Get best of the week

Integration von Netflow- und SIEM-Überwachungslösungen

SIEMs sind seit langem ein De-facto-Standard bei der Analyse von Sicherheitsereignissen und der Erkennung von Vorfällen (obwohl es eine gewisse Tendenz gibt, SIEM aufzugeben und durch Lösungen für die Verwaltung von Protokollen mit einem Add-On aus Technologien für maschinelles Lernen zu ersetzen), aber die Effektivität dieser Lösung hängt davon ab mit welchen Datenquellen es funktioniert. Normalerweise arbeiten SIEM-Spezialisten jedoch hauptsächlich mit Protokollen, wobei eine so wichtige Informationsquelle wie Netflow außer Acht gelassen wird, mit der Sie etwas sehen können, das häufig nicht in die Protokolle gelangt oder zu spät kommt. Dies wirft eine Reihe von Fragen auf. Warum benötigt eine moderne SIEM-Lösung Netflow-Unterstützung? Was kann SIEM von der Netflow-Analyse erhalten? Welche Option zur Integration von SIEM in Netflow, wenn es Hersteller gibt,die Netflow-Unterstützung direkt in ihre Lösungen einbetten, und es gibt diejenigen, die es vorziehen, mit verschiedenen Netflow-Kollektoren zu arbeiten. Welche Funktionen bietet die Arbeit mit SIEM Netflow? Wir werden darüber reden.

Netflow zur Erkennung von Bedrohungen


In einem früheren ArtikelIch habe bereits die Möglichkeiten der Verwendung von Netflow für die Cybersicherheit beschrieben. Ich möchte Sie daran erinnern, dass Netflow im Gegensatz zu den Protokollen von Netzwerkgeräten oder Rohdatenverkehr ein Protokoll ist, mit dem Sie den Datenverkehr anhand von Metadaten analysieren können, die aus Netzwerksitzungen stammen. Dies sind nicht nur Adressen und Ziel- und Quellports, sondern auch Nachrichtentypen und Codes für ICMP, IP-Diensttypen, IP-Protokolltyp, Netzwerkschnittstellen, Sitzungsdauer, Start- und Endzeiten usw. Wenn die Protokolle normalerweise auf Endgeräten (z. B. Servern, Workstations und DBMS) oder Schutzmitteln erstellt werden, was ist in einer Situation zu tun, in der erstere keine Sicherheitsereignisse generieren oder Sie ihnen keine Sicherheitsmittel zuweisen können?und letztere werden nur am Perimeter installiert und sehen nicht, was innerhalb des Unternehmens- oder Abteilungsnetzwerks passiert? Eine andere Sache ist die Netzwerkausrüstung - Switches und Router (Hardware oder virtuell), drahtlose Zugangspunkte und Controller. Sie werden im Inneren installiert und die Interaktion von Benutzern, Geräten und Anwendungen durchläuft sie immer. Es ist unmöglich, sie zu bestehen! Durch die Übertragung von Daten über diese Interaktion an Netflow (selbst Cisco ASA oder Firepower generieren sie) erhalten wir eine wertvolle Informationsquelle nicht nur für die IT, sondern auch für die Cybersicherheit. Wenn Geräte das Ablaufprotokoll nicht verstehen, können wir spezielle Exporteure, Software- oder Hardwarelösungen verwenden, die Stream-Datensätze für den durch sie geleiteten Datenverkehr generieren (mit Cisco, der Netflow Generation Appliance oderdie Stream-Datensätze für den durch sie geleiteten Datenverkehr generieren (mit Cisco, der Netflow Generation Appliance oderdie Stream-Datensätze für den durch sie geleiteten Datenverkehr generieren (mit Cisco, der Netflow Generation Appliance oderdrahtlose Zugangspunkte und Controller. Sie werden im Inneren installiert und die Interaktion von Benutzern, Geräten und Anwendungen durchläuft sie immer. Es ist unmöglich, sie zu bestehen! Durch die Übertragung von Daten über diese Interaktion an Netflow (selbst Cisco ASA oder Firepower generieren sie) erhalten wir eine wertvolle Informationsquelle nicht nur für die IT, sondern auch für die Cybersicherheit. Wenn Geräte das Ablaufprotokoll nicht verstehen, können wir spezielle Exporteure, Software- oder Hardwarelösungen verwenden, die Stream-Datensätze für den durch sie geleiteten Datenverkehr generieren (mit Cisco, der Netflow Generation Appliance oderdrahtlose Zugangspunkte und Controller. Sie werden im Inneren installiert und die Interaktion von Benutzern, Geräten und Anwendungen durchläuft sie immer. Es ist unmöglich, sie zu bestehen! Durch die Übertragung von Daten über diese Interaktion an Netflow (selbst Cisco ASA oder Firepower generieren sie) erhalten wir eine wertvolle Informationsquelle nicht nur für die IT, sondern auch für die Cybersicherheit. Wenn Geräte das Ablaufprotokoll nicht verstehen, können wir spezielle Exporteure, Software- oder Hardwarelösungen verwenden, die Stream-Datensätze für den durch sie geleiteten Datenverkehr generieren (mit Cisco, der Netflow Generation Appliance oderDurch die Übertragung von Daten über diese Interaktion an Netflow (selbst Cisco ASA oder Firepower generieren sie) erhalten wir eine wertvolle Informationsquelle nicht nur für die IT, sondern auch für die Cybersicherheit. Wenn Geräte das Ablaufprotokoll nicht verstehen, können wir spezielle Exporteure, Software- oder Hardwarelösungen verwenden, die Stream-Datensätze für den durch sie geleiteten Datenverkehr generieren (mit Cisco, der Netflow Generation Appliance oderDurch die Übertragung von Daten über diese Interaktion an Netflow (selbst Cisco ASA oder Firepower generieren sie) erhalten wir eine wertvolle Informationsquelle nicht nur für die IT, sondern auch für die Cybersicherheit. Wenn Geräte das Ablaufprotokoll nicht verstehen, können wir spezielle Exporteure, Software- oder Hardwarelösungen verwenden, die Stream-Datensätze für den durch sie geleiteten Datenverkehr generieren (mit Cisco, der Netflow Generation Appliance oderdie Stream-Datensätze für den durch sie geleiteten Datenverkehr generieren (mit Cisco, der Netflow Generation Appliance oderdie Stream-Datensätze für den durch sie geleiteten Datenverkehr generieren (mit Cisco, der Netflow Generation Appliance oderStealthwatch-Durchflusssensor ). Mithilfe von Algorithmen zum Erkennen von Anomalien oder Signaturen, die Netflow-Streams überlagert sind, sowie Methoden des maschinellen Lernens können Sie Abweichungen vom Referenzverhalten des Netzwerkverkehrs identifizieren, die Bedrohungen der Informationssicherheit oder Probleme mit der IT-Infrastruktur charakterisieren.

