Transcript Slide 1
Metody i produkty do zarządzania, analizy, korelacji i archiwizacji logów Krzysztof Nierodka [email protected] ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone Agenda 1 SmartEvent 2 SmartEvent Intro 3 SmartWorkFlow 4 Podsumowanie ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 2 2 Zarządzanie dużą ilością zdarzeń Zbyt dużo zdarzeń Wiele urządzeń Brak czasu na analizę zdarzeń ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 3 3 Be SMART ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 4 4 Zarządzanie dużą ilością zdarzeń Zbyt dużo zdarzeń Wiele urządzeń Brak czasu na analizę zdarzeń ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 5 5 Zarządzanie dużą ilością zdarzeń Jak znaleźć istotny komunikat? Skąd wiedzieć co jest prawdziwym zagrożeniem? ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 6 6 Zarządzanie dużą ilością zdarzeń Potrzeba użytecznych informacji Wykorzystanie informacji w celu zablokowania ataków ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 7 7 Najczęstsze potrzeby Większa Czytelność Szybsza Naprawa Łatwa Integracja ©2010 Check Point Software Technologies Ltd. Proste Wdrożenie | [Unrestricted] For everyone | 8 8 Agenda 1 SmartEvent 2 SmartEvent Intro 3 SmartWorkFlow 4 Podsumowanie ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 9 9 Trochę historii SmartEvent blade jest dostępny w dwóch wersjach: 1. SmartEvent Full Package ► ► 2. Zapewnia scentralizowaną, działającą w czasie rzeczywistym korelację zdarzeń oraz zarządzanie zdarzeniami generowanymi przez produkty Check Point oraz produkty firm trzecich. Znany wcześniej jako Event Correlation blade lub Eventia Analyzer SmartEvent Full Package SmartEvent Intro package ► ► Zapewnia scentralizowaną, działającą w czasie rzeczywistym korelację zdarzeń oraz zarządzanie zdarzeniami generowanymi przez pojedynczy produkt Check Point (blade) Zastąpił IPS Event Analysis blade ©2010 Check Point Software Technologies Ltd. | SmartEvent Intro Package [Unrestricted] For everyone | 10 10 Monitoruj tylko to co ważne! Zobacz wszystkie krytyczne zdarzenia Sprawdź źródła i cele ataków Szybko ustal najczęstsze żródła, cele i rodzaje ataków Łatwo monitoruj najczęstsze zdarzenia ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 11 11 Pełna integracja Monitoruj zdarzenia dla IPS, DLP, endpoint’ów i inne ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 12 12 Timelines View Obserwuj trendy i anomalie Pojedynczy obiekt informuje o liczbie, czasie wystąpienia i istotności zdarzenia ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 13 13 Chart View W razie Skonfiguruj jak potrzeby użyj tworzyć wykres ponownie Wykresy słupkowe pokazują jak zdarzenia rożnią się w czasie Analizuj problemy używając różnych rodzajów wykresów Wykresy koliste pokazują rozkład procentowy zdarzeń ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 14 14 Map View Map view pokazuje kraj źródła lub celu Kolor ilustruje aktywność z danego kraju ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 15 15 Map View Używaj filtry z dowolnymi parametrami ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 16 16 Compliance Reporting SOX Compliance Obejrzyj i konfiguruj raporty ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 17 17 Events Window Przypisz Jim jest terazdo administratora Szybko przypisany do sprawdź liczbę obsługi zdarzenia obsługi tego zdarzeń per Możliwość obejrzenia Wpisz tekst by zdarzenia grupa zdarzeń zgodnie z Zdarzenia są wyszukać predefiniowanymi lub zdarzenie teraz własnymi pogrupowane parametrami ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 18 18 Nazwy użytkowników i komputerów Nie tylko IP, ale również nazwa użytkownika i komputera Typ klienta i serwera ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 19 19 Client Information Tool klik Oszczędza czas na weryfikację skutkówPrawy ataku pozwala zdobyć dodatkowe info o kliencie Określenie czy maszyna jest podatna na specyficzny błąd oprogramowania Pokazuje informacje o stacji użytkownika Możliwość analizy ataku wykorzystującego podatność ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 20 20 Szybka dogłębna analiza zdarzeń Od ogółu do szczegółu w trzech kliknięciach 3 klik wyświetla zawartość pakietu 1 klik na symbolu