Опыт внедрения QRadar SIEM в Беларуси и за
рубежом
© ScienceSoft Inc. Web: www.scnsoft.com
География внедрения
• Беларусь• Россия• Украина• Эстония• Казахстан• Азербайджан
• США• Мексика• Великобритания• Нидерланды• Финляндия• Кения
• Пакистан• Ливан• Палестина• Иордания• ОАЭ• Саудовская Аравия
© ScienceSoft Inc. Web: www.scnsoft.com
Этапы внедрения
Планирование
Внедрение
Эксплуатация
Принятие решения
© ScienceSoft Inc. Web: www.scnsoft.com
Понимание и заинтересованность
Функции SIEM
Сбор и хранение событий ИБ
Анализ инцидентов
Оповещение об инцидентах
Отчетность
Принятие решения
1
2
3
4
© ScienceSoft Inc. Web: www.scnsoft.com
Понимание и заинтересованность
Зачем SIEM бизнесу?
Соответствие требованиям и стандартам
Обеспечение безопасности
Оптимизация ИТ
Доказательства при расследованиях
Контроль процессов
Принятие решения
© ScienceSoft Inc. Web: www.scnsoft.com
Понимание и заинтересованность
Принятие решения
Консолидация
Обнаружение
Приоритезация
Расследование
Зачем SIEM безопасникам?
© ScienceSoft Inc. Web: www.scnsoft.com
Понимание и заинтересованность
Единый интерфейс мониторинга
Обнаружение сбоев
Обоснование требований
Принятие решения
Зачем SIEM службам ИТ?
© ScienceSoft Inc. Web: www.scnsoft.com
Заблуждения о SIEM
SIEM - не проактивная система
Нет данных – нет результатов
Ложные срабатывания неизбежны
Принятие решения
© ScienceSoft Inc. Web: www.scnsoft.com
Факты о SIEM
Заменителей SIEM не существует
Принятие решения
Log Manager
Хранение
Корреляция
Vulnerability Scanner
Уязвимости
Эксплуатация
FW/IDS/IPS
Коммуникации
Угрозы
NMS
Свои активы
Другие активы
© ScienceSoft Inc. Web: www.scnsoft.com
Список функций или эффективность?
Принятие решения
Сколько ресурсов тратить на поддержку?
Все ли функции будут использоваться?
© ScienceSoft Inc. Web: www.scnsoft.com
Если политики безопасности...
Нет базы для построения системы мониторинга ИБ
Принятие решения
• Рост бизнеса
• Изменение векторов угроз
• Новые системы безопасности
• Нечеткие определения
• Несоответствие требований и процессов
• Нет контроля исполнения
• Не предусмотрена ответственность
• Без комментариев
УстарелиНе учтена
спецификаНе
выполняютсяОтсутствуют
© ScienceSoft Inc. Web: www.scnsoft.com
Инвентаризация – это основа
Схема сети Сетевые активы
Учетные записи Процессы
Принятие решения
© ScienceSoft Inc. Web: www.scnsoft.com
Приоритезация
Источники
Что подключать?
Поддерживается ли «из коробки»?
Данные
Сколько событий в секунду?
Каковы требования к
хранению?
Транспорт
Какие протоколы?
Сетевые экраны между
источником и SIEM
Планирование
© ScienceSoft Inc. Web: www.scnsoft.com
Организация
SIEM
Ответственные
Исполнители
Представитель интегратора
И.О.
Планирование
© ScienceSoft Inc. Web: www.scnsoft.com
Содействие ИТ, ИБ и бизнеса
Определение существующих рисков
Создание учетных записей
Конфигурация источников
Обеспечение доступности
Образцы журналов
Консультации
Внедрение
© ScienceSoft Inc. Web: www.scnsoft.com
Подключение источников
Внедрение
Источник подключен к другой системе
мониторинга
Можно ли собирать данные с нее?
Нестабильное или периодическое соединение
Нужен ли локальный коллектор?
Журналированиеснижает
производительность
Баланс между качеством данных и стабильностью
источника
Нет нужных данных
Настройка аудита
Нестандартный формат сообщений
Разработка препроцессора
© ScienceSoft Inc. Web: www.scnsoft.com
Отчетность
Внедрение
Источники
Кому отправлять?
Стандарты и требования
Активности
Обновление шаблонов
© ScienceSoft Inc. Web: www.scnsoft.com
Интеграция с другими системами
Внедрение
© ScienceSoft Inc. Web: www.scnsoft.com
Поддержка интегратора
Эксплуатация
Нехватка собственных
ресурсов
Поддержка вендора: дорого
и медленно
Нет локальных центров
компетенции
Внешний специалист не
знаком с бизнесом
Языковой барьер
Центр компетенции в Минске
Поддержка 8*5Внедрение и обслуживание
Заказчик
© ScienceSoft Inc. Web: www.scnsoft.com
Обновление правил и отчетов
Обновление источников
Изменение требований
На основе обнаруженных
инцидентов
Эксплуатация
© ScienceSoft Inc. Web: www.scnsoft.com
Удобство эксплуатации
Эксплуатация
Сложная и неудобная система SIEM
Язык корреляционных правил не человеко-понятен
Разные интерфейсы мониторинга и
администрирования
Простой и логичный мастер правил
Единый web-интерфейс
Курсы для администраторов и пользователей
© ScienceSoft Inc. Web: www.scnsoft.com
Аудит состояния системы
Сбои компонентов
Нехватка дискового
пространства
«Тяжелые» правила
корреляции
Нарушение целостности
данных
Неактивные источники
Эксплуатация
Отзыв клиента
Эксплуатация
Эффективность затрат
Реальные результаты
Профессиональный подход
Выполнение стандартов группы
Отзыв клиента
Эксплуатация
Эффективность затрат
Реальные результаты
Профессиональный подход
Выполнение стандартов группы
Вопросы?
Наши контакты
Спасибо за внимание!
SCIENCESOFT INC.Ул. Л. Беды, 2220040 Минск, БеларусьТел.: + 375 17 293 3736Email: [email protected]: www.scnsoft.com
Top Related