🤙🏾 🗝️ 👩🏼‍🔬 تكامل حلول مراقبة Netflow و SIEM 👨🏼‍⚕️ 🕜 🍌

أصبحت SIEMs منذ فترة طويلة معيارًا فعليًا في تحليل الأحداث الأمنية واكتشاف الحوادث (على الرغم من وجود بعض التحرك نحو التخلي عن SIEM واستبدالها بحلول لإدارة السجلات باستخدام وظيفة إضافية من تقنيات التعلم الآلي) ، ولكن فعالية هذا الحل تعتمد على ما مصادر البيانات التي تعمل معها. ومع ذلك ، عادةً ما يعمل متخصصو SIEM في المقام الأول مع السجلات ، تاركين جانبًا مصدرًا مهمًا للمعلومات مثل Netflow ، والذي يسمح لك بمشاهدة شيء لا يدخل إلى السجلات أو يحصل ، ولكن متأخرًا جدًا. هذا يثير عددا من الأسئلة. لماذا يحتاج حل SIEM الحديث إلى دعم Netflow؟ ما الذي يمكن لـ SIEM الحصول عليه من تحليل Netflow؟ أي خيار لدمج SIEM مع Netflow إذا كان هناك مصنعون ،الذين قاموا بتضمين دعم Netflow مباشرة في حلولهم ، وهناك أولئك الذين يفضلون العمل مع العديد من جامعي Netflow. ما هي ميزات العمل مع SIEM Netflow؟ سنتحدث عن هذا.

Netflow للكشف عن التهديدات

في مقال سابقلقد وصفت بالفعل إمكانيات استخدام Netflow للأمن السيبراني. دعني أذكرك أنه بخلاف سجلات معدات الشبكة أو حركة المرور الأولية ، فإن Netflow هو بروتوكول يسمح لك بتحليل حركة المرور بواسطة البيانات الوصفية التي تم جمعها من جلسات الشبكة. هذه ليست فقط العناوين ومنافذ الوجهة والمصدر ، ولكن أيضًا أنواع الرسائل والرموز لـ ICMP ، وأنواع خدمات IP ، ونوع بروتوكول IP ، وواجهات الشبكة ، ومدة الجلسة ، وأوقات البدء والانتهاء ، وما إلى ذلك. إذا تم إنشاء السجلات عادة على الأجهزة الطرفية (على سبيل المثال ، الخوادم ومحطات العمل و DBMS) أو وسائل الحماية ، فماذا تفعل في موقف لا يؤدي السابق إلى إنشاء أحداث أمنية أو لا يمكنك وضع وسائل أمنية عليها ،والأخيرة مثبتة فقط على المحيط ولا ترى ما يحدث داخل شبكة الشركة أو القسم؟ شيء آخر هو معدات الشبكة - المفاتيح وأجهزة التوجيه (الأجهزة أو الظاهرية) ونقاط الوصول اللاسلكية ووحدات التحكم. يتم تثبيتها في الداخل ودائما ما يمر تفاعل المستخدمين والأجهزة والتطبيقات من خلالها. من المستحيل تمريرها! من خلال نقل البيانات حول هذا التفاعل إلى Netflow (حتى تنشئه Cisco ASA أو Firepower) ، نحصل على مصدر قيم للمعلومات ليس فقط لتكنولوجيا المعلومات ، ولكن أيضًا للأمن السيبراني. عندما لا تفهم المعدات بروتوكول التدفق ، يمكننا استخدام المصدرين الخاصين أو حلول البرامج أو الأجهزة التي تنشئ سجلات دفق لحركة المرور التي تمر عبرها (مع Cisco أو Netflow Generation Appliance أوالتي تولد سجلات دفق لحركة المرور التي تمر عبرها (مع Cisco أو Netflow Generation Appliance أوالتي تولد سجلات دفق لحركة المرور التي تمر عبرها (مع Cisco أو Netflow Generation Appliance أونقاط الوصول اللاسلكية وأجهزة التحكم. يتم تثبيتها في الداخل ودائما ما يمر تفاعل المستخدمين والأجهزة والتطبيقات من خلالها. من المستحيل تمريرها! من خلال نقل البيانات حول هذا التفاعل إلى Netflow (حتى تنشئه Cisco ASA أو Firepower) ، نحصل على مصدر قيم للمعلومات ليس فقط لتكنولوجيا المعلومات ، ولكن أيضًا للأمن السيبراني. عندما لا تفهم المعدات بروتوكول التدفق ، يمكننا استخدام المصدرين الخاصين أو حلول البرامج أو الأجهزة التي تنشئ سجلات دفق لحركة المرور التي تمر عبرها (مع Cisco أو Netflow Generation Appliance أونقاط الوصول اللاسلكية وأجهزة التحكم. يتم تثبيتها في الداخل ودائما ما يمر تفاعل المستخدمين والأجهزة والتطبيقات من خلالها. من المستحيل تمريرها! من خلال نقل البيانات حول هذا التفاعل إلى Netflow (حتى تنشئه Cisco ASA أو Firepower) ، نحصل على مصدر قيم للمعلومات ليس فقط لتكنولوجيا المعلومات ، ولكن أيضًا للأمن السيبراني. عندما لا تفهم المعدات بروتوكول التدفق ، يمكننا استخدام المصدرين الخاصين أو حلول البرامج أو الأجهزة التي تنشئ سجلات دفق لحركة المرور التي تمر عبرها (مع Cisco أو Netflow Generation Appliance أومن خلال نقل البيانات حول هذا التفاعل إلى Netflow (حتى تنشئه Cisco ASA أو Firepower) ، نحصل على مصدر قيم للمعلومات ليس فقط لتكنولوجيا المعلومات ، ولكن أيضًا للأمن السيبراني. عندما لا تفهم المعدات بروتوكول التدفق ، يمكننا استخدام المصدرين الخاصين أو حلول البرامج أو الأجهزة التي تنشئ سجلات دفق لحركة المرور التي تمر عبرها (مع Cisco أو Netflow Generation Appliance أومن خلال نقل البيانات حول هذا التفاعل إلى Netflow (حتى تنشئه Cisco ASA أو Firepower) ، نحصل على مصدر قيم للمعلومات ليس فقط لتكنولوجيا المعلومات ، ولكن أيضًا للأمن السيبراني. عندما لا تفهم المعدات بروتوكول التدفق ، يمكننا استخدام المصدرين الخاصين أو حلول البرامج أو الأجهزة التي تنشئ سجلات دفق لحركة المرور التي تمر عبرها (مع Cisco أو Netflow Generation Appliance أوالتي تولد سجلات دفق لحركة المرور التي تمر عبرها (مع Cisco أو Netflow Generation Appliance أوالتي تولد سجلات دفق لحركة المرور التي تمر عبرها (مع Cisco أو Netflow Generation Appliance أومستشعر تدفق Stealthwatch ). تسمح لك خوارزميات الكشف عن الحالات الشاذة أو التوقيعات المتراكبة على تدفقات Netflow ، بالإضافة إلى طرق التعلم الآلي ، بتحديد الانحرافات عن السلوك المرجعي لحركة مرور الشبكة ، والتي ستميز تهديدات أمن المعلومات أو مشاكل البنية التحتية لتكنولوجيا المعلومات.

