Продолжительность 18:24
16+
Воспроизвести
Видео

Опыт работы с McAfee ECM: функционал, плюсы и минусы

Продолжительность 18:24
16+
Воспроизвести
Видео

Опыт работы с McAfee ECM: функционал, плюсы и минусы

Павел Арланов
Руководитель отдела ИБ в ТуТу.ру
  • Видео
  • Аудио
  • Тезисы
  • Видео
  • Аудио
Код ИБ Онлайн 2020
29 января 2020, Екатеринбург, Россия
Код ИБ Онлайн 2020
Видеозапись
Опыт работы с McAfee ECM: функционал, плюсы и минусы
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
7
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

коллеги, сегодня вечером хотел поговорить про такой продукт как мокасины SM я буду спамить Остин в моём понимании рынок db в России и так скажем в котором я его видел даже я сам состоит из того что люди рассказывают о том как РуТорг сайт Позитив тепло схема Позитив технолоджис есть я правильно помню кто maxpatrol кроме Руслана При этом если мы взглянем достаточно реалистично на рынок так грубо говоря бюджетная закупка числа компания не такие большие идут в таком случае на рынок выходит такая интересная лошадка пати со салон Я бы назвал его

достаточно недооценённый всем поскольку Как правильно выражались ранее на этом всё немного собаку съесть и на мой взгляд это просто прекрасная машинка Я бы хотела рассказать немножко больше если мы возьмем просто архитектурно там интересно машину состоит Она из множества модули по факту Москве сейчас 5 основных модулей которыми есть это Internet Security Manager собственное ты сама платформа хранения данных и фазовая корреляция и ковариация подразумевают что группы расследовал алгоритмы спортом будет обходить базу

данных за какой-то определенный период 3 выделяйся Тебе самой инструменты которые нужны Вот кроме этого так и платформу модульные она не подруга Что именно платформа хранения данных образуют корреляции будет собирать по лесам А так бы это было бы неразумно даже с точки зрения самих разработчиков согласовать такой функционал для этого существует модуль этой ветви Север Иван ресивер постоянно технологии Apache Apache kafka что позволяет ему достаточно гибкая и скажем так достаточно обрабатывать ноги которые в него попадают вот

данная платформа является универсальной и практически может принимать всегда логика каких-то скажем так нестандартных устройства которые в принципе могли бы послать лопасть услугу то того же самого splunk Heavy forwarder который точно также можно заправить туда попёрли если мы будем говорить о каких-то требования к магазину В принципе первых двух компонентов достаточно просто для того чтобы стартануть и попробовать то есть по факту это дёшево и сердито и работает вот Кроме этого для людей которые хотят развиваться дальше и в принципе имеют большие так скажем аппетита в

плане хранения допустим есть дополнительно BMW энтерпрайз это платформа оптимизация журналов усовершенствовать предоставляться которая даёт Ну скажем так скорость близкую к реальному времени по части корабля цедентом и расширенные возможности по риторический вопрос в том числе анализа статистики И анализа отклонений как мы все понимаем в один прекрасный момент мы все приходим к такому заключению что сигнатурный студенты себя исчерпали и нам необходимо небольшие пить и прерывать самосохранения которые каких-то местах накладываются друг на друга по чуть-чуть

поболтать фатальными Ну как бы как один из кейсов Вот для этого существует и в принципе до тех пор До него так скажем морально дорос. Кроме этого есть энтерпрайз актеры что-то совершенно двигатель поиск поставщика ускоряет поиск по блогам вместе всё это представляете себе домой, но опять же как я говорил ранее первых двух компонентов обычно достаточно для того чтобы стартануть начать перевод собственно поработал Достаточно долго с этим решением я для себя вывел 6 причин почему я его люблю 1 это легкость и Понятно

