SlideShare una empresa de Scribd logo

MaxPatrol Cisco Mars Intergration

Q
qqlan

MaxPatrol Cisco Mars Intergration

Tecnología
1 de 16
Descargar para leer sin conexión
Интеграция системы контроля защищенности MaxPatrol с Cisco MARS Сергей Гордейчик Positive Technologies
О чем пойдет речь? Зачем интегрировать Cisco MARS и системы контроля защищенности? Почему это непросто? Как обойти «подводные камни» интеграции? Пример решения
Что такое Cisco MARS? Система сбора и анализа событий безопасности Борьба с бесконечными журналами безопасности • Применимость данного типа атаки к конкретному узлу; • Оценка ущерба от атаки; • Просмотр распространения атаки в режиме реального времени; • Идентификация источников распространения атаки; • Механизм реагирования на атаки через единый централизованный комплекс.
Что такое MaxPatrol?
Что такое MaxPatrol? Сетевая топология Инвентаризация узлов (ОС, открытые порты, приложения) Уязвимости узлов и систем
Что такое MaxPatrol?
Что такое MaxPatrol?
Что такое MaxPatrol?
Зачем интегрировать Cisco MARS и MaxPatrol? Получение данных по топологии сети Анализ актуальных уязвимостей в консоли MARS Корреляция событий с учетом типа операционных систем Анализ атак с учетом наличия уязвимостей Автоматическое изменение степени риска и приоритетов событий
Подход к интеграции CS MARS Начиная с CS-MARS 6.0.1 анонсирована поддержка Device Support Framework  Расширение набора типов событий (device event type, DET), методов парсинга  Переопределение методов парсинга  Использование готовых DET и методов парсинга  Импорт и экспорт готовых правил парсинга, отчетов, событий и т.д. в качестве одного парсинга Устройства типа Vulnerability assessment (VA) не поддерживаются в рамках DSF!
Подход к интеграции CS MARS В рамках CS MARS существую готовые адаптеры для систем VA  Доступ к базе данных системы VA  Получение XML-отчетов через Web Был выбран подход с использованием готовых XML-отчетов. В рамках этой задачи: • Сформировать отчеты согласно XML-схеме • Связать типы событий готовых VA (уязвимостей, топологической информации) и событий MaxPatrol • Опубликовать готовые отчеты на Web-сервере
Подход к интеграции CS MARS Подготовка отчетов  Схема XML-документов открыта  Два типа документов: – информация о сканированиях (список узлов) – детальная информация по сканированию (ОС, открытые порты, список уязвимостей) Связь типов событий • Составлена таблица соответствия идентификаторов CVE и внутренних идентификаторов VA • Подготовлен XSLT для преобразований Публикация • IIS + SSL + ASP
Результаты – настройки MaxPatrol
Результаты – Cisco MARS
Резюме Системы контроля защищенности VA являются отдельным типом устройств в Cisco MARS (и в других системах корреляции событий) MARS не позволяет расширять типы VA-систем штатными методами Возможно использование готовых адаптеров, путем адаптации системы под требуемую отчетность
Спасибо за внимание! Сергей Гордейчик http://sgordey.blogspot.com gordey@ptsecurity.ru

Recomendados

Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...qqlan
 
Denis Baranov: Root via XSS
Denis Baranov: Root via XSSDenis Baranov: Root via XSS
Denis Baranov: Root via XSSqqlan
 
How to hack a telecom and stay alive
How to hack a telecom and stay aliveHow to hack a telecom and stay alive
How to hack a telecom and stay aliveqqlan
 
SCADA deep inside:protocols and software architecture
SCADA deep inside:protocols and software architectureSCADA deep inside:protocols and software architecture
SCADA deep inside:protocols and software architectureqqlan
 
Black Hat: XML Out-Of-Band Data Retrieval
Black Hat: XML Out-Of-Band Data RetrievalBlack Hat: XML Out-Of-Band Data Retrieval
Black Hat: XML Out-Of-Band Data Retrievalqqlan
 
Database honeypot by design
Database honeypot by designDatabase honeypot by design
Database honeypot by designqqlan
 
D1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via smsD1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via smsqqlan
 

Recomendados

Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...qqlan
 
Denis Baranov: Root via XSS
Denis Baranov: Root via XSSDenis Baranov: Root via XSS
Denis Baranov: Root via XSSqqlan
 