تجدر الإشارة إلى أن Netflow لا يمكنه تحديد ما يتم نقله داخل حركة مرور الشبكة (على الرغم من وجود تقنيات بالفعل تسمح لك بالتعرف على التطبيقات المستخدمة والرمز الضار بواسطة Netflow) ، فقد تم تطويره لمهام أخرى. لكنه يستطيع أن يقول من "تكلم" ومع من وكيف ومتى. على الرغم من وجود إصدارات مختلفة من بروتوكولات التدفق ، إلا أن معظمها يسمح لك بجمع البيانات التالية:

المصدر وعنوان IP للوجهة
منافذ المصدر والوجهة
بروتوكول
نوع الخدمة
واجهة المصدر
الطوابع الزمنية للبداية والنهاية
كمية المعلومات المرسلة.

في بعض الإصدارات ، على سبيل المثال ، في IPFIX أو Netflow v9 ، يمكنك استخراج بعض المعلومات من نص البيانات ، مما يسمح لمحلل Netflow (قائم بذاته أو مضمن في SIEM) بتحديد التطبيقات قيد التشغيل. غالبًا ما تكون كل هذه المعلومات كافية للكشف عن الحالات الشاذة أو حتى التهديدات في حركة مرور الشبكة.

Netflow و SIEM: ما هي القوة يا أخي؟

ماذا لو لم يقم النظام المستهدف بإنشاء سجلات أو تم تعطيلها من قِبل المتسللين؟ ماذا تفعل عندما لا توجد ببساطة ميزات أمان على النظام المستهدف ، لأنها تقوم بتحميل المعالج وإبطاء النظام؟ ماذا تفعل عندما يحضر موظف جهازه الشخصي غير المربوط بشركة SIEM؟ لا يزال لدينا المصدر الوحيد للمعلومات - حركة مرور الشبكة ، والتي يتم إنشاؤها على أي حال بواسطة الجهاز المستهدف. ما الذي يمكن أن يساعد في تحديد صافي تدفق "نظيف" يمكن تحليله بدون SIEM باستخدام حلول تحليل حركة مرور الشبكة (NTA)؟ فيما يلي قائمة قصيرة بهذه التهديدات والشذوذ:

كود خبيث ، فدية ، وعمال مناجم التشفير
التفاعل مع خوادم الأوامر
فحص الشبكة
هجمات الحرمان من الخدمة
تسرب البيانات
اختراق ssh أو rdp
السيول وتطبيقات P2P الأخرى
,
..

وماذا تمنحك السجلات التي تجمعها SIEM؟ القدرة على مراقبة نشاط المستخدم على العقد ، والوصول إلى الموارد ، والدخول والخروج من الأنظمة وإليها ، والتنبيهات من معدات الشبكة وأدوات الأمان ، وأكثر من ذلك بكثير. يتيح لك الجمع بين السجلات و Netflow القادم إلى SIEM وتحليلها هناك تحديد الجلسات الجديدة وحركة المرور الجديدة من الأجهزة التي تعرضت للهجوم بسرعة ، بما في ذلك تلك التي تتجاوز محيطك. من خلال دمج أنواع البيانات هذه ، يمكنك أيضًا تحديد ميزات أمان الشبكة التي تم تكوينها بشكل غير صحيح. يكمل Netflow قدرات SIEM التقليدية بالقدرة على اكتشاف أنواع جديدة من حركة المرور ، وتدفقاتها ، والتفاعل مع الموارد الخارجية والداخلية ، وتسرب البيانات ، وتوزيع الرموز الخبيثة ، والتفاعل مع خوادم الفريق ،تغليف الحمل الضار في البروتوكولات المسموح بها ، إلخ.

إن الجمع بين بيانات SIEM التي تتم معالجتها تقليديًا مع Netflow لا يسمح فقط برؤية المزيد من الأحداث الأمنية المختلفة ، ولكن أيضًا لرؤيتها بشكل أسرع ، مما يقلل ما يسمى بمعلمة وقت الكشف (TTD) ، ونتيجة لذلك ، وقت الاستجابة. من الواضح أن تحليل SIEM و Netflow يمكن أن يعملوا بشكل مستقل عن بعضهم البعض ويقومون بعملهم بشكل جيد ، ولكن الجمع بين هذين الحلين هو الذي يسمح لك بتحقيق تأثير تآزري.

قد يشير تغيير نمط سلوك المرور إلى سلوك مشبوه أو غير طبيعي. على سبيل المثال ، قد يشير تجاوز عتبة البيانات التي يتم تحميلها إلى الإنترنت إلى حدوث تسرب. يمكن أن يميز التغيير في حجم استعلامات DNS والاستجابات مقارنة بـ RFC المقدم حقيقة تشغيل التعليمات البرمجية الضارة (وفقًا لإحصاءات Cisco ، يستخدم 92٪ من البرامج الضارة DNS لتلقي الأوامر أو تنزيل البيانات أو تنزيل التحديثات). تذكر القصة مع Equifax؟ ثم تمكن المهاجمون من الوصول إلى بوابة الويب ، ثم إلى خوادم قاعدة البيانات الداخلية ، وتحميل كميات كبيرة من البيانات ببطء إلى الخارج. بشكل منفصل ، لم تكن كل هذه الأحداث ذات أهمية كبيرة وتم تجميعها فقط وإثراءها ببيانات Netflow ، وسمحت بتحديد حوادث أمن المعلومات. هذه حالة أخرى لأنظمة تحليل Netflow ،والتي يمكنها اكتشاف السلوك غير القياسي لكل من بوابة الويب التي يتردد منها الاستعلام إلى قاعدة البيانات ، وقواعد البيانات التي تعطي فجأة الكثير من البيانات للبوابة. انا مستعدوصف هذا السيناريو على هبر في وقت سابق. يمكن لـ SIEM ، الذي يتلقى بيانات Netflow ، الحصول على سياق إضافي للأحداث التي تم إنشاؤها بواسطة IPS و ITU والوكلاء ومضادات الفيروسات و EDR وما إلى ذلك ، من أجل الاستجابة بشكل أكثر فعالية للحادث.

مثال آخر. الكشف عن الهجمات غير المعروفة التي لا تحتوي أنظمة كشف التسلل على توقيعات - بسبب ارتباط حالات الشذوذ وأحداث الشبكة من المضيفين ، بالإضافة إلى إطلاق المحفزات. على سبيل المثال ، يمكن لمسح 100 عقدة في 3 دقائق أن يميز عملية التعليمات البرمجية الضارة التي توسع رأسها. يمكن أن تميز زيادة وقت الاستجابة من الخادم هجوم DDoS ضده ، على سبيل المثال ، يمكن أن يشير عدم تطابق في كمية المعلومات التي يتم تلقيها وإرسالها عبر بروتوكول DNS إلى تسرب للبيانات. هذه حالة نظرنا إليها سابقًا عندما تحدثت عن العثور على حملة DNSpionage. في الوقت نفسه ، يمكنك ملاحظة أننا في إحدى الحالات قمنا بتحليل Netflow فقط ، وفي الحالة الأخرى ، قمنا أيضًا بجمع البيانات من الأجهزة الطرفية ، وصناديق الرمل ، وبوابة DNS ، وما إلى ذلك.

هناك مجال آخر حيث يمكن أن يساعد دمج Netflow في SIEM في الوعي بالحالة. ارتباط التدفقات بالسجلات ، السياق ، معلومات الموقع الجغرافي ، نشاط المستخدم ، بيانات السمعة. على سبيل المثال ، في ملاحظة سابقة ، ذكرت حالة مع الكشف عن حركة المرور الداخلية مع العقد من إيران أو كوريا الشمالية. إذا لم تكن لديك اتصالات مع هذه البلدان ، فربما تكون هذه علامة على سرقة كود ضار للمعلومات ، أو قراصنة مؤيدون للحكومة يستهدفون شركتك. يمكن لنظام تحليل الشذوذ في الشبكة القيام ببعض هذا العمل من خلال تحديد الشذوذ المقابل. ولكن إذا كنت تريد أيضًا معرفة المستخدم الذي شارك في هذا الحادث ، فستحتاج إلى سياق إضافي في شكل أسماء مستخدمين من Active Directory.لا يعمل Netflow نفسه على هذه المعلومات - لذا نحتاج إلى إثرائه بمعلومات من AD. إذا كنت تستخدمCisco Stealthwatch ، لهذا تحتاج فقط إلى دمجه مع Cisco ISE ، والذي سيربط عناوين IP و MAC بمستخدمين محددين وملفات تعريف للأجهزة. ماذا لو لم يتم نشر Cisco ISE على الشبكة؟ تقع مسؤولية إثراء Netflow بمعلومات المستخدم على عاتق SIEM.

مثال آخر. لدي موقع ويب قيد التشغيل على جهاز الكمبيوتر الخاص بي ويستخدم لعدد من المهام. ولكن كم عدد المستخدمين العاديين الذين يمكن أن يتباهوا بنفس الشيء؟ فجأة يمكنك التقاط حركة المرور الكامنة في تشغيل خادم الويب من جهاز كمبيوتر المستخدم؟ أو في الجزء الذي يوجد فيه المستخدمون الذين يعملون على جهاز كمبيوتر يعمل بنظام Windows ، ترى فجأة حركة المرور الكامنة في نظام التشغيل Linux. ربما قرر هذا المستخدم "المفيد" رفع جهاز افتراضي مع Linux ، وبالتالي انتهاك سياسة الأمان؟ ويمكنك أيضًا تحديد الأدوات المساعدة للوصول عن بُعد بهذه الطريقة (على سبيل المثال ، RAT) ، والمشفرات ، والتطبيقات السحابية أو التطبيقات من نظير إلى نظير ، وما إلى ذلك.

إذا كنت من مؤيدي نهج البائع الواحد ، فإن بناء نظام أمان قائم على حلول Cisco سيسمح لك بتقليل اعتمادك على SIEM - جميع حلول Cisco ، بما في ذلك جدران الحماية ، وحماية البريد الإلكتروني ، ووضع الحماية ، و Cisco AMP لنقاط النهاية و إلخ يمكن تبادل البيانات ، والسياق ، والأحداث الأمنية ، والأوامر فيما بينها مباشرة. ولكن إذا كانت البنية التحتية الخاصة بك قد ورثت العديد من الحلول المختلفة من جهات تصنيع مختلفة ، فإن SIEM سيكون الرابط الذي سيساعد على بناء حل كامل من حديقة الحيوانات للمنتجات المختلفة. في أي حال ، فإن تحليل حركة مرور الشبكة التي تم جمعها من البنية التحتية للشبكة الحالية ، جنبًا إلى جنب مع البيانات التي تجمعها SIEM عادةً ، يوسع ~~الآفاق.~~قدرة خدمة IS على رؤية المزيد والاستجابة بشكل أسرع.

فوائد استخدام Netflow في SIEM:

ربط نشاط الشبكة مع معلومات أخرى حول أمن المعلومات تم جمعها من مستوى التطبيقات وأجهزة الكمبيوتر / الخوادم
القدرة على مراقبة الأماكن التي توجد بها مخاطر عالية لانتهاك قوانين الخصوصية (على سبيل المثال ، اللائحة العامة لحماية البيانات) ويمكنك تحليل رؤوس أو بيانات التعريف الخاصة بحركة مرور الشبكة فقط ، وليس محتوياتها
الكشف عن الحالات الشاذة التي تميز المراحل الأولى من تطور حادثة أو هجمات مستهدفة
جمع وتخزين البيانات المختلفة التي تصف الحادثة ، وتوفيرها كجزء من تحقيقات داعش أو التفاعل مع وكالات إنفاذ القانون.

رصاصة فضية؟

ولكن لا تعتقد أن Netflow هي النقطة الفضية التي كان الجميع يبحث عنها لفترة طويلة. لديها أيضا عيوب. على سبيل المثال ، يمكن أن تؤدي معالجتها إلى تحميل المعالج والذاكرة الخاصة بمعدات الشبكة القديمة أو المختارة بشكل غير صحيح ، وقد يؤثر ذلك سلبًا على أدائها وعرض النطاق الترددي للشبكة. للعمل بفاعلية مع Netflow ، قد تحتاج إلى دعم أجهزته أو استخدام ما يسمى المصدرين ، الذين بتمريرهم عبر أنفسهم سيرجمونه إلى Netflow (أولئك الذين واجهوا إدخال IDS / COB في الشبكات المحولة ، استخدموا ما يسمى الأشرطة أو الفواصل لمهمة مماثلة ) لقد قدمت بالفعل مثالين لمثل هذه الحلول الخارجية - Cisco Stealthwatch Flow Sensorوجهاز Cisco Netflow Generation Appliance. على الرغم من التحديث الأخير للشبكة ، يمكن افتراض أن مفاتيحك وأجهزة التوجيه الخاصة بك تدعم بالفعل إصدارًا أو آخر من Netflow ولن تحتاج إلى أي مصدر إضافي.

تتضمن ميزات Netflow الأخرى الجديرة بالمعرفة ما يلي:

إيجابيات خاطئة يمكن أن تقترن بالتدريب غير الصحيح أو غير الكافي لنظام التحليل ، وكذلك مع تغيير في عمليات تكنولوجيا المعلومات ، والتي لم يتم "إبلاغ" نظام التحليل عنها بعد
انخفاض الأداء والتأثير على تخزين SIEM (سنتحدث عن هذا أكثر من ذلك)
لا تسمح البيانات الوصفية التي يتم جمعها من خلال Netflow دائمًا بإجراء تحقيق كامل ، الأمر الذي قد يتطلب حركة مرور أولية بتنسيق PCAP.

خيارات تكامل SIEM مع Netflow

أي من SIEMs في السوق تعمل اليوم مع حركة مرور الشبكة؟ يجب أن أقول أن كل شيء تقريبًا ، ولكن بطرق مختلفة وغالبًا ما يتطلب هذا ترخيصًا مدفوعًا منفصلاً ، والذي بدوره ينقسم أيضًا إلى خيارات. أود أن أسلط الضوء على ثلاثة خيارات لتحليل Netflow في SIEM:

دعم مضمن لـ Netflow في SIEM
المصدرون / أجهزة الاستشعار الخاصة لتوليد Netflow وإرسالها إلى SIEM
تكامل SIEM مع الحلول الخارجية لفئة تحليل حركة مرور الشبكة (NTA).

SIEM مع دعم Netflow المدمج

على سبيل المثال ، Microfocus ArcSight ، الذي يحظى بشعبية كبيرة في مساحة SIEM ما بعد السوفييتية ، لديه دعم مضمن لـ Netflow. تسمح هذه الميزة لـ SIEM بربط تدفقات الشبكة بأحداث الأمان الأخرى أثناء التنقل أو إثرائها بالبيانات من مصادر Threat Intelligence. ومع ذلك ، فإن هذا الخيار له عيوبه ، وهي:

-, , . ( , « », )?
-, Netflow SIEM, Netflow . ? SIEM , , , ? - «» Netflow ?

