Get best of the week

ماكس باترول سيم. نظرة عامة على نظام إدارة أمن المعلومات



المقدمة


الأصدقاء ، مساء الخير.

أريد أن أكرس هذه المقالة لمنتج مثل شركة إيجابية التقنيات MaxPatrol SIEM ، التي كانت تطور حلولًا مبتكرة للأمن السيبراني لأكثر من 17 عامًا.

سأحاول فيها أن أصف بإيجاز المهام والأنشطة الرئيسية التي يواجهها أي ضابط أمن أثناء عمله وأخبر ، باستخدام منتج MaxPatrol SIEM كمثال ، كيفية حلها.

سأحاول أيضًا وصف منصتها ومخطط الترخيص الخاص بها.

بالإضافة إلى ذلك ، أدعو الجميع إلى الندوة عبر الإنترنت التي ستعقد في 8.04.2020 وستخصص لمنتج Platform 187 (5 منتجات في خادم واحد: MaxPatrol SIEM و MaxPatrol 8 و PT Network Attack Discovery و PT MultiScanner و PT Departmental Center). تفاصيل الندوة عبر الإنترنت والتسجيل متاحة على الرابط -tssolution.ru/events/positive_187_08_04 .

مهتمة ، يرجى معالجة.

لذا ، في بداية المراجعة ، كما هو الحال دائمًا ، لا يمكننا الاستغناء عن قطعة من النظرية ، وسوف أبدأ بالأقوال المأثورة الشهيرة لـ Nathan Mayer Rothschild ، التي قالها في يونيو من عام 1815 عندما هُزم نابليون في معركة واترلو ، ولكن الأمر الأكثر صلة اليوم أكثر من أي وقت مضى: "من لديه المعلومات "إنه يمتلك العالم."

في عالمنا الحديث الرقمي ، أصبحت المعلومات أهم الأصول ليس فقط للمؤسسات التجارية ، ولكن أيضًا للدول. أبسط مثال على أهمية المعلومات اليوم هو نفس أموال المواطنين التي لا يتم تخزينها في مراتب وصدور في العالم الحديث ، ولكن في شكل رقمي على الحسابات المصرفية وهي في الأساس سجلات في قاعدة بيانات واحدة أو أخرى.

زيادة مستمرة في مستوى الاتصالات ، عندما يتمكن ، نظريًا ، أي شخص يمكنه الوصول إلى الإنترنت من الوصول إلى أي معلومات يمكن أن تكون موجودة على اتصال أو غير متصل بأنظمة شبكة الإنترنت العالمية ، يساهم في النمو المستمر لـ "سباق التسلح" »في مجال أمن المعلومات:

  • يتم اكتشاف نقاط الضعف اليومية تقريبًا بدرجات متفاوتة من الأهمية في البرامج المختلفة ، والتي يحاول البائعون بموجبها إطلاق التصحيحات والإصلاحات بسرعة ، والتخلص منها في الإصدارات الجديدة.
  • يحاول الخبراء الفنيون الذين اتخذوا "الجانب المظلم" في استخدام معرفتهم اكتشاف نواقل جديدة للهجمات على البنية التحتية للمؤسسات ، بينما يقومون بتطوير أدواتهم الخاصة التي تسهل مهامهم بالنسبة لهم - في الواقع ، يقومون بتطوير برامجهم الخاصة (تسمى الخبيثة) ، أو تطوير البرامج الموجودة.
  • يقوم الخبراء التقنيون الذين شرعوا في "الجانب المشرق" بتطوير منتجات مختلفة لحماية المعلومات والبنية التحتية للمؤسسات في الشركات (البائعين) وتنفيذها في المنظمات بمساعدة الشركاء.
  • كلاهما متحدان من حقيقة أنهما في تدريب مستمر ، يبحثان عن المعرفة ، ويطوران أدواتهما ويحسنانها.

بشكل عام ، يتم الحصول على مواجهة "السيف والدرع" الكلاسيكية ، وفي مجال أمن المعلومات غالبًا ما يطلق عليها مواجهة "الفريق الأحمر مقابل الفريق الأزرق".