How to hack a telecom and stay alive
How to hack a telecom and stay aliveHow to hack a telecom and stay alive
How to hack a telecom and stay aliveqqlan
 
SCADA deep inside:protocols and software architecture
SCADA deep inside:protocols and software architectureSCADA deep inside:protocols and software architecture
SCADA deep inside:protocols and software architectureqqlan
 
Black Hat: XML Out-Of-Band Data Retrieval
Black Hat: XML Out-Of-Band Data RetrievalBlack Hat: XML Out-Of-Band Data Retrieval
Black Hat: XML Out-Of-Band Data Retrievalqqlan
 
Database honeypot by design
Database honeypot by designDatabase honeypot by design
Database honeypot by designqqlan
 
D1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via smsD1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via smsqqlan
 
Безопасность и виртуализация в центрах обработки данных (часть 1)
Безопасность и виртуализация в центрах обработки данных (часть 1)Безопасность и виртуализация в центрах обработки данных (часть 1)
Безопасность и виртуализация в центрах обработки данных (часть 1)Cisco Russia
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствTeymur Kheirkhabarov
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиCisco Russia
 
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...Компания УЦСБ
 
Управление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureУправление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureCisco Russia
 
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Cisco Russia
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdftrenders
 
Cisco Content Security FAQ.
Cisco Content Security FAQ.Cisco Content Security FAQ.
Cisco Content Security FAQ.Cisco Russia
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication SystemsSSA KPI
 
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Expolink
 
Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Cisco Russia
 
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...Лаборатория Касперского
 
Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПАльбина Минуллина
 
Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атакЗащита от современных и целенаправленных атак
Защита от современных и целенаправленных атакCisco Russia
 
IT-инфраструктура
IT-инфраструктураIT-инфраструктура
IT-инфраструктураSoftline
 
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...Expolink
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACIРазвитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACICisco Russia
 
Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007atamur
 
I.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUI.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUguestc6d031
 
Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the CloudKaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloudqqlan
 
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПМиссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПqqlan
 

Más contenido relacionado

Similar a MaxPatrol Cisco Mars Intergration

Безопасность и виртуализация в центрах обработки данных (часть 1)
Безопасность и виртуализация в центрах обработки данных (часть 1)Безопасность и виртуализация в центрах обработки данных (часть 1)
Безопасность и виртуализация в центрах обработки данных (часть 1)Cisco Russia
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствTeymur Kheirkhabarov
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиCisco Russia
 
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...Компания УЦСБ
 
Управление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureУправление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureCisco Russia
 
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Cisco Russia
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdftrenders
 
Cisco Content Security FAQ.
Cisco Content Security FAQ.Cisco Content Security FAQ.
Cisco Content Security FAQ.Cisco Russia
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication SystemsSSA KPI
 
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Expolink
 
Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Cisco Russia
 
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...Лаборатория Касперского
 
Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атакЗащита от современных и целенаправленных атак
Защита от современных и целенаправленных атакCisco Russia
 
IT-инфраструктура
IT-инфраструктураIT-инфраструктура
IT-инфраструктураSoftline
 
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...Expolink
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACIРазвитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACICisco Russia
 
Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007atamur
 
I.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUI.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUguestc6d031
 

Similar a MaxPatrol Cisco Mars Intergration (20)

Безопасность и виртуализация в центрах обработки данных (часть 1)
Безопасность и виртуализация в центрах обработки данных (часть 1)Безопасность и виртуализация в центрах обработки данных (часть 1)
Безопасность и виртуализация в центрах обработки данных (часть 1)
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройств
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
 
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
 
Управление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureУправление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime Infrastructure
 
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
Использование Cisco Prime Infrastructure для мониторинга, управления и оптими...
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdf
 
Cisco Content Security FAQ.
Cisco Content Security FAQ.Cisco Content Security FAQ.
Cisco Content Security FAQ.
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication Systems
 
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
 
Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18Новости Cisco по информационной безопасности. Выпуск 18
Новости Cisco по информационной безопасности. Выпуск 18
 
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...
Будущее для безопасности интернета вещей и встраиваемых систем: Kaspersky Ope...
 
Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТП
 
Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атакЗащита от современных и целенаправленных атак
Защита от современных и целенаправленных атак
 
IT-инфраструктура
IT-инфраструктураIT-инфраструктура
IT-инфраструктура
 
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACIРазвитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
 
Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007
 
I.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUI.Kukalo - "Creating UTM System" on Microsoft congference in TPU
I.Kukalo - "Creating UTM System" on Microsoft congference in TPU
 

Más de qqlan

Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the CloudKaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloudqqlan
 
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПМиссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПqqlan
 
Best of Positive Research 2013
Best of Positive Research 2013Best of Positive Research 2013
Best of Positive Research 2013qqlan
 
Web-style Wireless IDS attacks, Sergey Gordeychik
Web-style Wireless IDS attacks, Sergey GordeychikWeb-style Wireless IDS attacks, Sergey Gordeychik
Web-style Wireless IDS attacks, Sergey Gordeychikqqlan
 
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...qqlan
 
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]qqlan
 
Pt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещениеPt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещениеqqlan
 
SCADA StrangeLove Kaspersky SAS 2014 - LHC
SCADA StrangeLove Kaspersky SAS 2014 - LHCSCADA StrangeLove Kaspersky SAS 2014 - LHC
SCADA StrangeLove Kaspersky SAS 2014 - LHCqqlan
 
Firebird Interbase Database engine hacks or rtfm
Firebird Interbase Database engine hacks or rtfmFirebird Interbase Database engine hacks or rtfm
Firebird Interbase Database engine hacks or rtfmqqlan
 
SCADA StrangeLove 2: We already know
SCADA StrangeLove 2: We already knowSCADA StrangeLove 2: We already know
SCADA StrangeLove 2: We already knowqqlan
 
Internet connected ICS/SCADA/PLC
Internet connected ICS/SCADA/PLCInternet connected ICS/SCADA/PLC
Internet connected ICS/SCADA/PLCqqlan
 
Techniques of attacking ICS systems
Techniques of attacking ICS systems Techniques of attacking ICS systems
Techniques of attacking ICS systems qqlan
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspectorqqlan
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspectorqqlan
 
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2qqlan
 
Positive Technologies - S4 - Scada under x-rays
Positive Technologies - S4 - Scada under x-raysPositive Technologies - S4 - Scada under x-rays
Positive Technologies - S4 - Scada under x-raysqqlan
 
PT - Siemens WinCC Flexible Security Hardening Guide
PT - Siemens WinCC Flexible Security Hardening GuidePT - Siemens WinCC Flexible Security Hardening Guide
PT - Siemens WinCC Flexible Security Hardening Guideqqlan
 
Scada Strangelove - 29c3
Scada Strangelove - 29c3Scada Strangelove - 29c3
Scada Strangelove - 29c3qqlan
 
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet
ICS/SCADA/PLC Google/Shodanhq Cheat SheetICS/SCADA/PLC Google/Shodanhq Cheat Sheet
ICS/SCADA/PLC Google/Shodanhq Cheat Sheetqqlan
 
Positive Technologies WinCC Security Hardening Guide
Positive Technologies WinCC Security Hardening GuidePositive Technologies WinCC Security Hardening Guide
Positive Technologies WinCC Security Hardening Guideqqlan
 

Más de qqlan (20)

Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the CloudKaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloud
 
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПМиссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТП
 
Best of Positive Research 2013
Best of Positive Research 2013Best of Positive Research 2013
Best of Positive Research 2013
 
Web-style Wireless IDS attacks, Sergey Gordeychik
Web-style Wireless IDS attacks, Sergey GordeychikWeb-style Wireless IDS attacks, Sergey Gordeychik
Web-style Wireless IDS attacks, Sergey Gordeychik
 
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...
 
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]
 
Pt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещениеPt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещение
 
SCADA StrangeLove Kaspersky SAS 2014 - LHC
SCADA StrangeLove Kaspersky SAS 2014 - LHCSCADA StrangeLove Kaspersky SAS 2014 - LHC
SCADA StrangeLove Kaspersky SAS 2014 - LHC
 
Firebird Interbase Database engine hacks or rtfm
Firebird Interbase Database engine hacks or rtfmFirebird Interbase Database engine hacks or rtfm
Firebird Interbase Database engine hacks or rtfm
 
SCADA StrangeLove 2: We already know
SCADA StrangeLove 2: We already knowSCADA StrangeLove 2: We already know
SCADA StrangeLove 2: We already know
 