-, . ? VPN- ( ).
-, Netflow SIEM FPS ?
, , flow- (. ). Netflow, SIEM. Netflow — v5, , v9, IPv6, MPLS . Flexible Netflow ( Netflow v9), IPFIX, Netflow v10, sFlow, , , , NetStream, Jflow .. SIEM?

إذا كنت تواجه فقط اختيار SIEM ، فقم بتضمين قائمة المعلمات قيد النظر أيضًا نوع Netflow ، الذي يتم إنشاؤه بواسطة جهازك. إذا كنت قد اشتريت بالفعل SIEM ، فلن يكون لديك الكثير من الخيارات. في هذه الحالة ، يجب مراعاة الخيارات التالية:

محلل شذوذ منفصل لشبكة IS (على سبيل المثال ، Cisco Stealthwatch) ، والذي سيجري التحليل بالكامل بمفرده ، ويعطي نتائجه إلى SIEM
جامع Netflow المنفصل ، والذي سيكون قادرًا على إرسال تحليلات ملخص SIEM حول تدفقات الشبكة ، وسيقوم SIEM بالفعل بتحليل هذه البيانات.

كم يمكن تعليقه بالجرام ، أي أنه يتم تخزينه بالبايت؟

بالمناسبة ، قبل أن ننتقل إلى الخيار التالي لدمج Netflow مع SIEM ، فقد حان الوقت لتناول السؤال ، كم من بيانات Netflow سوف نتلقاها في نظام تحليل أحداث الأمان؟ للحصول على العلاجات أو السجلات العادية ، هناك عدد كبير من الأمثلة والإحصاءات حول EPS (أحداث في الثانية). لا توجد بيانات كثيرة عن FPS (تدفق في الثانية). يتناسب متوسط حجم Netflow بشكل مباشر مع عدد مآخذ TCP / UDP الفريدة التي أنشأتها أجهزة العميل والخوادم على شبكتك ، والتي يمكن أن تختلف اختلافًا كبيرًا من حالة إلى أخرى. كما أن تضمين العينات (أي النقل الانتقائي لبيانات Netflow) يؤثر أيضًا على إجمالي كمية البيانات.

إذن كم عدد إطارات FPS التي يمكننا إنشاؤها؟ بالطبع ، هذا يعتمد كثيرًا على الموقف ، ولكن أود أن أقول إنه بالنسبة لمحطة العمل العادية ، يكون هذا الرقم ، في المتوسط ، 1.5 إطارًا في الثانية ، و 6 إطارات في الثانية في ذروة الحمل. بمعنى آخر ، إذا كانت شبكتك تحتوي على 10 آلاف عقد ومتوسط FPS لكل منها 4 ، فإن الشبكة تولد حوالي 40 ألف تدفق في الثانية. لماذا الكثير؟ كما كتبت أعلاه ، يعتمد ذلك على عدد الاتصالات الفريدة التي تنشئها تطبيقاتك أو شبكتك. اليوم ، هناك الكثير من برامج "الدردشة" التي تعمل على أجهزة الكمبيوتر الخاصة بالمستخدمين ، والتي إما تقوم بتحميل المحتوى بشكل نشط من الإنترنت ، مثل المتصفحات ، أو تبحث باستمرار عن التحديثات ، مثل مضادات الفيروسات. فيما يلي نموذج لقائمة البرامج والخدمات التي تعمل بنشاط على زيادة عدد FPS على الشبكة:

أدوبي ، مضادات الفيروسات ، جافا
سكايب
عملاء البريد الإلكتروني
Netbios
المتصفحات
تطبيقات موجهة إلى الخلاصة (Twitter ، الأخبار ، Telegram ، إلخ).

ستخبرك الإجابة الأكثر دقة عن تحليل Netflow في قطاعات الشبكة التي تحتاجها ، والتي تتم بأمر واحد فقط على جهاز الشبكة (اعتمادًا على الشركة المصنعة).

طول سجل Netflow v5 هو 48 بايت. بالنسبة للإصدار التاسع من Netflow ، لا يوجد مثل هذا الرقم الدقيق ، لأن هذا الإصدار يسمح لك بوصف ما ستقوم بتضمينه في السجل وبالتالي يمكن أن يختلف طوله بشكل كبير. ولكن إذا أخذنا تقريبًا 100 بايت لمتوسط طول سجل الدفق (ويمكن لكل حزمة شبكة توليد 20-30 دفق) ، فيمكننا تقدير مقدار البيانات التي سيتم إنشاؤها ونقلها إلى SIEM. في الوقت نفسه ، قد يكون حجم تخزين SIEM لهذه البيانات أكبر (يعتمد ذلك على تنسيق التخزين والفهرسة والضغط والنسخ الاحتياطي وما إلى ذلك). بالمناسبة ، عند حساب عدد FPS ، تذكر أنه في إطار هجوم DDoS ، لا يعمل مفهوم "متوسط FPS" ، نظرًا لأن كل اتصال ، ستكون كل حزمة TCP SYN دفقًا منفصلاً ، ومع هجوم DDoS قوي ، فإن عدد FPS في ستكون ذروتك كبيرة جدا.

ذكرت أعلاه أنه في حالة نقل Netflow إلى SIEM المركزية ، سيتعين عليك "دفعها" عبر الإنترنت. لا تعتقد أن جيل Netflow سيخلق حملًا كبيرًا على الشبكة ويقلل من عرض النطاق الترددي. وفقًا لبحثنا ، نظرًا لأنه يتم إرسال معلومات العنوان والقياس الإضافي عن بُعد فقط في Netflow ، وليس جسم البيانات بالكامل ، فإن الحمل سيزداد بحوالي 1-2٪ إلى الواجهة التي يتم تصدير القياس عن بُعد من خلالها للشبكة (في الواقع ، باستخدام أخذ العينات وإصدارات البروتوكول الحديثة يمكن أن يكون التدفق الصافي لهذه القيمة أقل بترتيب من حيث الحجم وتختلف عند مستوى 0.1٪).

لا يمكن تحليل التجميع

ولكن دعنا نقول أنك ما زلت تقرر الحصول على Netflow الخام على SIEM الخاص بك. هذا السيناريو له فارق بسيط آخر. من المهم جدًا أن نفهم أن توفر دعم Netflow في SIEM ليس كافيًا ؛ من المهم للغاية أن تكون قادرًا على التعامل مع Netflow هذا من وجهة نظر أمنية ، أي أن يكون لديك قواعد لتحليل وربط تدفقات Netflow المضمنة والمحدثة باستمرار لأنواع جديدة من الهجمات. لنفترض أن Netflow تعطينا هذه الصورة:

نرى طفرة في بروتوكول SSH. في الواقع ، نحن نرى الآن نفس الصورة بهجمات على بروتوكول RDP. هذا هو تخمين كلمة المرور. ولكن لا يمكن الكشف عن هذا إلا بشرط أن يكون لدينا قاعدة مقابلة ، والتي من عدد من تدفقات Netflow ستجمع حدثًا واحدًا هو "مطابقة كلمة المرور". ثم يمكننا القول أن SIEM يحتوي على دعم Netflow مدمج ويمكنه تحليله من وجهة نظر أمنية. لذلك ، عند اختيار هذا المسار ، يجب أن تسأل البائع ما الذي يمكنه تحليل SIEM في Netflow "خارج الصندوق" ، وإذا لم يكن هناك شيء ، ما مدى صعوبة عملية وصف معالجات Netflow الخاصة بك وهل لديك أي متخصصين سيقومون بذلك؟ نحن ندرك جيدًا أن كتابة موصل لـ Netflow ليست صعبة للغاية ، على عكس قواعد معالجتها وتحديد الحالات الشاذة التي تتطلب عملًا مستمرًا.يتعلق الأمر بنسخ محرك شخص آخر لمعرفاتك (Snort أو Zeek أو Suricata) ، ولكن عدم القدرة على كتابة التوقيعات لعمليات الاستغلال والهجمات المكتشفة حديثًا بشكل مستمر. في المثال أعلاه ، يجب أن يتعرف النظام نفسه على زيادة في حركة المرور على SSH وأن يقول نفسه إن هذه هجمات "تخمين كلمة المرور" على SSH (إما Telnet أو RDP أو FTP). قد يبدو مثل هذا (على سبيل المثالCisco Stealthwatch Enterprise ):

وبعد ذلك يمكنك التحقيق في هذا الحادث على مستوى أعمق ، باستخدام الإمكانات التي يوفرها إما SIEM أو أداة تحليل Netflow منفصلة. بدون القدرة على "فهم" Netflow فيما يتعلق بأمن المعلومات ، فإن وجود دعم مضمن لـ Netflow يعد ميزة مشكوك فيها لـ SIEM.

SIEM مع مصدر Netflow الخاص بها

لاعب آخر في سوق SIEM ، LogRhythm ، بدوره ، يقدم مصدرًا إضافيًا لتدفقات NetMon ، والتي يمكن أن تكون مفيدة في البنية التحتية الموزعة ، وكذلك في شبكة لا تدعم معداتها Netflow وتتطلب مولد Netflow منفصل لحركة مرور الشبكة التي تمر عبره. في الواقع ، في هذا التجسيد ، تتولى الشركة المصنعة لـ SIEM وظائف موردي الشبكة ، وتطوير حل لتوليد Netflow وتقليل الحمل على SIEM ، مما يلغي الحاجة إلى معالجة Netflow الخام وتخزينه. يشبه الموقف دعم SSL Offload في العديد من جدران الحماية من الجيل الجديد. نعم ، إنه موجود هناك ، ولكن مع التبادل المكثف لحركة HTTPS ، يؤدي الحمل الإضافي على NGFW إلى انخفاض كبير في إنتاجيته.لذلك ، في البنيات المحملة بكثافة ، عادة ما يتم تخصيص جهاز منفصل لهذه المهمة ، والتي تتولى مهمة فك تشفير حركة مرور SSL ثم إعادتها إلى NGFW. يحدث الشيء نفسه مع معالجة SIEM Netflow في هذا السيناريو.

من الواضح أن هذا السيناريو له أيضًا عيب - زيادة في السعر النهائي للحل ، بالإضافة إلى دفع التراخيص لعدد FPS الذي تم تحليله ، ستحتاج أيضًا إلى الدفع مقابل أجهزة استشعار إضافية ستمر بحركة المرور من خلاله وتولد Netflow. بالإضافة إلى ذلك ، ستحتاج إلى إجراء تغييرات على بنية الشبكة ، ولكن يجب القيام بذلك على أي حال ، لذلك لن أسميها عيبًا ، بل ميزة في هذا السيناريو. إذا كانت معدات الشبكة الخاصة بك لا تعرف كيفية إنشاء Netflow ، وترغب في تحليل الحالات الشاذة للشبكة ، فإن الخيار الوحيد للقيام بذلك هو استخدام أجهزة استشعار منفصلة. السؤال الوحيد هو ما سيكون أرخص - شراء أجهزة استشعار من الشركة المصنعة SIEM أو استخدام أجهزة استشعار من الشركات المصنعة للشبكة (على سبيل المثال ، Cisco Netflow Generation Appliance) أو مطوري أدوات تحليل الشذوذ في الشبكة (على سبيل المثال ،مستشعر التدفق Cisco Stealthwatch Enterprise). في هذا الخيار ، من المفيد أيضًا معرفة ما إذا كانت SIEM قادرة على تحليل Netflow من وجهة نظر أمن المعلومات ، أم أنها تحتوي فقط على موصلات في شكل المصدرين / المستشعرات المأخوذة (عادةً ما يمكنها)؟

SIEM, NTA

الخيار الثالث ، التكامل مع حلول فئة NTA ، واضح تمامًا ، لأنه في الواقع ، NTA هو نفس مولد الأحداث الأمنية مثل NGFW ، مكافحة الفيروسات ، الماسح الضوئي الأمني ، IPS ، إلخ. ومع ذلك ، فإن هذا السيناريو مثير للاهتمام من حيث أنك تجمع بين أداتي تحليلات الأمان لديك ، ولكن يمكنك العمل معهم بشكل منفصل. تسمح لك NTA بإجراء تحليل متعمق لحركة مرور الشبكة ، واكتشاف التعليمات البرمجية الخبيثة ، وهجمات DDoS ، وتسريبات المعلومات ، ومراقبة المستخدمين البعيدين ... وفي الوقت نفسه ، تتيح لك أداة تحليل حركة مرور الشبكة الجيدة أيضًا استخدام أجهزة استشعار منفصلة في تلك الأجزاء حيث لا تدعم معدات الشبكة Netflow أو يؤدي الإدراج إلى زيادة الحمل على معدات الشبكة. تسمح لك NTA في هذا السيناريو بتجميع Netflow ومعالجته وتحليله (في إصداراته المختلفة) ،وعلى SIEM إعطاء الإنذارات فقط على حقيقة الكشف عن نشاط ضار واحد أو آخر. من الواضح أن هذا الخيار منطقي أيضًا للاستخدام عندما يكون لديك أو لدى موظفي تكنولوجيا المعلومات لديك بالفعل حل فئة NTA لاستكشاف أخطاء الشبكة ويمكن استخدامه أيضًا لمهام أمان الشبكة. أو عندما ترغب ، على العكس من ذلك ، في مشاركة نفقات حل NTA مع الشبكات الخاصة بك ، الذين سيستخدمونه لمهامهم ، وأنت لك.الذين سيستخدمونها لمهامهم ، وأنت لك.الذين سيستخدمونها لمهامهم ، وأنت لك.

عيب هذا الخيار هو التكلفة الإضافية لحل فئة NTA ، بالإضافة إلى الحاجة إلى تدريب مزدوج للمتخصصين في أساسيات العمل مع حلين مختلفين. ولكن من ناحية أخرى ، فإن حل منفصل لتحليل حركة مرور الشبكة سيسمح بإجراء تحقيقات أعمق للحوادث مما هو الحال مع SIEM واحد مع دعم Netflow المدمج ، وتطبيقات أكثر مرونة من الشركة المصنعة SIEM التي لديها مستشعرات Netflow منفصلة. ولكن من الجدير بالذكر أنه عندما نتحدث عن حل منفصل لفئة NTA ، أعني الحل الأمني ، وليس مجرد أداة لتحليل حركة مرور الشبكة أو مراقبة أداء الشبكة. على سبيل المثال ، قامت شركة SolarWinds NTA التي سبق ذكرها بتحليل حركة مرور الشبكة بشكل جيد من أجل دعم مهام تكنولوجيا المعلومات ، ولكنها سيئة جدًا لأغراض أمن المعلومات.وينطبق الشيء نفسه على 5View من InfoVista أو Visual TruView من Fluke. ونفس الشيء ، على سبيل المثال ،يمكن استخدام Cisco Stealthwatch Enterprise من قبل كليهما في الشركة.

ما الذي تبحث عنه عند الاختيار؟

عند اختيار حل NTA لأغراض أمنية ، بالإضافة إلى تحليل المصدرين / المستشعرات التي يوفرها بائعو SIEM أو SIEM مع دعم Netflow ، أوصي بالاهتمام بالمعايير التالية:

أنواع النشاط الضار القابل للكشف. كنت تأخذ أداة لرصد أمن المعلومات. من المنطقي أن نفترض أنه يجب أن يكون قادرًا على تحديد مختلف الشذوذ والتهديدات المتعلقة بأمن المعلومات "خارج الصندوق". علاوة على ذلك ، تنقسم هذه المعلمة إلى ثلاثة أجزاء - خوارزميات مدمجة لاكتشاف أنواع مختلفة من تهديدات أمن المعلومات ، وكتابة معالجات / قواعد مخصصة ودعم المصادر الخارجية لتهديد المعلومات لإثراء التدفقات التي تم تحليلها ببيانات حول التهديدات.
Netflow. , , .
. , 1 ( FPS)? 60 FPS, NTA 40 , , , , , 80 FPS.
. , flat, … , . , . . , (, , Argus, Fluke, Plixer, Riverbed SolarWinds), , . , . , ; , . , , Cisco Stealthwatch.
. , , , , . — NTA. , Cisco nfdump OSU FlowTools Lancope, .
. , - . :
- /
- flow cache ( cash flow :-)
- . MAC-, VLAN, MPLS, TCP, , , , , ( IPFIX ).
. Netflow SIEM, SIEM NTA . , , (, ) REST API, syslog ..

إذا كان الأمر يتعلق بما يجب اختياره بغض النظر عن SIEM ، فإنني أنصح أيضًا بالنظر إلى فرص البحث عن التهديدات التي يوفرها الحل المختار. ولكن بما أن موضوع الملاحظة تم اختلافه قليلاً ، فلن ننتبه لهذا الجانب الآن.

قضية السعر

إذا نظرت إلى هذه الخيارات الثلاثة من وجهة نظر تكلفتها ، فعندئذٍ سيتبين أن الخيار الثالث هو الأغلى من وجهة نظر النفقات الرأسمالية (رهناً بالقدرات نفسها لتحليل Netflow في جميع السيناريوهات الثلاثة). مفهوم. بالإضافة إلى تكلفة SIEM ، ستحتاج إلى حل منفصل لتحليل حركة مرور الشبكة ، والذي سيتكون على الأقل من نظام التحكم والعدد المطلوب من جامعي التحصيل الذين يجمعون Netflow من مختلف المصدرين / أجهزة الاستشعار. من ناحية أخرى ، بغض النظر عن مدى توسيع تغطية شبكتك مع المصدرين / أجهزة الاستشعار الجديدة ، فلن تؤثر على تكلفة SIEM والبنية التحتية لها ، لأنها ستعمل مع الإنذارات التي تمت معالجتها بالفعل ، وليس مع تدفقات Netflow "الأولية" ، أي (إشارات) ستكون أقل بعدة مراتب.

يبدو الخيار الأول هو الأكثر جاذبية من وجهة نظر سعره ، حيث أننا لسنا مضطرين لدفع المزيد لتدريب المحللين ومديري NTA ، أو للمصدرين / المستشعرات الإضافية ؛ تعرف ، نقل تيارات Netflow إلى SIEM وجميع. ومع ذلك ، ستزداد تكلفة البنية التحتية لـ SIEM بشكل كبير ، حيث سيتعين عليك تخزين تدفقات Netflow الخام ، الأمر الذي سيتطلب توسيع مساحة التخزين الحالية. الخيار الثاني هو وسيط بين الطرفين ، سواء من حيث قدرات تحليل Netflow أو من حيث التكلفة. على أي حال ، في الخيارين الأولين ، يجدر التحقق مع الشركة المصنعة لـ SIEM التكلفة الإجمالية لملكية الحل بناءً على التحديات ، بالإضافة إلى FPS الحالي والمتوقع ، ونتيجة لذلك ، التغييرات في تكلفة التراخيص لـ SIEM والتخزين لها. خذ هذا المثالLogRhythm ونظامها الفرعي لتحليل Netflow. هناك ما لا يقل عن ثلاثة خيارات لتنفيذها ، ونتيجة لذلك ، التسعير. الخيار الأصغر ، يمكن لـ Freemium إرسال الإنذارات فقط إلى SIEM ، ولا يمكن أن يتجاوز عرض النطاق الترددي 1 غيغابايت / ثانية ، وسعة التخزين 1 غيغابايت فقط (هذا هو يوم واحد من تخزين Netflow بدون أخذ عينات) ، ولا تزيد فترة تخزين الفهرس عن 3 أيام ، ولا يوجد ارتباط مع مصادر البيانات الإضافية ، ولا يعمل الدعم إلا عبر الإنترنت ومن خلال المجتمع. في الإصدار التالي ، NetMon ، تكون المؤشرات أفضل (عرض النطاق الترددي يصل إلى 10 جيجابايت / ثانية لجميع المصدرين ، التخزين غير محدود ، يتم تخزين المؤشر لمدة تصل إلى شهر ، ولكن لا يوجد ارتباط مع مصادر أخرى أيضًا). وفقط في الإصدار المتميز من NetworkXDR ، ليس لديك أي قيود ، ولكنها تقف على أنها "كيلومتر من طرق موسكو" ، وهذا ليس رخيصًا.

في أحد المشاريع ، واجهنا حقيقة أنه مع حجم يومي للقياس عن بُعد للشبكة يبلغ 1 تيرابايت وإرساله إلى SIEM مع دعم Netflow المتكامل ، كانت التكلفة الإجمالية للحل حوالي 600 ألف دولار أمريكي (حتى قبل القفزة التالية في الدورة التدريبية). في الوقت نفسه ، ظل جزء من هذه البيانات غير معالج بسبب نقص القواعد المناسبة في SIEM وتكرارها. أدى استخدام حل NTA منفصل (في حالتنا كان Cisco Stealthwatch Enterprise ) إلى انخفاض بنسبة 80٪ في حجم البيانات المنقولة إلى SIEM ، وانخفضت تكلفة الحل إلى 99 ألف دولار أمريكي. قد تختلف الرياضيات من مشروع إلى آخر ، لكننا لاحظنا أنه كلما زادت الحاجة إلى Netflow التي نحتاج إلى معالجتها ، زادت تكلفة البنية التحتية لـ SIEM لمعالجتها. لماذا هذا؟

دعونا نلقي نظرة على مثال واحد. عندما يتصل المستخدم بالخادم ، من وجهة نظر التحليل الكلاسيكي لأحداث أمن المعلومات ، نتعامل ، بشكل مشروط ، مع حدث واحد فقط "نزيله" من الخادم ، وإرساله ، على سبيل المثال ، عبر سجل النظام إلى SIEM (في الواقع ، سيكون هناك حدثان - محاولة الاتصال ونتيجته). إذا تم تحليل هذا الحدث إلى مكونات الشبكة ، فسوف نرى أنه سيكون هناك ترتيب من حيث الحجم يتم إنشاء المزيد من سلاسل الرسائل. على سبيل المثال ، متوسط عدد "القفزات" (قفزة) من العميل إلى الخادم هو 5-6 في متوسط الشبكة. يقوم كل محول أو موجه يتم من خلاله تمرير الطلب من العميل إلى جانب الخادم بإنشاء إدخالات Netflow التي تصف حركة المرور التي تمر. علاوة على ذلك ، يتم ذلك لكل اتجاه من الجلسة (طلب واستجابة) بشكل منفصل. اتضح أن هناك ،حيث تم إنشاء حدثين فقط على مستوى التطبيق ، تطلبت تدفقات Netflow ما لا يقل عن 10 أضعاف (في الواقع أكثر من ذلك ، نظرًا لأن حزمة شبكة واحدة تولد حوالي 20-30 تدفقات Netflow). ولن نضطر فقط لدفع ثمن كل هذه العشرات من الخيوط (على الرغم من أن الحدث لا يزال واحدًا) وتخصيص مساحة لتخزينها. لذلك ، سيتعين على SIEM أيضًا معالجتها وإزالة التكرارات ودمج التدفقات متعددة الاتجاهات في جلسة واحدة ثم ربط هذه البيانات بأحداث أخرى فقط. لذلك ، قد تكون التكلفة الإجمالية للحل الذي يبدو واضحًا أعلى مما هي عليه في حالة مصدر Netflow المنفصل أو حل تحليل الشذوذ المستقل للشبكة المدمج مع SIEM.لذا فإن حزمة شبكة واحدة تولد حوالي 20-30 من تدفقات Netflow). ولن نضطر فقط لدفع ثمن كل هذه العشرات من الخيوط (على الرغم من أن الحدث لا يزال واحدًا) وتخصيص مساحة لتخزينها. لذلك ، سيتعين على SIEM أيضًا معالجتها وإزالة التكرارات ودمج التدفقات متعددة الاتجاهات في جلسة واحدة ثم ربط هذه البيانات بأحداث أخرى فقط. لذلك ، قد تكون التكلفة الإجمالية للحل الذي يبدو واضحًا أعلى مما هي عليه في حالة مصدر Netflow المنفصل أو حل تحليل الشذوذ المستقل للشبكة المدمج مع SIEM.لذا فإن حزمة شبكة واحدة تولد حوالي 20-30 من تدفقات Netflow). ولن نضطر فقط لدفع ثمن كل هذه العشرات من الخيوط (على الرغم من أن الحدث لا يزال واحدًا) وتخصيص مساحة لتخزينها. لذلك ، سيتعين على SIEM أيضًا معالجتها وإزالة التكرارات ودمج التدفقات متعددة الاتجاهات في جلسة واحدة ثم ربط هذه البيانات بأحداث أخرى فقط. لذلك ، قد تكون التكلفة الإجمالية للحل الذي يبدو واضحًا أعلى مما هي عليه في حالة مصدر Netflow المنفصل أو حل تحليل الشذوذ المستقل للشبكة المدمج مع SIEM.لدمج التدفقات متعددة الاتجاهات خلال جلسة واحدة وعندها فقط ربط هذه البيانات بأحداث أخرى. لذلك ، قد تكون التكلفة الإجمالية للحل الذي يبدو واضحًا أعلى مما هي عليه في حالة مصدر Netflow المنفصل أو حل تحليل الشذوذ المستقل للشبكة المدمج مع SIEM.لدمج التدفقات متعددة الاتجاهات خلال جلسة واحدة وعندها فقط ربط هذه البيانات بأحداث أخرى. لذلك ، قد تكون التكلفة الإجمالية للحل الذي يبدو واضحًا أعلى مما هي عليه في حالة مصدر Netflow المنفصل أو حل تحليل الشذوذ المستقل للشبكة المدمج مع SIEM.

ويمكن استخدام أجهزة تحليل Netflow الخارجية في أحد السيناريوهين. الأول هو نقل القياس عن بُعد المُحسَّن إلى SIEM ، دون تكرار (إلغاء تكرار البيانات) ، والجمع بين التدفقات متعددة الاتجاهات. استنادًا إلى تجربتنا (ويمكن لـ Stealthwatch Enterprise العمل في هذا الوضع) ، يمكنني القول أن هذا يعطي تخفيضًا بمقدار ستة أضعاف في حجم القياس عن بُعد المُرسَل إلى SIEM ، والذي ، في هذا السيناريو ، يجب أن يظل قادرًا على تحليل Netflow من وجهة نظر أمنية.

يفترض السيناريو الثاني أن جميع عمليات المعالجة تتم على أساس حل من فئة NTA ، ويتم فقط تلقي الإنذارات التي يتم تلقيها نتيجة لمعالجة Netflow في SIEM. يقلل هذا الخيار من المزيد من البيانات المرسلة إلى SIEM ، مما يقلل من تكلفة التراخيص والبنية التحتية. نعم ، ولم يعد SIEM مطلوبًا حتى يتمكن من تحليل Netflow الخام ، مما يوسع من إمكانيات اختيار أدوات لتحليل أحداث أمن المعلومات.

هل هناك بدائل؟

بعد فحص خيارات استخدام Netflow في SIEM للكشف عن المزيد من أحداث الأمان أكثر من عدمها ، لنلقي نظرة على البدائل المحتملة.

أدوات تشخيص الشبكة

يمكنك محاولة استخدام أدوات تشخيص الشبكة المستخدمة لتقييم النطاق الترددي للشبكة ، وتوافر العقد والمقاطع الداخلية ، وأقصى الأحمال ، إلخ. على سبيل المثال ، SolarWinds NetFlow Traffic Analyzer. لم يتم تصميم هذه الحلول للكشف عن حالات الشذوذ والتهديدات التي تتعرض لها داعش ، ولكن يمكن استخدامها لنقل معلومات التدفق إلى SIEM ، والتي قد تكون قادرة على تحليل Netflow. سيؤدي هذا إلى تحميل SIEM ، كما وصفت أعلاه ، وعليك أن تقرر ما إذا كنت مستعدًا لذلك؟ صحيح أنه من المفيد توضيح أولاً ما إذا كان محلل الشبكة يمكنه إرسال بيانات Netflow إلى الأنظمة الخارجية. في بعض الأحيان ، يمكنهم تقديم إحصائيات موجزة فقط أو توليد إنذارات ، وهو ما لا يكفي بشكل واضح لمهام IS.

أنظمة كشف التسلل و NGFW

شبكة IPS و NGFW بديلان آخران. يمكنهم النظراء داخل حركة مرور الشبكة ويمكنهم اكتشاف العديد من التهديدات من خلال آلية تفتيش عميقة للشبكة ... ولكن على المحيط. ومع ذلك ، عادة ما يتم وضع NGFW و IPS على حدود شبكة الشركة والإنترنت ولا ترى سوى ما يمر عبرهما. سيكون تثبيت هذه الأجهزة "الحديدية" أو الافتراضية ، في كل مكان تهتم به مكلفًا للغاية ، وفي بعض الحالات مستحيلًا من الناحية التقنية. بالحديث عن الحدود أو المحيط ، من الجدير بالذكر أن الواجهة بين مركز بيانات الشركة وأجزاء المستخدم هي أيضًا الحدود. والتقاطع بين شبكة الشركات والشبكة الصناعية أيضًا. ولكن على أي حال ، فإن تثبيت مستشعرات IPS أو NGFW إضافية يمكن أن يصيب محفظتك بشكل مؤلم ، بينما سيتم جمع Netflow من معدات الشبكة التي تم شراؤها وتنفيذها بالفعل.

