Get best of the week

Max Patrol SIEM. Keamanan Informasi Ikhtisar Sistem Manajemen Kejadian



pengantar


Teman, selamat sore.

Saya ingin mencurahkan artikel ini untuk produk seperti perusahaan Positive Technologies MaxPatrol SIEM, yang telah mengembangkan solusi keamanan siber yang inovatif selama lebih dari 17 tahun.

Di dalamnya, saya akan mencoba menjelaskan secara singkat tugas dan aktivitas utama yang ditemui petugas keamanan selama aktivitasnya dan memberi tahu saya cara menyelesaikannya menggunakan produk MaxPatrol SIEM sebagai contoh.

Saya juga akan mencoba menjelaskan platform dan skema perizinannya.

Selain itu, saya mengundang semua orang ke webinar yang akan berlangsung pada 8.04.2020 dan akan didedikasikan untuk produk Platform 187 (5 produk dalam 1 server: MaxPatrol SIEM, MaxPatrol 8, PT Network Attack Discovery, PT MultiScanner, PT Departmental Center). Detail webinar dan pendaftaran tersedia di tautan -tssolution.ru/events/positive_187_08_04 .

Tertarik, silakan atasi.

Jadi, di awal ulasan, seperti biasa, kita tidak bisa melakukannya tanpa sepotong teori dan saya akan mulai dengan aforisme terkenal Nathan Mayer Rothschild, yang diucapkannya pada Juni dari tahun 1815 yang jauh ketika Napoleon dikalahkan di Pertempuran Waterloo, tetapi yang lebih relevan saat ini dari pada sebelumnya: "Siapa yang memiliki informasi "Dia memiliki dunia."

Dalam dunia digital modern kita, informasi telah menjadi aset paling berharga tidak hanya dari perusahaan komersial, tetapi juga negara. Contoh paling sederhana dari kekritisan informasi saat ini adalah uang warga negara yang tidak disimpan di bawah kasur dan peti di dunia modern, tetapi dalam bentuk digital pada rekening bank dan pada dasarnya adalah catatan dalam satu atau beberapa basis data lainnya.

Peningkatan konstan dalam tingkat telekomunikasi, ketika, secara teoritis, siapa pun yang memiliki akses ke Internet dapat mengakses informasi apa pun yang dapat ditemukan pada saat terhubung atau tidak terhubung ke sistem jaringan Internet global, berkontribusi pada pertumbuhan berkelanjutan dari "perlombaan senjata" Β»Di bidang keamanan informasi:

  • kerentanan hampir setiap hari dari berbagai tingkat kekritisan dalam berbagai perangkat lunak ditemukan, di mana vendor mencoba untuk dengan cepat merilis patch dan perbaikan, dan menyingkirkan mereka dalam rilis baru.
  • ahli teknis yang telah mengambil "sisi gelap" dalam penggunaan pengetahuan mereka mencoba menemukan vektor serangan baru pada infrastruktur perusahaan, sambil mengembangkan alat mereka sendiri yang memfasilitasi tugas mereka untuk mereka - pada kenyataannya, mereka mengembangkan perangkat lunak mereka sendiri (disebut jahat), atau mengembangkan yang sudah ada.
  • pakar teknis yang telah memulai "sisi positif" mengembangkan berbagai produk perlindungan informasi dan infrastruktur perusahaan di perusahaan (vendor) dan menerapkannya dalam organisasi dengan bantuan mitra.
  • keduanya dipersatukan oleh fakta bahwa mereka berada dalam pelatihan berkelanjutan, mencari pengetahuan, mengembangkan dan meningkatkan alat mereka.

Secara keseluruhan, konfrontasi klasik "pedang dan perisai" diperoleh, dan di bidang keamanan informasi sering disebut konfrontasi "tim merah vs tim biru".

Acara IB


Sekarang, mari kita beralih ke hal-hal duniawi dan mempertimbangkan lanskap serangan khas penyerang - pedang mereka, yang mereka ancam dengan infrastruktur perusahaan.

