Download Document

Security Event and Information Management:
Мониторинг состояния информационной безопасности
и разбор инцидентов
Алексей Чередниченко
Symantec Corporation
Трудности обработки событий ИБ:
Огромный объем поступающей информации
Help Desk
Security Information Management
Legal Dept
100
Инциденты
Compliance
•
•
•
•
События
Security Intelligence
Correlation
Prioritization
Workflow
Event Management
•
100000
•
•
10000000
Данные из сети, от хостов
и устройств
IDS/IPS, IDM, Firewall,
Antivirus
Policy Compliance
Vulnerability Assessment
Log Consolidation
•
•
•
IDS/IPS, IDM, Firewall,
Antivirus
Policy Compliance
Vulnerability Assessment
3
Symantec Security Information Manager, обзор продукта
Symantec™ Security Information Manager (SSIM) это готовый
программно-аппаратный комплекс, выполняющий:
 Сбор информации ИБ, ее классификацию и приоритетность
 Корреляцию и определение истинных причин инцидентов
 Постоянный мониторинг и управление безопасностью,
 Измерение эффективности ресурсов и элементов контроля
безопасности
5
Централизованный сбор событий и логов безопасности
Централизованный сбор и
хранение данных (в исходных
форматах)…
SQL
Queries
И
Отчеты
 Для forensic анализа
 Для соответствия политикам
Поддержка долговременного
хранения
Входящие события
Общая база событий
 Архивное сжатие до 20%-50%
 Гибкая поддержка устройств
хранения (SAN/NAS/DAS)
Сжатый файловый архив событий
Не требуется DBA!
 Своя система архива и бэкапа
 Возможность online доступа к
нужным файлам, для поиска,
проверок и восстановления
 Не требуется обслуживание базы
данных
Повышает ROI и снижает затраты на
обслуживание
6
Активы и приоритеты
Автоматическая расстановка
приоритетов, основываясь на:

Критичность для бизнеса

Политики и соответствия

Состояние уязвимости

Открытые порты/сервисы
Изменение расстановки
приоритетов через «тонкие»
настройки

Интуитивный редактор правил

Тест эффективности с
помощью архивных событий
Минимизация ложных
срабатываний

Например критичен ли
Windows RPC exploit
направленный на Unix server?
Привлечение внимания только на действительно важные
события
7
Определение и Корреляция (выявление важных причин)
Легкость использования –
графический редактор
правил
«Нормирование» событий
– события автоматически
классифицируются и
коррелируются для
выявления истинных причин
Мониторинг контента анализ IP и URL используя
листы DeepSight и Symantec
MSS
Проверенные
предопределенные
правила корреляции worms propagations, viruses,
DoS, malicious attacks и
другие типы деструктивной
активности
Выявление истинных причин
8
Идентификация – Identity Management и User Activity Monitoring
Поиск по действиям
пользователей:
 Разбор действий
пользователей на основе
событий полученных от
различных источников
(VPN, OS, Firewall, IDS)
 Поиск и анализ по
событиям из архивов.
Корреляция и оповещение
о действиях
пользователей:
 Создание таблиц
пользователей для
использования в
правилах
 Создание правил
основанных на
действиях
пользователей
Выявления аномальных действий
9
Мощное обслуживание инцидентов
Мощная система
оповещений

Оповещения через
email, pager и SNMP

Встроенная система
HelpDesk, возможность
интеграции с другими

Автоматическое
назначение инцидентов
на пользователей
Рекомендации по
исправлению (для
обслуживающего
персонала)

Содержит пошаговые
инструкции по
исправлению
(постоянно
обновляются)
Мост между безопасностью и обслуживанием
10
Система отчетов – Меряет эффективность элементов контроля ИБ
Perform forensics searches



Simplify and accelerate log review
Produce reports for auditors
Customize queries
Automate review of key reports



Customize user dashboards
Identify trends over time
Schedule automatic report
distribution
Customize with query wizard



Import company logo, customize
headers, footers, legends, etc.
Generate multi-page, multi-query
reports
Export to multiple file formats (CSV,
pdf, html, xml)
Измерение эффективности и отчет
11
Спасибо!!!
Security Information
Manager Architecture
13
Symantec Security Information Manager Appliance Models
Correlation Model 9650
 Required to normalize,
filter, aggregate, correlate,
store, monitor, and manage
all tiers of the network
infrastructure
Collection Model 9630
 Optional model to
normalize, filter, aggregate
firewall, IDS, integrated
security events
Flexible Options and Easy Deployment
 Both models include agent-less
collectors for CheckPoint, Cisco
PIX, Juniper NetScreen, SNORT,
Generic Syslog and more.
14
Symantec Security Information Manager Example Deployment
15
Deployment scenario 2: Regional Deployments
Symantec Security Information Manager
Model 9650 (Correlation Appliance)
Symantec Security
Information Manager 9630
(Collection Appliance)
FW
Vulnerability
NIDS
Management
console
AV
Headquarters
Regional office A
Regional office B
Symantec Security
Information Manager 9630
(Collection Appliance)
Firewall events
IDS events
Antivirus events
Vulnerability events
Symantec Security
Information Manager 9630
(Collection Appliance)
Firewall events
IDS events
Antivirus events
Vulnerability events
Flexible Role-based Access Control and Data Management
16
Collector Architecture: Syslog and Database Sensor Examples
Syslog Sensor Examples:
Collector
Unix/Linux Servers,
Switches/Hubs, Firewalls
and IDS capable of syslog.
Custom Sensor
Syslog Sensor
(syslog – tcp/udp)
Database Sensor
Symantec Security Information Manager
(Correlation or Collection Appliance)
File Sensor
Collector
Custom Sensor
(JDBC)
Syslog Sensor
Database Sensor
File Sensor
Database Sensor Examples:
HIDS, AV, Vulnerability Scanners are examples of
some of the types of products where logs are
typically stored in relational databases.
(SSL)
Agent
17
Collector Architecture: Custom and File Sensor Examples
Custom Sensor Examples:
Windows Event Log Sensor and
Checkpoint LEA sensors
(Windows RPC)
Collector
Custom Sensor
Syslog Sensor
(OPSEC LEA)
Database Sensor
Symantec Security Information Manager
(Correlation or Collection Appliance)
File Sensor
Collector
Custom Sensor
File Sensor Examples:
Custom Applications, HIDS, AV, Vulnerability
Scanners are examples of some of the types of
products where logs are sometimes stored in flat
files.
Symantec
slkdjflaskdjfls
akdjfalskdjfal
skdjflsakdjfla
skdjfalskdfjal
skdfjlsakdjfla
skdjflsakdjfas
dfaAppliance)
(C:\path\to\log.txt)
Syslog Sensor
Database Sensor
File Sensor
(SSL)
Agent
18
Коллекторы Событий - Более 100 поддерживаемых продуктов
Intrusion Detection/Prevention
Symantec Network Security (SNS)
Symantec HIDS
Symantec ITA
Snort
Symantec Sygate
Symantec Critical System Protection
Cisco IDS
Cisco Security Agents
TippingPoint NIPS
Enterasys Network Dragon
eEye Retina
JuniperIDP
ISS Siteprotector
McAfee Intrushield
SourceFire
Web servers, Filters and Proxies
Apache Web Server
IBM Websphere
Bluecoat Proxy
Microsoft ISA
Microsoft IIS
Sun One WebServer
Vulnerability/Policy Scanners
Symantec ESM
Symantec Bindview
Nessus
nCircle
Qualys QualysGuard
StillSecure VAM
Databases
Oracle Security Logs (9i & 10g)
MS SQL Server Logs
Firewalls
Symantec Gateway Security
Cisco PIX
Cisco FWSM
Nokia FW
Juniper NetScreen Firewall
Checkpoint Firewall-1
Nortel Contivity
Fortinet Fortigate
SunScreen
Microsoft Windows Firewall
Microsoft ISA
Operating systems
Microsoft Windows Event Log
Solaris OS Collector
Sun BSM
SUSE Linux
Debian Linux
RedHat Linux
IBM AIX
HP/UX
Tandem
SELinux
IPTables
Identifty Management
Microsoft Windows DHCP
Microsoft Operations Manager
Microsoft Active Directory
RSA SecurID
Cisco ACS
Routers, Switches and VPN
Cisco IOS
Juniper VPN
CyberGuard
Cisco VPN 3000 Concentrator
Enterprise AV Solutions
Symantec AntiVirus
Symantec Client Security
Symantec Mail Security for Exchange
Symantec Mail Security for Lotus Domino
Symantec Mail Security for SMTP
McAfee EPO
McAfee GroupShield
McAfee VirusScan
Trend Micro Control Manager (TMCM)
Trend Micro OfficeScan
Trend Server Protect Information Server
Trend Interscan Messaging Security Suite
Trend Scanmail for Exchange
Trend Scanmail for Notes
Trend Interscan Viruswall
Trend Interscan Web Security Suite
Other
Cisco Netflow
Fox Server Control
Blue Lance LT Auditor
PassGo UPM
Kiwi Syslog
Generic Syslog
Symantec Cyberwolf
Symantec Wholesecurity
19
Key Competitive Points
SSIM does not require a database for storing security & compliance data
 Other solutions are very costly to purchase and require constant maintenance
• Arcsight, Netforencis, ESecurity
SSIM’s integration of the Global Intelligent Network (GIN) provides detailed security
knowledge updates in real-time
 None of the competitors do this
SSIM’s correlation performance is unmatched
SSIM’s correlation method is unique in the way we classify events and tie them back
to the GIN security knowledge
SSIM provides comprehensive AV reporting
SSIM’s administration model is much more scalable from a distributed enterprise
perspective
SSIM enables delegated administration across multiple domains
SSIM is much easier to deploy
 Arcsight
21
What’s New in SSIM 4.5
Long term log and event archiving



Enables long term retention of raw and normalized event logs for forensic and
compliance mandates
Numerous new storage options now available including DAS, SAN, NAS and
NetBackup certification
Increased event capacity and higher performance data queries
Improved Compliance, Risk and Security Management Reporting


Hundreds of pre-canned reports for specific reporting mandates which can be
customized to fit your needs
Reports can be automatically scheduled and distributed to stakeholders
Stronger manageability for enterprise deployments




Richer granular and role based access controls
Improved performance through improved archiving and hardware platform
Rule grouping to simplify management of correlation rules
Web Service API to securely access and update the data that is stored on an appliance
• Use the API to publish asset, incident, and ticket information, or to integrate SIM
with help desk, inventory, and notification applications
Improved threat identification


Anomaly detection through custom rules script
Richer information from Symantec’s Global Intelligence Network
22
FY07 Product Goals
 Satisfy important regulatory compliance requirements
 Log retention/archive (including raw events)
 Incident/event forensics
 Improve usability for large-scale deployments
 Automated report scheduling and distribution
 Enhanced incident, ticket, and asset management
 Lower total cost of ownership
 Cost-effective storage options (DAS; NAS)
 Self-management capabilities
 Improve system and reporting performance
 Build library of supported event collectors
24
Security Management Workflow
Identify
Prioritize
Respond
SIM 4.0 WWSMC Demo Board
Review
Symantec Confidential
10
25