SIEM Michal Červinka, michal.cervinka@soft- tronik.cz Pre-Sales System Engineer SOFT-TRONIK, a.s.
Jan 08, 2016
Dnešní podniková IT infrastrukturaHory dat, mnoho “vlastníků“
How do you collect & protect all the data necessary to secure your network and comply with critical regulations?
Router logs
IDS/IDP logs
VPN logs
Firewall logs
Switch logs
Windows logs
Client & file server logs
Wireless access
logs
Windows domain logins
Oracle Financial Logs
San File Access Logs
VLAN Access & Control logs
DHCP logs
Linux, Unix, Windows OS
logs
Mainframe logs
Database Logs
Web server activity logs
Content management logs
Web cache & proxy logs
VA Scan logs
UnauthorizedService Detection
IP Leakage
Configuration ControlLockdown enforcement
False Positive Reduction
Access Control EnforcementPrivileged User Management
Malicious Code DetectionSpyware detection
Real-Time MonitoringTroubleshooting
User Monitoring
SLA Monitoring
Vznik informačních „sil“Redundant Information Management
ACCESSCONTROL
SOFTWARE
FINANCIALSOFTWARE
FIREWALLSOPERATING
SYSTEMSWORK-
STATIONSANTIVIRUSSOFTWARE
INTRUSIONPREVENTION
Solution: RSA enVisionA 3-in-1 Log Management Platform…
Server Engineering Business Ops. Compliance Audit Application & DatabaseNetwork Ops.Risk Mgmt. Security Ops. Desktop Ops.
…for Compliance, Security and IT & Network Operations
Log Management
Any enterprise IP device – Universal Device Support (UDS)
No filtering, normalizing, or data reduction
Security events & operational information
No agents required
Simplify ComplianceAccess Control
Configuration ControlMalicious Software
Policy EnforcementsUser Monitoring & ManagementEnvironmental & Transmission
Security
Enhance Security & Mitigate Risk
Access Control EnforcementSLA Compliance Monitoring
False Positive ReductionReal-time Alerts
Unauthorized Network Service Detection
Privileged User Monitoring
Optimize IT & Network OperationsMonitor network assets
Troubleshoot network issues
Assist with Helpdesk operations
Optimize network performance
Gain visibility into user behavior
Build baseline of normal network activity
All the Data
ReportAlert/Correlation
Incident Mgmt.Log Mgmt.
Asset Ident. Forensics
Baseline
Sbírat a uchovávat VŠECHNA DATA
Umožňovat „Compliance and Security Operations“
Minimalizovat náklady na provoz
Požadavky na „dobrý Log Management“
RSA enVision – Architektura řešení
Michal Červinka
Pre-Sales System Engineer
SOFT-TRONIK, a.s.
Co je enVision?
enVision = síťové řešení, které umožní centrálně
• vidět
• rozumět
• reportovat
• chránit
• dlohodobě ukládat
co se děje v síti a na jejích hranicích
Klíčové vlastnosti řešení enVision
Žádní agenti na sledovaných systémech
Žádná ztráta informací
Žádné nepodporované systémy
Obsah prezentace
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
Funkční části
enVision sestává ze 3 funkčních celků:
Collector – sbírá informace o událostech
Database – řídí přístup k uloženým informacím
Application – poskytuje uživatelům analytické nástroje
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
Sběr bez agentů - podporované protokoly
> Syslog, Syslog NG> SNMP > Formatted log files> ODBC connection to remote databases> Windows event logging API> CheckPoint OPSEC interface> Cisco IDS POP/RDEP/SDEE
> Syslog, Syslog NG> SNMP > Formatted log files> ODBC connection to remote databases> Windows event logging API> CheckPoint OPSEC interface> Cisco IDS POP/RDEP/SDEE
B-2
Zpracování dat – sběr
Výhoda LogSmart IPDB – rychlost ukládání
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
• Unpredictable consumption: collection bottleneck impacts use of data (e.g. alerts)
Princip rychlého ukládání
Relational Database
Limitations of Relational Database
• Not designed for unstructured data (log)
• Requires processing (filter, normalize, parse)
Data
Explos
ion
• Data Explosion: indexes & related data structure information is added (can result in <10x data)
Data Loss
• Data Loss: events are lost due to selective collection or system bottleneck
LogSmart IPDB
Encrypted
Compressed
Parallel analysis
Authenticated
Unpredictable Alerts
Zpracování dat - správa
Výhoda LogSmart IPDB - komprese
RegulationData Retention
RequirementsPenalties
Sarbanes-Oxley 5 yearsFines to $5M
Imprisonment to 10 years
PCI Corporate PolicyFines
Loss of credit card privileges
GLBA 6 years Fines
Basel II 7 years Fines
HIPAA6 years
2 years after patient death$25,000
NERC 3 years TBD
FISMA 3 years Fines
NISPOM 6 months to 1 year Fines
Source: Enterprise Strategy Group, 2006
Problém – dlouhodobá správa dat
Capture Compress Secure RetireRetain in Nearline
Retain in Nearline
Store Online
uživatel definuje
RSA enVision automaticky zajišťuje
ILM
Retention PolicyRetention Policy
EMC Centera
RSA enVision Information Lifecycle Management
Online Policy (1 Year)Online Policy (1 Year)
EMC Celerra
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
Podpora „libovolných“ zařízení
Přímo podporovaná zařízení
viz. http://www.rsasecured.com
Universal Device Support
vlastní definice formátu
Zpracování dat - analýza
Over 800 reports forregulatory compliance& security operations
Dashboards
Analytické nástroje
Event Explorer
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
Single Appliance řešení – ES Series
Multi-appliance řešení – LS Series
Distribuované řešení - DOMAIN
MASTER SITE
SUBORDINATE SITE 12
5
6
43
7
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
Pricing is Tied to a Performance RatingEPS Plus Device Count
EPS
500
1000
2500
5000
10000
30000
# DEVICES
7500
300,000
100 200 400 750 1250 1500 2048 30,000
ES Series
LS Series
ES
560
5060
2560
1060
7560
A60D60
L605, L610R601, R602
1260
3060
Sbírat a uchovávat VŠECHNA DATA
Umožňovat „Compliance and Security Operations“
Minimalizovat náklady na provoz
Požadavky na „dobrý Log Management“
Sbírat a uchovávat VŠECHNA DATA Any enterprise IP device
Security exception events and IT operations information
No filtering, normalizing, or data reduction
Umožňovat „Compliance and Security Operations“ Customizable work environments for compliance and security professionals
Standard, customizable compliance & security reports / alerts
Industry leadership Compliance and Security ILM tools
Minimalizovat náklady na provoz Compressed data store
Easy to deploy appliance package
No DBA resources required
No agents required
Požadavky na „dobrý Log Management“
Thank you!