Платформа SecureX Средство построения и оптимизации процессов обеспечения информационной безопасности
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Платформа SecureX Средство построения и оптимизации процессов обеспечения информационной безопасности Василий Томилин Инженер-консультант Security-request@cisco.com
‣ Обзор SecureX Мы уже ‣ Повышение осведомленности благодаря информационным кое-что панелям SecureX обсуждали… ‣ Упрощение расследований и быстро-быстро благодаря SecureX threat response вспомним ‣ Повышение эффективности процессов благодаря оркестрации SecureX
CISO хотят получить понятный план действий… Действия Успех Будущее простые сразу под защитой …и идти в ногу с бизнесом © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 3
Платформенный подход уверенно решает наиболее неприятные проблемы ИБ Простота Осведомленность Эффективность Интеграция технологий, Снижение времени обнаружения и Ускорение корректирующих действий моментальное обогащение данных расследования угроз и поддержка и автоматизация рабочих процессов знания контекста обеспечения безопасности © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 4
Представляем SecureX Облачное интегрирующее решение в нашем портфолио Ваша Cisco Secure инфраструктура Network Endpoint 3 rd Party/ITSM Intelligence Cloud Applications Identity SIEM/SOAR Полная осведомленность Нейтрали- Оркестрация Ана литика Политики за ция Автоматизация Команды SecOps ITOps NetOps © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 5
SecureX открывает новые возможности для вашей организации Унификация Интеграция представления Максимальная и открытость для для операционная простоты осведом- эффективность ленности «Включен» за 15 минут, Снижение времени в Экономия сотен часов Снижение на 85% практически вы получите больше пользы два раза унификация представлений, времени реагирования в каждый ИБ- для визуализации угроз в автоматизация рабочих на инцидент от имеющихся решений среде процессов и восстановления после продукт Cisco инцидента [1] TechValidate [2] Внутреннее моделирование © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 6
SecureX это полностью облачная платформа безопасности Унификация Интеграция представления для Максимальная и открытость для операционная простоты осведом- эффективность ленности Интеграция Лента (ribbon) Информационные Реагирование на Оркестрация встроенная, помогаtт сохранить панели угрозы drag-drop GUI надстроенная контекст настраиваются так, как вы в ядре платформы без/почти без кода и собственная хотите © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 7
Архитектура SecureX SecureX регистрация с Duo MFA Фреймворк ribbon SecureX Cisco продукты Инф, панель сторонние Метрики Запуск Контекст Реакция Локальный контекст TALOS Информация Триггеры Информация приложения во всех продуктах Релеи / Реакция Threat response Реакция безопасности (унифицированная Cisco открытые API осведомленность) Реакция Реакция Триггеры Триггеры Утверждения/ Оркестрация расписания (пользовательский процесс) © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 8
На что похожа унифицированная видимость Перед: “Мы крутимся на После: “Мы моментально видим стуле, чтобы увидеть как то, что для нас важно” “Мы можем видеть метрики можно больше консолей” ROI и операционные метрики по многим продуктам в Dashboard Integrations Orchestration Administration одной настраиваемой панели управления My a pps a nd NetOps SecOps ITOps Cus tomize i ntegrations “Мы никогда не теряем News MITRE ATT&CK tactics контекст> лента следует за detected нами везде, где бы мы не использовали продукты Ta l os Intel Cisco” Integrations Мы можем попробовать a va ilable другие продукты в один C2 blocked клик перед покупкой” “Наш SOC получает последнюю информацию от самой большой команды исследователей угроз на планете” © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 9
Вход в SecureX Адаптивная упрощенная аутентификация Интеграция Duo Multi-Factor Authentication (MFA) с SecureX аутентификацией означает одно push- уведомление на телефоне и одно нажатие для моментального доступа Просто управлять и приглашать пользователей в вашу организацию © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 10
Новый уровень осведомленности благодаря SecureX • Приложения (слева) Просмотр, запуск или тестирование интегрированных продуктов • Плитки (середина) Представляет метрики и операционные значения интегрированных продуктов • Новости (справа) Обновления продуктов, новости индустрии и блог посты о безопасности Понимание того, что важно с одного взгляда для всей вашей инфраструктуры безопасности © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 11
Добивайтесь своих целей что хотите с настраиваемыми информационными панелями • До 20 панелей на пользователя • Более 60 разноцветных плиток доступны для более 12 семейств продуктов Cisco Secure • Настраивайте плитки по размещению, размеру, времени, масштабу и т.д. © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 12
