QRadar — система мониторинга информационной безопасности нового поколения Олег Летаев IBM Россия/СНГ 1
Лидер рынка интеллектуальной безопасности О компании: Самая быстро развивающаяся компания на рынке Security Intelligence Один из самых крупных и успешных поставщиков SIEM Лидер в Gartner SIEM Magic Quadrant 2012, 2011, 2010, 2009 Основные решения: Линейка инновационных решений по: Log Management, SIEM, Risk Management, Security Intelligence Постоянный рост: Тысячи заказчиков по всему миру Средний рост ежегодной прибыли составляет + 70% Теперь часть IBM Security Systems: Непревзойденный уровень обеспечения комплексной безопасности 2
Интеллектуальная безопасность Высокоэффективная система нового поколения, объединяющая технологии SIEM, Log Management, Network Activity Monitoring и Risk Management, построенная на ведущей платформе Security Intelligence --существительное 1. Сбор, нормализация и анализ в реальном времени данных, сгенерированных пользователями, приложениями, инфраструктурой и влияющих на информационную безопасность и риски предприятия Security Intelligence предоставляет ценную исчерпывающую информацию, необходимую для управления рисками и угрозами, от обнаружения и защиты до устранения 3
Решение для работы на всех этапах управления безопасностью Уязвимость Угроза Фаза анализа и предотвращения До инцидента Управление рисками, управление уязвимостями, конфигурациями и соответствием стандартам Фаза реакции и восстановления Реакция После инцидента SIEM, Детектор аномалий, Лог-менеджмент 4
QRadar SIEM Интеллект, Интеграция и Автоматизация 5
Интеллект: Новый уровень определения угроз 6
Целостность: Единая платформа для всех решений Составные решения Проблемы с масштабируемостью Отсутствие встроенной отчетности Нет единой точки принятия решений Управление несколькими продуктами Дубликация журналов Операционные трудности Интегрированное решение Высокая масштабируемость Встроенная отчетность Корреляция даже по разнесенным источниками Единая система администрирования Нет дубликации журналов событий Полная видимость 7
Автоматизация: Без дополнительных затрат Автоопределение источников, приложений, сервисов и пр. Автогруппирование активов Централизованное управление журналами Автоматический аудит конфигураций Приоритезация по активам Автоматическое обновление базы угроз Автоматическое срабатывание Прямое воздействие Автоматическая настройка Автоматическое определение угроз Тысячи правил и отчетов Простая фильтрация событий Продвинутая аналитика 8
QRadar : Единая платформа для уникальных решений Security Intelligence Solutions QRadar Log Manager QRadar SIEM Reporting Engine QRadar QFlow QRadar VFlow Workflow QRadar Risk Manager Virtual Appliances Real-Time Viewer Rules Engine Reporting API Analytics Engine Security Intelligence Operating System Warehouse Archival Forensics API Normalization LEEF AXIS Configuration Net. Flow Offense Интеллект, Целостность, Автоматизация – единый комплекс безопасности 9
Комплексная безопасность Log Management Основа для управления журналами Для компаний любого размера Апгрейд до SIEM • • • Интегрированное решения для защиты от угроз Продвинутая аналитика Профилирование активов Реакция на инциденты и вф • SIEM • • • Предсказание угроз Мониторинг конфигураций Визуализация угроз • Risk Management Network Activity & Anomaly Detection Network and Application Visibility • • Аналитика сети Детектор аномалий Интаграция с SIEM Мониторинг приложений Content capture Виртуальная инфр-ра 10
Управление безопасностью Log Management Turnkey log management SME to Enterprise Upgradeable to enterprise SIEM • • • Единая консоль Integrated log, threat, risk & compliance mgmt. Sophisticated event analytics Asset profiling and flow analytics Offense management and workflow • SIEM • • • Predictive threat modeling & simulation Scalable configuration monitoring and audit Advanced threat visualization and impact analysis • Risk Management Network Activity & Anomaly Detection Network and Application Visibility • • Network analytics Behavior and anomaly detection Fully integrated with SIEM Layer 7 application monitoring Content capture Physical and virtual environments Построено на единой архитектуре • 11
QRadar решает реальные проблемы ОБНАРУЖИВАЕТ УГРОЗЫ, КОТОРЫЕ ДРУГИЕ НЕ МОГУТ Обнаружение 500 хостов с вирусом “Here You Have”, чего не смогли сделать антивирусные продукты ИЗВЛЕКАЕТ ЦЕННУЮ ИНФОРМАЦИЮ ИЗ НАГРОМОЖДЕНИЯ ДАННЫХ 2 миллиарда событий в день свел в 25 высокоприоритетных нарушений ОБНАРУЖИВАЕТ ИНСАЙДЕРСКИЕ УГРОЗЫ Обнаружение инсайдера, воровавшего и изменявшего конфиденциальные данные ПРЕДСКАЗЫВАЕТ РИСКИ ДЛЯ БИЗНЕСА Автоматизация процесса мониторинга конфигурационных изменений в инфраструктуре ВЫПОЛНЯЕТ ТРЕБОВАНИЯ РЕГУЛЯТОРОВ Мониторинг сетевой активности в реальном времени (PCI) 12
Заказчики в Европе… 13
QRadar SIEM Краткий экскурс: консоль • Единый UI • Ролевое разграничение доступа к информации и функциям • Создание собственных dashboards для каждого пользователя • Динамическая, а также историческая отчетность и видимость всех процессов • Возможности углубленного анализа всей информации • Очень простой интерфейс настройки политик 14
QRadar SIEM Краткий экскурс: реакция на события QRadar анализирует важность каждого события: • • • Достоверность: Ложное срабатывание, или нет? Критичность: В зависимости от угрозы и уязвимости актива Релевантность: Приоритет в зависимости от важности актива Приоритеты могут меняться в зависимости от ситуации 15
QRadar SIEM Краткий экскурс: управление инцидентами Вся необходимая информация Что за атака? Была ли атака успешной? Кто атаковал? Где мне их найти? Сколько целей поражено? Важность для бизнеса? Какие из них уязвимы? Где доказательства? 16
QRadar SIEM Краткий экскурс: готовые правила и отчеты Default log queries/views Более 1000 предустановленных правил по корреляции Более 100 преднастроенных правил поиска и просмотра сетевой активности и журналов событий Быстрый доступ к критичной информации Поля для поиска журналов событий Обеспечивает быстрый поиск всех журналов событий. 17
QRadar SIEM Краткий экскурс: анализ сетевой активности • Определение атак нулевого дня, на которые не выпущены сигнатуры • Мониторинг политик и детектирование серверов • Видимость всех путей атак • Пассивный мониторинг всей сети и создание профилей активов • Решение проблемы видимости всего происходящего в сети 18
QRadar SIEM Краткий экскурс: контроль сервисов • Сбор Flow со всей инфраструктуры • Сбор информации на 7 м уровне • Продвинутые возможности расследований • Видимость и оповещения согласно политикам поведенческому анализу по всем журналам событий и информации и потоков 19
QRadar SIEM Краткий экскурс: управление соответствием • Предустановленные правила для определения соответствия: • • COBIT, SOX, GLBA, NERC, FISMA, PCI, HIPAA, UK GCSx Легко настраиваемые новые правила Простое добавление новых стандартов Добавление собственных правил корреляции 20
QRadar SIEM Примеры использования QRadar SIEM примеры использования: Комплексное определение угроз Обнаружение злонамеренной активности Мониторинг активности пользователей Управление соответствием требованиям Обнаружение утечек данных Полная видимость и всех активов 21
QRadar SIEM Комплексное определение угроз Звучит неприятно… Но как мы об этом узнали? Доказательство в одном клике. Сканирование сети Buffer Overflow Определено через QFlow Использование уязвимости Цель уязвима к атаке Определено Nessus Полная видимость всего происходящего в сети 22
QRadar SIEM Обнаружение злонамеренной активности Потенциальный ботнет? Больше информации, чем дает обычный SIEM IRC через порт 80? QFlow дает возможность определения нелегитимных подключений Прямое доказательство связи с Ботнетом Информация на 7 уровне предоставляет полную видимость всего трафика. 23
QRadar SIEM Мониторинг активности пользователей Ошибки аутентификации Может пользователь забыл пароль? Brute Force атака Множество попыток неправильного ввода пароля для нескольких аккаунтов Атака сработала Как следствие, получение доступа к машине. 24
QRadar SIEM Управление соответствием PCI? Нешифрованный трафик Упрощенное соответствие PCI, . Требование по шифрованию трафика поддержка всех основных стандартов 25
QRadar SIEM Определение потенциальных инсайдеров Потенциальная утечка? Кто? Что? Куда? Кто? Внутренний пользователь Что? Oracle data Куда? Gmail 26
QRadar SIEM Инвентаризация активов • • Инвентаризация активов QRadar создает список активов, исходя из их сетевой активности Создание профилей активов QRadar создает профили активов, определяется открытые порты и пр. Определение серверов QRadar автоматически определяет сервера в инфраструктуре компании Корреляция по всем активам и сервисам Можно настраивать правила по всем активам, а также новым активам и сервисам Все возможно Netflow & QFlow 27
Почему Q 1 Labs 1. 2. 3. 4. 5. 6. Самое интеллектуальное, автоматизированное и целостное решение Самая продвинутая система анализа угроз и управления соответствием Быстрое внедрение, минимум затрат на управление системой Простое масштабирование для работы под любыми нагрузками Лидирующее на рынке решение Поддержка со стороны IBM для интеграции и поддержки системы 28
IBM Security Systems: Лидирующие продукты и услуги в каждом сегменте 29
Интеллектуальная безопасность для компании любого масштаба 30
Спасибо!
Скачать презентацию QRadar система мониторинга информационной безопасности нового поколения
QRadar - SIEM нового поколения.ppt