jet csirt И fortisiem - bis-expert...24/09/19 jet csirt И fortisiem ОДИН ГОД...

T. +7 495 411-76-01 | E. INFO@JET.SU | WWW.JET.SU | 127015, РОССИЯ, МОСКВА, УЛ. БОЛЬШАЯ НОВОДМИТРОВСКАЯ, 14С1, БЦ «НОВОДМИТРОВСКИЙ» © 2019 Инфосистемы Джет

JET CSIRT И FORTISIEM 24/09/19

ОДИН ГОД СЧАСТЛИВОЙ СОВМЕСТНОЙ ЖИЗНИ

Александр

Ахремчик

Аналитик департамента аутсорсинга ЦИБ, «Инфосистемы Джет»

av.akhremchik@jet.su

( 2 ) © 2019 Инфосистемы Джет

СХЕМА ПРЕДОСТАВЛЕНИЯ ОБЛАЧНЫХ УСЛУГ JET CSIRT

Аналитика и поддержание ИБ осведомленности

SIEM

Collector

СЗИ и сеть

Рабочие станции

и серверы

Инфраструктура

Заказчика

Мониторинг и реагирование Расследование и форензика

Сервисы

и персональные

устройства

Эксплуатация и тех. поддержка СЗИ

Управление инцидентами ИБ

Сбор событий и данных

с инфраструктуры

Техническое реагирование, сдерживание, нейтрализация

Нормализация событий

от источников

SIEM+IRP

СЗИ Форензика и расследование

Honeypot Sandbox События

( 3 ) © 2019 Инфосистемы Джет

ПОЧЕМУ FORTISIEM? СЕГОДНЯ

( 3 ) © 2019 Инфосистемы Джет

Архитектура

Масштабируемость

Отказоустойчивость v 5.2.1 Ролевая модель

Интеграция с ticket, TI, IRP,

AD

Работа с парсерами

и правилами

Гибкость фильтров/листов

Механизмы оповещения и

отчетности

Тикетная система

Работа с сырыми

событиями

Механизмы корреляции v 21 Механизмы нормализации

Ассетная модель

Удобство управления v 21

( 4 ) © 2019 Инфосистемы Джет

УДОБСТВО УПРАВЛЕНИЯ И КАСТОМИЗИРУЕМОСТЬ

( 5 ) © 2019 Инфосистемы Джет

СИЛЬНЫЕ СТОРОНЫ FORTISIEM

Тип

актива

Запущенные

приложения

Параметры

процесса

Путь

запуска Статус

Актив

( 6 ) © 2019 Инфосистемы Джет

СИЛЬНЫЕ СТОРОНЫ FORTISIEM

( 7 ) © 2019 Инфосистемы Джет

Baseline и поведенческие (UEBA)

правила пока настраиваются через

CLI, а не GUI

ОСОБЕННОСТИ FORTISIEM

Watchlist’ы пока не позволяют

профилировать активность

по нескольким нормализованным

полям

Для сбора событий c Win источников

применяются агенты. WEF

с версии 5.2.1

( 8 ) © 2019 Инфосистемы Джет

ИНТЕГРАЦИЯ С ДРУГИМИ РЕШЕНИЯМИ

5

KSC, KICS (MSSQL)

АПКШ Континент

PT ISIM

VipNet Coordinator (MSSQL)

фиды угроз Kaspersky Cyber Threat

Intelligence Services

(Corp, ICS- Industrial Control Systems)

Bolid OrionPro (СКУД)

TrendMicro Deep Discovery

(Inspector и Analyzer)

Microsoft ATA, Veriato 360

TrapX, Illusive Networks

Third-Party решения

Интегрировали в FortiSIEM источники

R-Vision Incident Response Platform

BMC Remedy

Rapid7 Nexpose

T. +7 495 411-76-01 | E. INFO@JET.SU | WWW.JET.SU | 127015, РОССИЯ, МОСКВА, УЛ. БОЛЬШАЯ НОВОДМИТРОВСКАЯ, 14С1, БЦ «НОВОДМИТРОВСКИЙ» © 2019 Инфосистемы Джет

24/09/19 СПАСИБО ЗА ВНИМАНИЕ!