Внедрение системы мониторинга SIEM

Проект создания Security Operations Center на технологической платформе класса Security information and event management

 

Ценность для информационной безопасности 

Функционирование информационной инфраструктуры организации генерирует большие объёмы данных в виде журналов событий, регистрируемых политиками аудита программно-технических средств. Агрегированное состояние журналов событий Event log от различных источников по совокупности характеристик описывается термином большие данные Big Data, ценность которых определяется целями применения информации, получаемой в результате их анализа.

При таком подходе базово обеспечивается достаточная глубина прозрачности мониторинга работы work log и отслеживания изменений конфигураций change log информационных систем при оптимальных значениях параметров настроек политик аудита Audit policy.

 

Актуальность систем мониторинга событий информационной безопасности 

Злоумышленные действия внешних нарушителей, действующих массово или целенаправленно, а также внутренних инсайдеров организации, до момента преодоления подсистемы разграничения доступов, фильтрации ACL, блокирования сигнатурными AV, IPS и активными эвристическими модулями средств защиты информации SPAM, запрещаются комплексной системой информационной безопасности организации и классифицируются как Атаки.

Эта информация отображается в реальном времени в интерфейсе системы мониторинга, позволяющей проводить оперативные расследования действий компьютерных атак.

В случае успешного осуществления Атаки создаётся Инцидент, уведомления и принятие решений по которому автоматизируются в SIEM.

 

Объём анализируемых данных

Журналы Интернет-шлюза, почтового сервера и Active Directory организации содержат информацию, необходимую для расследования всех классов Инцидентов:

  • подбор паролей bruteforce
  • запрещённый контент bad content
  • запрещённый ресурс url forbid
  • вредоносный ресурс url virus
  • вредоносная программа malware
  • бот станция bot host
  • фишинг / мошенничество phishing
  • эксплуатация уязвимости exploit
  • изменение контента modify
  • СПАМ электронной почты SPAM
  • сканирование ресурсов network scan
  • отказ в обслуживании DDoS

Источник типа Интернет-шлюз включает прокси-серверы, межсетевые экраны, маршрутизаторы / VPN-оборудование, потоковые антивирусы, средства антиспам, средства предотвращения вторжений и другие контентные фильтры трафика, установленные на внешнем сетевом периметре организации.

 

Аудит Почтового сервера содержит информацию об отправке | получении писем, а также о доступах учётных записей к просмотру содержимого @ящика\директории и всех изменений электронных писем.

 

Эти и другие источники агрегируются в единый упорядоченный журнал событий базы данных  системы мониторинга, структурирование информации в котором осуществляется относительно активностей ip-адресов и username.

 

Внедрение технологической платформы SIEM

  • реинжиниринг настроек аудита источников событий
  • формирование ролевой модели пользователей системы
  • разработка регламентов работы и изменений

Интеграция:

  • развёртывание ландшафта платфомы
  • агрегация и нормализация потока событий
  • настройка планируемого функционала

Развитие системы мониторинга SIEM

  • эволюция алгоритмов анализа машинных данных
  • автоматизированная реакация на инциденты
  • интеграция с центром ГосСОПКА
  • методологическое обеспечение функционирования процессов

Командный опыт внедрения систем мониторинга

  • ArcSight, MaxPatrol, McAfee
  • аналитика, кастомизация, сопровождение и развитие
  • методология ГосСОПКА

Запрос предложения

 help@phie.ru 

 +7 495 00 88 796 

В ответ на Ваше техническое задание мы направим:

  • технико-коммерческое предложение
  • опыт выполнения аналогичных работ

 

сертифицированные специалисты |  pdf презентация 

#cybersecurity #SOC #SIEM #monitoring #eventlog #worklog #changelog #auditpolicy #machine data #information security

 

Москва
Санкт-Петербург

2017