Praktické zkušenosti s provozováním SIEM RSA envision. Bc. Jiří Kout, Michal Miklánek Česká pošta s.p.

Podobné dokumenty
SIEM a 6 let provozu Od požadavků ČNB přes Disaster Recovery až k Log Managementu. Peter Jankovský, Karel Šimeček, David Doležal AXENTA, PPF banka

Bezpečnostní projekt Případová studie

IPS a IDS. Martin Beránek. 17. března Martin Beránek (SSPŠ) IPS a IDS 17. března / 25

Exekutoři. Závěrečná zpráva

Program Technické podpory SODATSW spol. s r.o.

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Dodavatel komplexních řešení a služeb v oblasti informačních systémů

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Návod pro Windows XP

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Převodník DL232. Návod pro instalaci. Docházkový systém ACS-line. popis DL232.doc - strana 1 (celkem 5) Copyright 2013 ESTELAR

PŘÍPADOVÁ STUDIE ÚŘAD MĚSTSKÉ ČÁSTI PRAHA 3

Víme, co se děje aneb Log Management v praxi. Petr Dvořák, GAPP System

Technické aspekty EET

Technická specifikace předmětu zakázky

BEZPEČNOST CLOUDOVÝCH SLUŽEB

IMPORT A EXPORT MODULŮ V PROSTŘEDÍ MOODLE

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

Definice služby katalogový list (KL-1, KL-2, KL-3)

VITA x ISZR. Školení pro informatiky. Mgr. Jan Křížek, VITA software

Katalog služeb a podmínky poskytování provozu

Migrace Lotus na verzi 8.x

Realizační tým Zhotovitele. Oprávněné osoby. Seznam subdodavatelů. Tabulka pro zpracování nabídkové ceny. Zadávací dokumentace

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

KyBez na MPO. aneb zavádění Zákona o kybernetické bezpečnosti. KyBez na MPO. Ing. Miloslav Marčan Ředitel odboru informatiky

českém Úvod Obsah balení LC USB adaptér Sweex pro bezdrátovou síť LAN

Smlouva o dílo. Smluvní strany. 1. Preambule. číslo Smlouvy Objednatele:

Kľúčové pohľady. na kybernetickú bezpečnosť. Tomáš Hlavsa, Atos IT Solutions and Services

V Brně dne 10. a

Doporučené nastavení prohlížeče MS Internet Explorer 7 a vyšší pro ČSOB InternetBanking 24 a ČSOB BusinessBanking 24 s využitím čipové karty

Internetová agentura. Předimplementační analýza webu

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

PŘEDSTAVENÍ - KAREL HÁJEK Nasazení SD ve skupině ČEZ

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série

Novinky v Maple T.A. 10

Projekt INTERPI. Archivy, knihovny, muzea v digitálním světě Your contact information

SIS INSTALAČNÍ PŘÍRUČKA (SITE INFORMATION SYSTEM) Datum vytvoření: Datum aktualizace: Verze: v 1.3 Reference:

Zřízení technologického centra ORP Dobruška

MANAGEMENT I T-29 KOMUNIKAČNÍ PROSTŘEDKY IVANA NEKVAPILOVÁ

Daniela Lišková Solution Specialist Windows Client.

Cisco SmartNet & SmartCare Services

Dohledové systémy Microsoft vs. cesta k vyšší produktivitě IT

PŘÍRUČKA PRO UŽIVATELE KERAMICKÉ DÍLNY ELIÁŠ

Nástroje pro korelace a vyhodnocování bezpečnostních událostí

Kontrolní seznam před instalací

ISÚI Informační systém územní identifikace Proč? Co? Kde? Kdo? Jak? Kdy?

Digitální knihovna AV ČR

Zkušenosti z nasazení a provozu systémů SIEM

Univerzita pro obchodní partnery InfoSphere Guardium. Jan Musil 2009 IBM Corporation

AVG Instalace DataCenter na databázi Firebird

Sada 1 CAD Registrace studentů a učitelů středních škol pro účely stažení legálního výukového SW firmy Autodesk

Technická podpora IBM Informix. Jan Musil IT Specialist SWG IBM

Reg. č. projektu: CZ 1.04/ /A Pracovní sešit

Zkušenosti z implementace IS PROXIO - Město Žďár nad Sázavou Ing. Libor Vostrejš vedoucí odboru IT, Ing. Jiří Berkovec MARBES CONSULTING s.r.o.

Automatizace správy linuxové infrastruktury pomocí Katello a Puppet LinuxDays

Efektivní řízení rizik webových a portálových aplikací

Jiří Vařecha

Postup práce s elektronickým podpisem

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

Úložiště elektronických dokumentů GORDIC - WSDMS

Vedoucí bakalářské práce

Návod na připojení k ové schránce Microsoft Windows Live Mail

PŘÍRUČKA K POUŽÍVÁNÍ APLIKACE HELPDESK

Konvergovaná bezpečnost v infrastrukturních systémech

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Otevřený svět ICS. Radim Navrátil. aneb co svět oken a ICS? Vedoucí oddělení aplikační administrace a bezpečnosti, YOUR SYSTEM, spol. s r.o.

Flow monitoring a NBA

Připravte si prosím tyto produkty Instalace hardwaru Výchozí nastavení z výroby

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Jan Slezák, Zdeněk Dutý Oracle Day. Využití SW a HW technologií Oracle v projektu ISZR a potenciál pro egoverment

HW Diskové pole - 1KS

Plánované investice v distribučních sítích E.ON Distribuce, a.s. Lukáš Svoboda, Miroslav Točín E.ON Česká republika, s.r.o.

Možnosti využití cloudových služeb pro provoz IT

Reportingová platforma v České spořitelně

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Tabulka splnění technických požadavků

Životní cyklus IT systémů

Open source kyberbezpečnost ve školách

Důvěryhodná výpočetní základna -DVZ

PŘÍLOHA Č. 2 RÁMCOVÉ SMLOUVY SOUPIS DOPROVODNÝCH BEZPLATNÝCH SLUŽEB. 1. Pravidla poskytování doprovodných bezplatných služeb

Případová studie: Ochrana citlivých dat v automobilovém průmyslu

Operativní plán. Operativní řízení stavby

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

Příloha č. 1 - ke Smlouvě na dodávku software dle GDPR pro počítačovou síť nedílná součást zadávací dokumentace k podmínkám výzvy VZ 145.

Postup při registraci na pro přihlašování na základní nebo nástavbové týdenní kursy KNX a používání osobních stránek

Nasazení CA Role & Compliance Manager

Protokol o posouzení kvalifikace. Mobilní bezpečná platforma PČR.

Network Audit Komplexní provozní a bezpečnostní monitoring sítě

Žádost o přidělení značky kvality

Řešení Retail Analytics

Popis a funkce klávesnice Gama originální anglický manuál je nedílnou součástí tohoto českého překladu

Microsoft System Center Configuration Manager Jan Lukele

Infrastruktura jako služba

TOP 10 produktů a služeb


AirGateway. Návod / rev.0. Strana 1 z 9

Průvodní dopis k dotazníku:

Transkript:

Praktické zkušenosti s provozováním SIEM RSA envision Bc. Jiří Kout, Michal Miklánek Česká pošta s.p.

Historie Popis současného stavu Průběh nasazení Časté otázky / odpovědi Obsah 20. února 2013 2

Historie Historie nasazení SIEM v ČP SIEM pro BICT pořízen v roce 2009 O rok později přikoupena 2. appliance (STDB) + 7T diskové pole od EMC Příprava na pseudo HA V případě nefunkční appliance je připraven na instalaci druhý box (cca 5h DRP) Logy jsou ukládány na EMC diskové pole Kapacita pole umožňuje při současném provozu archivovat logy min. 3 roky 20. února 2013 3

Historie nasazení SIEM v ČP 20. února 2013 4

Současný stav Popis současného stavu ES 7650 1 Licence na 1250 zařízení / 7500 EPS 7T diskové pole (po dvou letech zaplněno 8%) Loguje cca 700 zařízení FW Páteřní switche a routery Serverové operační systémy Business aplikace IPS PROXY do internetu Network Access Control atd. 20. února 2013 5

Průběh nasazení Průběh nasazení Při zakoupení byla technická podpora nedostatečná 1 rok proběhl s podporou technicky zdatnější, ovšem bez hlubšího zapojení security invence 1 rok zcela bez podpory pouze s Help deskem RSA, nedoporučeno 1,5 roku spolupráce s podporou, která splňuje požadovanou úroveň 20. února 2013 6

Otázky / Odpovědi Jak dlouho trvala vlastní instalace, testování a uvedení do rutinního provozu SIEM? (instalace HW, instalace SW, napojení zdrojů, konfigurace korelačních pravidel, konfigurace eskalačních workflow, reporting, testování funkčnosti) Instalace HW a SW - v řádu několika málo dnů Napojení zdrojů dny až týdny Může být velmi rychlé např. u syslogu nebo Windows Existují i pracnější zařízení (např. FW konfiguruje se na obou stranách) Náročnější je také připojovat vlastní aplikace Konfigurace korelačních pravidel, konfigurace eskalačních workflow, reporting, testování funkčnosti dlouhodobý proces 20. února 2013 7

Otázky / Odpovědi V čem vám pomohl výrobce, v čem vám pomohl dodavatel, co zůstalo na vás? Výrobce Přímý kontakt na HelpDesk výrobce není obecně doporučen. (support RSA existuje, zpravidla ovšem končí na Webexu..) Návody na připojení standardních zařízení na webu RSA Podpora dodavatele Při zaškolení do produktu Při náročnějších akcích (migrace appliance nebo diskového pole, parsování logů z vlastních zařízení, složitější korelační pravidla) Vlastní úsilí Korelační pravidla, připojování zařízení, pravidla pro Alerty, tvorba reportů 20. února 2013 8

Otázky / Odpovědi Podle jakých rolí máte nastaveno workflow? Jaké procesní role / organizační útvary pracují se SIEM? Komu je řešení SIEM primárně určeno? Administrátor envision 1 osoba Správa uživatelů a rolí Instalace opravných patchů (VAM & Source Update) Vytváření pravidel pro Alerty Vytváření korelačních pravidel Správa a údržba plánovaných a ad-hoc reportů Bezpečnostní administrátor 3 osoby Bezpečnostní dohled Vyhodnocování a řešení vzniklých alertů Rutinní pohled na reporty Tvorba týdenních či ad-hoc výstupů pro Manažera bezpečnosti IT Manažer bezpečnosti IT Předkládá výstupy na týdenních poradách vedení Manažerský pohled do envision (tzv. semafory ) se neosvědčil 20. února 2013 9

Otázky / Odpovědi Na co si dát pozor při implementaci a při následném provozu, čeho se vyvarovat? Implementace SIEM vyžaduje podporu širšího vedení firmy Je nezbytná dobrá spolupráce mezi jednotlivými složkami IT Určit priority při napojování zařízení Určit správně úroveň logování Připojovat zařízení postupně dát čas na odladění Vybrat vhodnou podporu dodavatele 20. února 2013 10

Otázky / Odpovědi Jak jste se stávajícím řešením spokojeni? Vybrali byste si znovu stávající systém? Proč? Ano Dobrý poměr cena/výkon Drobné výhrady k reportingu, k řešení HA, ke grafickému provedení webového GUI. Není zpracováváno netflow. Řešeno v následující generaci SIEM od RSA. 20. února 2013 11

Otázky / Odpovědi Z jakých zdrojů / systémů sbíráte log záznamy? Máte nějaké doporučení, jakými typy zdrojů / systémů začít? Syslog Windows Service SDEE LEA Service ODBC Service File Reader Používáte i vlastní specifické korelace? Osvědčilo se i v případě jednoduchých alertů používat vlastní korelační pravidla. Výhoda snadného exportování/importování. Korelace od výrobce používáme spíše pro inspiraci 20. února 2013 12

Plánovaný rozvoj? Otázky / Odpovědi Aktualizace UNIX politik Politiky aplikačních serverů 20. února 2013 13

Otázky / Odpovědi Používáte jiné nástroje mimo webového GUI Event Explorer (Incident Management) Umožňuje zpracovávat tzv. Tasks. Vzniklý alert obsahující korelační pravidlo může být převedeno na Task (Incident), který zpracuje Bezpečnostní administrátor, kterému je přiřazen. RSA envision EventSource Integrator Click & go nástroj pro parsování neznámého logu 20. února 2013 14

Děkujeme za pozornost. Bc. Jiří Kout, Michal Miklánek Česká pošta s.p. Kout.Jiri@cpost.cz Miklanek.Michal@cpost.cz 20. února 2013? PROSTOR PRO OTÁZKY

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář