Продолжительность 20:09
16+
Воспроизвести
Видео

Развитие класса SIEM-систем

Продолжительность 20:09
16+
Воспроизвести
Видео

Развитие класса SIEM-систем

Лев Палей
Начальник отдела обеспечения защиты информации в СО ЕЭС
  • Видео
  • Аудио
  • Тезисы
  • Видео
  • Аудио
Код ИБ Онлайн 2020
29 января 2020, Екатеринбург, Россия
Код ИБ Онлайн 2020
Видеозапись
Развитие класса SIEM-систем
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
15
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

О спикере

Лев Палей
Начальник отдела обеспечения защиты информации в СО ЕЭС

Окончил факультет информатики и вычислительной техники Московского государственного университета приборостроения и информатики, имеет диплом МГТУ им. Баумана о переподготовке по направлению «Информационная безопасность автоматизированных систем». Член Ассоциации руководителей служб информационной безопасности (АРСИБ), имеет более 10 лет опыта в ИТ и ИБ. За это время он осуществлял руководство проектами по внедрению комплексных централизованных систем обеспечения ИБ.

Перейти в профиль

О докладе

Код ИБ ОНЛАЙН Мониторинг событий безопасности.

Поделиться

Давайте с вами попробуем разобраться в этой теме но и В настройки зайди в ваших потребностей как людей которые пришли что-то послушать потому что ну в принципе за можно сделать несколько центов но наверное полностью разобраться в проблеме за его счёт в этот ассистент сильно не получится поэтому Давайте краткий опрос по реагирует на все вопросы которые я вас прошу я просто Буду оценивать количество плюсиков количество ответов в зависимости от вопроса и Первое это наверное кто уже имел опыт

в взаимодействии с системами да то есть поставьте плюсик есть вас очень много я базовые Вещи завтра не буду чтобы проснуться не тратить ваше время на эту тему 2 два человека правда всё так Ах ты сможешь tamona отписалась! но но тебе-то я и не сомневался совершенно Хорошо хорошо Почему Понятно так да то есть Лёша тоже понятно а продолжать ставить плюсики я буду корректироваться если имеет смысла в этом Следующий вопрос в каких организациях вы работаете дату издавать

напишем томасовна два диапазона это диапазон от 100 до 500 человек и соответственно конечных точек дату если диапазон от 500 до 1000 Давайте условно 1 категория 2 категория тогда 1500 Да там дальше условно характер город 500 дальше до больше единичек пока вижу больше в принципе Интересно как наверное не совсем в базе дату и что это такое Вот и какие варианты можно рассмотреть для небольшой компании есть интересные давно ссутулился один из хороших моих товарищей которые администрирование системы защиты информации с компании Но это вот Восточную филиале

произошло и окраска он приходил с вопросом а что же выбрать в том случае если но как бы ты работаешь небольшой компании для это такой Восточный банк я не могу искать в какой десятки или сотни он находится момент но он видимо на основе текущего хайпа Да ты Всё решил что это Must have структуре в своей вот не совсем согласен с коллегой сначала стал говорить но не у меня горит есть Осада то есть по um-1 Ну или какой-то межсетевой экран в общем-то какой-то межсетевой экран горит у меня есть и у меня которую я вот с ней Хочу агрегируются информацию всем систему на что я ему

спросил практически сходу сказал что это такое Если ты хочешь поиграться именно с этим класс систем тогда да это наверное, может быть полезна там с точки зрения обучению тогда Ну по крайней мере с моей точки зрения тут только два решения вот я копирую тут есть сравнение по деталям дату есть которая была на НТВ прямой можно сориентироваться по этим решением которых мы будем говорить если это прямо просто поиграть то это Оренбург В общем вот и там достаточно много да то есть

сильно играть с таком короче с точки зрения там и снова съемки которые они также разработали как мне кажется На текущий момент будет проблематично там если в окно Но и знание надо вот эти вот стороны начинать кроме этого можно ещё наверное остановиться там на РВП или потому что это бесплатно версии тоже можно мне посмотреть как себя чувствует на момент российские производителя То есть если бюджет совсем ноль то я думаю что вот мысли Как можно в сторону

2 Таких вот решений А ещё один вопросик A5 в студию Скажите а кто из вас сталкивался или сталкиваются На текущий момент причастен к теме защита критической инфраструктура и корпоративных центров госсопка Поставьте пожалуйста плюсики, 1 Я просто помолчу даты Ну значит Павел я вашу сторону нету сигарет Хорошо Игорь Павел Так ну не так много ли это очень обычная обусловлено и там количество в принципе объемом самой компании хорошо Ну да то есть такой короткий вопрос наверное здесь

можно сказать закончил В чём основная мысль во второй части сравнение CRM систем как раз немножко пытался порассуждать о том Куда идёт развитие вообще таких систем в России и пришёл к такому интересному выводу что большинство из этих Посмотрите прямо было создано огромное количество в кратчайшие сроки буквально там за год-полтора И я практически все автобусную степени попробовал они все практически были ориентированы либо вот один контекст дату если бы на полноценное за всех требований которые указаны были в методических документах