Лента SecureX (ribbon) SecureX ribbon позволяет переносить наиболее релевантный контекст безопасности и информацию об угрозах между всеми вашими ИБ-продуктами Передавайте информацию для функциональности: сохраняйте все возможности SecureX и интегрированных продуктов при входе в консоль другого продукта Объединяет продукты вместе и обеспечивает унифицированный опыт и широкие возможности по реагированию для всех продуктов Возможности кросс-запуска: переходите в другой продукт прямо из ленты Приложения ribbon: SecureX как посредник, SecureX как поставщик или другие продукты © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 13
Никогда не теряйте контекст с SecureX ribbon Инциденты Найти «наблюдаемое» на странице Кейсбуки Запрос Главная узлов Search Настройки Свернуть/ развернуть © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 14
SecureX ribbon © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 15
SecureX ribbon Приложения, доступные на момент запуска SecureX: Casebook Менеджер инцидентов Поиск Orbital Собирает наблюдения в группы, назначает Простой список инцидентов безопасности на Детализированная видимость свойств кейсу имя и описание, собирает и всех поддерживаемых продуктах, назначение, узла с запросами с знакомом формате SQL сохраняет заметки в кейс, добавляет другие открытие, закрытие и рабочие тикеты, быстрый с интуитивным графическим наблюдения в любое время, немедленно переход в действия расследования и интегрфейсом и каталог преднастроенных видеть вердикты и предпринимать реагирования, автоматизированная запросов для охоты на угрозы и действия, обмениваться кейсами с сортировка сохраняет время и снижает реагирования на инциденты. персоналом. нагрузку … и мы продолжаем разрабатывать приложения © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 16
Как выглядит настоящая простота Перед: 32 минуты После: 5 минут 1. IOC/тревога SecureX threat response интегрирован со всей инфраструктурой безопасности 2. Расследование инцидента в разных консолях Экран продукта Экран продукта Экран продукта Экран продукта 1 2 3 4 Email Опасный Тема домен Целевое устройство SHA - 256 IP 3. Исправление через координацию нескольких команд Экран продукта Экран продукта Экран продукта Product В одной консоли 1 2 3 dashboard 4 Запрос инфо Быстрая Исправление визуализация быстро и телеметрии влияния угрозы в из одного из множества вашей среде интерфейса продуктов © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 17
Ускорение расследований в SecureX SecureX threat response Агрегация и запрос глобальной информации и локального контекста в едином представлении Визуализация влияния угроз во всей среде Возможность немедленного вмешательства для изоляции узлов и блокировки доменов, URL или файлов Автоматизированные процессы с подтверждением для лучшего взаимодействия © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 18
Увидеть и остановить атаки с помощью нескольких кликов мыши SecOps с SecureX threat response Визуализация Запрос влияния угроз Ema il аналитики отправителя в вашей сети вредоносный URL и контекста Сообщение вредоносный Адрес Domain жертвы IP IP Получить Вредоносный 85%: снижение домен SHA-256 Сообщение «наблюдаемые времени на объекты» из реагирование браузера в 1 клик и исправление Целевой Подозрительный URL узел Блоги безопасности Изоляция узлов целевая сеть Целевой SHA-256 Ema il Cisco интерфейсы узел получа теля Блокировка файлов Сторонние интерфейсы Блокировка целевых IP/доменов Или вообще без кликов, с помощью оркестратора/API © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 19
Ключевое приложение платформы SecureX Реагирование Объединяет данных об угрозах, локализованный контекст безопасности и в зависимости от возможности реагирования – скоординированный стек доменов задач безопасности контекста и инфо Снижение Автоматическое обогащение данных расследования из нескольких источников, сложности интуитивно понятное представление Открытая Интеграция с продуктами Cisco Secure и решениями сторонних поставщиков платформа благодаря открытой архитектуре. © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 20
Варианты использования SecureX threat response Охота на угрозы Реагирование на инциденты • Шифровальщиков • Фишинга Защитите вашу • Атак на сервера • Корпоративного шпионажа организацию от • Безфайлового malware • IoT-атак • Криптомайнинга • И прочего ужаса © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 21
Расследуйте с информацией, контекстом и реагированием SecureX threat response Информация Локальный контекст безопасности Реагирование Безопасность Безопасность Облачная Блокировка адресата устройств устройств безопасность Инфо о malware Блокировка файлов Инфо об Internet Безопасность email Межсетевой экран Изоляция хостов VirusTotal и другие Аналитика Веб безопасность (Stealthwatch) Элементы подозрительные или Мы видели эти элементы? Где? Что я могу с этим сделать? вредоносные? Какие узлы подключаются к домену/URL? Наблюдения: 1 ) Хеш файла, 2) IP адрес, 3) Домен, 4) URL, 5) email адрес, и т.д. © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 22
Повышение операционной эффективности Перед: Повторяющиеся Решение: оркестрация После: я объединил 9 задач (3 задачи, исполняемые всего жизненного цикла ИБ-системы, две человеком инфраструктурных и 3 Встроенные или настраиваемые процессы коллектива) в одно нажатие Плейбук Скрипт для автоматизации клавиши! Старый плейбук (почти всегда ALERT работает) Я создал автоматизированный плейбук с помощью интерфейса drag Cisco или не-Cisco ta s k and drop инфраструктура condition ta s k Мы никогда не взаимодействовали tas k ta s k быстрее: наши подтверждения автоматизированы while Скрипт loop интеграции (не работает) Мои 5 наиболее раздражающих ta s k: REMEDIATE задач могут быть автоматизированы © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 23
