист схемов который я выбрал Давайте кратко их обговорим Ну например 17 достаточно известная штука этом скажем так бесплатно версия сильно отличается платный Ну и целом он довольно тяжело песен горелок больше тоже налогов Чем пропитать 7 Apache metron это чай нацистский по-моему проект который был передан в opensource и начала называться Apache metron скажем так он уже довольно давно довольно много релизов выпущена

но при этом Community у него не такое большое и какой-либо информации Вы по нему особо и не найдёте это всем от могилы Как можно догадаться по названию построенную с участием стёк скажем так Пошли они Подворье интересного пути взяли готовый Ёлка Ну то есть у них внутри тот же elastic kibana logstash можно использовать и к нему сверху приделали интерфейс по созданию торрент скриптами входит в базу и различные действие выполняет воздух в принципе тоже построена Ёлка он идёт примерно как продолжение наверное aoshima

Ну и не совсем сел kibana plugin sentinel которые можно поставить на экран позволяет строить правила начального уровня и довольно быстро выйти вообще в тему Ну если говорить их примерно общий плюсы и минусы минусом можно считать что большинство Не такой уж и большой сообщество если не говорить на примерах конкретных участие отсутствует визуализации нилогов такая какая имеется участии других продуктов интеграция со сторонними сервисами хромает чаще всего приходится дописывать самостоятельно часть немеют

агентов или немеют самостоятельных Я например нужно использовать элементы того же такие Ёлка электронные инструменты сложность внедрения можно отнести также к минусам множество необходимых доработок отсутствии техподдержки Ну соответственно когда он будет техподдержка если Ну и скудные инвентарь средств по сравнению с базисным решением плюсы можно отнести низкую стоимость низкую цену прохождение гибкость при наличии разработчика в вашей команде сейчас мы написали что у нас может быть теперь давай идём

к тому как должен работать сок Какие примеры задач он должен выполнять Ну то есть есть у слова говорят линии у кого-то может быть другое мнение Ну скажем так я привык примерно следующим параметрам 21 Линия комментарием поступающих событий их фильтрация нахождение инструментов которые подпадают под показатель того что это реально инцидент Вторая линия обследование уже получают цемент от первой ли заниматься расследованием завершением где-то устранением последствий и передает свои мысли 3 линии которые можно подумать

осмыслить понять Как не допустить подобный инцидент в следующий раз настраивать новые правила корреляции отслеживать актуальные угрозы дружить между собой и всех остальных сотрудников и остальные системы если смотреть более глобально то сок может во-первых разных уровней на каждом уровне развития требования которые предъявляются к слову совершенно различаются и каким-то компаниям достаточного уровня каким-то последующих зависимости от того насколько критичны данные могут потечь то есть также он не живет в вакууме Он защищает выполняют конкретных угроз

он не просто живет сам по себе что вы должны делать сок потому что у вас должен быть Сок Сок это средствами минимизации рисков это средство от раннего обнаружения вторжения в систему и предотвращения последствий который может вызвать это вторжение если Вторжение не переживали и думаете что это то что случится не с вами Ну скажем так киберпреступность развивается и в конце концов когда-нибудь дойдут это что у вас можно украсить что у вас можно уничтожить чем

возможно шантажировать и так далее Ну и по уровням развития сок Например если условиться начальный уровень когда все Три линии могут сочетаться в одном сотруднике он сам настроил все системы например 1 1 час в день проверяет события Ну то есть на Первом уровне у нас есть заведения начального перечня событий либо просто какая-то поставить корреляция система в каком-то видео где они ведутся развиваются обрастают подробности никогда если мы возьмёмся средний уровень инцидентов ты тоже Машина времени событий какая-то сложная корреляция

когда она отправила работают одни на других правилах идёт обогащения событий вас написано покетбуке на синтез РНК каждый сотрудник примерно знаю чем он должен заниматься и имеет какое-то время работы 48 на 5 то есть у вас уже выделены отдельные сотрудники на работу соки Ну скажем так пока вы не решили ещё кредит 24 на семь в следующем уровне большое количество есть примеры круглосуточно работающие Первая линия Вторая линия готова также круглосуточно подключиться по первой линии но есть

квалифицированный аналитики на 3 линии при этом тематический контроль песен косцов тестирование компонентов есть используются сложные правила корреляции многоэтажные которых интернет и автоматизированные Который час работы снимает система автоматического регулирования инструментов и так далее если перенести на эту модель ТОО чём мы говорили ранее там можно сказать что у подсосных тему по большей части могут обеспечить вам первый уровень 40 причём это не так плохо скажем так если кто-то не создает у тебя столько или думаешь что он не смог потому что он этим занимается то это наверное не

так начальном уровне Вы можете сделать очень полезные вещи для вашей организации и понять скажем так о том что кому проникли неделя к тоже помощники всё сделают в течение какого-то времени в течение которого вы сможете отреагировать найти причину проникновения и пользователя среднего уровня наверное слова доступным и комфортным схемам виду того что вам нужно много потратить нам нужно иметь достаточно разработчика который уже давно общался с развитыми соками знает это правильная схема и может применить какие-то методики для

доработки насос на стену как вывод можно сказать Что На каждом уровне сок предлагает вам разные требования и зрелой сок может быть лишь компании совсем не нужен как вот например вчера говорил на Архипова что не сок потому что нет желания тратить денег на сколько семян при этом неизвестно ведутся ли вообще какие-то работы то есть для вашей компании не может быть уже начальный уровень сока но по-моему мнению сок вообще необходим виду обстоятельств Ну ну, наверное, на этом я свою презентацию заканчиваю. Всем спасибо за внимание.

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Жизнеспособность SOC, построенного на базе опенсорсного SIEM»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

21 июля 2020
Онлайн
20
93
безопасность персонала, взаимоднействие с бизнесом и командой, иб без бюджета, ибнужныпрофи, информационная безопасность, код иб, код иб профи, сервисная модель в иб, управление security operations, управление иб, управление инцидентами

Похожие доклады

Мона Архипова
Операционный директор в МИРЦ
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Павел Арланов
Руководитель отдела ИБ в ТуТу.ру
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Лев Палей
Начальник отдела обеспечения защиты информации в СО ЕЭС
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Жизнеспособность SOC, построенного на базе опенсорсного SIEM»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно