Get best of the week

Max Patrol SIEM. Descripción general del sistema de gestión de eventos de seguridad de la información



Introducción


Amigos, buenas tardes.

Quiero dedicar este artículo a un producto como la compañía de tecnologías positivas MaxPatrol SIEM, que ha estado desarrollando soluciones innovadoras de seguridad cibernética durante más de 17 años.

En él, intentaré describir brevemente las principales tareas y actividades que cualquier oficial de seguridad encuentra durante sus actividades y decirme cómo resolverlas usando el producto MaxPatrol SIEM como ejemplo.

También intentaré describir su plataforma y esquema de licencia.

Además, invito a todos al seminario web que tendrá lugar el 8.04.2020 y estará dedicado al producto Platform 187 (5 productos en 1 servidor: MaxPatrol SIEM, MaxPatrol 8, PT Network Attack Discovery, PT MultiScanner, PT Departmental Center). Los detalles del seminario web y el registro están disponibles en el enlace:tssolution.ru/events/positive_187_08_04 .

Interesado, por favor abordar.

Entonces, al comienzo de la revisión, como siempre, no podemos prescindir de una teoría y comenzaré con el famoso aforismo de Nathan Mayer Rothschild, que pronunció en junio de la lejana 1815 cuando Napoleón fue derrotado en la Batalla de Waterloo, pero que es más relevante hoy que nunca: "Quién tiene la información "Es dueño del mundo".

En nuestro mundo moderno y digital, la información se ha convertido en el activo más valioso no solo de las empresas comerciales, sino también de los estados. El ejemplo más simple de la importancia de la información hoy en día es el mismo dinero de los ciudadanos que no están almacenados en colchones y baúles en el mundo moderno, sino en forma digital en cuentas bancarias y son esencialmente registros en una u otra base de datos.

Un aumento constante en el nivel de las telecomunicaciones, cuando, teóricamente, cualquier persona con acceso a Internet puede acceder a cualquier información que pueda estar conectada o no conectada a los sistemas de la red global de Internet, contribuye al crecimiento continuo de la "carrera armamentista" »En el campo de la seguridad de la información:

  • se descubren vulnerabilidades casi diarias de diversos grados de criticidad en diversos programas, en virtud de los cuales los proveedores intentan lanzar rápidamente parches y correcciones, y deshacerse de ellos en las nuevas versiones.
  • Los expertos técnicos que han tomado el "lado oscuro" en el uso de su conocimiento están tratando de descubrir nuevos vectores de ataques a las infraestructuras empresariales, mientras desarrollan sus propias herramientas que les facilitan sus tareas; de hecho, desarrollan su propio software (llamado malicioso) o desarrollan los existentes.
  • Los expertos técnicos que se han embarcado en el "lado positivo" desarrollan diversos productos de protección de la información e infraestructura empresarial en empresas (proveedores) y los implementan en organizaciones con la ayuda de socios.
  • ambos están unidos por el hecho de que están en capacitación continua, buscando conocimiento, desarrollando y mejorando sus herramientas.

En general, se obtiene la clásica confrontación de "espada y escudo", y en el campo de la seguridad de la información a menudo se la denomina confrontación "equipo rojo contra equipo azul".

Eventos del IB


Ahora, pasemos a cosas más mundanas y consideremos el típico paisaje de ataque de un atacante: su espada, que amenazan con la infraestructura de las empresas.

A menudo, un ataque a cualquier sistema de información consta de 3 etapas principales: por el



contrario, los ingenieros de SI, por su parte, construyen las siguientes medidas de protección: su escudo, con el que protegen la infraestructura de las empresas:



Amigos, quiero llamar su atención de inmediato, que muchas personas confunden 2 conceptos :

  • seguridad de la información: de hecho, es un estado de información condicional, es seguro o no
  • Garantizar la seguridad de la información es un proceso continuo destinado a proporcionar información de ese mismo estado de seguridad.

Echemos un vistazo a cada paso para proporcionar medidas de protección por separado:

  • :
    • — - , , . :
      • (-, , , , )
      • , - -
      • (firewall, NGFW, IPS/IDS, , , , - )
      • , , , , ,

    • — , , . :
      • — , ,
      • ( , , e-mail )
      • , , , , :
        • :
          • , , firewall-
          • HIPS
          • IPS ,
          • ..

        • , ,
  • — , , , — , , netflow :
    • — , ;
    • , ( , )
  • — , , :

    • — -
    • investigación en el marco de un incidente de IS: identificación de los activos atacantes y atacados o infractores de IS, grado de impacto y nivel de violaciones, etc.
    • Tras el hecho de la investigación, se toman ciertas decisiones:
      • ajustar (cambiar) la configuración de seguridad en activos o SRI
      • ajustar (cambiar) la política de seguridad de la empresa y realizar capacitación del personal

Y como dije antes sobre esto, todo esto debe ser continuo, es decir, realizarse constantemente y en el modo 24 * 7 * 365.

Esto da lugar a 3 criterios tan importantes para cualquier sistema SIEM:

  • la cantidad de fuentes de eventos (sistemas de información y equipos de proveedores) que el sistema SIEM admite de manera inmediata
  • la cantidad de reglas de correlación (para mí, las llamo firmas siem) que pueden detectar la aparición de un evento crítico en la secuencia de eventos y "encender" la alarma
  • herramientas de desarrollo para el primer y el segundo punto: la capacidad de conectar sus fuentes y desarrollar sus propias reglas de correlación (para su empresa y su política de IS)

Descripción de la plataforma


Ahora pasemos al producto MaxPatrol SIEM de Positive Technologies. Debo decir de inmediato que los desarrolladores de la compañía establecieron su objetivo de construir un sistema que brinde la capacidad de realizar los 3 tipos de eventos en un solo producto:

  • Medidas preventivas:
    • gestión de activos: el producto tiene escáneres integrados de nodos y módulos de red para realizar un inventario y auditoría de varios sistemas;
    • — PT Knowledge Base ( PT KB), (, CVE), (Kaspersky, Group-IB) ;
  • :

    • . MaxPatrol SIEM :

      • Syslog — Syslog;
      • Windows Event Log — Windows Event log;
      • Windows File log — Microsoft Windows;
      • Windows WMI log — Windows Event log WMI;
      • NetFlow — NetFlow;
      • ODBC Log — c ;
      • SSH File Log — SSH;
      • CheckPoint LEA — Check Point OPSEC;
      • SNMP Traps — SNMP.
    • C , JSON XML.
    • . «» .
    • — .
    • — .
    • — .
    • 3- , , :

      • — 300 ( 1300 ).
      • — 21.1.3058 270 . Positive Technologies . , , MaxPatrol SIEM.
      • — MaxPatrol SIEM ( , ) . SDK, . PTKB MaxPatrol SIEM. , .
    • :

      • — MaxPatrol SIEM -, ( ), — .
      • — , , .

    :

    • MP Core — . RabbitMQ, . , , , WEB UI ( ) .
    • MP SIEM Server — , ( ). , , , , .
    • MP Storage — . elasticsearch. , .
    • PT KB — , , , , . , Core.
    • PT UCS (PT Update and Configuration Service) — . PT KB.

    , :



    (), . , EPS ( ) .

    (All-in-one)


    .



    -


    MP Agent ( , ) .



    -







    -






    , , .


    MaxPatrol SIEM , — , , - . — , , .

    MaxPatrol SIEM 2 :

    • — . . : PT-MPSIEM-Base-HNNNNN, NNNNN – c , . :

      • PT-SIEM-BASE-H1000 — 1000
      • PT-SIEM-BASE-H1000 — 2000
      • PT-SIEM-BASE-H1000 — 5000
      • PT-SIEM-BASE-H1000 — 10000
      • ..
    • — MaxPatrol SIEM. MaxPatrol SIEM PT-MPSIEM-XXX, XXX – . :

      • PT-MPSIEM-SRV — SIEM (MP Core,+MAXPATROL SIEM+ MP Storage + PTKB + PT UCS ). SIEM .
      • PT-MPSIEM-AGT — Agent- . , - .
      • PT-MPSIEM-NS — Network Attack Discovery , 1 Gb/s.
      • ..


    , :

    1. . – . : , , . , , , . , 1000 , 1000.
    2. – , , , . ( 30-50%).
    3. MaxPatrol SIEM , , .
    4. PT-MPSIEM-BASE-H1000, PT-MPSIEM-SRV PT-MPSIEM-AGT.

    MaxPatrol SIEM, :


    . — «-EXT» , , PT-MPSIEM-AGT-EXT MAXPATROL SIEM Agent. .

    MaxPatrol SIEM AIO (All-In-One)


    All-in-one:

    • MaxPatrol SIEM AIO (All-In-One) – - , () , .
    • ( ) - 1000 .
    • MaxPatrol SIEM AIO MaxPatrol SIEM.
    • MaxPatrol SIEM AIO PT-MPSIEM-SRV PT-MPSIEM-AGT 1 . .
    • NAD Sensor, M-Scan SIP MaxPatrol SIEM AIO .

    , MaxPatrol SIEM AIO :

    • 250
    • 500
    • 1000

    – . :

    • 250 –> 500
    • 250 –> 1000
    • 500 –> 1000 .

    MaxPatrol SIEM AIO — MaxPatrol SIEM.


    , . , :

    • MaxPatrol SIEM
    • , MaxPatrol SIEM , , :


    , .


    Positive Technologies MaxPatrol SIEM , - ( ).

    , MaxPatrol SIEM 5 .

    MaxPatrol SIEM .

    :

    • , ;
    • , ;
    • , ;
    • ( );
    • support.ptsecurity.com . — .
    • ;

    , telegram — t.me/MPSIEMChat, .

    support.ptsecurity.com , Positive Technologies, . . , , .

    , . 9:00 19:00 UTC+3.

    .

    , , . :




    :

    1. , . , - , — « » . , . , .
    2. SIEM . , SIEM , . , , , , () , , . . :

      • VPN , .
      • , .
      • TeamViewer AnyDesk , , .
      • .

    3. , MaxPatrol SIEM. , , . , Positive Technologies, .
    4. - — , . SIEM , . , , ( ). SIEM .

    , . , «», :

More articles:


All Articles