Если оператора все события которые обрабатывают эти платформы они достаточно легко нормализуется внутри при помощи портьер и выражений Ну обычно регулярка поэтому скажем так не очень скину одному сотруднику достаточно легко научиться и они достаточно быстро нормализуется или по внутренней механизме сны принимает наиболее понятны И заранее заданной формы Я думаю мы также все согласимся что если оператор избыточное количество информации в большом количестве случаев процент позитива Даже при использовании ноутбука будет достаточно большой поскольку оператора есть дополнительные метры на

котором можно брать дополнительное скажем так строго килограмм которые будут его либо смещать его отвлекать от основной деятельности что сама по себе не очень хорошо Вот кроме этого легкость администрирование данных машинки правила короля в сокращении автобот инцидентов производится при помощи встроенного языка если мы будем сравнивать данные архитектуру маккафе какой-нибудь архитектура который построен Ёлка на которой построен в клан Я думаю все меня поймут особенно если уже работали с этим как иногда сложновато написать достаточно продвинутым скажем так

пачку для того чтобы реализовать какой-то один конкретный сценарий Квеста этого допустить Макаев есть просто Wizard где можно при помощи там буквально 5 минут и админку можно написать практически инциденты доступности промметалл попей стройтехсистема она избавляет нас от необходимости отправлять отзыв какой-то стороннюю систему как допустим случае просто с платфор и позволяет практически проводить расследование не отвлекайся основные платформы лицом к этому данной системы подразумевает что оператор в любом случае бы запросил по инциденту

дополнительную информацию которую не уходят и она автоматических отображает Здесь нет такого что для того чтобы проверить точное Богдан инцидентом нужно заново сходить в какой-нибудь план послать сюда пачка сердце и проверю что да на самом деле с кем был там нужно посмотреть таблицу которая сформировалась порядок мотив черный Кроме этого 4 большой плюс и лёгкая сборка дашбордов Здесь точно так же не нужно писать инфернальное просто количество интересной информации есть всё делается достаточно быстро при помощи Dragon Drop элементов плюс на нее внутренних

переменных Кроме этого у данного девайса есть которые хорошо и удобно документированной что позволяет нам использовать эти системы которые могут допустим выгружать аналитику и система и координировать это что-то на коленке либо использовать для обогащения каких-то других систем ну самое такое тривиальный с которой я мог привести на карте когда-нибудь об этом думал что неплохо получается какую-то какой-то слепок всех запущенных приложений на компьютер пользователя чтобы создать какой-то такой доверенную контролем И сверху при наличии одного лишь всем это как выглядит

достаточно круто сделать это конечно можно и сделать это можно скажем так подключаю тоже самое рабочую тачку всё но здесь возникает проблема то что хорошо мы можем собрать это всё самому себе это беспощадно бесполезно бессмысленное целом просто будет убивать процессорное время по событиям не проще ли выбросить эту информацию и сформулируйте этот какой-то стороны системе или просто в Акценте собрать для этого как бы предусмотрена эти вот Кроме этого есть так называемый Nano Сапфир если кто-то из вас ранее работал как раз так мы любимыми системами

архитектура Хрюша Кто такие не тот человек знает то что есть непреложно архитектура подзапроса которая позволяет извлекать гораздо больше информации и производить более точно королевства здесь это сделано точно также если нам нужно объединить два и более инцидентов в один есть окна традиционный компонент который выполняет именно вот эту функцию Савченко в принципе 99% случаев этого хватает Я думаю что пойдём чуть-чуть поподробнее показывают пунктов и дальше будет ещё интереснее вот если

говорить о легкости Понятно тебя оператор О каждом сообщении Мы практически можно при помощи либо частный регуляции если заранее не был написан портрет события и система просто не понимаю такие Поля из него доставать Мы можем написать парсер и разбить равно потом полянку который нам нужна если кого-то более заранее не предусмотрена в системе то мы можем просто его добавить при помощи достаточно гибкой системы идентификатор внутри кафе У этого подхода также есть свои минусы и мы их коснемся чуточку попозже в целом достаточно просто сделать любое событие

