Как стать автором
Обновить

«КОМРАД 4.0»: кросс-платформенная отечественная SIEM-система с дружественным интерфейсом и высокой производительностью

Информационная безопасность *
Рады сообщить, что мы завершили разработку четвертой версии системы управления событиями информационной безопасности «КОМРАД» и начинаем бета-тестирование продукта.
Читать дальше →
Всего голосов 4: ↑3 и ↓1 +2
Просмотры 4.1K
Комментарии 10

Если думаете о SIEM, приходите к нам на конференцию

Блог компании SearchInform Информационная безопасность *Системное администрирование *

Всем привет!

Мы решили бить рекорды – больше знаний в массы. Делаем еще одно Road Show – помимо традиционного решили провести две отдельные конференции о применении SIEM. Тема важная, тема нужная. А уж тем, кто должен выполнять ФЗ-187 – тем более.

Читать далее
Всего голосов 11: ↑10 и ↓1 +9
Просмотры 980
Комментарии 0

Мы с анонсом: 4 конференции про SIEM в регионах

Блог компании SearchInform Информационная безопасность *Системное администрирование *

Привет, Хабр!

Мы с коротким анонсом. 22 и 24 марта в 4 городах состоится конференция, посвящённая практическому использованию нашей SIEM-системы. 

*Здесь мог бы быть абзац со словами про вызовы времени; необходимость продолжать работу; остающуюся актуальность задач по защите перед подразделениями ИТ и ИБ; импортозамещению, в конце концов. Но вы ведь сами всё понимаете™. Поэтому приходите, мы будем ждать. А пока даты и программа.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 434
Комментарии 0

Чем может помочь SIEM и кому она вообще сейчас нужна

Блог компании SearchInform Информационная безопасность *Системное администрирование *

7 апреля организуем стрим с участием наших и независимых экспертов. Хотим подискутировать о быстром импортозамещении, правильном внедрении и разумной трате бюджета на SIEM-системы.

Читать далее
Всего голосов 7: ↑4 и ↓3 +1
Просмотры 1.3K
Комментарии 3

Common Event Format изнутри

Информационная безопасность *


Один за одним производители программных и программно-аппаратных решений заявляют о получении сертификата, подтверждающего поддержку формата Common Event Format (CEF) компании HP ArcSight: Stonesoft, Tripwire, Citrix, Imperva, NetScout и еще несколько десятков вендоров…

Что это за формат и зачем его поддерживать?
Всего голосов 4: ↑2 и ↓2 0
Просмотры 24K
Комментарии 15

SIEM-системы: а есть ли перспективы у OpenSource?

Информационная безопасность *
Из песочницы
Хочу поприветствовать всех, кто читает эту заметку.
Изначально, хотел откомментировать статью «Cистема управления безопасностью OSSIM» в «песочнице» ( habrahabr.ru/post/157183 ), но комментарий получался очень большим. Основной вопрос — к какому типу SIEM относится OSSIM?
Сейчас много людей интересуется SIEM, но представление о них складывается, в основном, по красивым маркетинговым листовкам. В большинстве случаев, эти листовки отвечают достаточно скупо на вопрос «Зачем нужна SIEM?», уделяя большее внимание рекламированию конкретного «современного» SIEM-продукта.
Читать дальше →
Всего голосов 10: ↑6 и ↓4 +2
Просмотры 27K
Комментарии 2

Соответствие стандартам и политикам в сканерах уязвимостей и SIEM

Блог компании Positive Technologies Информационная безопасность *Анализ и проектирование систем *
Английский термин compliance означает соответствие одному из высокоуровневых стандартов (таким как SOX, PCI DSS, Basel II, GLBA). Проводить проверку на соответствие этим документам необходимо для того, чтобы определить, насколько хорошо в вашей организации соблюдаются требования, описанные данными стандартами (разрешенная длина паролей, наличие внутренних регламентов и политик, время устранения уязвимостей и т. п.).