Internet connected ICS/SCADA/PLC
Internet connected ICS/SCADA/PLCInternet connected ICS/SCADA/PLC
Internet connected ICS/SCADA/PLC
 
Techniques of attacking ICS systems
Techniques of attacking ICS systems Techniques of attacking ICS systems
Techniques of attacking ICS systems
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspector
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspector
 
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
 
Positive Technologies - S4 - Scada under x-rays
Positive Technologies - S4 - Scada under x-raysPositive Technologies - S4 - Scada under x-rays
Positive Technologies - S4 - Scada under x-rays
 
PT - Siemens WinCC Flexible Security Hardening Guide
PT - Siemens WinCC Flexible Security Hardening GuidePT - Siemens WinCC Flexible Security Hardening Guide
PT - Siemens WinCC Flexible Security Hardening Guide
 
Scada Strangelove - 29c3
Scada Strangelove - 29c3Scada Strangelove - 29c3
Scada Strangelove - 29c3
 
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet
ICS/SCADA/PLC Google/Shodanhq Cheat SheetICS/SCADA/PLC Google/Shodanhq Cheat Sheet
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet
 
Positive Technologies WinCC Security Hardening Guide
Positive Technologies WinCC Security Hardening GuidePositive Technologies WinCC Security Hardening Guide
Positive Technologies WinCC Security Hardening Guide
 

Último

ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...Ирония безопасности
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Ирония безопасности
 

Último (9)

MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 

MaxPatrol Cisco Mars Intergration

  • 1. Интеграция системы контроля защищенности MaxPatrol с Cisco MARS Сергей Гордейчик Positive Technologies
  • 2. О чем пойдет речь? Зачем интегрировать Cisco MARS и системы контроля защищенности? Почему это непросто? Как обойти «подводные камни» интеграции? Пример решения
  • 3. Что такое Cisco MARS? Система сбора и анализа событий безопасности Борьба с бесконечными журналами безопасности • Применимость данного типа атаки к конкретному узлу; • Оценка ущерба от атаки; • Просмотр распространения атаки в режиме реального времени; • Идентификация источников распространения атаки; • Механизм реагирования на атаки через единый централизованный комплекс.
  • 5. Что такое MaxPatrol? Сетевая топология Инвентаризация узлов (ОС, открытые порты, приложения) Уязвимости узлов и систем
  • 9. Зачем интегрировать Cisco MARS и MaxPatrol? Получение данных по топологии сети Анализ актуальных уязвимостей в консоли MARS Корреляция событий с учетом типа операционных систем Анализ атак с учетом наличия уязвимостей Автоматическое изменение степени риска и приоритетов событий
  • 10. Подход к интеграции CS MARS Начиная с CS-MARS 6.0.1 анонсирована поддержка Device Support Framework  Расширение набора типов событий (device event type, DET), методов парсинга  Переопределение методов парсинга  Использование готовых DET и методов парсинга  Импорт и экспорт готовых правил парсинга, отчетов, событий и т.д. в качестве одного парсинга Устройства типа Vulnerability assessment (VA) не поддерживаются в рамках DSF!
  • 11. Подход к интеграции CS MARS В рамках CS MARS существую готовые адаптеры для систем VA  Доступ к базе данных системы VA  Получение XML-отчетов через Web Был выбран подход с использованием готовых XML-отчетов. В рамках этой задачи: • Сформировать отчеты согласно XML-схеме • Связать типы событий готовых VA (уязвимостей, топологической информации) и событий MaxPatrol • Опубликовать готовые отчеты на Web-сервере
  • 12. Подход к интеграции CS MARS Подготовка отчетов  Схема XML-документов открыта  Два типа документов: – информация о сканированиях (список узлов) – детальная информация по сканированию (ОС, открытые порты, список уязвимостей) Связь типов событий • Составлена таблица соответствия идентификаторов CVE и внутренних идентификаторов VA • Подготовлен XSLT для преобразований Публикация • IIS + SSL + ASP
  • 15. Резюме Системы контроля защищенности VA являются отдельным типом устройств в Cisco MARS (и в других системах корреляции событий) MARS не позволяет расширять типы VA-систем штатными методами Возможно использование готовых адаптеров, путем адаптации системы под требуемую отчетность
  • 16. Спасибо за внимание! Сергей Гордейчик http://sgordey.blogspot.com gordey@ptsecurity.ru