obrazującym zespół zdarzeń 2 klik by wyświetlić zdarzenia na Event View ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 21 21 Szybkie usuwanie podatności Dodawanie ochron z poziomu dziennika zdarzeń Zmień politykę by dodać nowe ochrony Ochrona przed wykorzystaniem podatności jest Łatwo dodasz włączona ochrony dla wykrytych zagrożeń ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 22 22 Geo Protection Możliwośc zablokowania ruchu z całego kraju Trojanland Trojanland Trojanland Trojanland Trojanland Trojanland Trojanland Zablokuj ruch z danego kraju Trojanland używając Geo Protection Ruch z Trojanland jest niepożądany See lots of Suspicious Activity został Trojanland from Hacker Land – właśnie a know source of attacks zablokowany Trojanland Trojanland ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 23 23 Smart-1 SmartEvent Appliances Smart-1 SmartEvent 5 Smart-1 SmartEvent 25 Smart-1 SmartEvent 50 All-in-one Management Appliances ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 24 24 Agenda 1 SmartEvent 2 SmartEvent Intro 3 SmartWorkFlow 4 Podsumowanie ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 25 25 SmartEvent Intro - różnice SmartEvent Intro blade zapewnia scentralizowaną, działającą w czasie rzeczywistym korelację zdarzeń oraz zarządzanie zdarzeniami generowanymi przez pojedynczy produkt Check Point (blade) Pełne właściwości raportujące są częścią SmartReporter blade (który jest częścią full SmartEvent blade) The SmartEvent Intro blade for IPS zapewnia tes same funkcjonalności coIPS Event Analysis blade. ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 26 26 A skoro mowa o IPS... IPS-1 2070 IPS-1 4070 IPS-1 5070 IPS-1 9070 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 27 27 Dedicated vs. Integrated IPS ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 28 28 Agenda 1 SmartEvent 2 SmartEvent Intro 3 SmartWorkFlow 4 Podsumowanie ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 29 29 Zmiany, zmiany, zmiany Potrzeby biznesowe Administratorzy IT Ciągłe żądania zmian dostępu Zapory Sieciowe Ciągłe zmiany polityki Ciągłe zmiany polityki Bezpieczeństwo Zgodność z normami Wydajność Dostepność Częste zmiany polityki prowadzą do pomyłek i obniżenia poziomu bezpieczeństwa ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 30 30 SmartWorkflow Blade Zarządzanie zmianami polityki bezpieczeństwa ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 31 31 SmartWorkflow – cykl działania ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 32 32 Edycja Polityki Wszystkie zmiany są widoczne Changes Highlighted in SmartDashboard Zmiany w polityce sąNowy oznaczone celem lepszej Oznaczona samokontroli zmiana Obiekt ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 33 33 Kontrola zmian polityki Możliwość utworzenia raportu różnicowego Polityka PRZED zmianą Polityka PO zmianie ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 34 34 Zatwierdzenie zmian Widoczne zmiany ułatwiają proces akceptacji and Approve Changes ChangesReview Highlighted in SmartDashboard Zmieniona polityka Dodany obiekt ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 35 35 Śledzenie zmian Śledzenie zmian polityki dlaChanges potrzeb audytu Review and Approve Changes Highlighted in SmartDashboard Proces audytowy Kto? Co? Kiedy? Jak? ©2010 Check Point Software Technologies Ltd. Dlaczego? | [Unrestricted] For everyone | 36 36 SmartWorkflow - Podsumowanie Zarządzanie zmianami polityki bezpieczeństwa Wizualne zarządzanie zmianami Możliwość definiowania ról Śledzenie zmian na potrzeby audytu Element SmartConsole ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 37 37 Agenda 1 SmartEvent 2 SmartEvent Intro 3 SmartWorkFlow 4 Podsumowanie ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 38 38 SmartConsole R71 GoTo: https://sth-se.diino.com/kniero/CPSD2010 ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 39 39 Check Point Software Blades Puste „chassis” jest bezużyteczne ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 40 40 Dziękuję! Emilii Plater 53 00-113 Warszawa, Poland Tel. : +48 509 014 100 Email : [email protected] Web : www.checkpoint.com Krzysztof Nierodka Security Engineer ©2010 Check Point Software Technologies Ltd. | [Unrestricted] For everyone | 41 41