Pull to refresh

DevOpsMinsk Meetup #8 при поддержке Wargaming пройдет 23 июня. Онлайн

Lesta Studio corporate blog Conferences

3 июня пройдет восьмой онлайн-митап сообщества DevOpsMinsk при поддержке Wargaming. Спикеры рассмотрят систему Log Management на примере Loki и помогут разобраться, как создать частное облако для европейского университета. 

Рассказываем о спикерах и темах выступления.

Читать далее
Total votes 8: ↑7 and ↓1 +6
Views 439
Comments 0

Common Event Format изнутри

Information Security *


Один за одним производители программных и программно-аппаратных решений заявляют о получении сертификата, подтверждающего поддержку формата Common Event Format (CEF) компании HP ArcSight: Stonesoft, Tripwire, Citrix, Imperva, NetScout и еще несколько десятков вендоров…

Что это за формат и зачем его поддерживать?
Total votes 4: ↑2 and ↓2 0
Views 24K
Comments 15

Собираем, парсим и отдаём логи с помощью Logstash

System administration **nix *
Tutorial
Приветствую.

Так уж сложилось, что по долгу работы мне приходится много времени уделять логам. Это и участие в выработке правил и политик сбора/хранения/использования логов, это и разбор разных инцидентов и обнаружение аномалий. За сутки наши программы, сервисы и серверы генерируют ОЧЕНЬ большое количество логов. И потребность копания в логах растёт постоянно.
Мне довелось поработать с коммерческими лог-менеджмент продуктами типа ArcSight, RSA Envision, Q1 Labs. У этих продуктов есть как плюсы, так и минусы. Но в статье речь пойдёт не о них.
Речь будет о Logstash.

Что же такое Logstash? Зачем он нужен? Что он умеет?
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 241K
Comments 13

Успешное внедрение SIEM. Часть 1

Information Security *
Всем привет.

Так получилось, что последние несколько лет провел в процессе внедрения SIEM Arcsight ESM в одном крупном телекоммуникационном провайдере. Считаю, что сделал это весьма успешно и в итоге ушел на несколько другую стезю, т.к. уперся в некоторый потолок, который есть в России в целом по направлению безопасности. Для того, чтобы не сложилось ложного понимания у читателя уточню, что я работал именно внутри компании, а не на проекте от системного интегратора и SIEM использовалась исключительно для внутренних нужд, а не для создания коммерческого Security Operation Center (далее SOC). В целом тематика внедрения и использования SIEM освещена слабо, да и в целом те инсталляции, которые я видел обычно не приносили достаточной эффективности тем кто ее внедрял. Мне с коллегами на мой взгляд удалось реализовать свой собственный SOC ядром, которого является SIEM, приносящий огромную пользу не только отделу ИБ, но и другим отделам в частности и всей компании в целом, включая руководство.
Читать дальше →
Total votes 12: ↑10 and ↓2 +8
Views 17K
Comments 6

Чек-лист по анализу логов событий безопасности

TS Solution corporate blog Information Security *IT Infrastructure *Server Administration *Big Data *
Translation


Сегодня тема мониторинга IT – инфраструктуры и анализа логов набирает все большую и большую популярность. В первую очередь все задумываются о мониторинге событий безопасности, о чем и будет идти речь в данной статье. Несмотря на то, что на эту тему сказано и написано уже довольно много, вопросов возникает еще больше. И поэтому мы решили сделать перевод статьи «Сritical Log Review Checklist for Security Incidents», написанную Anton Chuvakin и Lenny Zeltser, которая будет полезна как для тех, кто только начинает работать с мониторингом событий безопасности, так и для тех, кто имеет с этим дело довольно давно, чтобы еще раз проверить себя, не упускаете ли вы некоторые возможности.
Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 20K
Comments 0

5 источников данных, которые превращают данные APM в аналитику производительности приложений

TS Solution corporate blog IT Infrastructure *Big Data *Mobile App Analytics *IT-companies
Translation


В предыдущей статье мы писали, как Splunk можно использовать для аналитики работы приложений. А сегодня расскажем об основных источниках данных для аналитики производительности приложений, по версии Билла Эммента, директора по маркетингу решений в Splunk.
Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Views 2.1K
Comments 1

Зачем вам нужен Splunk? Аналитика событий безопасности

TS Solution corporate blog Information Security *IT Infrastructure *Big Data *IT-companies


Было ли нарушение информационной безопасности предприятия? Какие внутренние угрозы есть у организации? Как и насколько быстро мы можем обнаружить, заблокировать или остановить атаку? В этой статье мы расскажем, как вам может помочь Splunk в поиске ответов на эти вопросы.
Читать дальше →
Total votes 26: ↑22 and ↓4 +18
Views 9.5K
Comments 3

Зачем вам нужен Splunk? Мониторинг работы IT инфраструктуры

TS Solution corporate blog System administration *IT Infrastructure *Server Administration *Big Data *


  • Как повлияло отключение одного сервера на здоровье инфраструктуры в целом?
  • Можно ли предсказать ухудшение работоспособности инфраструктуры?
  • Какое влияние оказывают на систему критически важные службы?

В этой статье мы расскажем о том, как Splunk может помочь в поиске ответов на эти вопросы.
Total votes 11: ↑11 and ↓0 +11
Views 7.7K
Comments 0

Как снизить стоимость владения SIEM-системой и зачем нужен Central Log Management (CLM)

Gals Software corporate blog Information Security *System administration *IT Infrastructure *Software
Не так давно, Splunk добавил ещё одну модель лицензирования — лицензирование на основе инфраструктуры (теперь их три). Они считают количество ядер CPU под серверами со Splunk. Очень напоминает лицензирование Elastic Stack, там считают количество нод Elasticsearch. SIEM-системы традиционно недешёвое удовольствие и обычно стоит выбор между заплатить много и очень много. Но, если применить смекалочку, можно собрать подобную конструкцию.

image

Выглядит крипово, но иногда такая архитектура работает в проде. Сложность убивает безопасность, а, в общем случае, убивает всё. На самом деле, для подобных кейсов (я про снижение стоимости владения) существует целый класс систем — Central Log Management (CLM). Об этом пишет Gartner, считая их недооценёнными. Вот их рекомендации:

  • Используйте возможности и инструментальные средства CLM, если существуют ограничения по бюджету и персоналу, требования к мониторингу безопасности и конкретные требования к вариантам использования.
  • Внедряйте CLM для расширения функций сбора и анализа журналов, когда SIEM-решение оказалось слишком дорогим или сложным.
  • Инвестируйте в инструменты CLM с эффективным хранилищем, быстрым поиском и гибкой визуализацией для улучшения расследования/анализа инцидентов безопасности и поддержкой поиска угроз.
  • Убедитесь, что применимые факторы и соображения учтены, прежде чем внедрять решение CLM.

В этой статье поговорим о различиях подходов к лицензированию, разберёмся с CLM и расскажем о конкретной системе такого класса — Quest InTrust. Подробности под катом.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 2.7K
Comments 4

Как InTrust может помочь снизить частоту неудачных попыток авторизаций через RDP

Gals Software corporate blog Information Security *System administration *IT Infrastructure *Software
image

Всем, кто пытался запустить виртуальную машину в облаке, хорошо известно, что стандартный порт RDP, если его оставить открытым, будет почти сразу атакован волнами попыток перебора пароля с различных IP-адресов по всему миру.

В этой статье я покажу как в InTrust можно настроить автоматическую реакцию на перебор пароля в виде добавления нового правила на брандмауэр. InTrust — это CLM-платформа для сбора, анализа и хранения неструктурированных данных, в которой есть уже сотни предустановленных реакций на различные типы атак.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 2.2K
Comments 6

Включаем сбор событий о запуске подозрительных процессов в Windows и выявляем угрозы при помощи Quest InTrust

Gals Software corporate blog Information Security *System administration *IT Infrastructure *Software


Одна из часто встречающихся типов атак — порождение злонамеренного процесса в дереве под вполне себе добропорядочными процессами. Подозрение может вызвать путь к исполняемому файлу: частенько вредоносное ПО использует папки AppData или Temp, а это нехарактерно для легитимных программ. Справедливости ради, стоит сказать, что некоторые утилиты автоматического обновления исполняются в AppData, поэтому одной только проверки места запуска недостаточно для утверждения, что программа является вредоносной.

Дополнительный фактор легитимности — криптографическая подпись: многие оригинальные программы подписаны вендором. Можно использовать факт отсутствия подписи как метод выявления подозрительных элементов автозагрузки. Но опять же есть вредоносное ПО, которое использует украденный сертификат, чтобы подписать самого себя.

Ещё можно проверять значение криптографических хэшей MD5 или SHA256, которые могут соответствовать некоторым ранее обнаруженным вредоносным программам. Можно выполнять статический анализ, просматривая сигнатуры в программе (с помощью правил Yara или антивирусных продуктов). А ещё есть динамический анализ (запуск программы в какой-либо безопасной среде и отслеживание ее действия) и реверс-инжиниринг.

Признаков злонамеренного процесса может быть масса. В этой статье мы расскажем как включить аудит соответствующих событий в Windows, разберём признаки, на которые опирается встроенное правило InTrust для выявление подозрительного процесса. InTrust — это CLM-платформа для сбора, анализа и хранения неструктурированных данных, в которой есть уже сотни предустановленных реакций на различные типы атак.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 3.8K
Comments 1

Sysmon теперь может записывать содержимое буфера обмена

Gals Software corporate blog Information Security *System administration *IT Infrastructure *Software
О релизе 12 версии Sysmon сообщили 17 сентября на странице Sysinternals. На самом деле в этот день вышли также новые версии Process Monitor и ProcDump. В этой статье я расскажу о ключевом и неоднозначном нововведении 12 версии Sysmon — типе событий с Event ID 24, в который логируется работа с буфером обмена.



Информация из этого типа событий открывает новые возможности контроля за подозрительной активностью (а также новые уязвимости). Так, вы сможете понимать кто, откуда и что именно пытались скопировать. Под катом описание некоторых полей нового события и парочка юзкейсов.
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 4.2K
Comments 4

Технические средства мониторинга ИБ

Information Security *

Мониторинг событий информационной безопасности автоматизируют с использованием различных средств защиты: LM/SIEM, UBA/UEBA, IRP/SOAR, TIP, IDS/IPS, NTA, EDR. Объединение решений по классам одновременно и удобно, и условно. Системы одного типа отличаются не только количеством функций, но и своей философией. Вернёмся к этой идее позже.  

Эти решения давно есть на рынке, но при внедрении мне, как сотруднику интегратора ИБ с большим практическим опытом, приходится сталкиваться с проблемами. Непонимание принципов работы этих инструментов приводит к попыткам «приготовить» их неправильно. Даже успешный пилот – не гарантия успешного внедрения.

Все участники рынка со стороны исполнителя – интеграторы, дистрибьюторы, сервис провайдеры (далее просто «интеграторы») и производители – коммерческие компании. Но конкуренция растёт и для беспечной старости уже недостаточно, как в нулевых, «как-то» закрыть прибыльный проект и убежать в закат. Техническая поддержка, модернизация и развитие, смежные проекты – основной источник дохода в наши дни. И он не существует без нахождения в едином понятийном поле, обмена знаниями и принятия стратегий совместно с заказчиками.

Этой статьёй я хочу внести свои пять копеек в решение проблемы. Перед тем как перейти к технической составляющей, рассмотрим два связанных с ней вопроса.

Continue?
Total votes 4: ↑3 and ↓1 +2
Views 8.3K
Comments 4