Лаборатория ИМБА ИТ
ИМБА ИТSIEM-системы
В области SIEM-систем вы можете ознакомиться с техническими решениями на базе следующих продуктов:
1. MaxPatrol SIEM от Positive Technologies
2. Kaspersky Unified Monitoring and Analysis Platform (KUMA) от Лаборатории Касперского
3. Wazuh – многофункциональное решение на базе Open Source.
MaxPatrol SIEM
Стенд развернут в виртуальной среде VMware vSphere в формате распределенной установки и состоит из следующих серверов:
1. Сервер MP Core, развернутый на ОС Windows, включающий в себя компоненты:
a. Core – ядро для управления и конфигурации остальных компонентов Системы
b. MC – компонент отвечающий за авторизацию и идентификацию в продуктах Positive,
c. KB – база знаний с контентом, включающим в себя правила нормализации событий, формулы корреляции и прочее.
d. Agent – компонент для сбора событий безопасности с источников как активных так и пассивным способом
2. Сервер SIEM Server, развернутый на ОС Linux Debian 10, включающий в себя компонент, отвечающий за обработку поступающих событий – нормализацию, корреляцию, обогащение и прочие процессы.
3. Сервер SIEM Event Storage, развернутый на ОС Linux Debian 10, включающий в себя компонент на базе СУБД Elasticsearch 7, отвечающий за структуризацию и хранение всех поступающих событий, как необработанных, так и нормализованных.
4. Сервер UCS, развернутый на ОС Linux Debian 10, отвечающий за обновление контента и компонентов системы.
К системе подключены различные источники событий, такие как:
· события от компонентов ОС Windows (AD, DHCP, DNS и пр.);
· события от антивирусных систем (Kaspersky, TrendMicro);
· события VMWare ESXi;
· события аудита ОС Linux;
· события от PAM-систем (SafeInspect, СКДПУ);
· события от различных МЭ и NGFW (PaloAlto, Usergate UTM)
· и прочие источники
В ходе демонстрации вы сможете ознакомиться с функционалом решения, особенностями его администрирования и конфигурирования, работы с поступающими событиями. При желании можно сымитировать проблемы в системе и продемонстрировать траблшутинг в режиме реального времени, а также написание правил нормализации и корреляции для новых источников. Также при заказе демонстрации нескольких SIEM-систем есть возможность их сравнения с целью выбора под свои задачи более подходящей системы.
Kaspersky Unified Monitoring and Analysis Platform
Система имеет клиент-серверную инфраструктуру. Серверная часть развернута в виртуальной среде VMware vSphere в формате установки All-in-One, на сервере установлены следующие компоненты:
· Компонент Core – ядро для управления и конфигурации остальных компонентов Системы
· Компонент Collector – компонент со службами для сбора и нормализации событий
· Компонент Correlator – компонент для генерации коррелированных событий и инцидентов на основе нормализованных событий
Клиентская часть установлена на источники событий с ОС Windows, с которых требуется сбор событий из журналов Windows Event Log. Агенты установлены на следующих серверах инфраструктуры стенда:
· Контроллер домена – для сбора событий авторизации доменных пользователей в системе
· DHCP-сервер – для сбора событий службы DHCP
· DNS-сервер – для сбора событий службы DNS
· WEC-сервер (Windows Event Collector) – для сбора событий стандартных журналов системы на рабочих станциях под управлением ОС Windows (System, Security, Application)
К системе подключены различные источники событий, такие как:
· события от компонентов ОС Windows (AD, DHCP, DNS и WEC);
· события от антивирусных систем (Kaspersky, TrendMicro);
· события VMWare ESXi;
· события аудита ОС Linux;
· события от PAM-систем (SafeInspect, СКДПУ);
· события от различных МЭ и NGFW (PaloAlto, Usergate UTM)
· и прочие источники
В ходе демонстрации вы сможете ознакомиться с функционалом решения, особенностями его администрирования и конфигурирования, работы с поступающими событиями. Также при заказе демонстрации нескольких SIEM-систем есть возможность их сравнения с целью выбора под свои задачи более подходящей системы.
Wazuh
Многофункциональная система на базе Open-source. Включает в себя такие компоненты как SIEM, FIM (File Integrity Monitoring), Vulnerability Detection, Compliance и другое. На стенде развернут в отказоустойчивом распределенном варианте:
· Сервер Wazuh Management Master – сервер управления и конфигурации остальных компонентов Системы.
· Сервер Wazuh Management Worker – сервер управления и конфигурации остальных компонентов Системы. Создает отказоустойчивость управления, при падении Master-ноды, берет на себя управление компонентами и задачами.
· Сервер Wazuh ElasticSearch Node 1 – развернутый на ОС Linux Debian 10, включающий в себя компонент на базе СУБД Elasticsearch 7, отвечающий за структуризацию и хранение всех поступающих событий, как необработанных, так и нормализованных
· Сервер Wazuh ElasticSearch Node 2 – репликация базы событий Elasticsearch, для создания отказоустойчивости
· Сервер Wazuh ElasticSearch Node 3 – репликация базы событий Elasticsearch, для создания отказоустойчивости
· Сервер Wazuh Kibana – Сервер для визуализации и представления пользователю данных в структурированном варианте. Дает возможность управлять системой из графического интерфейса.
В ходе демонстрации вы сможете ознакомиться с функционалом решения, особенностями его администрирования и конфигурирования, работы с поступающими событиями. Также существует возможность проверить отработку отказоустойчивости компонентов Wazuh Management и Elasticsearch. Преднастроены такие компоненты системы, как FIM, SIEM, Vulnerability Detection и Compliance.
