Network Behavior Analysis

Patrząc na ofertę producentów SIEM liderów rynku, każdy z nich buduje swoje środowisko z elementu analizy logów oraz analizy ruchu sieciowego.

Jeżeli chcesz zbudować ten element w swojej infrastrukturze, dodaj do środowiska Energylogserver analizę behawioralną ruchu sieciowego.

Flowmon ADS doskonale sprawdzi się w tej roli. Reguły analityczne śledzą ruch sieciowy na bazie protokołów typu Flow lub kopii ruchu automatycznie generując incydenty naruszenia bezpieczeństwa. Reguł ADS jak wiemy jest dużo. Można je podzielić na kilka obszarów:

  • detekcja „błędów” pracy sieci : niewłaściwe wykorzystanie IPv6, przypadkowe broadcasty, nadmiarowy ruch do punktów których już dawno w sieci nie ma,
  • detekcja „zero day” exploits : pojawienie się nowych rodzajów transmisji, nowych adresacji, nowych portów, nowych krajów itp., wszystko to poprzedzone analizą przez algorytmy uczące się charakteru naszej transmisji,
  • detekcja typowego ruchu „niechcianego” : wyzwalanie alarmów w przypadku nowych serwerów w naszej sieci typu: dns, dhcp, mx … pojawienie się p2p, tunelowania, stałych kanałów VPN.

Dane z Flowmon ADS obrazują nie tyle ilość pakietów przesyłanych z A do B, ale zwracają naszą uwagę na tę transmisje, która jest podejrzana w kontekście bezpieczeństwa. Każdy incydent uzyskuje rangę zagrożenia odkładając się na raportach w miejscu o odpowiednim priorytecie.

O wartości tego podejścia chyba nie trzeba nikogo przekonywać.

10

10

Zyskajmy nowy wymiar

Połączmy zatem dynamiczny system bezpieczeństwa ze 100% logów naszych systemów operacyjnych i aplikacji a incydenty Flowmona zyskają dzięki temu nowy wymiar. Bezpieczeństwo sieci zostanie zestawione z działaniem aplikacji.

Czy to da się zrobić ?

Flowmon chętnie przekazuje informacje o zdarzeniach bezpieczeństwa do systemu typu SIEM za pomocą komunikatów CEF wysyłanych syslogiem.

Co zobaczymy w systemie:


Potencjał tej integracji.

Wszystkie pola z analizy Flowmon są dla nas dostępne jako zmienne, co pozwala na wyszukiwanie wszelkich innych śladów działania zainfekowanego adresu IP w naszej infrastrukturze. Wszystko prezentowane jest w zsynchronizowanym czasie, co dodatkowo pozwana na obserwacje trendu i odchyleń.

Czy to wystarczające informacje dla naszego SOC ?

Sprawdźmy jak zareagują na przedstawioną wizualizację.

10

10

Dzięki łatwości z jaką możemy zawężać widoki poprzez wybór pól myszką, integracja nabiera dodatkowych walorów. Pamiętajmy, że w Energylogserver mamy możliwość uruchomienia skorelowanych alarmów. Połączmy zatem zdarzenia z ADS z zachowaniem aplikacji i pozwólmy aby tak wyzwolony alarm został przekazany do działów utrzymania.


Z perspektywy czasu możemy też uruchamiać raporty, które w postaci plików PDF zaprezentują nam tak zsynchronizowane dane.

Gdzie doszliśmy ? Sami musimy to ocenić.

Energylogserver daje nam możliwość pracy w dużej skali centralizacji logów, Flowmon wprowadza w ten statyczny świat podejście dynamicznej oceny bezpieczeństwa ruchu sieciowego. Dodając do tego funkcjonalność alarmową naszego EnergyLogservera aktywnie możemy reagować na wszystko co dzieje się w naszej infrastrukturze IT.

10

Być może nie zbudowaliśmy tym sposobem środowiska SIEM, ale bardzo się do niego zbliżyliśmy.