Создание SIEM-системы на базе

Micro Focus ArcSight

lifetech LLC 220030, Minsk, Belarus

103-308, Pobediteley Avenue  www.lifetech.by
Содержание доклада.

• О компании
• Что такое SIEM ArcSight
• Внедрение SIEM-системы ArcSight ESM
Перечень работ:
• Архитектура решения и ТЗ
• Сбор событий в ArcSight
• Разработка контента Развитие SIEM-системы
• Расширенные возможности • SOAR
• Результаты проекта • UEBA
 О компании.

2012 год основания 100+ выполненных

проектов 140+ профессионалов

Опыт в отраслях: Сервисы компании:

• Разработка и внедрение решений на базе
Oracle e-Business Suite
• Мобильная и Веб разработка
Финансы Индустрия Металлургия Транспорт Телеком • Решения в области Информационной Безопасности
развлечений

Партнерство: Наши клиенты:

 Что такое SIEM ArcSight.

Система управления инцидентами

3 совпадения
и событиями информационной найдены

безопасности
Поддерживает большое количество производителей и
устройств (+400), обладает большим потенциалом для
интеграции и конфигурирования

Агрегация Фильтрация Корреляция

Подключение к ключевым систем Возможность отфильтровать Мощный инструмент, позволяющий
компании и сбор всех данных и малозначимые или повторяющиеся установить взаимосвязь между не
событий из них события до попадания в SIEM связанными событиями
Архитектура решения и ТЗ.

Техническое задание (ТЗ)

• Функциональные требования SIEM
• План-график работ
• Описание проводимых работ
• Документирование
• Приемка
Сбор событий в ArcSight.

1 БД
20+
4 Иные источники
30+
Сложности при
сборе событий
• Настройка источников событий
• Отсутствие документации от
2 Windows
сервера
Общее разработчика приложения
• Система не введена в
50+ количество промышленную эксплуатацию
источников
событий
3 Linux сервера
и сетевое 220+
оборудование
120+
Разработка контента.
Было разработано
• 300+ корреляционных правил для:
• ОС Linux/Unix
• Систем управления БД
• ОС Windows
• Сетевого оборудования
• Антивирусного ПО
• Иных событий ИБ

• 50+ дэшбордов, графиков и

информационных панелей

• ПО контроля целостности файлов

Расширенные возможности.

Дополнительно было
сделано
•Сконфигурирован смс-центр для
отправки уведомлений

•Проведена интеграция с БД
источников угроз

•Развернуто свободно
распространяемое ПО для
мониторинга работоспособности
SIEM-системы
Результаты проекта
 Регистрация инцидентов 24х7.

SIEM-система предоставила:
• Оперативное уведомление об инцидентах
(почта, смс)
• Единый интерфейс для анализа событий и
расследования инцидентов
• Быстрое поучение информации об
инцидентах через информационные панели
• Возможность автоматизации реагирования
на инциденты
Выполнение требований регулятора.

• Все критичные системы на мониторинге

• Формализован и автоматизирован процесс
управления инцидентами ИБ
• Расследование и реагирование на инциденты
• Автоматическое обнаружение новых ассетов
в сети
Перспектива развития SIEM
 SOAR.

Security Orchestration Automation

and Response (SOAR)
• Автоматизация процесса реагирования на
инциденты ИБ
• Предоставление доступа к расследованию
инцидентов сотрудникам других подразделений
• Единая панель управления инцидентами
• Детальный сбор данных по каждому инциденту
 Interset UEBA.

User and Entity Behavior

Analytics (UEBA):
• Обработка большого объема данных
• Выполнение поведенческого анализ
• Выявление аномальной активности
• Приоритизация событий
• Более эффективная реакция на инциденты
 Спасибо за внимание!

lifetech LLC 220030, Minsk, Belarus

103-308, Pobediteley Avenue  www.lifetech.by