Get best of the week

Max Patrol SIEM。信息安全事件管理系统概述



介绍


朋友们,下午好。

我想将本文介绍给积极技术MaxPatrol SIEM公司这样的产品,该公司已经开发创新的网络安全解决方案已有17年以上。

在其中,我将尝试简要描述任何安全员在活动期间遇到的主要任务和活动,并告诉我如何使用MaxPatrol SIEM产品作为示例来解决它们。

我还将尝试描述其平台和许可方案。

此外,我邀请所有人参加将于2020年4月8日举行的网络研讨会,该会议将专门针对Platform 187产品(1个服务器中的5种产品:MaxPatrol SIEM,MaxPatrol 8,PT Network Attack Discovery,PT MultiScanner,PT Departmental Center)。网络研讨会和注册的详细信息可从以下链接获得-tssolution.ru/events/positive_187_08_04

有兴趣的请解决。

因此,像往常一样,在审查之初,我们离不开理论,我将以著名的内森·梅耶·罗斯柴尔德的格言开始,他在遥远的1815年6月拿破仑在滑铁卢战役中被击败时发表了讲话,但今天比以往任何时候都更加重要:“谁拥有信息“他拥有世界。”

在我们这个现代化的数字世界中,信息已不仅成为商业企业和国家的最宝贵资产。当今,信息至关重要的最简单的例子是公民的金钱,它们不是现代世界中的床垫和箱子,而是以数字形式存储在银行帐户中,并且基本上记录在一个或另一个数据库中。

电信水平的不断提高,从理论上讲,任何人只要能够访问Internet都可以访问已连接或未连接到全球Internet网络系统的任何信息,就有助于“军备竞赛”的持续增长。 »在信息安全领域:

  • 几乎每天都会发现各种软件中具有不同程度的关键程度的漏洞,在这些漏洞下,供应商试图快速发布补丁程序和修补程序,并在新版本中将其删除。
  • 在利用知识的过程中表现出“阴暗面”的技术专家正在尝试发现对企业基础架构的新攻击手段,同时开发自己的工具来帮助他们完成任务-实际上,他们开发自己的软件(称为恶意软件)或开发现有的软件。
  • 踏入“光明面”的技术专家在公司(供应商)中开发了各种信息保护和企业基础架构产品,并在合作伙伴的帮助下在组织中实施了这些产品。
  • 他们都在不断接受培训,寻找知识,开发和改进工具的事实将他们团结在一起。

总体而言,获得了经典的“剑与盾”对抗,在信息安全领域,它通常被称为“红队与蓝队”对抗。

IB事件


现在,让我们继续进行一些比较平凡的事情,并考虑攻击者的典型攻击情况-他们的剑,他们对企业的基础架构构成威胁。

通常,对任何信息系统的攻击都包含三个主要阶段:



相比之下,IS工程师本身就制定了以下防护措施-防护罩,用以保护企业的基础设施:



朋友们,我想立即引起您的注意,许多人将这两种概念混淆了:

  • 信息安全-实际上,它是信息的有条件状态,它是否安全
  • 确保信息安全是旨在提供该非常安全状态的信息的连续过程。

让我们看一下分别提供保护措施的每个步骤:

  • :
    • — - , , . :
      • (-, , , , )
      • , - -
      • (firewall, NGFW, IPS/IDS, , , , - )
      • , , , , ,

    • — , , . :
      • — , ,
      • ( , , e-mail )
      • , , , , :
        • :
          • , , firewall-
          • HIPS
          • IPS ,
          • ..

        • , ,
  • — , , , — , , netflow :
    • — , ;
    • , ( , )
  • — , , :

    • — -
    • 在IS事件框架内进行调查-识别攻击和被攻击资产或IS违规者,影响程度和违规程度等。
    • 根据调查的事实,做出某些决定:
      • 调整(更改)资产或SRI的安全设置
      • 调整(变更)企业安全政策并进行人员培训

正如我之前所说的那样,所有这些必须是连续的,也就是说,必须以24 * 7 * 365模式持续进行。

对于任何SIEM系统,这产生了3个如此重要的标准:

  • 即用型SIEM系统支持的事件源(信息系统和供应商设备)的数量
  • 可以检测事件流中某个关键事件的发生并“触发”警报的关联规则的数量(对我自己来说,我称为“ siem签名”)
  • 用于第一点和第二点的开发工具-能够连接您的资源并开发自己的关联规则(针对您的公司及其IS策略)

平台说明


现在,让我们继续前进到Positive Technologies的MaxPatrol SIEM产品。我必须马上说,公司的开发人员以建立一个系统为目标,该系统提供了在一个产品中进行所有三种类型的事件的能力:

  • 预防措施:
    • 资产管理-该产品具有内置的网络节点和模块扫描程序,用于进行各种系统的清单和审计;
    • — PT Knowledge Base ( PT KB), (, CVE), (Kaspersky, Group-IB) ;
  • :

    • . MaxPatrol SIEM :

      • Syslog — Syslog;
      • Windows Event Log — Windows Event log;
      • Windows File log — Microsoft Windows;
      • Windows WMI log — Windows Event log WMI;
      • NetFlow — NetFlow;
      • ODBC Log — c ;
      • SSH File Log — SSH;
      • CheckPoint LEA — Check Point OPSEC;
      • SNMP Traps — SNMP.
    • C , JSON XML.
    • . «» .
    • — .
    • — .
    • — .
    • 3- , , :

      • — 300 ( 1300 ).
      • — 21.1.3058 270 . Positive Technologies . , , MaxPatrol SIEM.
      • — MaxPatrol SIEM ( , ) . SDK, . PTKB MaxPatrol SIEM. , .
    • :

      • — MaxPatrol SIEM -, ( ), — .
      • — , , .

    :

    • MP Core — . RabbitMQ, . , , , WEB UI ( ) .
    • MP SIEM Server — , ( ). , , , , .
    • MP Storage — . elasticsearch. , .
    • PT KB — , , , , . , Core.
    • PT UCS (PT Update and Configuration Service) — . PT KB.

    , :



    (), . , EPS ( ) .

    (All-in-one)


    .



    -


    MP Agent ( , ) .



    -







    -






    , , .


    MaxPatrol SIEM , — , , - . — , , .

    MaxPatrol SIEM 2 :

    • — . . : PT-MPSIEM-Base-HNNNNN, NNNNN – c , . :

      • PT-SIEM-BASE-H1000 — 1000
      • PT-SIEM-BASE-H1000 — 2000
      • PT-SIEM-BASE-H1000 — 5000
      • PT-SIEM-BASE-H1000 — 10000
      • ..
    • — MaxPatrol SIEM. MaxPatrol SIEM PT-MPSIEM-XXX, XXX – . :

      • PT-MPSIEM-SRV — SIEM (MP Core,+MAXPATROL SIEM+ MP Storage + PTKB + PT UCS ). SIEM .
      • PT-MPSIEM-AGT — Agent- . , - .
      • PT-MPSIEM-NS — Network Attack Discovery , 1 Gb/s.
      • ..


    , :

    1. . – . : , , . , , , . , 1000 , 1000.
    2. – , , , . ( 30-50%).
    3. MaxPatrol SIEM , , .
    4. PT-MPSIEM-BASE-H1000, PT-MPSIEM-SRV PT-MPSIEM-AGT.

    MaxPatrol SIEM, :


    . — «-EXT» , , PT-MPSIEM-AGT-EXT MAXPATROL SIEM Agent. .

    MaxPatrol SIEM AIO (All-In-One)


    All-in-one:

    • MaxPatrol SIEM AIO (All-In-One) – - , () , .
    • ( ) - 1000 .
    • MaxPatrol SIEM AIO MaxPatrol SIEM.
    • MaxPatrol SIEM AIO PT-MPSIEM-SRV PT-MPSIEM-AGT 1 . .
    • NAD Sensor, M-Scan SIP MaxPatrol SIEM AIO .

    , MaxPatrol SIEM AIO :

    • 250
    • 500
    • 1000

    – . :

    • 250 –> 500
    • 250 –> 1000
    • 500 –> 1000 .

    MaxPatrol SIEM AIO — MaxPatrol SIEM.


    , . , :

    • MaxPatrol SIEM
    • , MaxPatrol SIEM , , :


    , .


    Positive Technologies MaxPatrol SIEM , - ( ).

    , MaxPatrol SIEM 5 .

    MaxPatrol SIEM .

    :

    • , ;
    • , ;
    • , ;
    • ( );
    • support.ptsecurity.com . — .
    • ;

    , telegram — t.me/MPSIEMChat, .

    support.ptsecurity.com , Positive Technologies, . . , , .

    , . 9:00 19:00 UTC+3.

    .

    , , . :




    :

    1. , . , - , — « » . , . , .
    2. SIEM . , SIEM , . , , , , () , , . . :

      • VPN , .
      • , .
      • TeamViewer AnyDesk , , .
      • .

    3. , MaxPatrol SIEM. , , . , Positive Technologies, .
    4. - — , . SIEM , . , , ( ). SIEM .

    , . , «», :

More articles:


All Articles