Есть ли жизнь без siem
TRANSCRIPT
Есть ли жизнь без SIEM
Игорь Гоцмай, 2015
Начало начал
• Планируется внедрение SIEM• Отсутствие бюджета на внедрение SIEM• Расследование инцидентов• Хочется создать ситуационный центр• Любовь к графикам и цвету
Elasticsearch-Logstash-Kibana (ELK)
Есть ли жизнь без SIEM 2
Организация сбора и обработка• Высокая трудоемкость (80% времени)– Сбор журналов
• Журналы работы серверов• Журналы работы сетевого оборудования• Журналы системы контроля доступа• Журналы с АТС• Журналы работы приложений (Интернет, 1С, почта)• Журналы всего, что может отдать журналы или откуда их
можно взять– Разбор журналов и нормализация
• grep• Simple Event Correlator• Logstash
Есть ли жизнь без SIEM 3
Разбор и нормализация
• Рекомендации Интернета– grokdebug.herokuapp.com
• Тестирование конфигурационным файлом
Есть ли жизнь без SIEM 4
Ситуационный центр
• Состав:– Монитор– Свободное место– Желание
Есть ли жизнь без SIEM 5
Сценарии
• Атака на внешний портал• Перенаправление почты вовне• Отправка данных в интернет через прокси• Поиск источника анонимки
Есть ли жизнь без SIEM 6
Куда идти
• Анонимизация журналов c помощью logstash и отправка их в интернет
• Анонсирован watcher (http://elastic.co/products/watcher)
• Kibana4 (сложные dashboards)• Kibana3 dashboards
(https://gist.github.com/IgorGots/8ebc4ef36747b3b0314d)
• Logstash configs and panel (https://github.com/IgorGots/PHDaysV)
Есть ли жизнь без SIEM 7