أحداث البكالوريا الدولية


الآن ، دعنا ننتقل إلى أشياء أكثر دنيوية ونلقي نظرة على مشهد الهجوم المعتاد للمهاجم - سيفهم ، الذي يهددونه بالبنية التحتية للمؤسسات.

غالبًا ما يتكون الهجوم على أي نظام معلومات من 3 مراحل رئيسية: على



النقيض من ذلك ، يقوم مهندسو IS ، من جانبهم ، ببناء التدابير الوقائية التالية - درعهم ، الذي يحمون به البنية التحتية للمؤسسات:



الأصدقاء ، أريد أن ألفت انتباهك على الفور ، حيث يخلط الكثير من الناس بين مفهومين من هذا القبيل :

  • أمن المعلومات - في الواقع ، إنها حالة مشروطة للمعلومات ، إما أنها آمنة أم لا
  • ضمان أمن المعلومات هو عملية مستمرة تهدف إلى توفير معلومات عن تلك الحالة الأمنية نفسها.

دعونا نلقي نظرة على كل خطوة في توفير تدابير الحماية بشكل منفصل:

  • :
    • — - , , . :
      • (-, , , , )
      • , - -
      • (firewall, NGFW, IPS/IDS, , , , - )
      • , , , , ,

    • — , , . :
      • — , ,
      • ( , , e-mail )
      • , , , , :
        • :
          • , , firewall-
          • HIPS
          • IPS ,
          • ..

        • , ,
  • — , , , — , , netflow :
    • — , ;
    • , ( , )
  • — , , :

    • — -
    • التحقيق في إطار حادثة داعش - تحديد الأصول المهاجمة والهجوم أو منتهكي داعش ، ودرجة التأثير ومستوى الانتهاكات ، وما إلى ذلك.
    • بناء على حقيقة التحقيق ، يتم اتخاذ قرارات معينة:
      • ضبط (تغيير) إعدادات الأمان على الأصول أو SRI
      • تعديل (تغيير) السياسة الأمنية للمؤسسة وإجراء تدريب الموظفين

وكما قلت سابقًا حول هذا - يجب أن يكون كل هذا مستمرًا ، أي يتم تنفيذه باستمرار وفي وضع 24 * 7 * 365.

وهذا يؤدي إلى ظهور ثلاثة معايير مهمة لأي نظام SIEM:

  • عدد مصادر الأحداث (أنظمة المعلومات ومعدات البائعين) التي يدعمها نظام SIEM خارج الصندوق
  • عدد قواعد الارتباط (بنفسي ، أسميهم توقيعات سيم) التي يمكنها اكتشاف بداية حدث مهم في دفق الأحداث و "إشعال" الإنذار
  • أدوات تطوير للنقطتين الأولى والثانية - القدرة على ربط مصادرك وتطوير قواعد الارتباط الخاصة بك (لشركتك وسياسة IS الخاصة بها)

وصف المنصة


الآن دعنا ننتقل إلى منتج MaxPatrol SIEM من تقنيات إيجابية. يجب أن أقول على الفور أن مطوري الشركة حددوا هدفهم لبناء نظام يوفر القدرة على إجراء جميع أنواع الأحداث الثلاثة في منتج واحد:

  • اجراءات وقائية:
    • إدارة الأصول - يحتوي المنتج على ماسحات ضوئية مدمجة لعقد الشبكة ووحداتها لإجراء جرد ومراجعة الأنظمة المختلفة ؛
    • — PT Knowledge Base ( PT KB), (, CVE), (Kaspersky, Group-IB) ;
  • :

    • . MaxPatrol SIEM :

      • Syslog — Syslog;
      • Windows Event Log — Windows Event log;
      • Windows File log — Microsoft Windows;
      • Windows WMI log — Windows Event log WMI;
      • NetFlow — NetFlow;
      • ODBC Log — c ;
      • SSH File Log — SSH;
      • CheckPoint LEA — Check Point OPSEC;
      • SNMP Traps — SNMP.
    • C , JSON XML.
    • . «» .
    • — .
    • — .
    • — .
    • 3- , , :

      • — 300 ( 1300 ).
      • — 21.1.3058 270 . Positive Technologies . , , MaxPatrol SIEM.
      • — MaxPatrol SIEM ( , ) . SDK, . PTKB MaxPatrol SIEM. , .
    • :

      • — MaxPatrol SIEM -, ( ), — .
      • — , , .

