Get best of the week

Patrulha máxima SIEM. Visão geral do sistema de gerenciamento de eventos de segurança da informação



Introdução


Amigos, boa tarde.

Quero dedicar este artigo a um produto como a empresa Positive Technologies MaxPatrol SIEM, que desenvolve soluções inovadoras de segurança cibernética há mais de 17 anos.

Nele, tentarei descrever brevemente as principais tarefas e atividades que qualquer agente de segurança encontra durante suas atividades e me informar como resolvê-las usando o produto MaxPatrol SIEM como exemplo.

Também tentarei descrever sua plataforma e esquema de licenciamento.

Além disso, convido todos para o webinar que será realizado em 8.04.2020 e será dedicado ao produto Platform 187 (5 produtos em um servidor: MaxPatrol SIEM, MaxPatrol 8, Descoberta de ataques de rede PT, MultiScanner, PT Departmental Center). Detalhes do webinar e registro estão disponíveis no link -tssolution.ru/events/positive_187_08_04 .

Interessado, por favor resolva.

Portanto, no início da revisão, como sempre, não podemos ficar sem uma teoria e começarei com o famoso aforismo de Nathan Mayer Rothschild, proferido em junho do distante 1815, quando Napoleão foi derrotado na Batalha de Waterloo, mas que é mais relevante hoje do que nunca: “Quem tem a informação "Ele é dono do mundo."

Em nosso mundo digital moderno, a informação se tornou o ativo mais valioso não apenas das empresas comerciais, mas também dos estados. O exemplo mais simples da criticidade das informações hoje é o próprio dinheiro dos cidadãos que não são armazenados sob colchões e baús no mundo moderno, mas em formato digital nas contas bancárias e são essencialmente registros em um ou outro banco de dados.

Um aumento constante no nível das telecomunicações, quando, teoricamente, qualquer pessoa com acesso à Internet pode acessar qualquer informação que esteja localizada ou não conectada aos sistemas globais de rede da Internet, contribui para o crescimento contínuo da “corrida armamentista” »No campo da segurança da informação:

  • são descobertas vulnerabilidades quase diárias de vários graus de criticidade em vários softwares, sob as quais os fornecedores tentam lançar rapidamente patches e correções e se livrar deles em novos lançamentos.
  • especialistas técnicos que adotaram o "lado sombrio" no uso de seu conhecimento estão tentando descobrir novos vetores de ataques às infraestruturas empresariais, enquanto desenvolvem suas próprias ferramentas que facilitam suas tarefas para eles - na verdade, eles desenvolvem seu próprio software (chamado malicioso) ou os existentes.
  • especialistas técnicos que embarcaram no “lado positivo” desenvolvem vários produtos de proteção de informações e infraestrutura corporativa em empresas (fornecedores) e os implementam em organizações com a ajuda de parceiros.
  • ambos estão unidos pelo fato de estarem em treinamento contínuo, buscando conhecimento, desenvolvendo e aprimorando suas ferramentas.

No geral, o confronto clássico de "espada e escudo" é obtido e, no campo da segurança da informação, costuma ser chamado de confronto "time vermelho x time azul".

Eventos IB


Agora, passemos a coisas mais mundanas e consideremos o cenário típico de ataque de um invasor - sua espada, que eles ameaçam com a infraestrutura das empresas.

Freqüentemente, um ataque a qualquer sistema de informação consiste em três estágios principais:



por outro lado, os engenheiros de SI criam as seguintes medidas de proteção - seu escudo, com o qual protegem a infraestrutura das empresas:



Amigos, quero chamar sua atenção imediatamente, pois muitas pessoas confundem 2 desses conceitos. :

  • segurança da informação - na verdade, é um estado condicional da informação, é seguro ou não
  • garantir a segurança da informação é um processo contínuo que visa fornecer informações desse mesmo estado de segurança.

Vamos dar uma olhada em cada etapa do fornecimento de medidas de proteção separadamente:

  • :
    • — - , , . :
      • (-, , , , )
      • , - -
      • (firewall, NGFW, IPS/IDS, , , , - )
      • , , , , ,

    • — , , . :
      • — , ,
      • ( , , e-mail )
      • , , , , :
        • :
          • , , firewall-
          • HIPS
          • IPS ,
          • ..

        • , ,
  • — , , , — , , netflow :
    • — , ;
    • , ( , )
  • — , , :

    • — -
    • investigação no âmbito de um incidente de SI - identificação de ativos atacantes e atacados ou violadores de SI, grau de impacto e nível de violações, etc.
    • no fato da investigação, são tomadas determinadas decisões:
      • ajustar (alterar) configurações de segurança em ativos ou SRI
      • ajustar (alterar) a política de segurança da empresa e realizar treinamento de pessoal

E como eu disse anteriormente sobre isso - tudo isso deve ser contínuo, isto é, deve ser realizado constantemente e no modo 24 * 7 * 365.

Isso dá origem a três critérios importantes para qualquer sistema SIEM:

  • o número de fontes de eventos (sistemas de informação e equipamentos de fornecedores) que o sistema SIEM suporta imediatamente
  • o número de regras de correlação (para mim, eu as chamo de assinaturas de siem) que podem detectar o início de um evento crítico no fluxo de eventos e "acender"
  • ferramentas de desenvolvimento para o primeiro e o segundo pontos - a capacidade de conectar suas fontes e desenvolver suas próprias regras de correlação (para sua empresa e sua política de SI)

Descrição da plataforma


Agora, vamos ao produto MaxPatrol SIEM da Positive Technologies. Devo dizer imediatamente que os desenvolvedores da empresa estabeleceram como objetivo criar um sistema que ofereça a capacidade de realizar todos os três tipos de eventos em um único produto:

  • Medidas preventivas:
    • gerenciamento de ativos - o produto possui scanners internos de nós e módulos de rede para realizar um inventário e auditoria de vários sistemas;
    • — PT Knowledge Base ( PT KB), (, CVE), (Kaspersky, Group-IB) ;
  • :

    • . MaxPatrol SIEM :

      • Syslog — Syslog;
      • Windows Event Log — Windows Event log;
      • Windows File log — Microsoft Windows;
      • Windows WMI log — Windows Event log WMI;
      • NetFlow — NetFlow;
      • ODBC Log — c ;
      • SSH File Log — SSH;
      • CheckPoint LEA — Check Point OPSEC;
      • SNMP Traps — SNMP.
    • C , JSON XML.
    • . «» .
    • — .
    • — .
    • — .
    • 3- , , :

      • — 300 ( 1300 ).
      • — 21.1.3058 270 . Positive Technologies . , , MaxPatrol SIEM.
      • — MaxPatrol SIEM ( , ) . SDK, . PTKB MaxPatrol SIEM. , .
    • :

      • — MaxPatrol SIEM -, ( ), — .
      • — , , .

    :

    • MP Core — . RabbitMQ, . , , , WEB UI ( ) .
    • MP SIEM Server — , ( ). , , , , .
    • MP Storage — . elasticsearch. , .
    • PT KB — , , , , . , Core.
    • PT UCS (PT Update and Configuration Service) — . PT KB.

    , :



    (), . , EPS ( ) .

    (All-in-one)


    .



    -


    MP Agent ( , ) .



    -







    -






    , , .


    MaxPatrol SIEM , — , , - . — , , .

    MaxPatrol SIEM 2 :

    • — . . : PT-MPSIEM-Base-HNNNNN, NNNNN – c , . :

      • PT-SIEM-BASE-H1000 — 1000
      • PT-SIEM-BASE-H1000 — 2000
      • PT-SIEM-BASE-H1000 — 5000
      • PT-SIEM-BASE-H1000 — 10000
      • ..
    • — MaxPatrol SIEM. MaxPatrol SIEM PT-MPSIEM-XXX, XXX – . :

      • PT-MPSIEM-SRV — SIEM (MP Core,+MAXPATROL SIEM+ MP Storage + PTKB + PT UCS ). SIEM .
      • PT-MPSIEM-AGT — Agent- . , - .
      • PT-MPSIEM-NS — Network Attack Discovery , 1 Gb/s.
      • ..


    , :

    1. . – . : , , . , , , . , 1000 , 1000.
    2. – , , , . ( 30-50%).
    3. MaxPatrol SIEM , , .
    4. PT-MPSIEM-BASE-H1000, PT-MPSIEM-SRV PT-MPSIEM-AGT.

    MaxPatrol SIEM, :


    . — «-EXT» , , PT-MPSIEM-AGT-EXT MAXPATROL SIEM Agent. .

    MaxPatrol SIEM AIO (All-In-One)


    All-in-one:

    • MaxPatrol SIEM AIO (All-In-One) – - , () , .
    • ( ) - 1000 .
    • MaxPatrol SIEM AIO MaxPatrol SIEM.
    • MaxPatrol SIEM AIO PT-MPSIEM-SRV PT-MPSIEM-AGT 1 . .
    • NAD Sensor, M-Scan SIP MaxPatrol SIEM AIO .

    , MaxPatrol SIEM AIO :

    • 250
    • 500
    • 1000

    – . :

    • 250 –> 500
    • 250 –> 1000
    • 500 –> 1000 .

    MaxPatrol SIEM AIO — MaxPatrol SIEM.


    , . , :

    • MaxPatrol SIEM
    • , MaxPatrol SIEM , , :


    , .


    Positive Technologies MaxPatrol SIEM , - ( ).

    , MaxPatrol SIEM 5 .

    MaxPatrol SIEM .

    :

    • , ;
    • , ;
    • , ;
    • ( );
    • support.ptsecurity.com . — .
    • ;

    , telegram — t.me/MPSIEMChat, .

    support.ptsecurity.com , Positive Technologies, . . , , .

    , . 9:00 19:00 UTC+3.

    .

    , , . :




    :

    1. , . , - , — « » . , . , .
    2. SIEM . , SIEM , . , , , , () , , . . :

      • VPN , .
      • , .
      • TeamViewer AnyDesk , , .
      • .

    3. , MaxPatrol SIEM. , , . , Positive Technologies, .
    4. - — , . SIEM , . , , ( ). SIEM .

    , . , «», :

More articles:


All Articles