Kupiliśmy SIEM (IBM QRadar) dlaczego i co dalej?

Podobne dokumenty
Monitorowanie Bezpieczeństwa Sieci Technologicznej

Bezpieczeństwo danych w sieciach elektroenergetycznych

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

WDROŻENIE RSA NETWITNESS SUITE W BRANŻY E-COMMERCE

IBM QRadar. w Gartner Magic Quadrant

Splunk w akcji. Radosław Żak-Brodalko Solutions Architect Linux Polska Sp. z o.o.

Opis Przedmiotu Zamówienia

Bezpieczeństwo systemów SCADA oraz AMI

SOC/NOC Efektywne zarządzanie organizacją

7. zainstalowane oprogramowanie zarządzane stacje robocze

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

SYSTEM WSMS ZARZĄDZANIE STANDARDEM STACJI ROBOCZYCH. tel: +48 (032)

Centrum Innowacji ProLearning

Produkty Tivoli dla każdego Wybrane przykłady wdrożeń

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Wyzwania wirtualizacji IBM Corporation

FORMULARZ OFERTOWY. 8. Społeczeństwo informacyjne zwiększanie innowacyjności gospodarki

Zarządzanie i realizacja projektów systemu Microsoft SharePoint 2010

ZAŁACZNIK NR 1D KARTA USŁUGI Utrzymanie Systemu Poczty Elektronicznej (USPE)

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

WWQ. Wakacyjne Warsztaty QNAP. Zaczynamy o 11:00. Prowadzący: Łukasz Milic Certyfikowany Trener QNAP

Win Admin Replikator Instrukcja Obsługi

Audyt oprogramowania. Artur Sierszeń

Dodatkowo, w przypadku modułu dotyczącego integracji z systemami partnerów, Wykonawca będzie przeprowadzał testy integracyjne.

Win Admin Replikator Instrukcja Obsługi

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne:

Automatyczne decyzje kredytowe, siła szybkiego reagowania i optymalizacji kosztów. Roman Tyszkowski ING Bank Śląski S.A. roman.tyszkowski@ingbank.

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

Jarosław Żeliński analityk biznesowy, projektant systemów

Wymagania dla systemu analizy i zarządzania zdarzeniami.

Rozdział 5: Zarządzanie testowaniem. Pytanie 1

System zarządzania i monitoringu

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Wykaz zmian w programie SysLoger

Jak zorganizować bezpieczeństwo informacji w praktyce. Miłosz Pacocha

Opis przedmiotu zamówienia. (zwany dalej OPZ )

Nagios czyli jak mieć na oku zasoby sieci. Przygotował: Andrzej Nowrot Leon Sp. z o.o.

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

PROGRAM PRAKTYKI ZAWODOWEJ. Technikum Zawód: technik informatyk

ANALITYK BEZPIECZEŃSTWA IT

ISTOTNE POSTANOWIENIA UMOWY

Opis Usługi. IBM QRadar on Cloud. 1. Usługa Przetwarzania w Chmurze. 1.1 IBM QRadar on Cloud 100 EPS. 1.2 Składniki opcjonalne

Utrzymanie epuap. Raportt Q1 2014

PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Wymagania dotyczące systemu analizy bezpieczeństwa sieci -

NetIQ Sentinel i Rekomendacja D

Co to jest jest oprogramowanie? 8. Co to jest inżynieria oprogramowania? 9. Jaka jest różnica pomiędzy inżynierią oprogramowania a informatyką?

Leszek Dziubiński Damian Joniec Elżbieta Gęborek. Computer Plus Kraków S.A.

Instalacja Active Directory w Windows Server 2003

REKOMENDACJE DOTYCZĄCE PLATFORMY ZARZĄDZANIA KOMPETENCJAMI

epolska XX lat później Daniel Grabski Paweł Walczak

Open Source biznes i bezpieczeństwo w oprogramowaniu. Comp S.A. Open Source Day 2016

Problem tożsamości uprzywilejowanych

Szczegółowy Opis Przedmiotu Zamówienia

AUREA BPM HP Software. TECNA Sp. z o.o. Strona 1 z 7

Win Admin Replikator Instrukcja Obsługi

SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA

SysLoger. Instrukcja obsługi. maj 2018 dla wersji aplikacji (wersja dokumentu 2.5)

Koniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM

Szczegółowy opis przedmiotu zamówienia

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Security Master Class

Projekt: Narzędzia zarządzania testowaniem badanie narzędzia. Część 2.3 Badanie Synapse RT

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

ZAŁĄCZNIK Nr 2 do CZĘŚCI II SIWZ WYCIĄG ZE STANDARDÓW, ZASAD I WZORCÓW INTEGRACYJNYCH OBOWIĄZUJĄCYCH W PSE S.A.

Model referencyjny doboru narzędzi Open Source dla zarządzania wymaganiami

1. Zakres modernizacji Active Directory

Storware KODO. One KODO to protect them all STORWARE.EU

Instrukcje instalacji pakietu IBM SPSS Data Access Pack dla systemu Linux

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

Microsoft Test Manager

Zintegrowana platforma zarządzania miastem w kontekście bezpieczeństwa publicznego. (Centrum Bezpieczeństwa Miasta)

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Praktyczna współpraca i zamierzenia w zakresie cyberbezpieczeństwa / założenia pracy energetycznego ISAC-PL

Wymagana dokumentacja Systemów dziedzinowych i EOD

Zapytanie ofertowe nr 1/POIG 8.2/2013

OFERTA NR.. Pieczęć oferenta Blue Media Spółka Akcyjna ul. Powstańców Warszawy Sopot

System zarządzania mediami, rozwiązanie Rockwell Automation

Modelowanie procesów biznesowych, przepływu pracy i wdrażanie aplikacji w oparciu o Jboss jbpm lub Activiti

Plan testów do Internetowego Serwisu Oferowania i Wyszukiwania Usług Transportowych

Galileo - encyklopedia internetowa Plan testów

Ko n f i gura cja p ra cy V ISO z bazą SQL S e rve r

Skalowanie i monitorowanie działania systemu dlibra 5.0

Przegląd oprogramowania do monitoringu IP firmy Geovision. Maciej Mantaj Konsorcjum FEN Sp. z o.o.

Fujitsu World Tour 2018

William R. Stanek. Vademecum Administratora 2012 R2. Windows Server. Podstawy i konfiguracja. Przekład: Leszek Biolik

Analityka i BigData w służbie cyberbezpieczeństa

Strona znajduje się w archiwum.

4 WEBINARIA tematyczne, gdzie każde przedstawia co innego związanego z naszym oprogramowaniem.

IO - Plan wdrożenia. M.Jałmużna T.Jurkiewicz P.Kasprzyk M.Robak. 5 czerwca 2006

Rozwiązanie Compuware Data Center - Real User Monitoring

Rola analityki danych w transformacji cyfrowej firmy

Szkolenie autoryzowane. MS Instalacja i konfiguracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Wybór ZSI. Zakup standardowego systemu. System pisany na zamówienie

Zaproszenie do składania ofert

Transkrypt:

Kupiliśmy SIEM (IBM QRadar) dlaczego i co dalej? Warsaw Michał Żyjewski Santander Bank Polska (BZWBK) menedżer Zespołu Monitorowania Bezpieczeństwa IT

Dlaczego kupujemy rozwiązanie typu SIEM? Wymagane przez Regulatorów Wymagania / Rekomendacje Audytowe Chcemy podnieść poziom Cyberbezpieczeństwa Działania naprawcze po Cyberataku Chcemy zbierać Logi Podążamy za trendami np. inni to już mają Sprzedawca nas na to namówił 2

Co już zostało Zrobione? Analiza rozwiązań na Rynku np. Gartner Współpraca z firmami Doradczymi Współpraca z znanymi Partnerami/Dostawcami Określenie wymagań funkcjonalnych (formularz oceny) PoC (Proof of Concept) testowanie wybranych rozwiązań Wybór rozwiązania (np. IBM QRadar) Określenie docelowej Architektury SIEM (Produkcja/DR/Test) Określenie liczby i typu Komponentów / Licencji (Hardware/Virtual/Software) 3

Dostawa z MX i? Przygotowanie Maszyn Instalacja w Data Center Konfiguracja Dodanie Licencji i? 4

Podłączamy pierwsze Źródła Logów Standardowy plan: Rozwiązania Protect (AV/APT/IPS/ ) Serwery Unix/Linux lub Windows Serwery Aplikacyjne (Exchange/Apache/ ) Urządzenia Sieciowe Bazy Danych Logi Aplikacyjne (DNS/DHCP/SMTP/ ) Logi z Własnych Aplikacji Pierwsze Problemy: Auto Discovery dodaje źródła których nie mamy np. 3Com a nie Cisco Brak przewodnika jak skonfigurować Źródło Logów Brak Parsera (DSM/LSX) Brak logów mimo prawidłowej konfiguracji Pierwsze dylematy: Nazewnictwo Źródeł Logów Hierarchia Źródeł Logów 5

Podłączamy koleje Źródła Logów Wyzwania: Czy mamy pełną ewidencje wszystkich Serwerów/Urządzeń Sieciowych/Baz Danych/Usług i Aplikacji? Czy mamy plan długofalowy integracji kolejnych Źródeł Logów z SIEM? Czy wiemy co podłączyliśmy a co nie? Czy wykrywamy gdy źródło przestanie przesyłać logi? Na co zwrócić uwagę: Licencja na EPS nie jest nieskończona Koszt licencji na EPS Logi nie używane w korelacji Nie wszystkie informacje z logów są rozpoznawane przez Parser (DSM/LSX) Niektóre logi są obcinane Czy są Procesy/Procedury/Instrukcje? 6

Reguły korelacyjne Standardowy plan: Uruchamiamy wybrane Reguły Korelacyjne lub grupy Use Case Stroimy w celu eliminacji najczęściej pojawiających się Fałszywych Alertów Szukamy przyczyn braku Alertów Pierwsze dylematy: Reguły Korelacyjne Wbudowane czy tworzymy Własne Pierwsze Problemy: Zbyt wiele Alertów lub ich Brak Brak osób które mogłyby Analizować wyniki działania Reguł Brak wiedzy czy Alerty są poprawne Brak wiedzy na temat Tworzenia Reguł Korelacyjnych Brak dokumentacji przeprowadzonych testów i analizy wyników 7

Dalsza praca z Regułami Korelacyjnymi Wyzwania: Czy prowadzimy dokumentacje zmian w Regułach Korelacyjnych? Czy mamy ustalony przebieg wdrażania zmian oraz ścieżkę aprobat? Czy i jak reagujemy na Burze Alertów? Czy Reguły i ich działanie jest poddawane przeglądowi i analizie? Na co zwrócić uwagę: Licencja na EPS nie jest nieskończona Koszt licencji na EPS Logi nie używane w korelacji Nie wszystkie informacje z logów są rozpoznawane przez Parser (DSM/LSX) Niektóre logi są obcinane Czy tworzone są nowe lub uruchamiane kolejne Reguły Korelacyjne? Czy są Procesy/Procedury/Instrukcje 8

Co z Alertami? Standardowy plan: Ktoś musi przeglądać Alerty Wszystkie Alerty powinny być przenalizowane Kady Alert powinien być zamknięte a wykonane akcje powinny być udokumentowane Wykryte incydenty powinny być zaadresowane i rozwiązane a ich wynikiem powinien być raport Pierwsze Problemy: Brak Zespołu Monitorującego i działającego 24/7 Brak Scenariuszy/Procedur Reakcji Brak określonej ścieżki decyzyjnej Długi czas oczekiwania na reakcje np. Administratora na zapytanie Brak wiedzy na temat architektury Sieci/Rozwiązania/Przepływu Danych Pierwsze dylematy: Definicje Incydentu i Fałszywego Alertu 9

Dalsza praca z Alertami Wyzwania: Jakość analizy Alertów Logi w SIEM nie wystarczają do Analizy Częste i powtarzalne Alerty Harmonogram pracy w trybie 24/7 Monotonia pracy Na co zwrócić uwagę: Szkolenie i Podnoszenie kompetencji zespołu Talenty członków zespołu i ich wzmacnianie Zadania które są delegowane a nie powinny trafiać do zespołu monitorującego 10

Thank you Michał Żyjewski Santander Bank Polska (BZWBK) menedżer Zespołu Monitorowania Bezpieczeństwa IT Michal.Zyjewski@Santander.pl 11

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres