SIEMptsecurity.com
ptsecurity.com
1
Дни, часы, минуты занимает компрометация
Недели, месяцы проходят до обнаружения
Компрометация и обнаружение
ptsecurity.com
2Одна цель – множество систем – одна платформа
Network Compliance & Control
Threat Modeling
Host Compliance & Control
Network Storage & Forensic
Vulnerability Management
ptsecurity.com
3Активо-центрический подход
SMARTDATA
Событие
КонфигурацияСканирование сети
Аудит
Агент
Трафик
BIG DATA
ptsecurity.com
4Метамодель актива
AssetHardwareInterfaces
IPv4IPv6MAC
Groups/usersOS/Patch/UpdatesServices…Windows
SoftsOracle
Users…
Network DeviceVLANVPNNAT
`
ptsecurity.com
5Управление активами
ОРГАНИЗАЦИОННАЯ ТЕРРИТОРИАЛЬНАЯ ФУНКЦИОНАЛЬНАЯ
OS IPFQDN
Softversion
Hardware CONFIG
ASSET#2 ASSET#3ASSET#1 ASSET#1
1 2 3 4 5
ptsecurity.com
6Модельные корреляции
query Q(ip, port) from endpoints Group = "DMZ" and Endpoints(Address= ipand Port = port and Status = "Open")
event Ekey: dst.ipfilter object = "attack" andcategory = "IDS/IPS" andquery.Q(dst.ip, dst.port)
rule DMZ_host_attack: Event.E[5] within 1 day
Корреляционные правила
Данныеактива
События
КлассическийSIEM
HardwareTCP Ports
SoftConfigs
1
3
2
ptsecurity.com
7Пример модельной корреляции №1
ptsecurity.com
8Пример модельной корреляции №2
ptsecurity.com
9Пример модельной корреляции №3
ptsecurity.com
10Корреляции построенные на активах
ptsecurity.com
11У вас есть источник? Мы поддержим его из коробки!
500
200
100
Any
ptsecurity.com
12Сбор
AgentWindows Linux
Businessapplications
WMI\RPC
Syslog
SSHTelnet
SMB ODBC OPSEC
Type: ODBC OraclePort: 1521Instance: ORCLQuery:
select id, date, user, action, host
from (select ….where
action = “denied”order by …
Interval: 1000…
Пример:
ptsecurity.com
13Топология – достижимость – вектора атак
1
2
3
ptsecurity.com
14Фокус на автоматизацию
Уведомления Инциденты Многоуровневые
и
распределённые
корреляции
Ретроспективный
анализ
Сбор данных Мониторинг
ptsecurity.com
Компоненты 15
• MaxPatrol Server
• MaxPatrol Scanner
• MaxPatrol Log Collector
• MaxPatrol Network Traffic
• MaxPatrol Host Control
• MaxPatrol Local Update Server
ptsecurity.com
Платформа MaxPatrol: Архитектура16
• Масштабирование с учетом инфраструктуры клиента
• Оптимизация передачи данных по слабым каналам
• Увеличение производительности и объемов хранимых данных без дополнительных лицензий
• Удобство развертывания компонентов
• Встроенные механизмы диагностики
• Программы обучения персонала• Оперативная техническая
поддержка• Возможность доработки
производителем
ptsecurity.com
Спасибо!
Top Related