Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но...
Transcript of Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но...
![Page 1: Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но точно хочу!» SIEM-система–ключевой технологический](https://reader034.fdocuments.in/reader034/viewer/2022042220/5ec67d7f8fda4a7c6a3c9b69/html5/thumbnails/1.jpg)
ptsecurity.com
Что нам стоит SOC построить?
SIEM для людей или люди для обслуживания SIEM?
Руководитель отдела поддержки продаж
Positive Technologies
Владимир Бенгин
![Page 2: Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но точно хочу!» SIEM-система–ключевой технологический](https://reader034.fdocuments.in/reader034/viewer/2022042220/5ec67d7f8fda4a7c6a3c9b69/html5/thumbnails/2.jpg)
SOC – «Не знаю, сможем ли, но точно хочу!»
SIEM-система – ключевой технологический элемент SOC:
• Единая точка контроля ИБ и работы средств СЗИ, интегрированная в ИТ-инфраструктуру
• Унификация поступающей информации и её перекрестный анализ в едином интерфейсе
• Средство выявления и расследования инцидентов ИБ
• Модный тренд
• Это лучший способ обеспечения #реальнойИБ и оперативного выявления атак
• Дорого и трудоемко, но это возможность разобраться с тем хаосом, который творится внутри организации
![Page 3: Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но точно хочу!» SIEM-система–ключевой технологический](https://reader034.fdocuments.in/reader034/viewer/2022042220/5ec67d7f8fda4a7c6a3c9b69/html5/thumbnails/3.jpg)
Security Operations Center: ожидания
• Ситуационный центр с красочными графиками и отчетами
• Защита от большинства актуальных угроз ИБ, в т.ч. использующих уязвимости нулевого дня
• Выявление и расследование инцидентов с соблюдением SLA
• Небольшая но эффективная команда, (по пару человек на пару линий реагирования)
![Page 4: Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но точно хочу!» SIEM-система–ключевой технологический](https://reader034.fdocuments.in/reader034/viewer/2022042220/5ec67d7f8fda4a7c6a3c9b69/html5/thumbnails/4.jpg)
С чего начинаем. Шаг №1
• Опрос системных администраторов
• Использование различных средств по поиску и
инвентаризация сетевых узлов
• Интеграция средств инвентаризации с SIEM
Первоочередная задача – сбор и систематизация информации об ИТ-инфраструктуре
![Page 5: Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но точно хочу!» SIEM-система–ключевой технологический](https://reader034.fdocuments.in/reader034/viewer/2022042220/5ec67d7f8fda4a7c6a3c9b69/html5/thumbnails/5.jpg)
С чего начинаем. Шаг №1
• Опрос системных администраторов
• Использование различных средств по поиску и
инвентаризация сетевых узлов
• Интеграция средств инвентаризации с SIEM
• Классификация и упорядочивание
Первоочередная задача – сбор и систематизация информации об ИТ-инфраструктуре
![Page 6: Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но точно хочу!» SIEM-система–ключевой технологический](https://reader034.fdocuments.in/reader034/viewer/2022042220/5ec67d7f8fda4a7c6a3c9b69/html5/thumbnails/6.jpg)
Внедрение закончено, но жизнь продолжается. Шаг №197
Инфраструктура постоянно меняется!
• Мониторинг задач по сбору
• Настройка задач сбора c новых устройств
• Постоянная адаптация задач под изменяющиеся условия
![Page 7: Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но точно хочу!» SIEM-система–ключевой технологический](https://reader034.fdocuments.in/reader034/viewer/2022042220/5ec67d7f8fda4a7c6a3c9b69/html5/thumbnails/7.jpg)
Инфраструктура постоянно меняется!
Внедрение закончено, но жизнь продолжается. Шаг №197
• Мониторинг задач по сбору
• Настройка задач сбора c новых устройств
• Постоянная адаптация задач под изменяющиеся условия
• ПРАВИЛА КОРРЕЛЯЦИИ!
![Page 8: Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но точно хочу!» SIEM-система–ключевой технологический](https://reader034.fdocuments.in/reader034/viewer/2022042220/5ec67d7f8fda4a7c6a3c9b69/html5/thumbnails/8.jpg)
Непрекращающийся процесс внесения изменений
ПО обновляется Обновляем формулы нормализации
Пишем новые формулы нормализацииПоявляется новые приложения
Изменились формулы нормализации Меняем правила корреляции
……………..
2-3 года и SIEM приходиться внедрять повторно
![Page 9: Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но точно хочу!» SIEM-система–ключевой технологический](https://reader034.fdocuments.in/reader034/viewer/2022042220/5ec67d7f8fda4a7c6a3c9b69/html5/thumbnails/9.jpg)
Интеграция различных систем ИБ с SIEM
• Системы класса Vulnerability Management
• Configuration Management
• Asset Management
• …
Двусторонняя интеграция, например обратная
интеграция с Vulnerability Management
Не только лишь одни логи
![Page 10: Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но точно хочу!» SIEM-система–ключевой технологический](https://reader034.fdocuments.in/reader034/viewer/2022042220/5ec67d7f8fda4a7c6a3c9b69/html5/thumbnails/10.jpg)
Нужно создать экспертизу с нуля собственными силами
• SIEM даёт лишь инструментарий
• Никто кроме самого заказчика не знает что именно нужно
выявлять
Спасение утопающих — дело рук самих утопающих!
SIEM который выявляет инциденты ИБ
![Page 11: Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но точно хочу!» SIEM-система–ключевой технологический](https://reader034.fdocuments.in/reader034/viewer/2022042220/5ec67d7f8fda4a7c6a3c9b69/html5/thumbnails/11.jpg)
Security Operations Center: реальность
Варианты:
• «Пока не получилось» «Ещё не успели построить» «В процессе набора команды» «Выстраиваем процессы»
• «Получилось… Очень красивые графики и отчётность для руководства!»
• «Мы гордимся тем, что построили. Правда за это время штат увеличился в несколько раз.»
Большинство из задач команды выглядят рутинно, а значит должны были быть автоматизированы
• 69% респондентов ищут
возможность сократить
стоимость SIEM
• Разрастание персонала –
главная причина увеличения
стоимости SIEM
![Page 12: Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но точно хочу!» SIEM-система–ключевой технологический](https://reader034.fdocuments.in/reader034/viewer/2022042220/5ec67d7f8fda4a7c6a3c9b69/html5/thumbnails/12.jpg)
MaxPatrol SIEM
• Встроенный полноценный
Asset Management
• Единая платформа для
множества классов
решений
• Адаптация к изменяющейся
инфраструктуре
• Постоянная поддержка
источников от
производителя в рамках ТП
• PTKB, стоит бросить круг
утопающим!
![Page 13: Что нам стоит SOC построить?...SOC –«Не знаю, сможем ли, но точно хочу!» SIEM-система–ключевой технологический](https://reader034.fdocuments.in/reader034/viewer/2022042220/5ec67d7f8fda4a7c6a3c9b69/html5/thumbnails/13.jpg)
ptsecurity.com
Спасибо!