отображать только необходимую информацию для оператора вот допустим так приведён на экране я сразу хочу показаться что я не успел сделать вот и поскольку готовился немножко в последний момент вот если мы можем просто вытащить всю нужную информацию формата имя события антивирус от трояна на сайте вкусные и вирусах принципе достаточно для того чтобы отработать по какому-то для нашла кратасол просматривать абсолютно всю строку в доставать из неё каким-то запросами данные если допустим приводить примеры власти кто просто сидеть разбирать 2 событие здесь не нужно Всё достаточно

проста и понятна Владислав я увидел вопрос от вас если вы не против то я оставлю его наконец выступления и ответчиком по окончании Поставьте пожалуйста плюс если она согласна спасибо Я возвращаюсь к таблице второе что мы рассмотрим это именно легкость администрирование целом Я надеюсь что всех достаточно хорошо видно панель составления инцидент помогает составляет из себя достаточно простой Wizard который включает в себя три логических или санкт-пете который предназначен для извлечения событий каждое событие в маккафе категорию с определенным и Венди и имею в виду именно

семейство этих событий которая была конкретно регуляркой также мы можем проследить какой-либо компании не либо задать дополнительные данные для запроса салон Так я уже говорил этого хватает на 99% случаев достаточно гибкой системы если мы запустим возьмём Тебе же самое и девчонки события девчонки пацанами и прочего позволяет создать достаточно хороший которым легко и понятно потом разбираться то есть нет никакой причины водить какой-то собственно таксанами событий дополнительно идентификаторов и против в принципе я может сделать это за нас почему бы тогда ничего не сделал

Хорошо если мы пройдём дальше-то встроенной тикет система имеет свои достаточно большие колоссальные плюса которых я уже говорил Кроме этого случая реакциями можно составить Ника автоматическое правила которая магазин точно также исполнить это может быть реакция в виде запуска скрипта на каком-то удалённом сервере допустим теоретически при наличии скажи количество людей прямых рук он мне легко можно сделать свой какой-нибудь сервер который будет принимать Находка карданный вал схема и подрабатывать

это виде какого-то внутреннего блока цветов допустим либо либо Андипал раскопки на обряд серверу легкую сборку дашбордов я к сожалению не смогу показать какие-либо слайды достаточно легко найти в интернете 5 это лёгкий Процесс получения триала он просто божественные вам достаточно просто зайти на сайт Мафия загуглить там составить Реал и в принципе сможете взять триал на месяц без особых проблем как бы в отличие от большинства венгров который предоставляет услугу

под какой-то запрос через интегратор это просто адекватность На мой взгляд ответ на каждый может быть попробовать практически безлимит на версию течение 30 дней и всё Хорошо Но вместе с этим у меня появилось три очень больших причина почему я не люблю макати GSM Ну скажем так это причина с которыми можно жить 1 это отсутствие верификации попе выражений если ваш администратор написал Такой пассажир который в принципе корректен имеет достаточно тариф налоги по в целом должен исполняться вы даже

проверили в с помощью какую-нибудь Кадетство гитара но он при этом отправляет скажем так бесконечный цикл То есть он не может найти какое-либо значение которого вообще в принципе тулпаре данные регулярки Он отправит ресивер Мафия бесконечности ресивер умрёт вы перестанете получить логин в принципе оттуда и узнайте в об этом скорее всего ровно тогда когда количество тех же самых сортов неактивном состоянии возрастет в разы на самом деле это достаточно ли полечиться тем что у вас должно быть какая-то теста верифицировать ударные правила и

подкатывать либо какая-то тестовая группа я сам позволяет имитировать все источники на группы но когда он сегментирует их на группы в пределах одного ресивера Это скорее всего единственный момент работа с Джейсоном если мы берём архитектуру что-то Поработал с девчонками Там просто и понятно поскольку для душа и соответственно получающие сам себе на вход его обрабатывают также достаточно надёжно просто все поля copypaster свою базу и все давай лучше со стандартными архитектурами смену Ну всё мокасин есть ограниченное количество полей которые в принципе

