Get best of the week

Max Patrol SIEM. Übersicht ĂŒber das Informationssicherheits-Ereignisverwaltungssystem



EinfĂŒhrung


Freunde, guten Tag.

Ich möchte diesen Artikel einem Produkt wie dem Unternehmen Positive Technologies MaxPatrol SIEM widmen, das seit mehr als 17 Jahren innovative Cybersicherheitslösungen entwickelt.

Darin werde ich versuchen, die Hauptaufgaben und -aktivitÀten, denen ein Sicherheitsbeauftragter wÀhrend seiner AktivitÀten begegnet, kurz zu beschreiben und mir anhand des MaxPatrol SIEM-Produkts als Beispiel zu erklÀren, wie sie gelöst werden können.

Ich werde auch versuchen, die Plattform und das Lizenzierungsschema zu beschreiben.

DarĂŒber hinaus lade ich alle zu dem Webinar ein, das am 8.04.2020 stattfindet und dem Produkt Platform 187 gewidmet ist (5 Produkte auf einem Server: MaxPatrol SIEM, MaxPatrol 8, PT Network Attack Discovery, PT MultiScanner, PT Departmental Center). Details zum Webinar und zur Anmeldung finden Sie unter dem Link -tssolution.ru/events/positive_187_08_04 .

Interessiert, bitte angehen.

Zu Beginn der Rezension können wir also wie immer nicht auf eine Theorie verzichten, und ich werde mit dem berĂŒhmten Aphorismus von Nathan Mayer Rothschild beginnen, den er im Juni des fernen 1815 aussprach, als Napoleon in der Schlacht von Waterloo besiegt wurde, der aber heute aktueller denn je ist: „Wer hat die Informationen? "Er besitzt die Welt."

In unserer modernen digitalen Welt sind Informationen nicht nur fĂŒr Handelsunternehmen, sondern auch fĂŒr Staaten zum wertvollsten Gut geworden. Das einfachste Beispiel fĂŒr die KritikalitĂ€t von Informationen ist heute das gleiche Geld von BĂŒrgern, das in der modernen Welt nicht in Matratzen und Truhen gespeichert ist, sondern in digitaler Form auf Bankkonten und im Wesentlichen in der einen oder anderen Datenbank gespeichert ist.

Ein stetiger Anstieg des Telekommunikationsniveaus, wenn theoretisch jeder, der Zugang zum Internet hat, auf alle Informationen zugreifen kann, die sich sowohl im verbundenen als auch nicht im globalen Internet befinden, trĂ€gt zum kontinuierlichen Wachstum des „WettrĂŒstens“ bei. »Im Bereich der Informationssicherheit:

  • Es werden fast tĂ€glich Schwachstellen mit unterschiedlichem Grad an KritikalitĂ€t in verschiedenen Softwareprogrammen entdeckt, bei denen Anbieter versuchen, Patches und Fixes schnell zu veröffentlichen und in neuen Versionen zu beseitigen.
  • Technische Experten, die bei der Nutzung ihres Wissens die „dunkle Seite“ eingeschlagen haben, versuchen, neue Angriffsmethoden auf Unternehmensinfrastrukturen zu entdecken, wĂ€hrend sie ihre eigenen Tools entwickeln, die ihnen ihre Aufgaben erleichtern - tatsĂ€chlich entwickeln sie ihre eigene Software (als bösartig bezeichnet) oder entwickeln vorhandene.
  • Technische Experten, die sich auf die „gute Seite“ begeben haben, entwickeln verschiedene Produkte des Informationsschutzes und der Unternehmensinfrastruktur in Unternehmen (Anbietern) und implementieren sie mit Hilfe von Partnern in Organisationen.
  • Beide sind sich einig, dass sie sich stĂ€ndig weiterbilden, nach Wissen suchen, ihre Werkzeuge entwickeln und verbessern.

Insgesamt wird die klassische Konfrontation „Schwert und Schild“ erreicht, und im Bereich der Informationssicherheit wird sie hĂ€ufig als Konfrontation „Rotes Team gegen Blaues Team“ bezeichnet.

IB-Veranstaltungen


Kommen wir nun zu alltÀglicheren Dingen und betrachten die typische Angriffslandschaft eines Angreifers - sein Schwert, das sie mit der Infrastruktur von Unternehmen bedrohen.

Oft besteht ein Angriff auf ein Informationssystem aus drei Hauptphasen:



Im Gegensatz dazu bauen IS-Ingenieure ihrerseits die folgenden Schutzmaßnahmen auf - ihren Schutzschild, mit dem sie die Infrastruktur von Unternehmen schĂŒtzen:



Freunde, ich möchte Ihre Aufmerksamkeit sofort darauf lenken, dass viele Menschen zwei solche Konzepte verwechseln ::

  • Informationssicherheit - in der Tat handelt es sich um einen bedingten Informationszustand, der entweder sicher ist oder nicht
  • Die GewĂ€hrleistung der Informationssicherheit ist ein kontinuierlicher Prozess, der darauf abzielt, Informationen ĂŒber diesen Sicherheitszustand bereitzustellen.

Schauen wir uns jeden Schritt zur Bereitstellung von Schutzmaßnahmen separat an:

  • :
    • — - , , . :
      • (-, , , , )
      • , - -
      • (firewall, NGFW, IPS/IDS, , , , - )
      • , , , , ,

    • — , , . :
      • — , ,
      • ( , , e-mail )
      • , , , , :
        • :
          • , , firewall-
          • HIPS
          • IPS ,
          • ..

        • , ,
  • — , , , — , , netflow :
    • — , ;
    • , ( , )
  • — , , :

    • — -
    • Untersuchung im Rahmen eines IS-Vorfalls - Identifizierung von angreifenden und angegriffenen Vermögenswerten oder IS-VerstĂ¶ĂŸen, Grad der Auswirkung und Ausmaß der VerstĂ¶ĂŸe usw.
    • Aufgrund der Untersuchung werden bestimmte Entscheidungen getroffen:
      • Anpassen (Ändern) der Sicherheitseinstellungen fĂŒr Assets oder SRI
      • die Sicherheitsrichtlinien des Unternehmens anpassen (Ă€ndern) und Personalschulungen durchfĂŒhren

Und wie ich bereits zuvor darĂŒber gesprochen habe, muss dies alles kontinuierlich sein, dh kontinuierlich und im 24 * 7 * 365-Modus.

Daraus ergeben sich 3 wichtige Kriterien fĂŒr jedes SIEM-System:

  • Die Anzahl der Ereignisquellen (Informationssysteme und GerĂ€te des Anbieters), die das SIEM-System standardmĂ€ĂŸig unterstĂŒtzt
  • Die Anzahl der Korrelationsregeln (ich nenne sie Siem-Signaturen), die den Beginn eines kritischen Ereignisses im Ereignisstrom erkennen und den Alarm „entzĂŒnden“ können
  • Entwicklungswerkzeuge fĂŒr den ersten und zweiten Punkt - die FĂ€higkeit, Ihre Quellen zu verbinden und Ihre eigenen Korrelationsregeln zu entwickeln (fĂŒr Ihr Unternehmen und seine IS-Richtlinien)

Plattformbeschreibung


Kommen wir nun zum MaxPatrol SIEM-Produkt von Positive Technologies. Ich muss sofort sagen, dass sich die Entwickler des Unternehmens zum Ziel gesetzt haben, ein System aufzubauen, das die Möglichkeit bietet, alle drei Arten von Ereignissen in einem Produkt durchzufĂŒhren:

  • Vorsichtsmaßnahmen:
    • Asset Management - Das Produkt verfĂŒgt ĂŒber integrierte Scanner fĂŒr Netzwerkknoten und Module zur DurchfĂŒhrung einer Bestandsaufnahme und PrĂŒfung verschiedener Systeme.
    • — PT Knowledge Base ( PT KB), (, CVE), (Kaspersky, Group-IB) ;
  • :

    • . MaxPatrol SIEM :

      • Syslog — Syslog;
      • Windows Event Log — Windows Event log;
      • Windows File log — Microsoft Windows;
      • Windows WMI log — Windows Event log WMI;
      • NetFlow — NetFlow;
      • ODBC Log — c ;
      • SSH File Log — SSH;
      • CheckPoint LEA — Check Point OPSEC;
      • SNMP Traps — SNMP.
    • C , JSON XML.
    • . «» .
    • — .
    • — .
    • — .
    • 3- , , :

      • — 300 ( 1300 ).
      • — 21.1.3058 270 . Positive Technologies . , , MaxPatrol SIEM.
      • — MaxPatrol SIEM ( , ) . SDK, . PTKB MaxPatrol SIEM. , .
    • :

      • — MaxPatrol SIEM -, ( ), — .
      • — , , .

    :

    • MP Core — . RabbitMQ, . , , , WEB UI ( ) .
    • MP SIEM Server — , ( ). , , , , .
    • MP Storage — . elasticsearch. , .
    • PT KB — , , , , . , Core.
    • PT UCS (PT Update and Configuration Service) — . PT KB.

    , :



    (), . , EPS ( ) .

    (All-in-one)


    .



    -


    MP Agent ( , ) .



    -







    -






    , , .


    MaxPatrol SIEM , — , , - . — , , .

    MaxPatrol SIEM 2 :

    • — . . : PT-MPSIEM-Base-HNNNNN, NNNNN – c , . :

      • PT-SIEM-BASE-H1000 — 1000
      • PT-SIEM-BASE-H1000 — 2000
      • PT-SIEM-BASE-H1000 — 5000
      • PT-SIEM-BASE-H1000 — 10000
      • ..
    • — MaxPatrol SIEM. MaxPatrol SIEM PT-MPSIEM-XXX, XXX – . :

      • PT-MPSIEM-SRV — SIEM (MP Core,+MAXPATROL SIEM+ MP Storage + PTKB + PT UCS ). SIEM .
      • PT-MPSIEM-AGT — Agent- . , - .
      • PT-MPSIEM-NS — Network Attack Discovery , 1 Gb/s.
      • ..


    , :

    1. . – . : , , . , , , . , 1000 , 1000.
    2. – , , , . ( 30-50%).
    3. MaxPatrol SIEM , , .
    4. PT-MPSIEM-BASE-H1000, PT-MPSIEM-SRV PT-MPSIEM-AGT.

    MaxPatrol SIEM, :


    . — «-EXT» , , PT-MPSIEM-AGT-EXT MAXPATROL SIEM Agent. .

    MaxPatrol SIEM AIO (All-In-One)


    All-in-one:

    • MaxPatrol SIEM AIO (All-In-One) – - , () , .
    • ( ) - 1000 .
    • MaxPatrol SIEM AIO MaxPatrol SIEM.
    • MaxPatrol SIEM AIO PT-MPSIEM-SRV PT-MPSIEM-AGT 1 . .
    • NAD Sensor, M-Scan SIP MaxPatrol SIEM AIO .

    , MaxPatrol SIEM AIO :

    • 250
    • 500
    • 1000

    – . :

    • 250 –> 500
    • 250 –> 1000
    • 500 –> 1000 .

    MaxPatrol SIEM AIO — MaxPatrol SIEM.


    , . , :

    • MaxPatrol SIEM
    • , MaxPatrol SIEM , , :


    , .


    Positive Technologies MaxPatrol SIEM , - ( ).

    , MaxPatrol SIEM 5 .

    MaxPatrol SIEM .

    :

    • , ;
    • , ;
    • , ;
    • ( );
    • support.ptsecurity.com . — .
    • ;

    , telegram — t.me/MPSIEMChat, .

    support.ptsecurity.com , Positive Technologies, . . , , .

    , . 9:00 19:00 UTC+3.

    .

    , , . :




    :

    1. , . , - , — « » . , . , .
    2. SIEM . , SIEM , . , , , , () , , . . :

      • VPN , .
      • , .
      • TeamViewer AnyDesk , , .
      • .

    3. , MaxPatrol SIEM. , , . , Positive Technologies, .
    4. - — , . SIEM , . , , ( ). SIEM .

    , . , «», :

More articles:


All Articles