Открыть список
Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Компания Hewlett-Packard покупает компанию ArcSight

Информационная безопасность
image

Сегодня известная всем нам компания HP объявила о покупке крупного разработчика программного обеспечения по обеспечению сетевой безопасности. Речь идет о компании ArcSight, которую HP приобрела за полтора миллиарда долларов. Покупка была осуществлена для того, чтобы начать работать в частично новой для HP сфере, предлагая клиентам новую продукцию. Отмечу, что ArcSight вообще практически не упоминалась на Хабре, хотя это действительно очень крупный разработчик ПО по мониторингу и выявлению сетевых угроз. Программное обеспечение от ArcSight обычно используется и частными компаниями, и государственными организациями.

Читать дальше →
Всего голосов 5: ↑2 и ↓3 -1
Просмотры1.8K
Комментарии 1

OSSIM — разворачиваем комплексную open source систему управления безопасностью

Информационная безопасностьOpen source


OSSIM (Open Source Security Information Management) — система управления, контроля и обеспечения информационной безопасности.
OSSIM «из коробки» включает в себя такой функционал как:
  • Сбор, анализ и корреляция событий — SIEM
  • Хостовая система обнаружения вторжений (HIDS) — OSSEC
  • Сетевая система обнаружения вторжений (NIDS) — Suricata
  • Беспроводная система обнаружения вторжений (WIDS) — Kismet
  • Мониторинг узлов сети- Nagios
  • Анализ сетевых аномалий – P0f, PADS, FProbe, Arpwatch и др.
  • Сканер уязвимостей – OpenVAS
  • Мощнейшая система обмена информацией об угрозах между пользователями OSSIM — OTX
  • Более 200 плагинов для парсинга и корреляции логов со всевозможных внешних устройств и служб

Читать дальше →
Всего голосов 30: ↑30 и ↓0 +30
Просмотры123.2K
Комментарии 37

Успешное внедрение SIEM. Часть 1

Информационная безопасность
Всем привет.

Так получилось, что последние несколько лет провел в процессе внедрения SIEM Arcsight ESM в одном крупном телекоммуникационном провайдере. Считаю, что сделал это весьма успешно и в итоге ушел на несколько другую стезю, т.к. уперся в некоторый потолок, который есть в России в целом по направлению безопасности. Для того, чтобы не сложилось ложного понимания у читателя уточню, что я работал именно внутри компании, а не на проекте от системного интегратора и SIEM использовалась исключительно для внутренних нужд, а не для создания коммерческого Security Operation Center (далее SOC). В целом тематика внедрения и использования SIEM освещена слабо, да и в целом те инсталляции, которые я видел обычно не приносили достаточной эффективности тем кто ее внедрял. Мне с коллегами на мой взгляд удалось реализовать свой собственный SOC ядром, которого является SIEM, приносящий огромную пользу не только отделу ИБ, но и другим отделам в частности и всей компании в целом, включая руководство.
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Просмотры14.6K
Комментарии 6

Зоркий наблюдатель

Блог компании Hewlett Packard EnterpriseIT-инфраструктура
ИТ-инфраструктура современных предприятий усложняется день ото дня. Множество систем порождает огромный объем информации, который необходимо обрабатывать и анализировать, в том числе на предмет реальных и потенциальных угроз для безопасности. Можно нанять десяток-другой администраторов, однако гораздо дешевле и эффективнее установить SIEM-систему, способную собирать данные из многих источников, анализировать их и сообщать о возможных рисках и уязвимостях в корпоративной ИТ-инфраструктуре. Кроме того, она помогает предотвратить киберпреступления, связанные с мошенничеством, кражей информации и другими инцидентами.


Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры4.4K
Комментарии 0

Solar JSOC – опыт построения коммерческого SOC

Блог компании Ростелеком-СоларИнформационная безопасностьАнализ и проектирование системSaaS / S+S
Эта статья открывает цикл публикаций, посвященных функционированию центра по мониторингу и реагированию на инциденты информационной безопасности – Security Operations Center (SOC). В них мы будем рассказывать о том, что надо учитывать при создании SOC, о процессе подготовки инженеров мониторинга, регистрации инцидентов и практических кейсах, с которыми сталкивается Solar JSOC.

Цель данных статей не самореклама, а описание практических аспектов в реализации сервисной модели оказания услуг в области информационной безопасности. Первая статья будет иметь вводный характер, но она необходима для погружения в тему, которая все еще является достаточно новой для российского рынка информационной безопасности.

Зачем нужен SOC


Что такое SOC, чем он отличается от SIEM, и зачем вообще он нужен, я описывать не буду – слишком много статьей в последнее время написано на эту тему. Причем в статьях можно было встретить взгляд с любой стороны: эксперта, вендора SIEM, владельца или сотрудника SOC.

В качестве вводной информации стоит упомянуть статистику по данным исследований, проведенных ФРИИ, а также компаниями Group-IB и Microsoft:

  • Потери экономики РФ от киберпреступности за 2015 год оцениваются в 123,5 млрд рублей.
  • 60% российских компаний отметили рост числа киберинцидентов на 75%, а размера ущерба — в два раза.

Также хотелось бы упомянуть статистику по нашим клиентам, которая отражается в ежеквартальных отчетах JSOC Security Flash Report:

  • Двукратный рост количества инцидентов информационной безопасности в первом квартале 2016 года по отношению к аналогичному периоду 2015 года.
  • Значительный рост инцидентов, связанных с утечками конфиденциальной информации.
  • Увеличение критичных инцидентов с 26% до 32% по отношению к общему скоупу.
  • Рост числа различных кибергруппировок, работающих по известным схемам мошенничества.

Читать дальше →
Всего голосов 7: ↑6 и ↓1 +5
Просмотры13.1K
Комментарии 11

Доступность JSOC: показатели и измерение

Блог компании Ростелеком-СоларИнформационная безопасностьSaaS / S+S
Мы продолжаем серию материалов, посвященных Security Operations Center, и представляем вашему вниманию второй выпуск.

Сегодняшняя статья посвящена «магическим девяткам» доступности и готовности сервисов. Мы расскажем, из чего складываются сервисные показатели облачного SOC с точки зрения «железа» и ПО, какими средствами они контролируются в Solar JSOC.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры3.4K
Комментарии 0

Поиск Use Case'ов для SIEM

Информационная безопасность
Глоссарий:

SIEM (Security Information & Event Management) — программно-аппаратный комплекс для сбора информации о событиях (логи), их корреляции и анализа. Wiki.

Use Case (применительно к SIEM) — устоявшийся термин, обозначающий конкретный набор правил/скриптов и/или механизмов визуализации. Например, для обнаружения сканирования портов, сверки IP адреса с внешней репутационной базой и т.д. Use Case’ы можно писать самому, брать готовые с сайта производителя или заказывать у подрядчиков.



Задачей данной статьи является систематизация найденной информации по каталогам Use Case’ов и дополнительным ресурсам, а также активный диалог в комментариях. Поделитесь своим опытом, пожалуйста, а я буду обновлять пост полученной информацией.

Содержание:

1. Рейтинг SIEM в 2016 году
2. “Родные” магазины Use Case’ов на сайтах производителей SIEM
3. Рекомендации по самостоятельному написанию Use Case’ов
4. Заказная разработка: карта интеграторов
5. Сторонние каталоги Use Case’ов: SOC Prime UCL, форумы вендоров (список обновляется)
6. Ссылки на блоги и дополнительные ресурсы информационной безопасности, относящиеся к SIEM
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры10.2K
Комментарии 13

ПРАВИЛьная кухня

Блог компании Ростелеком-СоларИнформационная безопасностьАнализ и проектирование системSaaS / S+S
Добрый день, коллеги. Вот и подошел черед третьей статьи, посвященной Security Operations Center.

Сегодняшняя публикация затрагивает наиболее важный аспект любого SOC – контент, связанный с выявлением и анализом потенциальных инцидентов информационной безопасности. Это, в первую очередь, архитектура корреляционных правил в SIEM-системе, а также сопутствующие листы, тренды, скрипты, настройки коннекторов. В статье я расскажу про весь путь обработки исходных логов, начиная с обработки событий коннекторами SIEM-системы и заканчивая использованием этих событий в корреляционных правилах и дальнейшем жизненном цикле уже инцидентного срабатывания.