أدوات التحقيق في حوادث الشبكة

تتيح لك حلول فئة Network Forensics Tool (NFT) تخزين حركة مرور الشبكة ومعالجتها وتحليلها من أجل التحقيق في الحوادث. ولكن هناك فرق كبير بين هذا النوع من الحلول ويعمل NTA - NFT مع نسخة كاملة من حركة المرور ، أي عادة مع ملفات PCAP و NTA مع سجلات حول ذلك. وإذا كانت حلول تحليل Netflow تعمل في الوقت الفعلي تقريبًا ، فإن NFT - مع تأخير كبير. بالإضافة إلى ذلك ، فإن أي حل يعمل مع PCAP (أو بطريقة أخرى لالتقاط وحفظ نسخة من كل حركة مرور الشبكة) سيواجه مشكلة مكان لتخزين جميع البيانات التي تم جمعها.

تخيل أن لديك منفذًا على جهاز شبكة بسرعة 1 جيجابت / ثانية. مع طول حزمة 64 بايت ، سيكون هذا المنفذ قادرًا على المرور عبر 1953125 حزمة في الثانية ، وبطول 1500 بايت - 83333 حزمة. أي ، اعتمادًا على طول الحزمة (وهذا يعتمد على التطبيقات على الشبكة) ، سيكون لدينا من حوالي 80 ألف إلى 2 مليون حزمة في الثانية ، والتي سنحتاج إلى حفظها. في يوم واحد ، سيسمح هذا المنفذ 86400 جيجابت / ثانية أو ما يقرب من 11 تيرابايت. سيتم تشغيل ما يقرب من 4 بيتابايت على مدار العام ، وهذا لمنفذ واحد فقط ، والذي يمكن أن يكون لدينا الآلاف وعشرات الآلاف في شبكتنا. حتى التخزين الانتقائي لحركة المرور لن يسهل حياتنا بشكل كبير. لذلك ، هناك حاجة إلى حلول فئة NFT ، لكنها غير قادرة على استبدال محللات Netflow. هذه أدوات تعمل على حل المهام المختلفة - مراقبة الأحداث والتحقيق فيها.عادة ، تعمل هذه الحلول في أزواج - يتيح لنا Netflow تحديد الحوادث ، وتقوم NFT بالفعل بجمع بيانات تفصيلية عنها في شكل التقاط كل حركة مرور الشبكة.

" ولكن هناك SIEM مع NFT ، على سبيل المثال ، IBM QRadar Incident Forensics أو RSA Security Analytics ، والتي تسمح لك بالعمل مع نسخة كاملة من حركة مرور الشبكة وستتوفر جميع البيانات الوصفية لـ Netflow تلقائيًا في SIEM"نعم ، هناك! بالإضافة إلى ذلك ، ميزة هذا الحل هي إمكانية إعادة بناء جميع جلسات الشبكة المهمة وتصورها ، والتي يمكن أن تسهل التحقيق في الحوادث. يتيح لك SIEM هذا أن يحل محل المهاجم ويرى كل ما يراه. ولكن هذه الكرامة مخفية والعيب الخطير الذي ذكرته أعلاه هو أن تخزين نسخة كاملة من حركة مرور الشبكة يتطلب مساحة تخزين كبيرة ، لا ، ليست ضخمة جدًا يمكن أن تكلفها SIEM منفصلة ، أو أكثر (أكثر من تخزين حتى مجرد Netflow الخام قد تحتاج إلى اختيار الجلسات المحددة التي تريد حفظها لتوفير مساحة ، وهذا قد يؤدي إلى فقدان بعض حركة المرور. بالإضافة إلى ذلك ، في حالة الامتثال للمتطلبات القانونية لتخزين البيانات المتعلقة بالحوادث ،سيكون عليك كسرها أو دفع أموال إضافية مقابل التخزين. ميزة أخرى لهذا الحل هي الحاجة إلى حفظ حركة المرور التي تم فك تشفيرها بالفعل في SIEM ، مما يعني أنك ستحتاج إلى مراجعة بنية نظام المراقبة الخاص بك حتى تتمكن من فك تشفير حركة المرور وإرسالها إلى SIEM. ولا تنس أن مثل هذه الحلول لا تزال تركز على إجراء التحقيقات ، الأمر الذي يتطلب موظفين مؤهلين ، وليس على الكشف عن الحالات الشاذة والتهديدات باستخدام خوارزميات جاهزة.أن مثل هذه القرارات تركز مع ذلك على إجراء التحقيقات ، الأمر الذي يتطلب موظفين مؤهلين ، وليس على الكشف عن الحالات الشاذة والتهديدات باستخدام خوارزميات جاهزة.أن مثل هذه القرارات تركز مع ذلك على إجراء التحقيقات ، الأمر الذي يتطلب موظفين مؤهلين ، وليس على الكشف عن الحالات الشاذة والتهديدات باستخدام خوارزميات جاهزة.

في هذا السيناريو ، ما زلت أنظر إلى التحليل الأولي لحركة مرور الشبكة باستخدام Netflow ، وعندها فقط ، بالنسبة للأحداث والحوادث التي تهمني ، سأقوم بتمكين تسجيل حركة مرور الشبكة. هذا سيوفر ولا ينفق الموارد على تخزين "كل شيء".

استنتاج

لذا ، لتلخيص بإيجاز. Netflow هو مصدر قيم للبيانات لرصد أمن شبكات الشركات والإدارات ، وغالبًا ما يكون الوحيد الذي يمكن جمعه واستنادًا إليه الذي يمكنك من خلاله اتخاذ قرارات بشأن وجود أو عدم وجود التهديدات في بيئتك. من حيث المبدأ ، يمكن أيضًا تحليل Netflow بشكل مستقل باستخدام حلول فئة NTA ، والتي لديها قاعدة كبيرة من القواعد والخوارزميات للكشف عن النشاط الضار وغير الطبيعي ، قادرة على اكتشاف الحوادث والاستجابة لها بسرعة. يمنحنا تكامل Netflow مع البيانات التي جمعتها SIEM المزيد. تبدأ SIEM في رؤية ما لم تره من قبل ورؤيته في وقت أبكر بكثير مما يمكن أن نتضرر منه. في الوقت نفسه ، لا نحتاج إلى إجراء تغييرات قوية على البنية التحتية للمراقبة الحالية ، نظرًا لأن لدينا بالفعل معدات شبكة ،- تحتاج فقط إلى إعادة توجيه Netflow إلى SIEM ، مباشرة أو من خلال حلول وسيطة. يتيح لي تمكين Netflow أيضًا تحقيق انتصار صغير ولكن سريع - تقريبًا جميع طيارو الحلول لديناتنتهي Cisco Stealthwatch Enterprise بحقيقة أننا نكتشف بعض الانتهاكات لسياسات نظم المعلومات التي لم تشاهدها خدمة أنظمة المعلومات من قبل. سمح Netflow برؤيتها ، وتكاملها مع SIEM ، للحصول على تأثير تآزري من أدوات مراقبة الشبكة المطبقة ونظام النشاط.

تكامل حلول مراقبة Netflow و SIEM