SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector •...
Transcript of SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector •...
![Page 1: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/1.jpg)
SIEMptsecurity.com
![Page 2: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/2.jpg)
ptsecurity.com
1
Дни, часы, минуты занимает компрометация
Недели, месяцы проходят до обнаружения
Компрометация и обнаружение
![Page 3: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/3.jpg)
ptsecurity.com
2Одна цель – множество систем – одна платформа
Network Compliance & Control
Threat Modeling
Host Compliance & Control
Network Storage & Forensic
Vulnerability Management
![Page 4: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/4.jpg)
ptsecurity.com
3Активо-центрический подход
SMARTDATA
Событие
КонфигурацияСканирование сети
Аудит
Агент
Трафик
BIG DATA
![Page 5: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/5.jpg)
ptsecurity.com
4Метамодель актива
AssetHardwareInterfaces
IPv4IPv6MAC
Groups/usersOS/Patch/UpdatesServices…Windows
SoftsOracle
Users…
Network DeviceVLANVPNNAT
![Page 6: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/6.jpg)
`
ptsecurity.com
5Управление активами
ОРГАНИЗАЦИОННАЯ ТЕРРИТОРИАЛЬНАЯ ФУНКЦИОНАЛЬНАЯ
OS IPFQDN
Softversion
Hardware CONFIG
ASSET#2 ASSET#3ASSET#1 ASSET#1
1 2 3 4 5
![Page 7: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/7.jpg)
ptsecurity.com
6Модельные корреляции
query Q(ip, port) from endpoints Group = "DMZ" and Endpoints(Address= ipand Port = port and Status = "Open")
event Ekey: dst.ipfilter object = "attack" andcategory = "IDS/IPS" andquery.Q(dst.ip, dst.port)
rule DMZ_host_attack: Event.E[5] within 1 day
Корреляционные правила
Данныеактива
События
КлассическийSIEM
HardwareTCP Ports
SoftConfigs
1
3
2
![Page 8: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/8.jpg)
ptsecurity.com
7Пример модельной корреляции №1
![Page 9: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/9.jpg)
ptsecurity.com
8Пример модельной корреляции №2
![Page 10: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/10.jpg)
ptsecurity.com
9Пример модельной корреляции №3
![Page 11: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/11.jpg)
ptsecurity.com
10Корреляции построенные на активах
![Page 12: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/12.jpg)
ptsecurity.com
11У вас есть источник? Мы поддержим его из коробки!
500
200
100
Any
![Page 13: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/13.jpg)
ptsecurity.com
12Сбор
AgentWindows Linux
Businessapplications
WMI\RPC
Syslog
SSHTelnet
SMB ODBC OPSEC
Type: ODBC OraclePort: 1521Instance: ORCLQuery:
select id, date, user, action, host
from (select ….where
action = “denied”order by …
Interval: 1000…
Пример:
![Page 14: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/14.jpg)
ptsecurity.com
13Топология – достижимость – вектора атак
1
2
3
![Page 15: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/15.jpg)
ptsecurity.com
14Фокус на автоматизацию
Уведомления Инциденты Многоуровневые
и
распределённые
корреляции
Ретроспективный
анализ
Сбор данных Мониторинг
![Page 16: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/16.jpg)
ptsecurity.com
Компоненты 15
• MaxPatrol Server
• MaxPatrol Scanner
• MaxPatrol Log Collector
• MaxPatrol Network Traffic
• MaxPatrol Host Control
• MaxPatrol Local Update Server
![Page 17: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/17.jpg)
ptsecurity.com
Платформа MaxPatrol: Архитектура16
• Масштабирование с учетом инфраструктуры клиента
• Оптимизация передачи данных по слабым каналам
• Увеличение производительности и объемов хранимых данных без дополнительных лицензий
• Удобство развертывания компонентов
• Встроенные механизмы диагностики
• Программы обучения персонала• Оперативная техническая
поддержка• Возможность доработки
производителем
![Page 18: SIEM - softline.ru · • MaxPatrol Server • MaxPatrol Scanner • MaxPatrol Log Collector • MaxPatrol Network Traffic • MaxPatrol Host Control • MaxPatrol Local Update Server.](https://reader036.fdocuments.net/reader036/viewer/2022062604/5f856e6c4b73a86cb235708c/html5/thumbnails/18.jpg)
ptsecurity.com
Спасибо!