jet csirt И fortisiem - bis-expert...24/09/19 jet csirt И fortisiem ОДИН ГОД...
TRANSCRIPT
T. +7 495 411-76-01 | E. [email protected] | WWW.JET.SU | 127015, РОССИЯ, МОСКВА, УЛ. БОЛЬШАЯ НОВОДМИТРОВСКАЯ, 14С1, БЦ «НОВОДМИТРОВСКИЙ» © 2019 Инфосистемы Джет
JET CSIRT И FORTISIEM 24/09/19
ОДИН ГОД СЧАСТЛИВОЙ СОВМЕСТНОЙ ЖИЗНИ
Александр
Ахремчик
Аналитик департамента аутсорсинга ЦИБ, «Инфосистемы Джет»
( 2 ) © 2019 Инфосистемы Джет
СХЕМА ПРЕДОСТАВЛЕНИЯ ОБЛАЧНЫХ УСЛУГ JET CSIRT
Аналитика и поддержание ИБ осведомленности
SIEM
Collector
СЗИ и сеть
Рабочие станции
и серверы
Инфраструктура
Заказчика
Мониторинг и реагирование Расследование и форензика
Сервисы
и персональные
устройства
Эксплуатация и тех. поддержка СЗИ
Управление инцидентами ИБ
Сбор событий и данных
с инфраструктуры
Техническое реагирование, сдерживание, нейтрализация
Нормализация событий
от источников
SIEM+IRP
СЗИ Форензика и расследование
Honeypot Sandbox События
( 3 ) © 2019 Инфосистемы Джет
ПОЧЕМУ FORTISIEM? СЕГОДНЯ
( 3 ) © 2019 Инфосистемы Джет
Архитектура
Масштабируемость
Отказоустойчивость v 5.2.1 Ролевая модель
Интеграция с ticket, TI, IRP,
AD
Работа с парсерами
и правилами
Гибкость фильтров/листов
Механизмы оповещения и
отчетности
Тикетная система
Работа с сырыми
событиями
Механизмы корреляции v 21 Механизмы нормализации
Ассетная модель
Удобство управления v 21
( 4 ) © 2019 Инфосистемы Джет
УДОБСТВО УПРАВЛЕНИЯ И КАСТОМИЗИРУЕМОСТЬ
( 5 ) © 2019 Инфосистемы Джет
СИЛЬНЫЕ СТОРОНЫ FORTISIEM
Тип
актива
Запущенные
приложения
Параметры
процесса
Путь
запуска Статус
Актив
( 6 ) © 2019 Инфосистемы Джет
СИЛЬНЫЕ СТОРОНЫ FORTISIEM
( 7 ) © 2019 Инфосистемы Джет
Baseline и поведенческие (UEBA)
правила пока настраиваются через
CLI, а не GUI
ОСОБЕННОСТИ FORTISIEM
Watchlist’ы пока не позволяют
профилировать активность
по нескольким нормализованным
полям
Для сбора событий c Win источников
применяются агенты. WEF
с версии 5.2.1
( 8 ) © 2019 Инфосистемы Джет
ИНТЕГРАЦИЯ С ДРУГИМИ РЕШЕНИЯМИ
5
KSC, KICS (MSSQL)
АПКШ Континент
PT ISIM
VipNet Coordinator (MSSQL)
фиды угроз Kaspersky Cyber Threat
Intelligence Services
(Corp, ICS- Industrial Control Systems)
Bolid OrionPro (СКУД)
TrendMicro Deep Discovery
(Inspector и Analyzer)
Microsoft ATA, Veriato 360
TrapX, Illusive Networks
Third-Party решения
Интегрировали в FortiSIEM источники
R-Vision Incident Response Platform
BMC Remedy
Rapid7 Nexpose
T. +7 495 411-76-01 | E. [email protected] | WWW.JET.SU | 127015, РОССИЯ, МОСКВА, УЛ. БОЛЬШАЯ НОВОДМИТРОВСКАЯ, 14С1, БЦ «НОВОДМИТРОВСКИЙ» © 2019 Инфосистемы Джет
24/09/19 СПАСИБО ЗА ВНИМАНИЕ!