Представляем оркестрацию SecureX Автоматизация процессов может Расследование Уменьшить время на исследование и Автоматизация Исключайте повторяющиеся задачи и быть проще с новым реагирование с помощью процессов и планов снижайте время реагирования для увеличения производительности и (playbooks), которые выполняются на фокусируйтесь на критических lowcode- скорости компьютера проектах интерфейсом создания рабочих Интеграция Масштабирование процессов Уникальный быстро внедряемый Автоматизация, которая подход для быстрой интеграции масштабируется бесконечно и с другими системами и решениями никогда не отдыхает, предоставляя для расширения набора уникальный SLA круглые сутки инструментов © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 24
SecureX-оркестрация © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 25
Оркестрация SecureX Начало Экосистема интеграции, которая Вызов стандартизована с помощью адаптеров и 1 Target процессов Реакция • Выполняйте процессы с помощью бизнес и технической логики Вызов • Используйте включенные адаптеры и 2 Target активности Реакция … или создавайте свои! ~ Вызов Выгоды: устраняйте повторяющиеся задачи N Target и расширяйте масштаб облачной Реакция оркестрации, упрощайте бизнес процессы и уменьшайте человеческую ошибку Конец © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 26
Оркестрация SecureX Облачная, микросервисная архитектура с дизайном API-first Start • Высокопроизводительная, Вызов масштабируемая и безопасная 1 Target • Переиспользуемая и встраиваемая Реакция Интуитивный drag-drop интерфейс с визуальными процессами Вызов 2 Target Комбинируйте гибкие встроенные Реакция адаптеры для создания новых интеграций ~ Вызов • Автоматизируйте задачи в N Target соответствии с расписанием или Реакция внешними событиями такими как email End © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 27
Рабочий процесс оркестрации SecureX Механизм оркестрации вызывает адаптеры для выполнения активностей на целевых системах, которые возвращают результат и статус, затем начинается следующий шаг процесса. Клиент Ядро оркестрации Адаптер Активность Целевая система Запуск UI REST (НАЧАЛО ;)) оркестрации Вызов API Запуск активности Выполнение на системе 1 Триггеры Результаты Обновление статуса Результаты Время Распи- Email Вызов сания 2 Запуск активности Выполнение на системе … n Обновление статуса Результаты Результаты Результат (КОНЕЦ ;)) Выполнение до последнего оператора Адаптер: Активность: Целевая система: интеграция с целевой системой, REST call, Run terminal, Узел, который выполняет обеспечивает активности для Send email … etc. активность автоматизации задач © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 28
Обзор панели оркестрации SecureX Проверка/сох- Детали ранение/запуск Скомпилированный Адаптер (OoB) 1 Алаптер Atomic (группа активностей) Действие Atomic (активность) “Стопка активностей” отражает действие Atomic 2 Создание Atomic Drag n’ Drop UI Логические операторы (OoB) Теги Drag n’ Drop Переменные © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 29
Охота на угрозы (раньше, без оркестрации) Клиент получает письмо об обновлениях блога. С помощью расширения браузера Threat Response, персонал SOC проводит расследование, получая список артефактов из блога talosintelligence.com и запускает расследование в Threat Response, отправляя письмо с выводами © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 30
С оркестрацией Процесс периодически запускается, опрашивая RSS feed на https://blog.talosintelligence.com . Из наблюдений создаются Threat response casebooks. Если в блоге найден индикатор, который наблюдается в сети, персонал SOC уведомляется через Webex Teams © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 31
С оркестрацией Процесс периодически запускается, опрашивая RSS feed на https://blog.talosintelligence.com . Из наблюдений создаются Threat response casebooks. Если в блоге найден индикатор, который наблюдается в сети, персонал SOC уведомляется через Webex Teams © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 32
С оркестрацией Процесс периодически запускается, опрашивая RSS feed на https://blog.talosintelligence.com . Из наблюдений создаются Threat response casebooks. Если в блоге найден индикатор, который наблюдается в сети, персонал SOC уведомляется через Webex Teams © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 33
Пример процесса SecureX: Изоляция узла с подтверждением 2 уровня Процесс «AMP host isolation with tier 2 approval» берет идентификатор AMP компьютера и запрашивает подтверждение для того, чтобы разрешить изоляцию узла. Если разрешено, изоляция включается. Если нет или время запроса истекло, ничего не происходит. Этот процесс – это пример процесса, который показывает, как подтверждения могут быть использованы в действиях реагирования SecureX Threat Response © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 34
И как дела у платформы?
Каждую неделю мы обслуживаем более 200 000 «воркфлоу» Более 4,4 млн операций!
План Оркестрация «у вас» (orchestration remote) продолжения Другие модификации разговора Новые рабочие процессы Дальнейшие планы
SecureX orchestration remote
SecureX Orchestration Remote • Компактное виртуальное устройство, развертываемое у заказчика • Трансляция запросов из облака локальным получателям: - МСЭ - ESA - Identity Services Engine - And so on… • Подготовлены новые рабочие процессы • Пока только HTTP «целевые ресурсы» © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 39
До Orchestration Remote Объект заказчика Облако SecureX МСЭ Identity Services Engine X (или другой продукт) © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 40
Теперь с Orchestration Remote Объект заказчика Облако SecureX МСЭ Remote Identity Services Engine (или другой продукт) © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 41
Действия по развертыванию • Создать новый объект «remote» оркестратора SecureX • Загрузить конфигурацию «remote» • Загрузить OVA • Развернуть OVA на VMware ESXi • Дождаться установления связи между «remote» и облаком SecureX • Настроить целевые ресурсы, использующие данный «remote» © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 42
Но где же это? © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 43
Но где же это? © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 44
• Cisco Identity Services Engine - Карантин узла - Вывод узла из карантина И какие же рабочие - Добавление узла в группу процессы теперь - Удаление узла из группы возможны? • Cisco Secure Firewall - Обновление динамического объекта ресурсов Microsoft © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 45
«Атомики» • Cisco Identity Services Engine - ERS - ANC Policy - Clear from Endpoint - ERS - ANC Policy - Get by Name - ERS - Endpoint - Create Endpoint - ERS - Endpoint - Get by ID - ERS - Endpoint - Search - ERS - Endpoint - Update Identity Group - ERS - Endpoint - Update Profiler Policy - ERS - Endpoint Identity Group - Get by Name - ERS - Profiler Policy - Get by Name © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 46
«Атомики» • Cisco Secure Firewall - Create Dynamic Object Group - Get Access Token - Get Dynamic Object Group Mappings - Update Dynamic Object Group Mappings © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 47
«Атомики» • Palo Alto Panorama - Add Address Object to Address Group - Search Address Object by Value - Add URL to Custom URL Category - Update Security Policy Pre-Rule - Create Address Group - Create Address Object - Create Custom URL Category - Create Security Policy Pre-Rule - Get Address Groups - Get Custom URL Categories - Get Security Policy Pre-Rules © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 48
«Атомики» • Fortinet FortiGate - Add Address to Address Group - Get Web Filter by Name - Add URL Filter to Web Filter - Move Policy to Top of Policy List - Add URL to URL Filter - Search for Address by Value - Create Address Group - Update Firewall Policy - Create Address - Create Firewall Policy - Create URL Filter - Create Web Filter Profile - Get Policy by Name © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 49
Недавние изменения
Сентябрь 2021 г. • Оптимизация структуры БД - Ускорение настройки новых пользователей - Подготовка к расширению функционала • Хранение результатов запусков рабочих процессов в течение 90 дней - Раньше мы хранили «вечно» • Введение «системных объектов» - Все элементарные процессы («атомики») Cisco объявлены системными объектами © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 51
Системные объекты Импорт по Постоянное Доступны умолчанию обновление всем © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 52
Новые рабочие процессы
Новые рабочие процессы • Cisco Identity Services Engine - Quarantine Endpoint (#27) - Un-Quarantine Endpoint (#28) - Add Endpoint to Identity Group (#29) - Remove Endpoint from Identity Group (#30) • Cisco Secure Network Analytics - Isolate Endpoints and Block Hashes from Alarms (#32) - Block External Threats with Umbrella (#33) - Generate Casebook with Top Hosts and Peers (#34) © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 54
Новые рабочие процессы • Cisco Secure Firewall - Microsoft Online Dynamic Object Update (#31) • Microsoft Graph/Azure AD - Get Blocked Sign-Ins (#35) - Get New Users (#36) • Cisco Umbrella - Search DNS Activity by Category (#37) - Top 10 Blocked Identities to ServiceNow (#41) © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 55
Новые рабочие процессы • Tufin - IPS Alert Enrichment (#38) - Request Threat Containment (#39) - Request Server Decommission (#40) • Cohesity Helios - Restore Anomalous Object (#42) - Ransomware Alerts to SecureX (#43) - Ransomware Alerts to SecureX and ServiceNow (#44) - Ignore Anomalous Object (#45) © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 56
А что ещё нового в планах?
