JET CSIRT И FORTISIEM - BIS-Expert...24/09/19 JET CSIRT И FORTISIEM ОДИН ГОД...
Transcript of JET CSIRT И FORTISIEM - BIS-Expert...24/09/19 JET CSIRT И FORTISIEM ОДИН ГОД...
![Page 1: JET CSIRT И FORTISIEM - BIS-Expert...24/09/19 JET CSIRT И FORTISIEM ОДИН ГОД СЧАСТЛИВОЙ СОВМЕСТНОЙ ЖИЗНИ лкснр нлитик пртмнт хрмчик](https://reader035.fdocuments.co/reader035/viewer/2022071418/61160b067dff593bc34a8813/html5/thumbnails/1.jpg)
T. +7 495 411-76-01 | E. [email protected] | WWW.JET.SU | 127015, РОССИЯ, МОСКВА, УЛ. БОЛЬШАЯ НОВОДМИТРОВСКАЯ, 14С1, БЦ «НОВОДМИТРОВСКИЙ» © 2019 Инфосистемы Джет
JET CSIRT И FORTISIEM 24/09/19
ОДИН ГОД СЧАСТЛИВОЙ СОВМЕСТНОЙ ЖИЗНИ
Александр
Ахремчик
Аналитик департамента аутсорсинга ЦИБ, «Инфосистемы Джет»
![Page 2: JET CSIRT И FORTISIEM - BIS-Expert...24/09/19 JET CSIRT И FORTISIEM ОДИН ГОД СЧАСТЛИВОЙ СОВМЕСТНОЙ ЖИЗНИ лкснр нлитик пртмнт хрмчик](https://reader035.fdocuments.co/reader035/viewer/2022071418/61160b067dff593bc34a8813/html5/thumbnails/2.jpg)
( 2 ) © 2019 Инфосистемы Джет
СХЕМА ПРЕДОСТАВЛЕНИЯ ОБЛАЧНЫХ УСЛУГ JET CSIRT
Аналитика и поддержание ИБ осведомленности
SIEM
Collector
СЗИ и сеть
Рабочие станции
и серверы
Инфраструктура
Заказчика
Мониторинг и реагирование Расследование и форензика
Сервисы
и персональные
устройства
Эксплуатация и тех. поддержка СЗИ
Управление инцидентами ИБ
Сбор событий и данных
с инфраструктуры
Техническое реагирование, сдерживание, нейтрализация
Нормализация событий
от источников
SIEM+IRP
СЗИ Форензика и расследование
Honeypot Sandbox События
![Page 3: JET CSIRT И FORTISIEM - BIS-Expert...24/09/19 JET CSIRT И FORTISIEM ОДИН ГОД СЧАСТЛИВОЙ СОВМЕСТНОЙ ЖИЗНИ лкснр нлитик пртмнт хрмчик](https://reader035.fdocuments.co/reader035/viewer/2022071418/61160b067dff593bc34a8813/html5/thumbnails/3.jpg)
( 3 ) © 2019 Инфосистемы Джет
ПОЧЕМУ FORTISIEM? СЕГОДНЯ
( 3 ) © 2019 Инфосистемы Джет
Архитектура
Масштабируемость
Отказоустойчивость v 5.2.1 Ролевая модель
Интеграция с ticket, TI, IRP,
AD
Работа с парсерами
и правилами
Гибкость фильтров/листов
Механизмы оповещения и
отчетности
Тикетная система
Работа с сырыми
событиями
Механизмы корреляции v 21 Механизмы нормализации
Ассетная модель
Удобство управления v 21
![Page 4: JET CSIRT И FORTISIEM - BIS-Expert...24/09/19 JET CSIRT И FORTISIEM ОДИН ГОД СЧАСТЛИВОЙ СОВМЕСТНОЙ ЖИЗНИ лкснр нлитик пртмнт хрмчик](https://reader035.fdocuments.co/reader035/viewer/2022071418/61160b067dff593bc34a8813/html5/thumbnails/4.jpg)
( 4 ) © 2019 Инфосистемы Джет
УДОБСТВО УПРАВЛЕНИЯ И КАСТОМИЗИРУЕМОСТЬ
![Page 5: JET CSIRT И FORTISIEM - BIS-Expert...24/09/19 JET CSIRT И FORTISIEM ОДИН ГОД СЧАСТЛИВОЙ СОВМЕСТНОЙ ЖИЗНИ лкснр нлитик пртмнт хрмчик](https://reader035.fdocuments.co/reader035/viewer/2022071418/61160b067dff593bc34a8813/html5/thumbnails/5.jpg)
( 5 ) © 2019 Инфосистемы Джет
СИЛЬНЫЕ СТОРОНЫ FORTISIEM
Тип
актива
Запущенные
приложения
Параметры
процесса
Путь
запуска Статус
Актив
![Page 6: JET CSIRT И FORTISIEM - BIS-Expert...24/09/19 JET CSIRT И FORTISIEM ОДИН ГОД СЧАСТЛИВОЙ СОВМЕСТНОЙ ЖИЗНИ лкснр нлитик пртмнт хрмчик](https://reader035.fdocuments.co/reader035/viewer/2022071418/61160b067dff593bc34a8813/html5/thumbnails/6.jpg)
( 6 ) © 2019 Инфосистемы Джет
СИЛЬНЫЕ СТОРОНЫ FORTISIEM
![Page 7: JET CSIRT И FORTISIEM - BIS-Expert...24/09/19 JET CSIRT И FORTISIEM ОДИН ГОД СЧАСТЛИВОЙ СОВМЕСТНОЙ ЖИЗНИ лкснр нлитик пртмнт хрмчик](https://reader035.fdocuments.co/reader035/viewer/2022071418/61160b067dff593bc34a8813/html5/thumbnails/7.jpg)
( 7 ) © 2019 Инфосистемы Джет
Baseline и поведенческие (UEBA)
правила пока настраиваются через
CLI, а не GUI
ОСОБЕННОСТИ FORTISIEM
Watchlist’ы пока не позволяют
профилировать активность
по нескольким нормализованным
полям
Для сбора событий c Win источников
применяются агенты. WEF
с версии 5.2.1
![Page 8: JET CSIRT И FORTISIEM - BIS-Expert...24/09/19 JET CSIRT И FORTISIEM ОДИН ГОД СЧАСТЛИВОЙ СОВМЕСТНОЙ ЖИЗНИ лкснр нлитик пртмнт хрмчик](https://reader035.fdocuments.co/reader035/viewer/2022071418/61160b067dff593bc34a8813/html5/thumbnails/8.jpg)
( 8 ) © 2019 Инфосистемы Джет
ИНТЕГРАЦИЯ С ДРУГИМИ РЕШЕНИЯМИ
5
KSC, KICS (MSSQL)
АПКШ Континент
PT ISIM
VipNet Coordinator (MSSQL)
фиды угроз Kaspersky Cyber Threat
Intelligence Services
(Corp, ICS- Industrial Control Systems)
Bolid OrionPro (СКУД)
TrendMicro Deep Discovery
(Inspector и Analyzer)
Microsoft ATA, Veriato 360
TrapX, Illusive Networks
Third-Party решения
Интегрировали в FortiSIEM источники
R-Vision Incident Response Platform
BMC Remedy
Rapid7 Nexpose
![Page 9: JET CSIRT И FORTISIEM - BIS-Expert...24/09/19 JET CSIRT И FORTISIEM ОДИН ГОД СЧАСТЛИВОЙ СОВМЕСТНОЙ ЖИЗНИ лкснр нлитик пртмнт хрмчик](https://reader035.fdocuments.co/reader035/viewer/2022071418/61160b067dff593bc34a8813/html5/thumbnails/9.jpg)
T. +7 495 411-76-01 | E. [email protected] | WWW.JET.SU | 127015, РОССИЯ, МОСКВА, УЛ. БОЛЬШАЯ НОВОДМИТРОВСКАЯ, 14С1, БЦ «НОВОДМИТРОВСКИЙ» © 2019 Инфосистемы Джет
24/09/19 СПАСИБО ЗА ВНИМАНИЕ!