Seringkali, serangan terhadap sistem informasi terdiri dari 3 tahap utama:



Sebaliknya, insinyur IS, untuk bagian mereka, membangun langkah-langkah perlindungan berikut - perisai mereka, yang dengannya mereka melindungi infrastruktur perusahaan:



Teman-teman, saya ingin menarik perhatian Anda segera, sehingga banyak orang bingung 2 konsep seperti itu :

  • keamanan informasi - pada kenyataannya, ini adalah kondisi informasi bersyarat, apakah aman atau tidak
  • memastikan keamanan informasi adalah proses berkelanjutan yang bertujuan untuk memberikan informasi dari negara yang sangat aman itu.

Mari kita lihat setiap langkah dalam memberikan tindakan perlindungan secara terpisah:

  • :
    • β€” - , , . :
      • (-, , , , )
      • , - -
      • (firewall, NGFW, IPS/IDS, , , , - )
      • , , , , ,

    • β€” , , . :
      • β€” , ,
      • ( , , e-mail )
      • , , , , :
        • :
          • , , firewall-
          • HIPS
          • IPS ,
          • ..

        • , ,
  • β€” , , , β€” , , netflow :
    • β€” , ;
    • , ( , )
  • β€” , , :

    • β€” -
    • investigasi dalam rangka insiden IS - identifikasi aset yang diserang dan diserang atau pelanggar IS, tingkat dampak dan tingkat pelanggaran, dll.
    • berdasarkan fakta investigasi, keputusan tertentu dibuat:
      • sesuaikan (ubah) pengaturan keamanan pada aset atau SRI
      • menyesuaikan (mengubah) kebijakan keamanan perusahaan dan melakukan pelatihan staf

Dan seperti yang saya katakan sebelumnya tentang ini - semua ini harus kontinu, yaitu, dilakukan terus-menerus dan dalam mode 24 * 7 * 365.

Ini menimbulkan 3 kriteria penting untuk sistem SIEM:

  • jumlah sumber acara (sistem informasi dan peralatan vendor) yang didukung sistem SIEM di luar kotak
  • jumlah aturan korelasi (untuk saya sendiri, saya menyebutnya tanda tangan siem) yang dapat mendeteksi timbulnya peristiwa penting dalam aliran peristiwa dan "menyalakan" Alarm
  • alat pengembangan untuk poin pertama dan kedua - kemampuan untuk menghubungkan sumber Anda dan mengembangkan aturan korelasi Anda sendiri (untuk perusahaan Anda dan kebijakan IS-nya)

Deskripsi platform


Sekarang mari kita beralih ke produk MaxPatrol SIEM dari Positive Technologies. Saya harus segera mengatakan bahwa pengembang perusahaan menetapkan sebagai tujuan mereka untuk membangun sistem yang menyediakan kemampuan untuk melakukan semua 3 jenis acara dalam satu produk:

  • Tindakan pencegahan:
    • manajemen aset - produk memiliki pemindai bawaan node dan modul jaringan untuk melakukan inventarisasi dan audit berbagai sistem;
    • β€” PT Knowledge Base ( PT KB), (, CVE), (Kaspersky, Group-IB) ;
  • :

    • . MaxPatrol SIEM :

      • Syslog β€” Syslog;
      • Windows Event Log β€” Windows Event log;
      • Windows File log β€” Microsoft Windows;
      • Windows WMI log β€” Windows Event log WMI;
      • NetFlow β€” NetFlow;
      • ODBC Log β€” c ;
      • SSH File Log β€” SSH;
      • CheckPoint LEA β€” Check Point OPSEC;
      • SNMP Traps β€” SNMP.
    • C , JSON XML.
    • . «» .
    • β€” .
    • β€” .
    • β€” .
    • 3- , , :

      • β€” 300 ( 1300 ).
      • β€” 21.1.3058 270 . Positive Technologies . , , MaxPatrol SIEM.
      • β€” MaxPatrol SIEM ( , ) . SDK, . PTKB MaxPatrol SIEM. , .
    • :

      • β€” MaxPatrol SIEM -, ( ), β€” .
      • β€” , , .

    :

    • MP Core β€” . RabbitMQ, . , , , WEB UI ( ) .
    • MP SIEM Server β€” , ( ). , , , , .
    • MP Storage β€” . elasticsearch. , .
    • PT KB β€” , , , , . , Core.
    • PT UCS (PT Update and Configuration Service) β€” . PT KB.

    , :



    (), . , EPS ( ) .

    (All-in-one)


    .



    -


    MP Agent ( , ) .



    -







    -






    , , .


    MaxPatrol SIEM , β€” , , - . β€” , , .

    MaxPatrol SIEM 2 :

    • β€” . . : PT-MPSIEM-Base-HNNNNN, NNNNN – c , . :

      • PT-SIEM-BASE-H1000 β€” 1000
      • PT-SIEM-BASE-H1000 β€” 2000
      • PT-SIEM-BASE-H1000 β€” 5000
      • PT-SIEM-BASE-H1000 β€” 10000
      • ..
    • β€” MaxPatrol SIEM. MaxPatrol SIEM PT-MPSIEM-XXX, XXX – . :

      • PT-MPSIEM-SRV β€” SIEM (MP Core,+MAXPATROL SIEM+ MP Storage + PTKB + PT UCS ). SIEM .
      • PT-MPSIEM-AGT β€” Agent- . , - .
      • PT-MPSIEM-NS β€” Network Attack Discovery , 1 Gb/s.
      • ..


    , :

    1. . – . : , , . , , , . , 1000 , 1000.
    2. – , , , . ( 30-50%).
    3. MaxPatrol SIEM , , .
    4. PT-MPSIEM-BASE-H1000, PT-MPSIEM-SRV PT-MPSIEM-AGT.

    MaxPatrol SIEM, :


    . β€” Β«-EXTΒ» , , PT-MPSIEM-AGT-EXT MAXPATROL SIEM Agent. .

    MaxPatrol SIEM AIO (All-In-One)


    All-in-one:

    • MaxPatrol SIEM AIO (All-In-One) – - , () , .
    • ( ) - 1000 .
    • MaxPatrol SIEM AIO MaxPatrol SIEM.
    • MaxPatrol SIEM AIO PT-MPSIEM-SRV PT-MPSIEM-AGT 1 . .
    • NAD Sensor, M-Scan SIP MaxPatrol SIEM AIO .

    , MaxPatrol SIEM AIO :

    • 250
    • 500
    • 1000

    – . :

    • 250 –> 500
    • 250 –> 1000
    • 500 –> 1000 .

    MaxPatrol SIEM AIO β€” MaxPatrol SIEM.


    , . , :

    • MaxPatrol SIEM
    • , MaxPatrol SIEM , , :


    , .


    Positive Technologies MaxPatrol SIEM , - ( ).

    , MaxPatrol SIEM 5 .

    MaxPatrol SIEM .

    :

    • , ;
    • , ;
    • , ;
    • ( );
    • support.ptsecurity.com . β€” .
    • ;

    , telegram β€” t.me/MPSIEMChat, .

    support.ptsecurity.com , Positive Technologies, . . , , .

    , . 9:00 19:00 UTC+3.

    .

    , , . :




    :

    1. , . , - , β€” Β« Β» . , . , .
    2. SIEM . , SIEM , . , , , , () , , . . :

      • VPN , .
      • , .
      • TeamViewer AnyDesk , , .
      • .

    3. , MaxPatrol SIEM. , , . , Positive Technologies, .
    4. - β€” , . SIEM , . , , ( ). SIEM .

    , . , «», :

More articles:


All Articles