SecureX device insights обеспечивает осведомленность об устройствах в организации для сокращения поверхности возможной атаки © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 58
Вопросы, ответы на которые поможет дать Device Insights • Каковы типы устройств, подключающихся к нашей инфраструктуре? • Какие пользователи взаимодействуют с устройствами? • Где находятся устройства? • Уязвимы ли эти устройства? • Какое ПО для обеспечения безопасности установлено? © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 59
Заказчики все равно это делают … • С помощью своих средств: - Скрипты - Самописные приложения - Excel-файлы и сводные таблицы • Собирают сведения об устройстве из разных источников • Источников много, главное не запутаться © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 60
SecureX Device Insights* Device Insights – средство консолидации сведений об устройствах, а также платформа для обнаружения, нормализации и ведения реестра устройств. В Device Insights данные из разрозненных MDM-, EDR-, AV- и прочих ИБ-продуктов сводятся в единое представление. Затем SxDI позволяет использовать консолидированную информацию в SecureX. * - Пока что идёт закрытое бета-тестирование. Если Вам очень хочется, напишите на security-request@cisco.com, и мы _попробуем_ вам помочь. © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 61
Device Insights: расследование/сбор данных Гибкий поиск • Без учета регистра • Возможность сохранения типовых «поисков» • Пример поиска: - Версия ОС - IP-адрес - Имя пользователя - Имя хоста © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 62
Обогащенное консолидированное представление устройства Данные из разных источников MDM • Meraki и сторонние ИБ-продукты • Cisco Secure Endpoint (AMP) • Orbital • Umbrella • DUO © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 63
Ценные сведения об оконечном устройстве Пользователи • Где проявлялось устройство • IP-адреса - Локальные и глобальные Mac-адрес Уязвимости Статус Windows Security Center из Orbital © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 64
Посмотрим на Windows Security Center • МСЭ включен. • Автообновление включено • Антивирус включен • «Антишпион» включен • UAC отключен Зарегистрированные ИБ-продукты • MS Firewall – активен, обновлен • Microsoft Defender AV – отключен, обновлен • Cisco Secure Endpoints (AMP) – включен, обновлен • Cisco Secure Endpoint (AMP) сообщает о критически важной уязвимости в Firefox © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 65
Cisco Secure Endpoint (AMP) • Статус - Cisco Secure Endpoint установлен - Устройство не изолировано - Orbital включен - Устройство скомпрометировано • Можно перейти в консоль Cisco Secure Endpoint (AMP), щелкнув по ссылке Connector GUID. • Сведения о компрометации • Раздел «источники»: - Cisco Secure Endpoint (AMP) • Сведения о политике и группе, а также о дате последней активности © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 66
Дополнительные источники (список не закрытый) Для конкретного устройства • Umbrella: используется AnyConnect, назначена политика High Security. Также представлена последняя дата регистрации активности. Администратор может перейти в консоль Umbrella. • Orbital: данные о пользователях и активности. • Meraki: является MDM/EMM, управляющим этим устройством. Активность, пользователи, метки. • DUO: шифрование диска включено, МСЭ включен, приложение Duo health запущено, пароль задан. Устройство не является доверенным. © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 67
Выбор полей, порядок столбцов © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 68
Экспорт таблицы в CSV • Таблицу можно экспортировать в CSV - Выбранные поля - В заданном порядке © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 69
Пользователи и администраторы Серая ссылка на добавление • Система SecureX (“Iroh-Auth”) - Администраторы (полный доступ) - Пользователи НЕ могут • добавлять/удалять/изменять источники • синхронизировать источники • изменять webhook-и Синхронизация © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. не пройдёт! 70
Статистика по источникам Device Insights Основное Синхронизация по запросу Регистрация времени, необходимого для регистрации количества записей. Чем выше столбик, тем больше синхронизировано за меньшее время. «Здоровье» = стабильность источника Sync Data Over Time – статистика по количеству измененных объектов. В полях «Records synchronized» указан объем последней синхронизации. © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 71
SecureX Device Insights – резюме Основная идея: создать справочник («Active Directory»? ;)) по оконечным устройствам, собирая данные о ресурсах из различных источников и используя развитую логику сопоставления данных из разных источников. • Device Insights поддерживает продукты Cisco для защиты устройств. • Также поддерживаются популярные MDM • Упрощенный интерфейс позволяет быстро проводить расследования • Данные, сагрегированные из различных источников, могут использоваться и другими продуктами/решениями © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 72
Простой поиск Пример Show Me: • Устройства Windows - Operating System = Windows • Устройства с MAC OSX - Operating System = macOS • Без Orbital - Фильтр «Must Exclude» • И не «Demo» - Boolean Operator = NOT © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 73
Поддержка логических операторов (AND, OR, NOT) Простой поиск © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 74
Расширенный поиск • Язык запросов* - Как правило, с API hostname:"atw" AND osType:windows - Но доступен и в UI - То же поле ввода • Примеры - Поиск внешнего IP: externalIpAddresses.keyword:"128.107.78.80" - Поиск GUID для AMP4E: ampConnectorGUID:"3d0ff79f-0190-4271-a791- 2b7a55246c14" * UI дорабатывается © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 75
Расширенный поиск Пример 1: avDefinitionsOutOfDate:true OR isCompromised:true © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 76
Расширенный поиск Пример 2: (avDefinitionsOutOfDate:true OR isCompromised:true) AND NOT hostname:Demo* © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 77
Расширенный поиск Пример 3: (avDefinitionsOutOfDate:true OR isCompromised:true OR hasFaults:true) AND NOT hostname:Demo* © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 78
Сохранение поиска © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 79
Сохранение поиска Расширенный поиск тоже можно сохранить! • При сохранении мы запишем строку запроса © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 80
Переход к источнику (если доступен) Переход в AMP на страницу Device Trajectory © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 81
Пользователи устройства С какими ещё устройствами работал пользователь? © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 82
Интеграция с SecureX Ribbon (замыкаем круг) • Благодаря SecureX Ribbon доступны операции изоляции, запуска рабочих процессов и многое другое. © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 83
Ждём: интеграция с Threat Response © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 84
Ждём: интеграция с Threat Response © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 85
Поддерживаемые источники Duo Access Secure Endpoint Umbrella (DNS) (1 очередь) Duo Beyond Только Win / macOS Поддержка решений Cisco • и сторонних решений M O - Список источников будет Meraki SM Secure Client Orbital расширяться Сторонние MDM - С чего-то надо начинать - Типы источников: • Device Managers • EDR Microsoft InTune Mobile Iron Airwatch • Zero Trust Access Control © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 86 CSV пользователя Jamf Pro
Ресурсы • Документация - https://cs.co/SXO_docs • Видеоролики - https://cs.co/SXO_videos • GitHub - https://cs.co/SXO_repo • DevNet - https://developer.cisco.com/securex www.cisco.com/go/securex © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 87
Хорошо, убедили… что делать? • Создать учетную запись SecureX в • Начните знакомство со SecureX _правильном_ регионе Threat Response и оркестратором • Подключить те продукты, которые • Попробуйте Workflow - сперва сочтете возможными, для проверки готовые визуализации • Попробуйте создать свой Workflow • Добавьте 10 бесплатных источников TI (Adding 10 Free Threat Intelligence Sources in Under 3 Minutes!) • Пишите на security- request@cisco.com, если что-то не получается © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 88
СПАСИБО! © Cisco и(или) дочерние организа ции, 2021. С сохранением всех прав. Общедоступная информация Cisco. 89
Вы также можете почитать