    :

    • MP Core — . RabbitMQ, . , , , WEB UI ( ) .
    • MP SIEM Server — , ( ). , , , , .
    • MP Storage — . elasticsearch. , .
    • PT KB — , , , , . , Core.
    • PT UCS (PT Update and Configuration Service) — . PT KB.

    , :



    (), . , EPS ( ) .

    (All-in-one)


    .



    -


    MP Agent ( , ) .



    -







    -






    , , .


    MaxPatrol SIEM , — , , - . — , , .

    MaxPatrol SIEM 2 :

    • — . . : PT-MPSIEM-Base-HNNNNN, NNNNN – c , . :

      • PT-SIEM-BASE-H1000 — 1000
      • PT-SIEM-BASE-H1000 — 2000
      • PT-SIEM-BASE-H1000 — 5000
      • PT-SIEM-BASE-H1000 — 10000
      • ..
    • — MaxPatrol SIEM. MaxPatrol SIEM PT-MPSIEM-XXX, XXX – . :

      • PT-MPSIEM-SRV — SIEM (MP Core,+MAXPATROL SIEM+ MP Storage + PTKB + PT UCS ). SIEM .
      • PT-MPSIEM-AGT — Agent- . , - .
      • PT-MPSIEM-NS — Network Attack Discovery , 1 Gb/s.
      • ..


    , :

    1. . – . : , , . , , , . , 1000 , 1000.
    2. – , , , . ( 30-50%).
    3. MaxPatrol SIEM , , .
    4. PT-MPSIEM-BASE-H1000, PT-MPSIEM-SRV PT-MPSIEM-AGT.

    MaxPatrol SIEM, :


    . — «-EXT» , , PT-MPSIEM-AGT-EXT MAXPATROL SIEM Agent. .

    MaxPatrol SIEM AIO (All-In-One)


    All-in-one:

    • MaxPatrol SIEM AIO (All-In-One) – - , () , .
    • ( ) - 1000 .
    • MaxPatrol SIEM AIO MaxPatrol SIEM.
    • MaxPatrol SIEM AIO PT-MPSIEM-SRV PT-MPSIEM-AGT 1 . .
    • NAD Sensor, M-Scan SIP MaxPatrol SIEM AIO .

    , MaxPatrol SIEM AIO :

    • 250
    • 500
    • 1000

    – . :

    • 250 –> 500
    • 250 –> 1000
    • 500 –> 1000 .

    MaxPatrol SIEM AIO — MaxPatrol SIEM.


    , . , :

    • MaxPatrol SIEM
    • , MaxPatrol SIEM , , :


    , .


    Positive Technologies MaxPatrol SIEM , - ( ).

    , MaxPatrol SIEM 5 .

    MaxPatrol SIEM .

    :

    • , ;
    • , ;
    • , ;
    • ( );
    • support.ptsecurity.com . — .
    • ;

    , telegram — t.me/MPSIEMChat, .

    support.ptsecurity.com , Positive Technologies, . . , , .

    , . 9:00 19:00 UTC+3.

    .

    , , . :




    :

    1. , . , - , — « » . , . , .
    2. SIEM . , SIEM , . , , , , () , , . . :

      • VPN , .
      • , .
      • TeamViewer AnyDesk , , .
      • .

    3. , MaxPatrol SIEM. , , . , Positive Technologies, .
    4. - — , . SIEM , . , , ( ). SIEM .

    , . , «», :

More articles:


All Articles