SIEMptsecurity.com

ptsecurity.com

1

Дни, часы, минуты занимает компрометация

Недели, месяцы проходят до обнаружения

Компрометация и обнаружение

ptsecurity.com

2Одна цель – множество систем – одна платформа

Network Compliance & Control

Threat Modeling

Host Compliance & Control

Network Storage & Forensic

Vulnerability Management

ptsecurity.com

3Активо-центрический подход

SMARTDATA

Событие

КонфигурацияСканирование сети

Аудит

Агент

Трафик

BIG DATA

ptsecurity.com

4Метамодель актива

AssetHardwareInterfaces

IPv4IPv6MAC

Groups/usersOS/Patch/UpdatesServices…Windows

SoftsOracle

Users…

Network DeviceVLANVPNNAT

`

ptsecurity.com

5Управление активами

ОРГАНИЗАЦИОННАЯ ТЕРРИТОРИАЛЬНАЯ ФУНКЦИОНАЛЬНАЯ

OS IPFQDN

Softversion

Hardware CONFIG

ASSET#2 ASSET#3ASSET#1 ASSET#1

1 2 3 4 5

ptsecurity.com

6Модельные корреляции

query Q(ip, port) from endpoints Group = "DMZ" and Endpoints(Address= ipand Port = port and Status = "Open")

event Ekey: dst.ipfilter object = "attack" andcategory = "IDS/IPS" andquery.Q(dst.ip, dst.port)

rule DMZ_host_attack: Event.E[5] within 1 day

Корреляционные правила

Данныеактива

События

КлассическийSIEM

HardwareTCP Ports

SoftConfigs

1

3

2

ptsecurity.com

7Пример модельной корреляции №1

ptsecurity.com

8Пример модельной корреляции №2

ptsecurity.com

9Пример модельной корреляции №3

ptsecurity.com

10Корреляции построенные на активах

ptsecurity.com

11У вас есть источник? Мы поддержим его из коробки!

500

200

100

Any

ptsecurity.com

12Сбор

AgentWindows Linux

Businessapplications

WMI\RPC

Syslog

SSHTelnet

SMB ODBC OPSEC

Type: ODBC OraclePort: 1521Instance: ORCLQuery:

select id, date, user, action, host

from (select ….where

action = “denied”order by …

Interval: 1000…

Пример:

ptsecurity.com

13Топология – достижимость – вектора атак

1

2

3

ptsecurity.com

14Фокус на автоматизацию

Уведомления Инциденты Многоуровневые

и

распределённые

корреляции

Ретроспективный

анализ

Сбор данных Мониторинг

ptsecurity.com

Компоненты 15

• MaxPatrol Server

• MaxPatrol Scanner

• MaxPatrol Log Collector

• MaxPatrol Network Traffic

• MaxPatrol Host Control

• MaxPatrol Local Update Server

ptsecurity.com

Платформа MaxPatrol: Архитектура16

• Масштабирование с учетом инфраструктуры клиента

• Оптимизация передачи данных по слабым каналам

• Увеличение производительности и объемов хранимых данных без дополнительных лицензий

• Удобство развертывания компонентов

• Встроенные механизмы диагностики

• Программы обучения персонала• Оперативная техническая

поддержка• Возможность доработки

производителем

ptsecurity.com

Спасибо!