в KFC доставка в которой достаточно большое количество мероприятие более более того Мы из них совершенно нехарактерно для классического представления о системе да то есть это вот управлению недвижимости расчёт достижимость Какие такие цветы которые в общем-то представлены в основном других продуктов примеру если представить себя историю там управлению землями Это обычно это отдельный класс продуктов Все мы прекрасно знаем это колёса там tenable nessus maxpatrol

который Спайдер через чёрточку и Прочитай прочитай стих достаточно тоже большое количество но стояли особняком и их интеграцию с системами накатался до насыщения информация об уязвимостях для того чтобы дальше работать со скорингом в правилах даты Ну если условно там идёт какое-то событие в котором допустимый пульс видит в пакете привязку Как определить Яшки Да и на этом посте обнаружена определённое девушка то он может отправить визировать это правило то есть поставить его немножко вверх это того Как развивались системы Ну вот Кроме того кроме вот это вот класса

так скажем приспособленцы в которые уже создали свой свою функциональность своих систем под все требования которые у нас на сервисе достаточно жестко на текущий момент продвигается нашим государством что в общем-то неплохо кроме этой категории приспособленцы В появились определенные персонале я опять пишешь да ты всё не буду называть имен потому что коллеги могут обидеться который просто носит название системы но по сути являются являются каким агрегатором информации из собственных средств

защиты Вот это тоже касается не на развитие систем систем наверное в России да То есть как это выглядит На текущий момент сейчас я немножко наверное тут сделаю такое отход к тому Как развивался это отрасль в мире дату и что с этим происходило в основном есть либо Да это тут можно назвать принципами на они всем известно это Макаев и дату и считай Агент karadar которые в общем и это В какой степени сейчас-то что происходит с портиком да то есть нет у них тоже полноценно

экосистемы они в основном нацеленные отличается от приспособленцы ФФ вот тем что они в основном нацелена там на более качественный разбор информации с Давайте в которой принадлежат экосистеме соответственно интегрируются там где-то папе да то есть совершенно темна тебе не нужно об этом думать это большой плюс в том случае если вы делаете там либо вокальную инсталляции Нового города отвезти при 500 или 1.000 конечных точек это в принципе Вполне себе хорошая затея Потому что есть у вас все элементы новый vendor

А вы не думаете о том как интегрировать при обновлении всё вот примеру мы там в том или ином виде сталкивались опять пишет там связанность многих типов систем рождает и каскады риск заднего вида Toyota конструкция и в каскадном нагрузку с точки зрения эксплуатации если это разные гендерная такая вот система Ну потому что грубо говоря у меня съёмка новая версия там по имела определенные плюшки определённые новые дашборды появились Хотя это мы сами строим короче допустим там появилось что-то новое с точки зрения парсинга с точки зрения

провокации интересных там настроено Windows но при этом пропала нативная интеграция с системой то есть мы потеряли там в контекстном обогащение наших это Вполне может быть станция чего избегают Вот как раз таки коллеги которые работают со своей системой В перспективе говоря о том что они дальше будет там работать с другими но При всём при этом для всех этих названных видов характерно во-первых непонятно производства либо component а это экосистемы там

ну в Едином цикле соединенным горизонтом планирования либо для нинджа чёрном и большая стройка И вот так вот сделали коллеги из Можайска до которые в какой-то момент там вывели ряд систем защиты из эксплуатации сделали Манту в Windows support end of life для тех кто не были в квадрате гартнера и заменили их на так называемых оставь уже партнеров практические datasheet Ну вот который можно посмотреть с кем кто интегрируется это тоже вполне себе модель да то есть тут эту модель исторический поддерживали

коллеги язык ВПР который сейчас микрофокус вот то есть у них именно вот такой съем съем А интересно не будет вам критерии выбора потому что именно эту тематику У меня достаточно хорошо было всё время озвучено то есть я даже на КАДе Ибупрофен об этом рассказывал подробно о том как вы какие критерии На мой взгляд могут быть Скажите пожалуйста интересное послушать про методику выбора если плюсов не будет тогда продал свою программе так 1 2 пасибо пасибо пасибо коллеги до методику бородатую достаточно

Просто я с этим мучилась потому что каждый будет знать нужно при выборе чем обосновать Почему именно она-то тут. просто логическая цепочка мы должны отстаиваться от текущей системы координат примеру Наша компания просто спутать там система в интегратором это системный оператор системный оператор единой энергосистемы это по сути акционерное общество которое является стопроцентные владелец акций это государство и мы занимаемся по сути диспетчерским управлением энергосистемы опутывает всех

системные которые кажется что прямо сразу будет интегратор вот А методика сейчас я скину мы её видели потом после общения с семьёй мы выделили в отдельный в отдельную ссылочку дату если она говорит о чём-то есть для того чтобы нам прийти к заинтересованным подразделением которым также будет участвовать в день это система да то есть иметь какую-то определенную нагрузку на свои трудовые ресурсы Ну и в принципе можем где-то пользоваться какую-то информацию убрать да то есть и чтобы потом интерактивного кого стоит пояснить

Почему наш выбор пал именно на эту систему Нам необходимо всё это делать Перевести на универсальный язык на мой взгляд универсальный язык русский язык цифр то есть когда мы сложное понятие которое может иметь там много значений много вариаций Пускай даже она там достаточно детализированная и на это можно внимательно посмотреть самое методики когда мы не звоним до уровня твои потребности в нём сколько говоря Ну компания которая там только только значит поимел собственное подразделение допустим у них есть

критическая информационная инфраструктура Они подпадают под закон ники которые вышли ацтека ФСБ скорее всего нужно будет в кратчайшие сроки дату и всё чтобы иметь возможность показать обеспечении этих самых мероприятий соответственно для них наверное самое важное будет это установки этого решения Да ты что это прямо вот какая-то история там с автопилотом которые можно развернуть да то есть это немного составная история вот просто на установке и простота использования это

важный момент из точки зрения туда ресурсов эссе У вас большой подразделение из там допустим 10 человек я считаю большой подразделение Вот в общем есть у вас большой подразделения из-за там 10 человек соответственно эти 10 человек действительно смогут там расти Натуся 1С может заниматься установка инсталляции сопровождение сопровождением и какой-то отправка правил то есть человек может сесть и по сути разбираться с конкретной системы Да И вот эти затраты в зависимости от типа решения дату и гибкости от наличия информации о нём всегда можно

в каком-то виде там подобрать Да ты тут смотрите если мы говорим там простоте установки простоте использования тут подойду фортиссимум там какой-то в смысле маккафе Да и сейчас секундочку шпаргалку и наверное я бы посоветовал ещё смотреть Олд Да вот это то что я точно знаю что вот с этими ребятами и ты берёшь его в template дату из заливаешь розовый Какие настройки вполне можно рисовать с нуля соответственно тогда получается что если у нас критерии важности важным критерием при установке Просто ты используешь в чём того что нас Запусти мне

большой штат или мы собираемся covid образом распределять функции дату из этих кому-то Кто имеет возможность погрузиться с головой туда нужно выбирать решение которое Вот именно этим критериям и подкупает по сути вот Ну вот разбирали истории связанные со стоимости закупки эксплуатации ещё факторы размещения который как в директиву действует на многие государственные организации и в том числе прописан в подоконниках ФСБ там ну очень опосредованно не в прямую. не надо меня потом обменять того что я прям ратую за это Нет это прописано но в общем прослеживается ход мысли идея

такая не более того Вот это тоже может являться фактором для определённых компании у которых есть план поэмы соответствие надо этому плану стальными Но если у вас дела связана дата Если вы к примеру предполагаете что у вас большая структура с большим количеством данных Date вещи которые вы хотите в последствии как ты ещё анализировать делать сейчас модные термины Data Lake дата делать такой просто анализ А в таком случае ничего лучше елкос такое он посоветует реально не смогу

Ну вот потому что там это интуитивно всё делается настраиваемый но тут опять нужны ресурсы отдельные категории на мой взгляд с точки зрения вот вот это вот методики выбора даты ещё когда вы определяете вес для каждого типа вот этих вот собственно своих требований вы понимаете что допустим простота установки это наиболее сильное для вас вещь дату Ищи дальше вы связываете вот это требование с какой-то функцией Ну вот допустим сейчас я попытаюсь онлайн это сделать Да там критерии сравнения всякие штуки интересные типа штаба Сколько человек и прочее прочее

Ну вот допустим что у нас работа с фильтрами до кого-то это запрос на собственном языке тогда это достаточно тяжело интерпретируются что сложно с этим работать в том случае если вам важно важна работа своими сообщениями тогда возможности интерфейса по работе с ними без выгрузки без составления запрос потом Ну то что как мне кажется не является прямо сильно характерные особенности чем система это вот построение всяких графов графов сетевого взаимодействия На мой взгляд это конечно

лучше делать других темах но также это с точки зрения там визуализации может иметь приоритет для вас случае ничего прямо в реальном времени анализировать это

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Развитие класса SIEM-систем»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

21 июля 2020
Онлайн
20
96
безопасность персонала, взаимоднействие с бизнесом и командой, иб без бюджета, ибнужныпрофи, информационная безопасность, код иб, код иб профи, сервисная модель в иб, управление security operations, управление иб, управление инцидентами

Похожие доклады

Роман Жуков
Директор центра компетенций в Гарда Технологии
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Александр Балашов
Екатеринбургский перинатальный центр
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Развитие класса SIEM-систем»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно