QRadar & StealthINTERCEPT

Size: px

Start display at page:

Download "QRadar & StealthINTERCEPT"

Emory Hines
5 years ago
Views:

1 QRadar & StealthINTERCEPT Windows Security Intelligence Nađa Halebić security

2 Sadržaj QRadar QRadar arhitektura StealthINTERCEPT Scenariji zaštite security 2

3 QRadar SIEM nove generacije Prije napada Tokom napada Nakon napada Ponašanje i kontekst nove generacije SIEM rješenja PROFILIRANJE Ko je napadač? Gdje je bio? Šta je radio prije? Da li je kompanija spremna na napad? DETEKCIJA DETEKCIJA Šta je napad? Šta je napad? Gdje se dešava? Šta je meta Gdje se dešava? Šta je meta napada? FORENZIKA Da li je napad bio uspješan? Gdje se napad preselio? Šta je ukradeno? Gdje su dokazi? Pravila i korelakcije prve generacije SIEM rješenja security 3

4 QRadar SIEM nove generacije Security Intelligence Solutions QRadar SIEM QRadar Log Manager QRadar Risk Manager QRadar QFlow and VFlow QRadar Vulnerability Manager Reporting Engine Workflow Rules Engine Real-Time Viewer Reporting API Security Intelligence Operating System (SIOS) Warehouse Analytics Engine Normalization Archival Forensics API LEEF AXIS Configuration NetFlow Offense security 4

5 QRadar SIEM nove generacije Security Intelligence Feeds IBM X-Force Geo Location Internet Threats Vulnerabilities security 5

Jedna konzola za sve module Log Management Jedna konzola Turn-key log management and reporting SME to Enterprise Upgradeable to enterprise SIEM SIEM Log, flow, vulnerability & identity correlation

6 Jedna konzola za sve module Log Management Jedna konzola Turn-key log management and reporting SME to Enterprise Upgradeable to enterprise SIEM SIEM Log, flow, vulnerability & identity correlation Sophisticated asset profiling Offense management and workflow Configuration & Vulnerability Management Network security configuration monitoring Vulnerability prioritization Predictive threat modeling & simulation Network Activity & Anomaly Detection Network analytics Behavioral anomaly detection Fully integrated in SIEM Network and Application Visibility Layer 7 application monitoring Content capture for deep insight & forensics Physical and virtual environments Jedinstvena arhitektura security 6

saobraćaj Analiza paketa za Layer 7 protok podataka Pivoting, drill-down i data mining o izvorima

7 Analiza mrežnog saobraćaja Mrežni promet ne laže. Potencijalni napadači mogu zaustaviti logging i izbrisati svoje tragove, ali ne mogu prekinuti mrežni saobraćaj Analiza paketa za Layer 7 protok podataka Pivoting, drill-down i data mining o izvorima protoka sabraćaja za napredno otkrivanje i forenziku Pomaže u otkrivanju anomalija koje bi se inače propustile Omogućava uvid u komunikacije napadača security 7

COBIT, SOX, GLBA, NERC, FISMA, PCI, HIPAA, UK GCSx Mogućnost jednostavnog

8 Integrisan modul za izvještavanje u skladu sa najboljim praksama Out-of-the-box izvještaji u skladu sa najboljim praksama i regulativama: COBIT, SOX, GLBA, NERC, FISMA, PCI, HIPAA, UK GCSx Mogućnost jednostavnog ubacivanja novih izvještaja Predefinisane ekstenzije za izvještaje security 8

identifikuje postavke firewall-a, eliminira pogrešne postavke Analizira postavke mreže i

9 QRadar Risk Manager Prikaz mrežne topologije Identifikacija mogućih putanja napada i potencijalnih ciljeva napada Prikuplja konfiguracione postavke mrežnih uređaja Prikuplja i identifikuje postavke firewall-a, eliminira pogrešne postavke Analizira postavke mreže i mrežnih uređaja, i daje izvještaj da li su u skladu sa određenim standardima security 9

kroz konzolu za korisnika sistema Prati bazu podataka National Vulnerability

10 QRadar Vulnerability Manager PCI-certified scanner Omogućava pregled i integraciju sa ostalim softverskim rješenjima Izvještaji u pdf formatu, ili kroz konzolu za korisnika sistema Prati bazu podataka National Vulnerability Database (CVE), koja je u skladu sa preko ,00 potencijalnih prijetnji security 10

11 Gdje prestaje SIEM počinje StealthINTERCEPT Detekcija sumnjivih ponašanja Account Protection Group Protection Zaštita IT infrastrukture Zaštita informacija security 11

12 StealthINTERCEPT Sigurnosna rješenja za Windows okruženja Real-time integracija sa SIEM rješenjima IBM Beacon Award: Outstanding security solution security 12

13 StealthINTERCEPT Detekcija Zaštita i kontrola Informacije security 13

14 Trendovi za godinu Brute Force Attacks Ponovljene pogrešne autentifikacije u određenom vremenskom periodu Horizontal Account Movement Autentifikacija korisničkih računa na nivou cijele mreže za određeni period Account Hacking Ponavljanje pogrešnih prijava ispod definisanog praga za duži period Privileged Account Usage Upotreba računa sa većim pravima Sensitive Security Group Modifications Neautorizovane modifikacije grupa koje omogućavaju pristup osjetljivim informacijama GPO Modifications Neautorizovane modifikacije sigurnosnih postavki Group Policy-a kao što su Default Domain Policies security 14

15 Horizontalni napad Primjer Malware koristi kredencijale aktivne sesije za pristup drugim sistemima. Potom su ovi sistemski kredencijali otuđeni ili su iščitani hashovi sa sadržajem privilegovanih računa kao što su Domain ili Local administratori security 15

16 Demo security 16

IBM Endpoint Manager. Maja Kehić. security

IBM Endpoint Manager. Maja Kehić. security IBM Endpoint Manager Maja Kehić security IBM Endpoint Manager Endpoints Jedinstven agent Desktop / laptop / server endpoint Mobile Purpose specific Jedinstvena konzola Zajednička infrastruktura Jedan server