Цели и задачи работы
Принцип работы SIEM систем
Принцип работы SOC
Континент-СОА 4
PT NAD и PT Threat Analyzer
Схема взаимодействия компонентов
Схема информационной системы
Настройка Континент-СОА 4
Настройка PT Threat Analyzer
План реагирования администратора на инцидент
Экономическое обоснование работы
Итог работы
3.92M
Similar presentations:
Positive Technologies Лидер на рынке результативной кибербезопасности
Positive Technologies Лидер на рынке результативной кибербезопасности
Сетевая песочница для экспертной защиты бизнеса
Сетевая песочница для экспертной защиты бизнеса
Системы мониторинга, анализа и учета компьютерных инцидентов
Системы мониторинга, анализа и учета компьютерных инцидентов
Темы проектных практикумов. Осенний семестр 2023. UDV Group
Темы проектных практикумов. Осенний семестр 2023. UDV Group
Технологии SOC и роль SIEM KOMRAD Enterprise SIEM
Технологии SOC и роль SIEM KOMRAD Enterprise SIEM
Создание центра мониторинга информационной безопасности
Создание центра мониторинга информационной безопасности
Основы безопасности информационных технологий
Основы безопасности информационных технологий
Подружить VM и SIEM
Подружить VM и SIEM
Kaspersky Unified Monitoring and Analysis Platform
Kaspersky Unified Monitoring and Analysis Platform
Автоматизация процессов ИТ и ИБ
Автоматизация процессов ИТ и ИБ

Презентация Диплом Каркоха

1.

Государственное бюджетное профессиональное образовательное
учреждение Ростовской области
«Ростовский-на-Дону колледж связи и информатики»
Дипломная работа
«Разработка предложений по применению программноаппаратных средств защиты информации при выявлении и
анализе инцидентов информационной безопасности в
информационной системе»
Выполнил: студент Каркоха Валерий группы ИБТ-43
Руководитель: преподаватель ГБПОУ РО «РКСИ» Трубников А.Н.
г. Ростов-на-Дону
2024г

2. Цели и задачи работы

Цель - «Разработка предложений по применению программноаппаратных средств защиты информации при выявлении и анализе
инцидентов информационной безопасности в информационной
системе»
Задачи:
Изучить ГОСТы, сертификаты ФСТЭК и прочие документы, касающиеся защиты
информации
Изучить принципы работы SIEM систем и SOC
Изучить продукты для выявления и анализа инцидентов
Выбрать и обосновать выбранные программные и программно-аппаратные средства
защиты от компаний «Positive Technologies» и «Код Безопасности», а так же настроить их
Разработать схему взаимодействия компонентов и составить схему ИС
Разработать рекомендации по настройке средств защиты и план реагирования
администратора на инцидент

3. Принцип работы SIEM систем

■ SIEM (Security Information and Event Management) - информация о
безопасности и управление событиями
Основные функции SIEM включают в себя сбор данных из различных
источников, анализ и корреляцию событий, выявление инцидентов и
аномалий, а также предоставление отчетности.

4. Принцип работы SOC

■ SOC (Security Operations Center) - это Центр Оперативного
Управления Безопасностью
Основные функции SOC включают круглосуточный мониторинг
безопасности, оперативное реагирование на инциденты,
управление событиями безопасности и проведение расследований.

5. Континент-СОА 4

на базе IPC-3000FM
Основными критериями при выборе
средства защиты были надежность,
простота интеграции и возможности
масштабирования, отечественный продукт
и его сертификация ФСТЭК.
Имеет массу преимуществ над предыдущей
версией:
• Производительность и масштабируемость
• Более глубокий анализ
• Улучшение пользовательский интерфейс
• Улучшенная система обновлений и
поддержки
• Расширенные возможности мониторинга
и отчетности
Континент-СОА направлен на анализ
инцидентов, но это так же не мешает работать
ему в режиме обнаружения вторжений

6. PT NAD и PT Threat Analyzer

Программные средства защиты
от Positive Technologies
Добавляет уровень глубокой аналитики
вредоносных
объектов и подозрительного поведения в сети. С
его помощью можно
проводить детальный анализ и расследование
инцидентов, что позволяет
быстрее и точнее реагировать на кибератаки.
Этот инструмент предоставил
возможность исследовать каждую угрозу,
определяя ее происхождение, цель и методы
распространения.
PT NAD обеспечивает выявление и
предотвращение сетевых атак,
анализируя трафик в режиме реального
времени. Способно оперативно
идентифицировать подозрительную
активность и блокировать
потенциальные угрозы еще на ранних
стадиях их появления.

7. Схема взаимодействия компонентов

8. Схема информационной системы

9. Настройка Континент-СОА 4

■ Ввод в эксплуатацию:
Для начала необходимо приобрести комплекс защиты на официальном сайте «Код
Безопасности», после чего приобрести лицензию с расширенной поддержкой, далее
произвести инициализацию, установить системное время, создать и выпустить корневой
сертификат, установить Менеджер Конфигурации и подключиться к ЦУС
Настройка:
Необходимо активировать лицензию, перевести устройство в режим
«Детектора атак», задать переменные СОВ, настроить условия
срабатывания правила. Это могут быть различные параметры, такие
как тип трафика, источник и назначение, а также другие
специфические характеристики, далее настроить параметры
профиля, такие как уровень реакции на угрозы и методы
оповещения, настроить автоматическое создание отчётов и
сохранить настройки.

10. Настройка PT Threat Analyzer

■ Установка:
Установить необходимые пакеты для последующей установки, далее установить
Ansible, распаковать архив с установщиком Threat Analyzer, распаковать файл
лицензии который идет в комплекте с установщиком, установить Threat Analyzer и
активировать лицензию через веб-интерфейс.
Настройка:
Зайти в веб-интерфейс, указать основные параметры фильтра, такие как имя и
описание. Затем выбрать тип трафика, который нужно анализировать. Это может
быть входящий или исходящий трафик, а также определенные протоколы. Ввести
IP-адреса или диапазоны IP-адресов, которые должны отслеживаться. Настроить
фильтрацию по портам - указать порты или диапазоны портов, которые должны
анализироваться. Настроить условия политики - определить, какие события или
действия будут активировать политику. Настроить периодичность генерации
отчетов, указать, куда и как они будут отправляться.

11. План реагирования администратора на инцидент

■ При обнаружении инцидента безопасности нужно немедленно
зарегистрировать событие и уведомить команду реагирования на инциденты.
■ Собрать и сохранить все возможные доказательства, связанные с инцидентом,
для последующего анализа.
■ После изоляции инцидента и сбора доказательств нужно провести
первоначальный анализ, чтобы определить природу и масштабы инцидента.
■ После устранения угрозы нужно восстановить нормальную работу всех
затронутых систем.
■ Задокументировать все действия, предпринятые во время инцидента, включая
обнаружение, изоляцию, сбор доказательств, анализ, устранение и
восстановление. Заполнить все необходимые формы и отчеты, чтобы создать
полную запись инцидента.
■ Организовать обучение и тренировки для администраторов и других
сотрудников на основе уроков, извлеченных из инцидента.

12.

13. Экономическое обоснование работы

■ В ходе написания дипломной работы, был проведен
расчёт на разработку предложений по средствам
защиты информации при выявлении и анализе
инцидентов информационной безопасности в
информационной системе составит 11904,13 руб.

14. Итог работы

■ По результатам проведенной работы
были разработаны рекомендации по
средствам защиты информации при
выявлении и анализе инцидентов
информационной безопасности в
информационной системе

15.

Государственное бюджетное профессиональное образовательное
учреждение Ростовской области
«Ростовский-на-Дону колледж связи и информатики»
Дипломная работа
«Разработка предложений по применению программноаппаратных средств защиты информации при выявлении и
анализе инцидентов информационной безопасности в
информационной системе»
Выполнил: студент Каркоха Валерий группы ИБТ-43
Руководитель: преподаватель ГБПОУ РО «РКСИ» Трубников А.Н.
г. Ростов-на-Дону
2024г
English     Русский Rules