Читать дальше →
Всего голосов 23: ↑20 и ↓3 +17
Просмотры8.7K
Комментарии 6

10 вопросов для осознанного выбора SIEM-системы

Информационная безопасность
Перевод
выбор очевиден?

Прим.переводчика: в оригинальном документе 2017 года также приводится краткий обзор 24 SIEM решений и смежных технологий. Дополнительно рекомендую отчет Gartner за 2014, 2015 и 2016 года.

Security Information and Event Management является сложным и дорогим решением по сбору, нормализации, анализу и корреляции информации из лог-файлов всех ИТ-систем, однако и результаты ее работы при правильной эксплуатации являются выдающимися. Портал Solutions Review подготовил список из 5 вопросов к себе и 5 вопросов к потенциальному поставщику, собрав ответы на которые, вы сможете более осознанно сделать выбор достойной SIEM системы для внедрения в вашей организации.
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Просмотры6.4K
Комментарии 2

Один квартал из жизни SOC. Три инцидента без купюр

Блог компании Ростелеком-СоларИнформационная безопасностьSaaS / S+S
Для меня, как аналитика, самые полезные и интересные доклады и статьи – те, которые освещают практические аспекты информационной безопасности и дают конкретные примеры инцидентов и методов их выявления и расследования. Поэтому сегодняшняя статья посвящена нескольким интересным кейсам, с которыми мы в Solar JSOC сталкивались за последнее время.
Читать дальше →
Всего голосов 34: ↑32 и ↓2 +30
Просмотры11.9K
Комментарии 7

Пишем Arcsight FlexConnector. Log File

Информационная безопасность
Из песочницы
В настоящее время решения по сбору и анализу событий информационной безопасности, системы класса SIEM находятся на пике своей популярности, современные компании ставят перед собой задачу подключить как можно больше своих ключевых систем к SIEM для консолидации данных из этих систем, анализа событий и разбора инцидентов информационной безопасности на основе полученных и проанализированных данных. SIEM осуществляет сбор событий с практически любых источников: сетевые устройства, базы данных, различные бизнес-приложения, системы информационной безопасности и информационных технологий, приводя их к единообразному виду, пригодному для дальнейшего анализа и работы с полученной информацией.

Принимая во внимание, о каком количестве разных информационных систем может идти речь, невольно задумываешься о возможных вариантах и подходах подключения возможных информационных систем к SIEM и моим желанием поделиться этими знаниями с коллегами, кто тесно связан и работает с системами данного класса. В качестве примера возьмём наиболее популярную систему Arcsight и рассмотрим возможные варианты подключения к информационным системам компании с помощью FlexConnector.

image
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры7.4K
Комментарии 0

ArcSight Forwarder Connector. Пошлём куда захотим

Информационная безопасность
Tutorial
Добрый день, хабрасообщество!

В данной статье я поделюсь своим практическим опытом по выгрузке событий из ArcSight ESM. Детально рассмотрю функциональность и предоставлю пошаговую инструкцию по настройке ArcSight Forwarder Connector, а так же опишу интересные лайфхаки.


Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры9.2K
Комментарии 2

Как мы внедрили вторую SIEM в центре мониторинга и реагирования на кибератаки

Блог компании Ростелеком-СоларИнформационная безопасность
Одна голова хорошо, а две – некрасиво… Так мы думали, пока жили в чудное время, когда в нашем центре мониторинга и реагирования на кибератаки была одна-единственная SIEM-платформа. Не секрет, что это была HP ArcSight, оказавшаяся единственным финишером длительного марафона через тернии требований, хотелок и амбициозных планов построения сердца SOC.

И вроде бы ничто не предвещало беды, но в какой-то момент появились и стали все более настойчивыми мысли о необходимости работы с альтернативной платформой. И основным локомотивом тут выступило активное развитие центров ГосСОПКА. Для того чтобы стать одним из подобных центров, нам необходимо было использовать ПО, которое обеспечено «гарантийной и технической поддержкой российскими организациями, не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц» (Приказ ФСБ от 06.05.2019 № 196, п.3.4). Как мы страдали все это пережили и что в итоге получилось, рассказываем ниже.


Кадр из мультсериала «Котопёс»
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры3.1K
Комментарии 0