Nástroje pro korelace a vyhodnocování bezpečnostních událostí

Podobné dokumenty
Bezpečnostní monitoring SIEM (logy pod drobnohledem)

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Příloha č. 1 - ke Smlouvě na dodávku software dle GDPR pro počítačovou síť nedílná součást zadávací dokumentace k podmínkám výzvy VZ 145.

Představení Kerio Control

Zákon o kybernetické bezpečnosti: kdo je připraven?

Microsoft Day Dačice - Rok informatiky

Flow Monitoring & NBA. Pavel Minařík

Koncept. Centrálního monitoringu a IP správy sítě

Koncept centrálního monitoringu a IP správy sítě

Specifikace předmětu zakázky

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

FlowMon Vaše síť pod kontrolou

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Není cloud jako cloud, rozhodujte se podle bezpečnosti

SIEM a 6 let provozu Od požadavků ČNB přes Disaster Recovery až k Log Managementu. Peter Jankovský, Karel Šimeček, David Doležal AXENTA, PPF banka

FlowMon Monitoring IP provozu

Monitorování datových sítí: Dnes

Technické aspekty zákona o kybernetické bezpečnosti

Konvergovaná bezpečnost v infrastrukturních systémech

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

IBM InfoSphere Guardium - ochrana databází

Sledování výkonu aplikací?

Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

Systém detekce a pokročilé analýzy KBU napříč státní správou

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Zkušenosti z nasazení a provozu systémů SIEM

Distribuce IT systému z důvodu minimalizace rizik a nasazení platformy linux

Bezpečnost sítí

Inteligentní NetFlow analyzátor

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Dodávka UTM zařízení FIREWALL zadávací dokumentace

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Řešení ochrany databázových dat

Novell Identity Management. Jaromír Látal Datron, a.s.

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

Kybernetické hrozby - existuje komplexní řešení?

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Monitoring kritických systémů - Case study. Tomáš Hrubý, AutoCont CZ tomas.hruby@autocont.cz

Tomáš Kantůrek. IT Evangelist, Microsoft

Využití identity managementu v prostředí veřejné správy

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný

ISPforum 2016 Jezerka NAT++

Z internetu do nemocnice bezpečně a snadno

Bezpečnostní projekt Případová studie

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Základní principy obrany sítě

Kybernetické hrozby jak detekovat?

Dodatečné informace k zadávacím podmínkám č. 2. Řešení IT síťové bezpečnosti BIOCEV. v otevřeném řízení

Jak efektivně ochránit Informix?

Administrační systém ústředen MD-110

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Víme, co se děje aneb Log Management v praxi. Petr Dvořák, GAPP System

Aktivní bezpečnost sítě

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Střední průmyslová škola elektrotechnická Praha 10, V Úžlabině 320 M A T U R I T N Í T É M A T A P Ř E D M Ě T U

Business Intelligence

Xirrus Zajímavé funkce. Jiří Zelenka

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Bezpečnostní politika společnosti synlab czech s.r.o.

Flow monitoring a NBA

WEBFILTR živě. přímo na svém počítači. Vyzkoušejte KERNUN CLEAR WEB. Připojte se přes veřejně dostupnou WiFi síť KERNUN.

Univerzální vyhledávací portál jako integrační řešení pro digitální knihovny

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Koncept aktivní bezpečnosti a spolehlivosti IT infrastruktury. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.

Co vše přináší viditelnost do počítačové sítě?

Zřízení technologického centra ORP Dobruška

Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman

Patrol Management System 2.0

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Poskytněte zákazníkům přístup na Internet přes vlastní internetový Hotspot...

Bezpečnostní aspekty informačních a komunikačních systémů KS2

AddNet. Detailní L2 monitoring a spolehlivé základní síťové služby (DDI/NAC) základ kybernetické bezpečnosti organizace. Jindřich Šavel 19.9.

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Úvod 17 ČÁST 1. Kapitola 1: Principy návrhu doménové struktury služby Active Directory 21

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Krajský úřad Jihomoravského kraje úspěšně filtruje obsah webu

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Microsoft SharePoint Portal Server Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

Jak využít NetFlow pro detekci incidentů?

Log management ELISA. Konference LinuxDays 2018

1. SYSTÉMOVÉ POŽADAVKY / DOPORUČENÁ KONFIGURACE HW A SW Databázový server Webový server Stanice pro servisní modul...

Transkript:

Nástroje pro korelace a vyhodnocování bezpečnostních událostí (jak se vyznat v množství bezpečnostních událostí) David Vorel Technický konzultant - Simac Technik ČR, a.s. 1

Osnova Obecný úvod Proč vůbec ukládat a zpracovávat události? Zdroje bezpečnostní události Centrální uložiště surových událostí Reálný proces nasazení Postupy při implementaci v prostředí Technologie SIEM, SIM, SEM a LM obecně Funkce SIEM Architektura prostředí SIEM Kolekce Normalizace Filtrace Agregace Korelace Notifikace Reportování 2

Proč vůbec ukládat a zpracovávat události? Dodržování standardů a dobrých praktik Přehled a orientace v prostředí Dodržování vnitrofiremních směrnic Potřebné diagnostické informace Zpětné ověření aktivit Uživatelů Procesů Požadavek auditorů a regulátorů 3

Bezpečnostní události (...Informace, Informace, Informace...) Způsob sběru Syslog a Syslog-NG Databáze HTTP FTP WMI Prosté soubory SNMP OPSEC, CPMI SDEE, RDEP Čas sběru V reálném čase Výhody Nevýhody Dávkově Výhody Nevýhody 4

Bezpečnostní události (zdroje logování) Logy operačních systému (Windows, Linux, IOS, BSD, Solaris, AIX, HP-UIX, BeOS...) Authentication, Authorization a Accounting (AAA) Active Directory LDAP Radius Kerberos IAS NIS C2 Audit obecně 5

Bezpečnostní události (zdroje logování) Firewaly Access Control Databáze DHCP DNS Virtualizace Netflow UTM IDS VPN WIFI Mobilní platformy 6

Centralizované uložiště Bezpečnostní logy na jediném místě Výhody Možnost jednotné delegace ACL pro uživatele a IP Snažší manipulace při zálohách a obnovách Připojení svazků DAS Možnost redundance centrálního uložiště (DRBD) Nevýhody Jeden kriticky bod Uložiště musí provozovat služby pro přistup (NFS, Samba, FTP, RSync..) 7

SIEM, SIM, SEM a LM obecně SIM Security Information Management Security Incident Managament SEM Security Event Management Security Event Monitoring LM Log Management SIEM Security Information and Event Management 8

Funkce SIEM Kolekce, Agregace, Normalizace, Filtrace, Korelace, Notifikace, Reporting, Archivace bezpečnostních událostí Přiřazení identifikovaných zranitelností aktivům (Risk Management, Risk Assesment) Vyhledávací logika při práci s uloženými daty Obsahové tabulky s možností reference do pravidel Evidence síťových rozsahů a účelu jejich použití Evidence a hodnocení aktiv ITC Přímá Integrace s Netflow či jeho nepřímá podpora - L3 vs L7 Schopnost sledování stavů zdrojů a jejich vitality, statistické informace Možnost segmentace Organizačních jednotek (OU) Učící mechanismy s detekcí anomalii (anomaly detection) 9

Architektura prostředí pro SIEM 10

Architektura SIEM (vše v jednom) Jediný server s co nejvyšším výkonném (2x Quad Core, 16GB RAM) Kolem 5000 EPS (2x Quad Core, 8GB RAM) Výhody Nižší pořizovací a režijní náklady Snadnější integrace v prostředí Nevýhody Malá propustnost Kritický bod Malá škálovatelnost 11

Architektura SIEM (distribuované řešení) Výhody Propustnost dle počtu serverů Rozložení zátěže Kolekce Archivace Korelace Nevýhody Vyšší pořizovací a režijní náklady Větší nároky na obsluhu a údržbu 12

Architektura SIEM (ISP řešení) Výhody Menší nároky na obsluhu Nižší pořizovací a režijní náklady Automatické dodržování SLA Většinou automaticky vysoká dostupnost Nevýhody Předávání dat mimo organizaci Nutnost specifikace a vytvoření prostředí pro předávání událostí Vyšší požadavky na přenosové kapacity mimo organizaci 13

Výhody Architektura SIEM (vysoká dostupnost) Zaručení maximální možné dostupnosti Geografické HA Popřípadě souvztažné využití k rozložení zátěže (Load Balancing) Nevýhody Vyšší počáteční náklady 14

Kolekce událostí Způsob kolekce závislý na použité architektuře Nejefektivnější je kolekci na pomocných serverech Vyšší výkon Rozložení zátěže Možnost automatického ukládání surových logů Filtrace a normalizace na straně pomocných serverů 15

Kolekce událostí 16

Normalizace událostí Kritická část vstupu události do SIEM Mapování částí zprávy do datových polí SIEM Klasifikace událostí Přiřazují se reference na externí zdroje (CVE, OSVDB..) Možnost implementace vlastních identifikátorů ( Mění uživatel heslo někomu jinému? 0/1) 17

Filtrace Ne všechny událostí musí byt zpracovávány Windows ID (680,538) SNMP dotazy Přístupy technických účtů z ověřených zdrojů Úpravou chování koncového systému Povolení nesprávně blokovaného portu na FW Úpravou konfigurace generující nadměrné množství událostí Koncovém agentu SIEM sběrači SIEM korelátoru SIEM archivu 18

Agregace událostí V některých případech může být užitečná Nepoužitelná v globálním nasazení Výhody Úspora procesorového výkonu Úspora síťových toků Nevýhody Ztráta originálních časových značek Ztráta dodatečných informací u agregovaných polí Neprobíhá v reálném čase 19

Korelace událostí Mozek SIEM Ne vše se musí korelovat Vytváření Incidentů Automatické přiřazení odpovědné osoby či týmu Statické korelace Dynamické korelace Pokročilé korelace Korelace dle odchylek chování 20

Korelace událostí (statické korelace) Na základě výskytu jediné události nebo signatury Příklady: Chybné přihlášení Úspěšné přihlášení na kritický server 21

Korelace událostí (dynamické korelace) Ve spojení s obsahovými tabulkami, které jsou dynamický aktualizovány dle potřeb v pravidelných časových intervalech Příklady: Operace provedena jiným než aktuálně oprávněným účtem Směrování specificky zájmových aktivit do kritického prostředí 22

Korelace událostí (pokročilé korelace) Na základě pravidel s vyšší logikou Na základě určení odpovídající míry risku pro aktiva organizace Příklady: Více než pět špatných pokusů Vice než tři špatné pokusy bez následného úspěšného přihlášení Méně než dvě úspěšné přihlášení za hodinu Více než X MB přenesených dat Cíl je zranitelný a byla zaznamenána signatura (exploit) pro konkretní port či chybu 23

Korelace událostí (dle odchylek v chování) Na základě odchylky od historického průměru (např. poslední hodina, den, týden.., nebo staticky stanovené období při učení) Příklady: Došlo k překročení odchylky v počtů hostů na síti Velikost monitorovaných paketů pro port 161 se zvětšila od předem naučené maximální hodnoty či průměru 24

Korelace událostí 25

Notifikace Vždy v reálném čase Možnost úprav formátování a obsahu Definice způsobu notifikace Pouze při prvním výskytu Vždy Při každém N výskytu 1x za časové období 26

Reporting Generování kompliance reportů pro: Interní potřeby Administrátory ITC Management a vedoucí jednotlivých organizačních jednotek Generování reportů ve shodě s regulátorem ISO 27001/17799 PCI Sarbanes Oxley 27

Reporting 28

Archivace událostí Surový log VS. proprietární log SIEM Způsob archivace událostí, referencí a indexů SIEM Databáze Proprietární formáty ve formě keší (někdy jenom s časově krátkým obsahem) a specifickým účelem (např. index udržovaný v paměti) Proprietární formáty ve formě souborů na disku Kombinace Rozdělení archivů SIEM Operační archiv Dlouhodobý archiv Rozdělení archívů dle typů událostí Doba ukládání dat (Data Retention) 29

Analytická část Dashboard Práce s daty Inteligence a logika postupu šetření událostí Předdefinované pohledy pro události Incidenty Tiketovací systém Využívání předpřipravených logických celků pro aplikaci ve filtrech (kolekce nebo vyhledávání), pravidlech, incidentech a reportech Vizualizace Měla by být interaktivní (pravý klik) reprezentace globálních stavů formou grafů, statistik a pokročilejší vizualizace reprezentace předem definovaných stavů pro konkretní 30

Analytická část 31

Proces nasazení sběru logů Kompletace informací o prostředí a interních politikách Identifikace potřeb vně organizace Identifikace zdrojů bezpečnostních logů Klasifikace aktiv Stanovení průměrných EPS a maximálních mezních EPS Výběr typu SIEM a způsobu jeho nasazení 32

Proces nasazení sběru logů Pilotní instalace a konfigurace SIEM Integrace zdrojů logů Vytvoření výchozích pravidel Pilotní provoz Vyhodnocení pilotního provozu Dokumentace prostředí a specifikace rutinních činností administrátoru či operátorů SIEM Dodržování rutinních činností s evidencí v provozním deníku 33

Shrnutí Nutná dobrá znalost prostředí a potřeb organizace Implementace předpokládá součinnost s ostatními OU Správným výběrem událostí ovlivňujeme výkonnost celého prostředí SIEM Člověka nelze plně nahradit 34

Děkuji za pozornost 35

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář