qradar siem

Опыт внедрения QRadar SIEM в Беларуси и за

рубежом

© ScienceSoft Inc. Web: www.scnsoft.com

География внедрения

• Беларусь• Россия• Украина• Эстония• Казахстан• Азербайджан

• США• Мексика• Великобритания• Нидерланды• Финляндия• Кения

• Пакистан• Ливан• Палестина• Иордания• ОАЭ• Саудовская Аравия


Этапы внедрения

Планирование

Внедрение

Эксплуатация

Принятие решения


Понимание и заинтересованность

Функции SIEM

Сбор и хранение событий ИБ

Анализ инцидентов

Оповещение об инцидентах

Отчетность


1

2

3

4



Зачем SIEM бизнесу?

Соответствие требованиям и стандартам

Обеспечение безопасности

Оптимизация ИТ

Доказательства при расследованиях

Контроль процессов





Консолидация

Обнаружение

Приоритезация

Расследование

Зачем SIEM безопасникам?



Единый интерфейс мониторинга

Обнаружение сбоев

Обоснование требований


Зачем SIEM службам ИТ?


Заблуждения о SIEM

SIEM - не проактивная система

Нет данных – нет результатов

Ложные срабатывания неизбежны



Факты о SIEM

Заменителей SIEM не существует


Log Manager

Хранение

Корреляция

Vulnerability Scanner

Уязвимости


FW/IDS/IPS

Коммуникации

Угрозы

NMS

Свои активы

Другие активы


Список функций или эффективность?


Сколько ресурсов тратить на поддержку?

Все ли функции будут использоваться?


Если политики безопасности...

Нет базы для построения системы мониторинга ИБ


• Рост бизнеса

• Изменение векторов угроз

• Новые системы безопасности

• Нечеткие определения

• Несоответствие требований и процессов

• Нет контроля исполнения

• Не предусмотрена ответственность

• Без комментариев

УстарелиНе учтена

спецификаНе

выполняютсяОтсутствуют


Инвентаризация – это основа

Схема сети Сетевые активы

Учетные записи Процессы



Приоритезация

Источники

Что подключать?

Поддерживается ли «из коробки»?

Данные

Сколько событий в секунду?

Каковы требования к

хранению?

Транспорт

Какие протоколы?

Сетевые экраны между

источником и SIEM



Организация

SIEM

Ответственные

Исполнители

Представитель интегратора

И.О.



Содействие ИТ, ИБ и бизнеса

Определение существующих рисков

Создание учетных записей

Конфигурация источников

Обеспечение доступности

Образцы журналов

Консультации

Внедрение


Подключение источников

Внедрение

Источник подключен к другой системе

мониторинга

Можно ли собирать данные с нее?

Нестабильное или периодическое соединение

Нужен ли локальный коллектор?

Журналированиеснижает

производительность

Баланс между качеством данных и стабильностью

источника

Нет нужных данных

Настройка аудита

Нестандартный формат сообщений

Разработка препроцессора


Отчетность

Внедрение

Источники

Кому отправлять?

Стандарты и требования

Активности

Обновление шаблонов


Интеграция с другими системами

Внедрение


Поддержка интегратора


Нехватка собственных

ресурсов

Поддержка вендора: дорого

и медленно

Нет локальных центров

компетенции

Внешний специалист не

знаком с бизнесом

Языковой барьер

Центр компетенции в Минске

Поддержка 8*5Внедрение и обслуживание

Заказчик


Обновление правил и отчетов

Обновление источников

Изменение требований

На основе обнаруженных

инцидентов



Удобство эксплуатации


Сложная и неудобная система SIEM

Язык корреляционных правил не человеко-понятен

Разные интерфейсы мониторинга и

администрирования

Простой и логичный мастер правил

Единый web-интерфейс

Курсы для администраторов и пользователей


Аудит состояния системы

Сбои компонентов

Нехватка дискового

пространства

«Тяжелые» правила

корреляции

Нарушение целостности

данных

Неактивные источники


Отзыв клиента


Эффективность затрат

Реальные результаты

Профессиональный подход

Выполнение стандартов группы

Вопросы?

Наши контакты

Спасибо за внимание!

SCIENCESOFT INC.Ул. Л. Беды, 2220040 Минск, БеларусьТел.: + 375 17 293 3736Email: [email protected]: www.scnsoft.com

qradar siem

Technology