Think 2019 / IT Specialist / September 19, 2019 / © 2019 IBM Corporation

Досвід побудовиSecurity Operation Center

від технічного завдання до надійної інфраструктури, злагодженої команди і поставлених процесів

Дмитро Петращукдиректор з напрямку кібербезпекиIT Specialist

Олег МататаДиректор Департаменту інформаційної безпеки Концерн Галнафтогаз

Про що піде мова

• Як від ідеї перейти до ТЗ

• Правильна архітектура SOC

• Чому саме Qradar?

• Чому був обраний IT Specialist?

• На що звертати увагу:– Know your infrastructure – Inventory

– Побудова команди – Tier 1,2,3 – SOC Manager – IT, ІБ

– Процеси взаємодії – комунікації (наради), звітність

• Що далі:– Контроль бекапів

– User analytics

– Інтеграція з PowerBI

– Threat hunting

– Сервіси SOC для бізнесу

Що таке SOC

Центр оперативного управління інформаційною безпекою (Security Operation Center)

– це сукупність технологій, компетенцій та організаційних процесів, спрямованих на своєчасне виявлення інцидентів інформаційної безпеки та адекватне реагування на них

- SIEM- VA Scanner- Network Monitoring- Ticketing- Reporting

- Ролі- Компетенції- Взаємодія- Функціональні обов’язки

- Управління інцидентами- Управління вразливостями- Аналіз зловмисного коду- Розслідування інцидентів- Аналіз та активний пошук загроз

Підходи до побудови SOC

Partner SOC SOC-as-a-ServiceOn-Premise SOC

Платформа

Команда

Процеси

Класична процесна модельТе

хно

ло

гії

О

пер

ацій

на

дія

льн

ість

С

трат

егія

Наша реалізація

З чого починати побудову SOC

• Мета та завдання SOC

• Перелік процесів

• Джерела даних

• Архітектура

• Технічне завдання

• Команда

– SOC Driver

– SOC Manager

– SOC Team

• Взаємодія та інтеграція процесів

• Мета та призначення

• Вимоги до ТП

• Архітектура

• Джерела даних

• Пошук та аналіз даних

• Обробка подій та інцидентів

• Автоматизація реагування

• Відображення та звітність

• Безпека

• Масштабування

• Вимоги до процесів

• Події, інциденти, вразливості

• Технічна підтримка

• Персонал

• SLA

• Документація

• Сценарії – Use Cases

• Порядок впровадження

Чому саме IBM QRadar?

• Лідер ринку

• Потужність – до 10 млрд. подій на тиждень

• Розподілена обробка

• Масштабованість

• Найповніший функціонал серед SIEM LM, NA, SIEM, VM, RM

• Аналітика по користувачам із коробки

• Простота інтеграції

• Простота налаштування

• Платформа для розробників додатків AppExchange

• Відкритий API

• Доступність

• Cost/Benefit

• Рекомендації

• Експертиза

• Гнучкість

• Масштабованість

Чому саме IT Specialist?

Важливе питання для SOC

Що ми моніторимо?

KYI UCLC

Know Your Infrastructure

Corporate Device

• Тип• Власник• Важливість• Місцезнаходження• Події• Сканування• Віруси

• Бекапи• Користувачі• Зміни• Операційна система• ПЗ• Доступи • Інциденти

Active Directory

VMWare

CMDB

SCCM/SCOM

Antivirus

NMS

ITS Inventory

• Повний каталог усіх пристроїв організації

• Повна інформація по кожному пристрою

• Об’єднання статичних та динамічних даних в одній таблиці

• Фільтрування, налаштування вибірок, швидке порівняння даних

• Використання в кореляційних правилах, звітах, дашбордах

• Створення нових сценаріїв (UseCases)

Use Case Life Cycle

Ідея Дизайн Реалізація ТестуванняМоніторинг та

реагування

Оновлення

Завершення

Нові загрози

Порушення політик

Зміни

Контроль

Завдання

Джерела

EventID

Додаткові дані(Контекст)

Playbook

Виключення

Джерела даних

Кореляційні правила

Автоматизовані реакції

Playbook

Тренування

Розробка тест-кейсів

Синтетичні події

Відпрацювання та злагодження команди

Вимірювання

Облік

Метрики

SLA

Звітність

Коригування

Додавання виключень

Аналіз

Облік

Звітність

Перегляд

Джерело даних

ПодіяКореляційне

правило

QRadarOffence

(порушення)Інцидент Плейбук Контекст Реакція

Команда

1 лінія

2-3 лінія

Адміністратори:- Події ІБ- Технологічна платформа

Аналітики: - Інциденти ІБ- Вразливості- Розслідування

ServiceDesk

Оператори моніторингу:- Події - Інциденти ІБ- Технологічна платформа

Менеджер проекту

Архітектор

SOC Manager

Адміністратори ІТ

Керівництво

Метрики

• Технологічна платформа– Log Management– Network analysis– SIEM– Vulnerability Manager– Inventory– User Behaviuor Analytics– Configuration

• Team– Загальні командні метрики– SOC Owner– SOC Manager– SOC Architect– Tier 1– Tier 2– Tier 3– Dev– Support/Admins

• SOC Processes– Event Management

– Incident Management

– Vulnerability Management

– Malware Analysis

– Forensics

– Reporting

• Use Case Lifecycle (UCLC)– Загальні метрики

– Дизайн

– Реалізація

– Playbook

– Тестування

– Моніторинг

– Зупинка/Декомісія

Інтеграція SOC

Security Operation

Center

Service Desk

Backup & Restore

Active Directory

CMDB

BI

Напрямки розвитку

SOC стає центром компетенцій і знань

• Інфраструктура

• Мережа

• Користувачі

• Загрози/Ризики

• Події/Інциденти

• Кращі практики/ Експертиза

• Моніторинг бізнес-додатків

• Активне виявлення загроз(Threat Hunting)

• Blue Team

Дякуємо за увагу!

Ваші питання?

Дмитро Петращукдиректор з напрямку кібербезпекиIT Specialist

Олег МататаДиректор Департаменту інформаційної безпеки Концерн Галнафтогаз