Помимо международных стандартов существуют их отечественные аналоги, корпоративные политики и требования NIST.Проводить оценку соответствия этим документам также необходимо. Стандарты содержат наборы требований: выполнение всех требований стандарта фактически означает соответствие ему. Пример отдельного требования: «Должен иметься дисциплинарный процесс для служащих, которые произвели нарушение защиты» (ИСО/МЭК 2005 A.8.2.3).
Читать дальше →
Всего голосов 18: ↑17 и ↓1 +16
Просмотры 11K
Комментарии 14

SIEM: ответы на часто задаваемые вопросы

Информационная безопасность *

Вместо предисловия


Я приветствую всех, кто читает этот пост!
В последнее время мне стали часто задавать вопросы, связанные с SIEM. Окончательно добило общение с товарищем, с которым мы собрались вечером попить пивка и как-то незаметно перешли на тему, связанную с безопасностью. Он сказал, что они собираются внедрять SIEM — потому что «она помогает защитить инфраструктуру». И даже нашли людей, которые им соглашаются сделать это «за недорого и быстро». Вот тут-то я и насторожился… Как выяснилось, они думали, что внедрение SIEM разом избавит их от неприятностей вроде утечки данных, и к тому же будет недорогим и быстрым — мол, нашли систему, которая не требует настройки. Ну и дела, подумал Штирлиц, и решил накропать свои соображения по этому поводу, дабы отправлять вопрошающих к печатному источнику. Постараюсь быть кратким и охватить наиболее часто задаваемые вопросы.
Читать дальше →
Всего голосов 23: ↑20 и ↓3 +17
Просмотры 127K
Комментарии 46

SIEM для ИТ и ИБ

Блог компании Positive Technologies Информационная безопасность *Анализ и проектирование систем *
С появлением первых средств защиты информации возникли первые насущные вопросы: как узнать, что возведенные баррикады работают и защищают? как быстрее реагировать на оповещения? как понять, какие угрозы удалось предотвратить? Работает ли наш файерволл, можно узнать, выполнив ICMP ping: если правила в ACL (access control list) работают, то ответов, содержащих echo reply, быть не должно. Можно через консоль устройства просмотреть журнал событий, разбирая сотни или тысячи строк вручную и пытаясь увидеть отраженную или выявленную угрозу.
Читать дальше →
Всего голосов 14: ↑12 и ↓2 +10
Просмотры 11K
Комментарии 15

SIEM на практике: дружим Prelude + Cisco IPS и выявляем эксплуатацию HeartBleed через корреляцию

Информационная безопасность *
Доброго времени суток всем!
Сама по себе тема SIEM является в последнее время популярной. В виду комплексной сложности этих систем, вопросы, связанные с их использованием, глубокие и объемные. Существует довольно много статей (на Хабре и не только), посвященных SIEM. Однако в подавляющем большинстве они затрагивают тему с точки зрения теории, методологии и общих принципов построения процессов. А вот статей, описывающих практические аспекты применения/настройки этих систем, совсем нет катастрофически мало. Эта статья описывает как на практике подружить IPS и SIEM на примере Cisco IPS и Prelude, а также приведен пример правила корреляции, позволяющего выявить успешную эксплуатацию наболевшей в последние дни уязвимости HeartBleed.



Читать дальше →
Всего голосов 6: ↑5 и ↓1 +4
Просмотры 10K
Комментарии 0

JSOC: как измерить доступность Security Operation Center?

Блог компании Инфосистемы Джет Информационная безопасность *
Добрый день. Мы продолжаем серию статей «из-за кулис» Jet Security Operation Center. Когда речь идет об «облачном» сервисе, всегда встает вопрос о количестве «9 после запятой» в показателях его доступности. Мне бы хотелось рассказать о том, из чего складывается доступность SOC с точки зрения «железа» и ПО и какими средствами мы контролируем эту доступность. Статья будет гораздо более технической, поэтому попрошу читателей запастись терпением.

Итоговая цель нашего сервиса (JSOC) − выявление и оперативный анализ возникающих у заказчиков инцидентов ИБ. Это создает три основных требования к его доступности:

  1. Платформа сбора и обработки информации должна быть доступна и работоспособна. Если информации о событиях и инцидентах некуда поступать, ни о каком выявлении инцидентов речи идти не может.
  2. Информация с источников событий ИБ должна быть максимально полной: мы должны получать все требуемые события аудита, на основании которых построены наши сценарии по выявлению инцидентов.
  3. В момент, когда система зафиксировала инцидент, мы должны иметь возможность максимально оперативно собрать и проанализировать всю информацию, необходимую для его расследования.

Эти требования порождают три разных уровня мониторинга доступности сервиса JSOC.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 2.8K
Комментарии 2

JSOC: как готовить инциденты

Блог компании Инфосистемы Джет Информационная безопасность *
Коллеги, добрый день.

Мы чуть затянули с выпуском нашей очередной статьи. Но тем не менее она готова и я хочу представить статью нашего нового аналитика и автора — Алексея Павлова — avpavlov.

В этой статье мы рассмотрим наиболее важный аспект «жизнедеятельности» любого Security Operation Center – выявление и оперативный анализ возникающих угроз информационной безопасности. Мы расскажем, каким образом происходит настройка правил, а также выявление и регистрация инцидентов в нашем аутсорсинговом центре мониторинга и реагирования JSOC.

Читать дальше →
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 7.3K
Комментарии 6

OSSIM — разворачиваем комплексную open source систему управления безопасностью

Информационная безопасность *Open source *


OSSIM (Open Source Security Information Management) — система управления, контроля и обеспечения информационной безопасности.
OSSIM «из коробки» включает в себя такой функционал как:
  • Сбор, анализ и корреляция событий — SIEM
  • Хостовая система обнаружения вторжений (HIDS) — OSSEC
  • Сетевая система обнаружения вторжений (NIDS) — Suricata
  • Беспроводная система обнаружения вторжений (WIDS) — Kismet
  • Мониторинг узлов сети- Nagios
  • Анализ сетевых аномалий – P0f, PADS, FProbe, Arpwatch и др.
  • Сканер уязвимостей – OpenVAS
  • Мощнейшая система обмена информацией об угрозах между пользователями OSSIM — OTX
  • Более 200 плагинов для парсинга и корреляции логов со всевозможных внешних устройств и служб

Читать дальше →
Всего голосов 30: ↑30 и ↓0 +30
Просмотры 132K
Комментарии 37

Успешное внедрение SIEM. Часть 1

Информационная безопасность *
Всем привет.

Так получилось, что последние несколько лет провел в процессе внедрения SIEM Arcsight ESM в одном крупном телекоммуникационном провайдере. Считаю, что сделал это весьма успешно и в итоге ушел на несколько другую стезю, т.к. уперся в некоторый потолок, который есть в России в целом по направлению безопасности. Для того, чтобы не сложилось ложного понимания у читателя уточню, что я работал именно внутри компании, а не на проекте от системного интегратора и SIEM использовалась исключительно для внутренних нужд, а не для создания коммерческого Security Operation Center (далее SOC). В целом тематика внедрения и использования SIEM освещена слабо, да и в целом те инсталляции, которые я видел обычно не приносили достаточной эффективности тем кто ее внедрял. Мне с коллегами на мой взгляд удалось реализовать свой собственный SOC ядром, которого является SIEM, приносящий огромную пользу не только отделу ИБ, но и другим отделам в частности и всей компании в целом, включая руководство.
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Просмотры 17K
Комментарии 6

OSSIM — пользуемся комплексной Open Source системой управления безопасностью

Информационная безопасность *Open source *
Из песочницы
Эта статья написана под впечатлением от статьи "OSSIM — разворачиваем комплексную open source систему управления безопасностью". Я не буду повторяться и описывать сам процесс установки системы. Я хочу только внести некоторые уточнения и пояснения связанные с практическим опытом применения OSSIM.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 25K
Комментарии 4

Solar JSOC – опыт построения коммерческого SOC

Блог компании Ростелеком-Солар Информационная безопасность *Анализ и проектирование систем *SaaS / S+S *
Эта статья открывает цикл публикаций, посвященных функционированию центра по мониторингу и реагированию на инциденты информационной безопасности – Security Operations Center (SOC). В них мы будем рассказывать о том, что надо учитывать при создании SOC, о процессе подготовки инженеров мониторинга, регистрации инцидентов и практических кейсах, с которыми сталкивается Solar JSOC.

Цель данных статей не самореклама, а описание практических аспектов в реализации сервисной модели оказания услуг в области информационной безопасности. Первая статья будет иметь вводный характер, но она необходима для погружения в тему, которая все еще является достаточно новой для российского рынка информационной безопасности.

Зачем нужен SOC


Что такое SOC, чем он отличается от SIEM, и зачем вообще он нужен, я описывать не буду – слишком много статьей в последнее время написано на эту тему. Причем в статьях можно было встретить взгляд с любой стороны: эксперта, вендора SIEM, владельца или сотрудника SOC.

В качестве вводной информации стоит упомянуть статистику по данным исследований, проведенных ФРИИ, а также компаниями Group-IB и Microsoft:

  • Потери экономики РФ от киберпреступности за 2015 год оцениваются в 123,5 млрд рублей.
  • 60% российских компаний отметили рост числа киберинцидентов на 75%, а размера ущерба — в два раза.

Также хотелось бы упомянуть статистику по нашим клиентам, которая отражается в ежеквартальных отчетах JSOC Security Flash Report:

  • Двукратный рост количества инцидентов информационной безопасности в первом квартале 2016 года по отношению к аналогичному периоду 2015 года.
  • Значительный рост инцидентов, связанных с утечками конфиденциальной информации.
  • Увеличение критичных инцидентов с 26% до 32% по отношению к общему скоупу.
  • Рост числа различных кибергруппировок, работающих по известным схемам мошенничества.

Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры 15K
Комментарии 11

Доступность JSOC: показатели и измерение

Блог компании Ростелеком-Солар Информационная безопасность *SaaS / S+S *
Мы продолжаем серию материалов, посвященных Security Operations Center, и представляем вашему вниманию второй выпуск.

Сегодняшняя статья посвящена «магическим девяткам» доступности и готовности сервисов. Мы расскажем, из чего складываются сервисные показатели облачного SOC с точки зрения «железа» и ПО, какими средствами они контролируются в Solar JSOC.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 3.7K
Комментарии 0

Поиск Use Case'ов для SIEM

Информационная безопасность *
Глоссарий:

SIEM (Security Information & Event Management) — программно-аппаратный комплекс для сбора информации о событиях (логи), их корреляции и анализа. Wiki.

Use Case (применительно к SIEM) — устоявшийся термин, обозначающий конкретный набор правил/скриптов и/или механизмов визуализации. Например, для обнаружения сканирования портов, сверки IP адреса с внешней репутационной базой и т.д. Use Case’ы можно писать самому, брать готовые с сайта производителя или заказывать у подрядчиков.



Задачей данной статьи является систематизация найденной информации по каталогам Use Case’ов и дополнительным ресурсам, а также активный диалог в комментариях. Поделитесь своим опытом, пожалуйста, а я буду обновлять пост полученной информацией.

Содержание:

1. Рейтинг SIEM в 2016 году
2. “Родные” магазины Use Case’ов на сайтах производителей SIEM
3. Рекомендации по самостоятельному написанию Use Case’ов
4. Заказная разработка: карта интеграторов
5. Сторонние каталоги Use Case’ов: SOC Prime UCL, форумы вендоров (список обновляется)
6. Ссылки на блоги и дополнительные ресурсы информационной безопасности, относящиеся к SIEM
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 11K
Комментарии 13

ПРАВИЛьная кухня

Блог компании Ростелеком-Солар Информационная безопасность *Анализ и проектирование систем *SaaS / S+S *
Добрый день, коллеги. Вот и подошел черед третьей статьи, посвященной Security Operations Center.

Сегодняшняя публикация затрагивает наиболее важный аспект любого SOC – контент, связанный с выявлением и анализом потенциальных инцидентов информационной безопасности. Это, в первую очередь, архитектура корреляционных правил в SIEM-системе, а также сопутствующие листы, тренды, скрипты, настройки коннекторов. В статье я расскажу про весь путь обработки исходных логов, начиная с обработки событий коннекторами SIEM-системы и заканчивая использованием этих событий в корреляционных правилах и дальнейшем жизненном цикле уже инцидентного срабатывания.


Читать дальше →
Всего голосов 23: ↑20 и ↓3 +17
Просмотры 9.4K
Комментарии 6

10 вопросов для осознанного выбора SIEM-системы

Информационная безопасность *
Перевод
выбор очевиден?

Прим.переводчика: в оригинальном документе 2017 года также приводится краткий обзор 24 SIEM решений и смежных технологий. Дополнительно рекомендую отчет Gartner за 2014, 2015 и 2016 года.

Security Information and Event Management является сложным и дорогим решением по сбору, нормализации, анализу и корреляции информации из лог-файлов всех ИТ-систем, однако и результаты ее работы при правильной эксплуатации являются выдающимися. Портал Solutions Review подготовил список из 5 вопросов к себе и 5 вопросов к потенциальному поставщику, собрав ответы на которые, вы сможете более осознанно сделать выбор достойной SIEM системы для внедрения в вашей организации.
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Просмотры 6.9K
Комментарии 2