Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
Think 2019 / IT Specialist / September 19, 2019 / © 2019 IBM Corporation
Досвід побудовиSecurity Operation Center
від технічного завдання до надійної інфраструктури, злагодженої команди і поставлених процесів
Дмитро Петращукдиректор з напрямку кібербезпекиIT Specialist
Олег МататаДиректор Департаменту інформаційної безпеки Концерн Галнафтогаз
Про що піде мова
• Як від ідеї перейти до ТЗ
• Правильна архітектура SOC
• Чому саме Qradar?
• Чому був обраний IT Specialist?
• На що звертати увагу:– Know your infrastructure – Inventory
– Побудова команди – Tier 1,2,3 – SOC Manager – IT, ІБ
– Процеси взаємодії – комунікації (наради), звітність
• Що далі:– Контроль бекапів
– User analytics
– Інтеграція з PowerBI
– Threat hunting
– Сервіси SOC для бізнесу
Що таке SOC
Центр оперативного управління інформаційною безпекою (Security Operation Center)
– це сукупність технологій, компетенцій та організаційних процесів, спрямованих на своєчасне виявлення інцидентів інформаційної безпеки та адекватне реагування на них
- SIEM- VA Scanner- Network Monitoring- Ticketing- Reporting
- Ролі- Компетенції- Взаємодія- Функціональні обов’язки
- Управління інцидентами- Управління вразливостями- Аналіз зловмисного коду- Розслідування інцидентів- Аналіз та активний пошук загроз
Підходи до побудови SOC
Partner SOC SOC-as-a-ServiceOn-Premise SOC
Платформа
Команда
Процеси
Класична процесна модельТе
хно
ло
гії
О
пер
ацій
на
дія
льн
ість
С
трат
егія
Наша реалізація
З чого починати побудову SOC
• Мета та завдання SOC
• Перелік процесів
• Джерела даних
• Архітектура
• Технічне завдання
• Команда
– SOC Driver
– SOC Manager
– SOC Team
• Взаємодія та інтеграція процесів
• Мета та призначення
• Вимоги до ТП
• Архітектура
• Джерела даних
• Пошук та аналіз даних
• Обробка подій та інцидентів
• Автоматизація реагування
• Відображення та звітність
• Безпека
• Масштабування
• Вимоги до процесів
• Події, інциденти, вразливості
• Технічна підтримка
• Персонал
• SLA
• Документація
• Сценарії – Use Cases
• Порядок впровадження
Чому саме IBM QRadar?
• Лідер ринку
• Потужність – до 10 млрд. подій на тиждень
• Розподілена обробка
• Масштабованість
• Найповніший функціонал серед SIEM LM, NA, SIEM, VM, RM
• Аналітика по користувачам із коробки
• Простота інтеграції
• Простота налаштування
• Платформа для розробників додатків AppExchange
• Відкритий API
• Доступність
• Cost/Benefit
• Рекомендації
• Експертиза
• Гнучкість
• Масштабованість
Чому саме IT Specialist?
Важливе питання для SOC
Що ми моніторимо?
KYI UCLC
Know Your Infrastructure
Corporate Device
• Тип• Власник• Важливість• Місцезнаходження• Події• Сканування• Віруси
• Бекапи• Користувачі• Зміни• Операційна система• ПЗ• Доступи • Інциденти
Active Directory
VMWare
CMDB
SCCM/SCOM
Antivirus
NMS
ITS Inventory
• Повний каталог усіх пристроїв організації
• Повна інформація по кожному пристрою
• Об’єднання статичних та динамічних даних в одній таблиці
• Фільтрування, налаштування вибірок, швидке порівняння даних
• Використання в кореляційних правилах, звітах, дашбордах
• Створення нових сценаріїв (UseCases)
Use Case Life Cycle
Ідея Дизайн Реалізація ТестуванняМоніторинг та
реагування
Оновлення
Завершення
Нові загрози
Порушення політик
Зміни
Контроль
Завдання
Джерела
EventID
Додаткові дані(Контекст)
Playbook
Виключення
Джерела даних
Кореляційні правила
Автоматизовані реакції
Playbook
Тренування
Розробка тест-кейсів
Синтетичні події
Відпрацювання та злагодження команди
Вимірювання
Облік
Метрики
SLA
Звітність
Коригування
Додавання виключень
Аналіз
Облік
Звітність
Перегляд
Джерело даних
ПодіяКореляційне
правило
QRadarOffence
(порушення)Інцидент Плейбук Контекст Реакція
Команда
1 лінія
2-3 лінія
Адміністратори:- Події ІБ- Технологічна платформа
Аналітики: - Інциденти ІБ- Вразливості- Розслідування
ServiceDesk
Оператори моніторингу:- Події - Інциденти ІБ- Технологічна платформа
Менеджер проекту
Архітектор
SOC Manager
Адміністратори ІТ
Керівництво
Метрики
• Технологічна платформа– Log Management– Network analysis– SIEM– Vulnerability Manager– Inventory– User Behaviuor Analytics– Configuration
• Team– Загальні командні метрики– SOC Owner– SOC Manager– SOC Architect– Tier 1– Tier 2– Tier 3– Dev– Support/Admins
• SOC Processes– Event Management
– Incident Management
– Vulnerability Management
– Malware Analysis
– Forensics
– Reporting
• Use Case Lifecycle (UCLC)– Загальні метрики
– Дизайн
– Реалізація
– Playbook
– Тестування
– Моніторинг
– Зупинка/Декомісія
Інтеграція SOC
Security Operation
Center
Service Desk
Backup & Restore
Active Directory
CMDB
BI
Напрямки розвитку
SOC стає центром компетенцій і знань
• Інфраструктура
• Мережа
• Користувачі
• Загрози/Ризики
• Події/Інциденти
• Кращі практики/ Експертиза
• Моніторинг бізнес-додатків
• Активне виявлення загроз(Threat Hunting)
• Blue Team
Дякуємо за увагу!
Ваші питання?
Дмитро Петращукдиректор з напрямку кібербезпекиIT Specialist
Олег МататаДиректор Департаменту інформаційної безпеки Концерн Галнафтогаз