Александр Учителев
Менеджер по работе с партнерами в RuSIEM
  • Видео
  • Аудио
  • Тезисы
  • Видео
  • Аудио
Код ИБ 2020 | Санкт-Петербург
22 октября 2020, Санкт-Петербург, Россия
Код ИБ 2020 | Санкт-Петербург
Запросить Q&A
Видеозапись
SIEM: мифы и реальность
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
30
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

мой доклад будет посвящен теме мифы и реальность Как выдумать Как вы все знаете мы живём там цифры и на самом деле как многие уверены мы не можем быть защищены Да современный рынок киберугроз значительно отличается от того что мы знали там 10 лет назад Например можно самый дорогой межсетевой экран или антикапт и что можно выдохнуть Ну на самом деле не так события поступающих из различных источников нужно корректировать оставлять между собой наш продукт и занимается собственно я

расскажу о нашей компании у немножко расскажу об угрозах расскажу про наш продукт на продажу продуктовую линейку притом немножко кейсов до реальных примеров где мы были полезны В данный класс решение актуален для специалистов службы информационной безопасности это достаточно полезный очень мощная инструмент для повседневной работы Меня зовут Александр Я как вы все знаете мы живем в эпоху цифра Да и как он наверно все Многие думают мы там Но это на самом деле

не так очень многие компании строят там большие бюджеты данных сзы но почему-то происходит вот так да-а хакеры на самом деле могут быть внутри вашей сети пользоваться вашими данными А вы даже об этом знать не будете Почему а потому что за энеолит это даю всё выглядит для вас как вроде нормально Ну почему ты всё получает вокруг на самом деле в тех компаниях, которых есть отдел и B можно сказать, что это? маленький сок Да ядром любого сока является сиям Так что ты что такое съем

съем от системы мониторинга событий информационной безопасности и как Видно уже из названия она не защищает и не превращает съем анализирует события поступающих абсолютно различных устройств и если происходит на малейшее отклонение от заданных то система автоматически и уведомляет об этом уже заложенных в неё пользователей придут Ну такой пример есть некий сотрудник Да которые начинают отправлять там качественную информацию в небулах обычных своих адресов

вот белки в данном случае может не среагировал осиян опираясь на свою накопленную статистику сразу скажу что это уже инцидент предположим инцидент произошел что каждый сотрудник делает Да он начинает Вот сидим в данном случае поможет вам собрать всю доказательную базу пригодную как для внутренних расследований так уже и для суда это одно из самых её назначение также каждой компании необходимо проводить там аудит на соответствие стандартам для банков a50s например да там никого там 120 110 быть всем это также умеет делать А

например ещё семь после внедрения может косвенно вам помочь выбить бюджет Она дозакупка какого-либо там потом либо железки это просто распечатайте отчет Daisy яма показать в руководстве говорит что там данные в юности можно закрыть запрашиваемые Вами средством высказанное немножко пример Да из нашей практики Это был 2014 год мы тогда пришли в один из банков которые сейчас цветет и процветает пятнами поставили задачу отыскать тех сотрудник который прошли в здание не прошли здание но авторизовались в системе нужно было что сделать

соску дало gesagt написать правила корреляции Ну на неделе вроде как кажется Ну всё просто но на самом деле это не так а тот момент мы Ёлка написали коннекторы сделали правила корреляции сказали Бинго задача нами было решено после чего в принципе и началось развитие нашего продукта и его последующего тиражирования немножко давать аллейке наших продуктов У нас их три есть бесплатная версия РВСН по факту классический лагман который собирает информацию о собирать событие

нормализует может долгосрочно хранить Но это зарезанное решение ограничением и наложили на его пропускную способность 500 событий в секунду дальше событий выстраивается очередь для дальнейшей обработки но тем самым забивается просто дисковое пространство наш основной продукт одноименное название ем это полноценное решение классы систем которая имеет у себя функционал корреляция как в режиме реального времени и уже историческую корреляцию можно смотреть

нормализует события долгосрочно хранит причём как сырые так и уже нормализованных а вот почему сказал что пригодной для суда суд надо принимать только сырые события то сейчас об этом нормализованные смена суд его у вас какой уже не примет инцидент-менеджмент Ну и сразу кучу отчетов причём отчёты Вы можете настраивать сами под себя наша гордость это брусьям analytics если простыми словами сказать модуль аналитики позволит выявить аномалию Да без создания и лица Нет без создания или написание специально правила корреляции Под каждый случай мы используем machinelearning.ru нас отдельная большая

команда которая занимается только машину любимых там порядка 25 человек сейчас и Контакт Мы очень гордимся этим модом немножко архитектур Да основное ядро это ручьём мы используем Агент для сбора событий с серверов и рабочих станций Windows других все остальные события из других источников продаются напрямую съем отдельно аналитика до базы данных АРМ оператора оператор управляет через веб-интерфейс прецедентами работать с настройками программы и так далее

А по факту для работы съема Да им нужна события события отбирать с последующим там критичность Да его важность источника точнее на его информативность Спектр задач и ты бы охват канал связи источников может служить абсолютно всё этому пользователи какой-то там активное сетевое оборудование описание Одессы события там с базах данных ну абсолютно любое событие может быть подана vonage всем а Русин не имеет центральное узкого звена достаточно легко масштабируется как горизонтально так и вертикально подключать можно больше источников

для контакта его контакт большей эффективности У нас есть действительно рабочий кейс когда нагрузка на наш продукт составляла свыше 90000 событий и мы заявляем что мы готовы такое объём тянуть всего лишь на одной ноде почему Герасим я скажу Так мы и просты в эксплуатации мы достаточно высокопроизводительные и мы по факту на сегодня день являемся дешевле там любого нашего конкурента все коннекторы пишем мы то есть какой-то нетиповой точно подключается с неё пишет нам письмо Мы

коннектор сделал последнюю версию нашего продукта можно писать уже конечно полис инструкция есть там ничего сложного нету какой-то официальный язык программирования для этого не нужно и здесь собрал с контакта что я слышал постоянно по рынку до выражение все думают что съем это дорого Нет она сегодня день съема это уже недорого средний и малый бизнес может себе его позволить очень Многие считают что все нужен только зрелые инфраструктуры но я скажу так Если у вас есть от почтовый сервер антивирусом и вот 50 сотрудников машин клиентских то

фактически уже можете смело задумываться о том чтобы приобрести себе А вы источники мне тепловые источники подключать несложная уже об этом говорил да отправляйте нам логина саппорту съемкам и мы для вас разработаем коннекторы на пишем парсер нужен отверждение высококультурный персонал я скажу что нет достаточно администратора и роль аналитика и этого будет вполне достаточно чтобы ваш тем показал свою эффективность вот с поддержкой 24/7 365 Я готов поспорить и всегда задаю вопрос Ну бумаги там всё классно написано Да А ваши сотрудники работают в таком же режиме

Я думаю что вряд ли долго настраивать правила корреляции нет у нас уже из коробки идёт 291 постоянно дополняется Вы можете также создать правило для нас очень конструктор всего сайтом или равно там больше-меньше и так далее и Самый наверное, такой час что слышу? а что ты не хочешь переключаться Ну это сами сделаем, а в итоге получается, так как на картинке, Что может быть и красивый, но задача не выполнена. немножко Наша компания мы свой код Пишем с 2014 года на сегодняшний день мы сделали более 300 пилотных внедрения и примерно 40%

стали нашими клиентами включены в реестр отечественного по наш номер 38 08 2017 года сейчас является лицензиатом стакану буду с вами откровенен лицензию у нас на разработку такое в этом году в декабре месяце мы уже должны получить 4 уровень доверия мы действующий резиденты Сколково активно развиваем нашу партнерскую сеть сейчас она уже во сколько цифра 80 партнеры нашего России в СНГ есть партнёры в Европе также находится винт огромные цифры 15000 остановок это касается нашей рвём версии ВКонтакте есть

кстати компании которые для своих задач этой версии вполне хватает основной потребитель с решением данного класса является финансовый сектор законодательства повернул колесо в эту сторону есть также тык есть промышленность есть в государственные органы К сожалению всех но показать не можем очень много заказчиков с кем у нас подписана скажи что kindii я для вас подготовила сюрприз от нашей компании Если хотите получить пожалуйста переходите по qr-коду потом эсэмэска придёт

заберёт Ну это была моя короткая презентация вас было 10 человек, то поднял мобильный телефон пытался barcode. картинка открылась посылки Восток что хакнули Да в детстве вопросы коллеги Дай Русин фримену по факту это классический лук менеджмент зарезанной версия 500 событий в секунду нет корреляции есть долгосрочное хранение нормализация событий а некоторые скажем так есть коммерческие организации кому хватает этой версии для своих нужд но по факту просто сбор хранение событий больше ничего нету ни

корреляции не аналитики там не будет

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «SIEM: мифы и реальность»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Код ИБ 2020 | Санкт-Петербург

Доступ к записям всех докладов «Код ИБ 2020 | Санкт-Петербург»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Билет

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

Похожие доклады

Сергей Петухов
Менеджер по продукту в Газинформсервис
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Андрей Арбатский
Руководитель московского подразделения отдела продаж в StaffCop
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Роман Подкопаев
Генеральный директор в Makves
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «SIEM: мифы и реальность»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно