QRadar SIEM
-
Upload
sciencesoft-inc -
Category
Technology
-
view
223 -
download
7
Transcript of QRadar SIEM
![Page 1: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/1.jpg)
Опыт внедрения QRadar SIEM в Беларуси и за
рубежом
![Page 2: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/2.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
География внедрения
• Беларусь• Россия• Украина• Эстония• Казахстан• Азербайджан
• США• Мексика• Великобритания• Нидерланды• Финляндия• Кения
• Пакистан• Ливан• Палестина• Иордания• ОАЭ• Саудовская Аравия
![Page 3: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/3.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Этапы внедрения
Планирование
Внедрение
Эксплуатация
Принятие решения
![Page 4: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/4.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Понимание и заинтересованность
Функции SIEM
Сбор и хранение событий ИБ
Анализ инцидентов
Оповещение об инцидентах
Отчетность
Принятие решения
1
2
3
4
![Page 5: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/5.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Понимание и заинтересованность
Зачем SIEM бизнесу?
Соответствие требованиям и стандартам
Обеспечение безопасности
Оптимизация ИТ
Доказательства при расследованиях
Контроль процессов
Принятие решения
![Page 6: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/6.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Понимание и заинтересованность
Принятие решения
Консолидация
Обнаружение
Приоритезация
Расследование
Зачем SIEM безопасникам?
![Page 7: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/7.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Понимание и заинтересованность
Единый интерфейс мониторинга
Обнаружение сбоев
Обоснование требований
Принятие решения
Зачем SIEM службам ИТ?
![Page 8: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/8.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Заблуждения о SIEM
SIEM - не проактивная система
Нет данных – нет результатов
Ложные срабатывания неизбежны
Принятие решения
![Page 9: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/9.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Факты о SIEM
Заменителей SIEM не существует
Принятие решения
Log Manager
Хранение
Корреляция
Vulnerability Scanner
Уязвимости
Эксплуатация
FW/IDS/IPS
Коммуникации
Угрозы
NMS
Свои активы
Другие активы
![Page 10: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/10.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Список функций или эффективность?
Принятие решения
Сколько ресурсов тратить на поддержку?
Все ли функции будут использоваться?
![Page 11: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/11.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Если политики безопасности...
Нет базы для построения системы мониторинга ИБ
Принятие решения
• Рост бизнеса
• Изменение векторов угроз
• Новые системы безопасности
• Нечеткие определения
• Несоответствие требований и процессов
• Нет контроля исполнения
• Не предусмотрена ответственность
• Без комментариев
УстарелиНе учтена
спецификаНе
выполняютсяОтсутствуют
![Page 12: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/12.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Инвентаризация – это основа
Схема сети Сетевые активы
Учетные записи Процессы
Принятие решения
![Page 13: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/13.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Приоритезация
Источники
Что подключать?
Поддерживается ли «из коробки»?
Данные
Сколько событий в секунду?
Каковы требования к
хранению?
Транспорт
Какие протоколы?
Сетевые экраны между
источником и SIEM
Планирование
![Page 14: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/14.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Организация
SIEM
Ответственные
Исполнители
Представитель интегратора
И.О.
Планирование
![Page 15: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/15.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Содействие ИТ, ИБ и бизнеса
Определение существующих рисков
Создание учетных записей
Конфигурация источников
Обеспечение доступности
Образцы журналов
Консультации
Внедрение
![Page 16: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/16.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Подключение источников
Внедрение
Источник подключен к другой системе
мониторинга
Можно ли собирать данные с нее?
Нестабильное или периодическое соединение
Нужен ли локальный коллектор?
Журналированиеснижает
производительность
Баланс между качеством данных и стабильностью
источника
Нет нужных данных
Настройка аудита
Нестандартный формат сообщений
Разработка препроцессора
![Page 17: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/17.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Отчетность
Внедрение
Источники
Кому отправлять?
Стандарты и требования
Активности
Обновление шаблонов
![Page 18: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/18.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Интеграция с другими системами
Внедрение
![Page 19: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/19.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Поддержка интегратора
Эксплуатация
Нехватка собственных
ресурсов
Поддержка вендора: дорого
и медленно
Нет локальных центров
компетенции
Внешний специалист не
знаком с бизнесом
Языковой барьер
Центр компетенции в Минске
Поддержка 8*5Внедрение и обслуживание
Заказчик
![Page 20: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/20.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Обновление правил и отчетов
Обновление источников
Изменение требований
На основе обнаруженных
инцидентов
Эксплуатация
![Page 21: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/21.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Удобство эксплуатации
Эксплуатация
Сложная и неудобная система SIEM
Язык корреляционных правил не человеко-понятен
Разные интерфейсы мониторинга и
администрирования
Простой и логичный мастер правил
Единый web-интерфейс
Курсы для администраторов и пользователей
![Page 22: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/22.jpg)
© ScienceSoft Inc. Web: www.scnsoft.com
Аудит состояния системы
Сбои компонентов
Нехватка дискового
пространства
«Тяжелые» правила
корреляции
Нарушение целостности
данных
Неактивные источники
Эксплуатация
![Page 23: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/23.jpg)
Отзыв клиента
Эксплуатация
Эффективность затрат
Реальные результаты
Профессиональный подход
Выполнение стандартов группы
![Page 24: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/24.jpg)
Отзыв клиента
Эксплуатация
Эффективность затрат
Реальные результаты
Профессиональный подход
Выполнение стандартов группы
![Page 25: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/25.jpg)
Вопросы?
![Page 26: QRadar SIEM](https://reader035.fdocuments.net/reader035/viewer/2022082202/55c58b98bb61ebb46e8b456a/html5/thumbnails/26.jpg)
Наши контакты
Спасибо за внимание!
SCIENCESOFT INC.Ул. Л. Беды, 2220040 Минск, БеларусьТел.: + 375 17 293 3736Email: [email protected]: www.scnsoft.com