не должно повторяться поэтому каждый раз когда дети начинают обрабатывать Джейсона это превращается в такую не очень приятная вещь ответственно Максим что он делает это забирает первое Из повторяющихся полей в одну из переменных которые есть внутреннего и на этом ограничивается случае если вы обрабатывать какие-то скажем так относятся к вашим продуктивным систему я не буду скрывать что очень часто бизнеса есть запрос на то чтобы какие-то инциденты которые перечислены для бизнеса экономической безопасности не кому-то обрабатывать с помощью компьютера нарваться на такой кейс вы при

помощи маккафе рискуете грубо говоря ничего полезного не принять как бы я конечно не знаю достаточно большого количества инцидентов которые могли бы вообще так произойти и что нельзя было бы победить скажем так прямыми руками Но в данном случае дополнительный копилки либо на стороне продуктивно системы либо скажем так написание какого-то коннектора который будет Нарезать и тот же сон Вот и Кроме этого если мы будем рассматривать поля которое отводится под каждой событии Tomahawk всего 8 соответственно суммарное количество всех этих полей 19 и каждый

раз когда вы будете пытаться выдачи события больше чем 19 каких-то значений вы будете пролетать этим вот первичная 11 и более такие как Source айди Source User и так далее они в принципе типовые и зачастую не требуется менять с остальными восемью разными полями единственные так скажем совет который я могу дать тем людям которые собирались есимото идите определенную базу отменим придётся везти база этих остальных полей и следить за тем чтобы они не пересекались в пределах одного события Тамани помечены скажем так знаю с метками которые хаски в принципе я в

своём опыте Мне было достаточно одной капельки для того чтобы ввести данные базу это было достаточно несложно Вот поедем мы пробежали с довольно быстро поскольку я практически закончил свою презентацию мне хотелось бы узнать какие вопросы Владислав я сразу отвечу на ваш вопрос стоимость решение от маккофе если вот грубо говоря брать макать прямо в цепляя животом творог то можно вполне уложиться в этот суммы двух с половиной где-то 240 это в миллионах рублей

я конечно не могу называть конечную стоимость но как бы в моём понимании это выглядит как-то так Если ещё какие-то вопросы. а если Говорите о том сколько время нужно среднему человеку то это на самом деле зависит от его умения читать документацию Но в среднем как бы я бы поставить на 3 недели три недели плюс достаточное количество источников тепла от и когда нужно просто разбирать конфиденция Но на самом деле 2 на телефон недостаточно 2 недели плюс несколько Play Book Plus скажем так достаточно конечно документации

этого вполне хватит Я согласен с тобой кафе несертифицированных стояком поэтому взять его в принципе в какой-либо компании в контору достаточно печально что вы подразумеваете под ПК То есть я сразу скажу что макать я сам лицензируется по большей части пони псы зависит от того какой-нибудь PS выдаёт каждый пока допустим если вас пока достаточно скана главный выключили практически все варианты планирования включает скажем так доступ к каждому файлу которая блокируется при нажатии пользоваться Папа Луи попытки в открытии наверное

компания Ну может быть с десяток егорья к сожалению не буду разглашать данные

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Опыт работы с McAfee ECM: функционал, плюсы и минусы»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

21 июля 2020
Онлайн
20
93
безопасность персонала, взаимоднействие с бизнесом и командой, иб без бюджета, ибнужныпрофи, информационная безопасность, код иб, код иб профи, сервисная модель в иб, управление security operations, управление иб, управление инцидентами

Похожие доклады

Мона Архипова
Операционный директор в МИРЦ
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Лев Палей
Начальник отдела обеспечения защиты информации в СО ЕЭС
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Игорь Питерских
Независимый эксперт по ИБ в
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Опыт работы с McAfee ECM: функционал, плюсы и минусы»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно