Get best of the week

Max Patrol SIEM. Présentation du système de gestion des événements de sécurité de l'information



introduction


Mes amis, bonjour.

Je veux consacrer cet article à un produit tel que la société Positive Technologies MaxPatrol SIEM, qui développe des solutions de cybersécurité innovantes depuis plus de 17 ans.

Dans ce document, je vais essayer de décrire brièvement les principales tâches et activités que tout responsable de la sécurité rencontre au cours de ses activités et me dire comment les résoudre en utilisant le produit MaxPatrol SIEM à titre d'exemple.

J'essaierai également de décrire sa plate-forme et son système de licences.

De plus, j'invite tout le monde au webinaire qui aura lieu le 8.04.2020 et sera dédié au produit Platform 187 (5 produits sur 1 serveur: MaxPatrol SIEM, MaxPatrol 8, PT Network Attack Discovery, PT MultiScanner, PT Departmental Center). Les détails du webinaire et l'inscription sont disponibles sur le lien -tssolution.ru/events/positive_187_08_04 .

Intéressé, veuillez vous attaquer.

Donc, au début de la revue, comme toujours, nous ne pouvons pas nous passer d'un morceau de théorie et je commencerai par le célèbre aphorisme de Nathan Mayer Rothschild, qu'il a prononcé en juin du lointain 1815 lorsque Napoléon a été vaincu à la bataille de Waterloo, mais qui est plus pertinent aujourd'hui que jamais: «Qui a l'information "Il possède le monde."

Dans notre monde moderne et numérique, l'information est devenue l'actif le plus précieux non seulement des entreprises commerciales, mais aussi des États. L'exemple le plus simple de la criticité de l'information aujourd'hui est l'argent même des citoyens qui ne sont pas stockés sous des matelas et des coffres dans le monde moderne, mais sous forme numérique sur des comptes bancaires et sont essentiellement des enregistrements dans l'une ou l'autre base de données.

Une augmentation constante du niveau des télécommunications, lorsque, théoriquement, toute personne ayant accès à Internet peut accéder à n'importe quelle information qui peut être localisée à la fois connectée et non connectée au réseau Internet mondial, contribue à la croissance continue de la «course aux armements» »Dans le domaine de la sécurité de l'information:

  • On découvre des vulnérabilités presque quotidiennes de divers degrés de criticité dans divers logiciels, en vertu desquelles les fournisseurs essaient de publier rapidement des correctifs et des correctifs, et de s'en débarrasser dans les nouvelles versions.
  • des experts techniques qui ont pris le «côté obscur» dans l'utilisation de leurs connaissances tentent de découvrir de nouveaux vecteurs d'attaques sur les infrastructures d'entreprise, tout en développant leurs propres outils qui facilitent leurs tâches pour eux - en fait, ils développent leur propre logiciel (dit malveillant), ou développent ceux existants.
  • des experts techniques qui se sont lancés du «bon côté» développent divers produits de protection de l'information et d'infrastructure d'entreprise dans les entreprises (fournisseurs) et les mettent en œuvre dans les organisations avec l'aide de partenaires.
  • tous deux sont unis par le fait qu'ils sont en formation continue, à la recherche de connaissances, au développement et à l'amélioration de leurs outils.

Dans l'ensemble, la confrontation classique «épée et bouclier» est obtenue, et dans le domaine de la sécurité de l'information, elle est souvent appelée la confrontation «équipe rouge contre équipe bleue».

Événements de l'IB


Passons maintenant à des choses plus banales et considérons le paysage d'attaque typique d'un attaquant - son épée, qu'il menace avec l'infrastructure des entreprises.

Souvent, une attaque contre n'importe quel système d'information se compose de 3 étapes principales:



En revanche, les ingénieurs SI, pour leur part, construisent les mesures de protection suivantes - leur bouclier, avec lequel ils protègent l'infrastructure des entreprises:



Amis, je veux attirer votre attention tout de suite, que beaucoup de gens confondent 2 de ces concepts :

  • la sécurité de l'information - en fait, c'est un état conditionnel de l'information, il est sûr ou non
  • assurer la sécurité de l'information est un processus continu visant à fournir des informations sur cet état de sécurité.

Jetons un coup d'œil à chaque étape de la fourniture de mesures de protection séparément:

  • :
    • — - , , . :
      • (-, , , , )
      • , - -
      • (firewall, NGFW, IPS/IDS, , , , - )
      • , , , , ,

    • — , , . :
      • — , ,
      • ( , , e-mail )
      • , , , , :
        • :
          • , , firewall-
          • HIPS
          • IPS ,
          • ..

        • , ,
  • — , , , — , , netflow :
    • — , ;
    • , ( , )
  • — , , :

    • — -
    • enquête dans le cadre d'un incident SI - identification des actifs attaquants et attaqués ou des contrevenants SI, degré d'impact et niveau des violations, etc.
    • sur le fait de l'enquête, certaines décisions sont prises:
      • ajuster (modifier) ​​les paramètres de sécurité sur les actifs ou SRI
      • ajuster (changer) la politique de sécurité de l'entreprise et organiser la formation du personnel

Et comme je l'ai dit plus tôt à ce sujet - tout cela doit être continu, c'est-à-dire être effectué en permanence et en mode 24 * 7 * 365.

Cela donne lieu à 3 critères importants pour tout système SIEM:

  • le nombre de sources d'événements (systèmes d'information et équipement du fournisseur) que le système SIEM prend en charge immédiatement
  • le nombre de règles de corrélation (pour moi, je les appelle signatures siem) qui peuvent détecter le début d'un événement critique dans le flux d'événements et «enflammer» l'alarme
  • outils de développement pour les premier et deuxième points - la possibilité de connecter vos sources et de développer vos propres règles de corrélation (pour votre entreprise et sa politique SI)

Description de la plateforme


Passons maintenant au produit MaxPatrol SIEM de Positive Technologies. Je dois dire tout de suite que les développeurs de l'entreprise se sont fixé comme objectif de construire un système qui offre la possibilité de mener les 3 types d'événements dans un seul produit:

  • Mesures préventives:
    • gestion des actifs - le produit dispose de scanners intégrés de nœuds de réseau et de modules pour effectuer un inventaire et un audit de divers systèmes;
    • — PT Knowledge Base ( PT KB), (, CVE), (Kaspersky, Group-IB) ;
  • :

    • . MaxPatrol SIEM :

      • Syslog — Syslog;
      • Windows Event Log — Windows Event log;
      • Windows File log — Microsoft Windows;
      • Windows WMI log — Windows Event log WMI;
      • NetFlow — NetFlow;
      • ODBC Log — c ;
      • SSH File Log — SSH;
      • CheckPoint LEA — Check Point OPSEC;
      • SNMP Traps — SNMP.
    • C , JSON XML.
    • . «» .
    • — .
    • — .
    • — .
    • 3- , , :

      • — 300 ( 1300 ).
      • — 21.1.3058 270 . Positive Technologies . , , MaxPatrol SIEM.
      • — MaxPatrol SIEM ( , ) . SDK, . PTKB MaxPatrol SIEM. , .
    • :

      • — MaxPatrol SIEM -, ( ), — .
      • — , , .

    :

    • MP Core — . RabbitMQ, . , , , WEB UI ( ) .
    • MP SIEM Server — , ( ). , , , , .
    • MP Storage — . elasticsearch. , .
    • PT KB — , , , , . , Core.
    • PT UCS (PT Update and Configuration Service) — . PT KB.

    , :



    (), . , EPS ( ) .

    (All-in-one)


    .



    -


    MP Agent ( , ) .



    -







    -






    , , .


    MaxPatrol SIEM , — , , - . — , , .

    MaxPatrol SIEM 2 :

    • — . . : PT-MPSIEM-Base-HNNNNN, NNNNN – c , . :

      • PT-SIEM-BASE-H1000 — 1000
      • PT-SIEM-BASE-H1000 — 2000
      • PT-SIEM-BASE-H1000 — 5000
      • PT-SIEM-BASE-H1000 — 10000
      • ..
    • — MaxPatrol SIEM. MaxPatrol SIEM PT-MPSIEM-XXX, XXX – . :

      • PT-MPSIEM-SRV — SIEM (MP Core,+MAXPATROL SIEM+ MP Storage + PTKB + PT UCS ). SIEM .
      • PT-MPSIEM-AGT — Agent- . , - .
      • PT-MPSIEM-NS — Network Attack Discovery , 1 Gb/s.
      • ..


    , :

    1. . – . : , , . , , , . , 1000 , 1000.
    2. – , , , . ( 30-50%).
    3. MaxPatrol SIEM , , .
    4. PT-MPSIEM-BASE-H1000, PT-MPSIEM-SRV PT-MPSIEM-AGT.

    MaxPatrol SIEM, :


    . — «-EXT» , , PT-MPSIEM-AGT-EXT MAXPATROL SIEM Agent. .

    MaxPatrol SIEM AIO (All-In-One)


    All-in-one:

    • MaxPatrol SIEM AIO (All-In-One) – - , () , .
    • ( ) - 1000 .
    • MaxPatrol SIEM AIO MaxPatrol SIEM.
    • MaxPatrol SIEM AIO PT-MPSIEM-SRV PT-MPSIEM-AGT 1 . .
    • NAD Sensor, M-Scan SIP MaxPatrol SIEM AIO .

    , MaxPatrol SIEM AIO :

    • 250
    • 500
    • 1000

    – . :

    • 250 –> 500
    • 250 –> 1000
    • 500 –> 1000 .

    MaxPatrol SIEM AIO — MaxPatrol SIEM.


    , . , :

    • MaxPatrol SIEM
    • , MaxPatrol SIEM , , :


    , .


    Positive Technologies MaxPatrol SIEM , - ( ).

    , MaxPatrol SIEM 5 .

    MaxPatrol SIEM .

    :

    • , ;
    • , ;
    • , ;
    • ( );
    • support.ptsecurity.com . — .
    • ;

    , telegram — t.me/MPSIEMChat, .

    support.ptsecurity.com , Positive Technologies, . . , , .

    , . 9:00 19:00 UTC+3.

    .

    , , . :




    :

    1. , . , - , — « » . , . , .
    2. SIEM . , SIEM , . , , , , () , , . . :

      • VPN , .
      • , .
      • TeamViewer AnyDesk , , .
      • .

    3. , MaxPatrol SIEM. , , . , Positive Technologies, .
    4. - — , . SIEM , . , , ( ). SIEM .

    , . , «», :

More articles:


All Articles