SIEM

SIEM

Michal Červinka, [email protected]

Pre-Sales System Engineer

SOFT-TRONIK, a.s.

Dnešní podniková IT infrastrukturaHory dat, mnoho “vlastníků“

How do you collect & protect all the data necessary to secure your network and comply with critical regulations?

Router logs

IDS/IDP logs

VPN logs

Firewall logs

Switch logs

Windows logs

Client & file server logs

Wireless access

logs

Windows domain logins

Oracle Financial Logs

San File Access Logs

VLAN Access & Control logs

DHCP logs

Linux, Unix, Windows OS

logs

Mainframe logs

Database Logs

Web server activity logs

Content management logs

Web cache & proxy logs

VA Scan logs

UnauthorizedService Detection

IP Leakage

Configuration ControlLockdown enforcement

False Positive Reduction

Access Control EnforcementPrivileged User Management

Malicious Code DetectionSpyware detection

Real-Time MonitoringTroubleshooting

User Monitoring

SLA Monitoring

Vznik informačních „sil“Redundant Information Management

ACCESSCONTROL

SOFTWARE

FINANCIALSOFTWARE

FIREWALLSOPERATING

SYSTEMSWORK-

STATIONSANTIVIRUSSOFTWARE

INTRUSIONPREVENTION

Solution: RSA enVisionA 3-in-1 Log Management Platform…

Server Engineering Business Ops. Compliance Audit Application & DatabaseNetwork Ops.Risk Mgmt. Security Ops. Desktop Ops.

…for Compliance, Security and IT & Network Operations

Log Management

Any enterprise IP device – Universal Device Support (UDS)

No filtering, normalizing, or data reduction

Security events & operational information

No agents required

Simplify ComplianceAccess Control

Configuration ControlMalicious Software

Policy EnforcementsUser Monitoring & ManagementEnvironmental & Transmission

Security

Enhance Security & Mitigate Risk

Access Control EnforcementSLA Compliance Monitoring

False Positive ReductionReal-time Alerts

Unauthorized Network Service Detection

Privileged User Monitoring

Optimize IT & Network OperationsMonitor network assets

Troubleshoot network issues

Assist with Helpdesk operations

Optimize network performance

Gain visibility into user behavior

Build baseline of normal network activity

All the Data

ReportAlert/Correlation

Incident Mgmt.Log Mgmt.

Asset Ident. Forensics

Baseline

Sbírat a uchovávat VŠECHNA DATA

Umožňovat „Compliance and Security Operations“

Minimalizovat náklady na provoz

Požadavky na „dobrý Log Management“

RSA enVision – Architektura řešení

Michal Červinka

Pre-Sales System Engineer

SOFT-TRONIK, a.s.

Co je enVision?

enVision = síťové řešení, které umožní centrálně

• vidět

• rozumět

• reportovat

• chránit

• dlohodobě ukládat

co se děje v síti a na jejích hranicích

Klíčové vlastnosti řešení enVision

Žádní agenti na sledovaných systémech

Žádná ztráta informací

Žádné nepodporované systémy

Obsah prezentace

Funkční části řešení enVision

Zpracování dat – sběr

Zpracování dat – správa dat

Zpracování dat – analýza

Topologie řešení

Produktová řada

Funkční části řešení enVision

Zpracování dat – sběr

Zpracování dat – správa dat

Zpracování dat – analýza

Topologie řešení

Produktová řada

Funkční části

enVision sestává ze 3 funkčních celků:

Collector – sbírá informace o událostech

Database – řídí přístup k uloženým informacím

Application – poskytuje uživatelům analytické nástroje

Funkční části řešení enVision

Zpracování dat – sběr

Zpracování dat – správa dat

Zpracování dat – analýza

Topologie řešení

Produktová řada

Sběr bez agentů - podporované protokoly

> Syslog, Syslog NG> SNMP > Formatted log files> ODBC connection to remote databases> Windows event logging API> CheckPoint OPSEC interface> Cisco IDS POP/RDEP/SDEE

> Syslog, Syslog NG> SNMP > Formatted log files> ODBC connection to remote databases> Windows event logging API> CheckPoint OPSEC interface> Cisco IDS POP/RDEP/SDEE

B-2

Zpracování dat – sběr

Výhoda LogSmart IPDB – rychlost ukládání

Funkční části řešení enVision

Zpracování dat – sběr

Zpracování dat – správa dat

Zpracování dat – analýza

Topologie řešení

Produktová řada

• Unpredictable consumption: collection bottleneck impacts use of data (e.g. alerts)

Princip rychlého ukládání

Relational Database

Limitations of Relational Database

• Not designed for unstructured data (log)

• Requires processing (filter, normalize, parse)

Data

Explos

ion

• Data Explosion: indexes & related data structure information is added (can result in <10x data)

Data Loss

• Data Loss: events are lost due to selective collection or system bottleneck

LogSmart IPDB

Encrypted

Compressed

Parallel analysis

Authenticated

Unpredictable Alerts

Zpracování dat - správa

Výhoda LogSmart IPDB - komprese

RegulationData Retention

RequirementsPenalties

Sarbanes-Oxley 5 yearsFines to $5M

Imprisonment to 10 years

PCI Corporate PolicyFines

Loss of credit card privileges

GLBA 6 years Fines

Basel II 7 years Fines

HIPAA6 years

2 years after patient death$25,000

NERC 3 years TBD

FISMA 3 years Fines

NISPOM 6 months to 1 year Fines

Source: Enterprise Strategy Group, 2006

Problém – dlouhodobá správa dat

Capture Compress Secure RetireRetain in Nearline

Retain in Nearline

Store Online

uživatel definuje

RSA enVision automaticky zajišťuje

ILM

Retention PolicyRetention Policy

EMC Centera

RSA enVision Information Lifecycle Management

Online Policy (1 Year)Online Policy (1 Year)

EMC Celerra

Funkční části řešení enVision

Zpracování dat – sběr

Zpracování dat – správa dat

Zpracování dat – analýza

Topologie řešení

Produktová řada

Podpora „libovolných“ zařízení

Přímo podporovaná zařízení

viz. http://www.rsasecured.com

Universal Device Support

vlastní definice formátu

Zpracování dat - analýza

Over 800 reports forregulatory compliance& security operations

Dashboards

Analytické nástroje

Event Explorer

Funkční části řešení enVision

Zpracování dat – sběr

Zpracování dat – správa dat

Zpracování dat – analýza

Topologie řešení

Produktová řada

Single Appliance řešení – ES Series

Multi-appliance řešení – LS Series

Distribuované řešení - DOMAIN

MASTER SITE

SUBORDINATE SITE 12

5

6

43

7

Funkční části řešení enVision

Zpracování dat – sběr

Zpracování dat – správa dat

Zpracování dat – analýza

Topologie řešení

Produktová řada

Pricing is Tied to a Performance RatingEPS Plus Device Count

EPS

500

1000

2500

5000

10000

30000

# DEVICES

7500

300,000

100 200 400 750 1250 1500 2048 30,000

ES Series

LS Series

ES

560

5060

2560

1060

7560

A60D60

L605, L610R601, R602

1260

3060

Sbírat a uchovávat VŠECHNA DATA

Umožňovat „Compliance and Security Operations“

Minimalizovat náklady na provoz

Požadavky na „dobrý Log Management“

Sbírat a uchovávat VŠECHNA DATA Any enterprise IP device

Security exception events and IT operations information

No filtering, normalizing, or data reduction

Umožňovat „Compliance and Security Operations“ Customizable work environments for compliance and security professionals

Standard, customizable compliance & security reports / alerts

Industry leadership Compliance and Security ILM tools

Minimalizovat náklady na provoz Compressed data store

Easy to deploy appliance package

No DBA resources required

No agents required

Požadavky na „dobrý Log Management“

Thank you!