На гребне - positive technologies · ptsecurity.com На гребне : новые...
TRANSCRIPT
ptsecurity.com
На гребне ИБ: новые возможности MaxPatrol SIEM
Михаил Домалевский,
менеджер по продвижению продуктов
Предыстория создания MaxPatrol SIEM
MaxPatrol SIEM: единая платформа безопасности
Network Compliance &
Control
Threat
Modeling
Host Compliance &
Control
Network Storage &
Forensic
Vulnerability
Management
Записи вебинаров о
MaxPatrol SIEM:
• MaxPatrol SIEM 2.0 — новая точка отсчета! - ptsecurity.com/ru-
ru/research/webinar/75600/
• Внедрение и эксплуатация MaxPatrolSIEM: от теории к практике –ptsecurity.com/ru-ru/research/webinar/117103/
What’s new?
Новое в MaxPatrol SIEM
Инвентаризация
инфраструктуры
Проактивное
обнаружение
Реагирование
на инциденты
MaxPatrol SIEMинвентаризация IT-инфраструктуры
MaxPatrol SIEM: новый алгоритм идентификации активов
Проактивное
обнаружение
Реагирование на
инциденты
Как это вижу я
Инвентаризация
инфраструктуры
Точная модель инфраструктуры
Привязка событий к активам
Идентификация активов даже после
смены:
• IP-адреса,
• MAC-адреса,
• Hostname и др.
Как это делает MaxPatrol SIEM
MaxPatrol SIEM: поиск активов по любым правилам
Окей, МаксПатрол
Проактивное
обнаружение
Инвентаризация
инфраструктуры
Реагирование на
инциденты
[email protected] = ‘CVE-2017-0145’
Host[@ip in 192.168.1.0/24 and not softs[name like ‘%YourAntivirus%’]]
WHERE
WHERE
MaxPatrol SIEMпроактивное обнаружение
MaxPatrol SIEM: архитектура системы
Модуль сбора и анализа
сетевого трафика
Рабочая станция
с endpoint-агентом
MaxPatrol SIEM: сбор и анализ сетевого трафика
Инвентаризация
инфраструктуры
Проактивное
обнаружение
Реагирование на
инциденты
Network Layer
Transport Layer
Session Layer
Presentation Layer
Application Layer
Physical Layer
Datalink Layer
Обнаружение
новых активов
Выявление открытых
портов и запущенных
сервисов
Наполнение
конфигурации активов
Комплексный анализ
сетевого трафика
Network
Sensor
MaxPatrol SIEM: анализ данных с конечных точек
Инвентаризация
инфраструктуры
Проактивное
обнаружение
Реагирование на
инциденты
Файловые
события
Endpoint Monitor
Загрузка
библиотек
Запуск
процессов
Изменения
реестраСетевые
соединенияПользователь-
ская активность
Выявление
потенциально
опасных действий
Обнаружение атак
на ранних этапах
Обнаружение
активности
вредоносного ПО
MaxPatrol SIEM: расчет вариантов маршрутов атак
Инвентаризация
инфраструктуры
Реагирование на
инциденты
Анализ доступности сетевых
адресов, протоколов и портов
Проверка правильности настройки
межсетевых экранов и таблиц
маршрутизации
Повышение оперативности
внесения изменений в правила
доступа и настройки
оборудования
Проактивное
обнаружение
MaxPatrol SIEM: передача экспертизы в продукт
Positive Technologies
Knowledge Base (PT KB)
• Уязвимости с привязкой к ПО и сигнатуры
• Правила нормализации и корреляции, справочники
• Данные об ОС, ПО, сетевом оборудовании
Инвентаризация
инфраструктуры
Проактивное
обнаружение
Реагирование на
инциденты
MaxPatrol SIEMреагирование на инциденты
MaxPatrol SIEM: визуализация и отчетность
Инвентаризация
инфраструктуры
Проактивное
обнаружение
Реагирование на
инциденты
Настраиваемые дашборды и
пользовательские виджеты
Детализация информации с
дашбордов «в один клик»
Автоматическое создание отчетов
Отправка отчетов по расписанию
Kill
ch
ain
pro
gres
s
Time
MaxPatrol SIEM: корреляции во времени
* Assumption: 100% Time/Events visibility
!!!
Инвентаризация
инфраструктуры
Реагирование на
инциденты
Проактивное
обнаружение
Intensity
Severity
MaxPatrol SIEM: экспорт/импорт данных во внешние системы
Инвентаризация
инфраструктуры
Реагирование на
инциденты
Проактивное
обнаружение
MaxPatrol SIEM
ГосСОПКА Telegram-bot
Интеграция на новом публичном уровне
Корпоративный
портал
Самописные
приложения
+ Быстрый переход с устаревших систем выявления инцидентов ИБ
Демонстрация
ptsecurity.ru
Новое в MaxPatrol SIEM
Инвентаризация ИТ-инфраструктуры
Проактивное обнаружение
Реагирование на инциденты
• новый алгоритм идентификации активов
• поиск активов по любым правилам
• модуль Network Sensor
• модуль Endpoint Monitor
• расчет вариантов маршрутов атак
• Positive Technologies Knowledge Base
• визуализация и отчетность
• корреляции во времени
• экспорт данных во внешние системы