Es sei daran erinnert, dass Netflow nicht sagen kann, was im Netzwerkverkehr übertragen wird (obwohl es bereits Technologien gibt, mit denen Sie die von Netflow verwendeten Anwendungen und den schädlichen Code erkennen können), wurde es für andere Aufgaben entwickelt. Aber er kann sagen, wer wie und wie lange mit wem „gesprochen“ hat. Obwohl es verschiedene Versionen von Ablaufprotokollen gibt, können Sie mit den meisten von ihnen die folgenden Daten erfassen:

  • Quell- und Ziel-IP-Adresse
  • Quell- und Zielports
  • Protokoll
  • Art der Leistung
  • Quellschnittstelle
  • Zeitstempel starten und beenden
  • die Menge der übertragenen Informationen.

In einigen Versionen, z. B. in IPFIX oder Netflow v9, können Sie einige Informationen aus dem Datenkörper extrahieren, sodass der Netflow-Analysator (eigenständig oder in SIEM integriert) laufende Anwendungen identifizieren kann. All diese Informationen reichen oft aus, um Anomalien oder sogar Bedrohungen im Netzwerkverkehr zu erkennen.

Bild

Netflow und SIEM: Was ist die Stärke, Bruder?


Was ist, wenn das Zielsystem keine Protokolle generiert oder diese von Eindringlingen deaktiviert werden? Was tun, wenn auf dem Zielsystem einfach keine Sicherheitsfunktionen vorhanden sind, da diese den Prozessor laden und das System verlangsamen? Was tun, wenn ein Mitarbeiter sein persönliches Gerät mitbringt, das nicht mit SIEM verbunden ist? Wir haben immer noch die einzige Informationsquelle - den Netzwerkverkehr, der auf jeden Fall vom Zielgerät generiert wird. Was kann dazu beitragen, einen „sauberen“ Netflow zu identifizieren, der ohne SIEM mithilfe von NTA-Lösungen (Network Traffic Analysis) analysiert werden kann? Hier ist eine kurze Liste solcher Bedrohungen und Anomalien:

  • Schadcode, Ransomware und Crypto Miner
  • Interaktion mit Befehlsservern
  • Netzwerk-Scan
  • Denial-of-Service-Angriffe
  • Datenlecks
  • hacken ssh oder rdp
  • Torrents und andere P2P-Anwendungen
  • ,
  • ..

Und was geben Ihnen die Protokolle, die Ihr SIEM sammelt? Die Möglichkeit, Benutzeraktivitäten auf Knoten, den Zugriff auf Ressourcen, den Ein- und Ausstieg in und aus Systemen, Alarme von Netzwerkgeräten und Sicherheitstools und vieles mehr zu überwachen. Durch die Kombination von Protokollen und Netflow, die zu SIEM kommen und dort analysiert werden, können Sie schnell neue Sitzungen und neuen Datenverkehr von Geräten identifizieren, die gerade angegriffen wurden, einschließlich solcher, die Ihren Umkreis umgehen. Durch die Kombination dieser Datentypen können Sie auch falsch konfigurierte Netzwerksicherheitsfunktionen identifizieren. Netflow ergänzt die traditionellen SIEM-Funktionen um die Fähigkeit, neue Arten von Datenverkehr, seine Bursts, die Interaktion mit externen und internen Ressourcen, Datenlecks, die Verteilung von Schadcode und die Interaktion mit Teamservern zu erkennen.Kapselung der böswilligen Last in zulässige Protokolle usw.

Die Kombination von traditionell verarbeiteten SIEM-Daten mit Netflow ermöglicht es, nicht nur mehr verschiedene Sicherheitsereignisse zu sehen, sondern diese auch schneller zu sehen, wodurch der sogenannte TTD-Parameter (Time-to-Detect) und damit die Reaktionszeit reduziert werden. Es ist klar, dass SIEM- und Netflow-Analyse unabhängig voneinander arbeiten und ihre Arbeit gut erledigen können, aber es ist die Kombination dieser beiden Lösungen, die es Ihnen ermöglicht, einen synergistischen Effekt zu erzielen.

Das Ändern des Verkehrsverhaltens kann auf verdächtiges oder abnormales Verhalten hinweisen. Das Überschreiten des Schwellenwerts für ins Internet hochgeladene Daten kann beispielsweise auf ein Leck hinweisen. Eine Änderung der Größe von DNS-Abfragen und -Antworten im Vergleich zum bereitgestellten RFC kann die Tatsache des Betriebs von Schadcode charakterisieren (laut Cisco-Statistiken verwenden 92% der Malware DNS, um Befehle zu empfangen, Daten herunterzuladen oder Updates herunterzuladen). Erinnerst du dich an die Geschichte mit Equifax? Dann konnten die Angreifer auf das Webportal und dann auf die internen Datenbankserver zugreifen und langsam große Datenmengen nach außen hochladen. Unabhängig davon waren alle diese Ereignisse nicht von großem Interesse und wurden nur gesammelt und mit Netflow-Daten angereichert. Sie ermöglichten es, Vorfälle im Bereich der Informationssicherheit zu identifizieren. Dies ist ein weiterer Fall für Netflow-Analysesysteme.Dies kann nicht standardmäßiges Verhalten sowohl des Webportals erkennen, von dem aus die Abfrage an die Datenbank frequentiert wird, als auch von Datenbanken, die dem Portal plötzlich viele Daten zuweisen. Ich habe bereitsBeschrieb dieses Szenario auf Habr früher. SIEM, das Netflow-Daten empfängt, kann einen zusätzlichen Kontext für Ereignisse abrufen, die von IPS, ITU, Proxys, Antivirenprogrammen, EDR usw. generiert wurden, um effektiver auf den Vorfall zu reagieren.

Ein anderes Beispiel. Erkennung unbekannter Angriffe, für die Intrusion Detection-Systeme keine Signaturen haben - aufgrund der Korrelation von Netzwerkanomalien und Ereignissen von Hosts sowie des Auslösens von Triggern. Das Scannen von 100 Knoten in 3 Minuten kann beispielsweise den Betrieb von Schadcode charakterisieren, der seinen Brückenkopf erweitert. Eine Verlängerung der Antwortzeit vom Server kann einen DDoS-Angriff gegen ihn charakterisieren, und beispielsweise kann eine Nichtübereinstimmung der über das DNS-Protokoll empfangenen und gesendeten Informationsmenge auf ein Datenleck hinweisen. Dies ist ein Fall, den wir uns bereits früher angesehen haben, als ich über die Suche nach einer DNSpionage-Kampagne sprach. Gleichzeitig können Sie feststellen, dass wir in einem Fall nur Netflow analysiert haben und in dem anderen Fall auch Daten von Endgeräten, Sandboxen, einem DNS-Gateway usw. gesammelt haben.

Ein weiterer Bereich, in dem die Integration von Netflow in SIEM hilfreich sein kann, ist das Situationsbewusstsein. Korrelation von Flüssen mit Protokollen, Kontext, Geolokalisierungsinformationen, Benutzeraktivität und Reputationsdaten. In einem früheren Hinweis habe ich beispielsweise einen Fall mit der Erkennung des internen Verkehrs mit Knoten aus dem Iran oder Nordkorea angeführt. Wenn Sie keine Kontakte zu diesen Ländern haben, ist dies möglicherweise ein Zeichen dafür, dass bösartiger Code Informationen stiehlt oder dass regierungsnahe Hacker auf Ihr Unternehmen abzielen. Ein Netzwerkanomalie-Analysesystem kann einen Teil dieser Arbeit ausführen, indem es die entsprechende Anomalie identifiziert. Wenn Sie jedoch auch wissen möchten, welcher Benutzer an diesem Vorfall beteiligt war, benötigen Sie zusätzlichen Kontext in Form von Benutzernamen aus Active Directory.Netflow selbst verarbeitet diese Informationen nicht. Daher müssen wir sie mit Informationen aus AD anreichern. Wenn du benutztCisco Stealthwatch , dazu müssen Sie es nur in Cisco ISE integrieren , das IP- und MAC-Adressen mit bestimmten Benutzern und Geräteprofilen verknüpft. Was ist, wenn Cisco ISE nicht im Netzwerk bereitgestellt wird? Die Aufgabe, Netflow mit Benutzerinformationen anzureichern, liegt in der Verantwortung von SIEM.

Ein anderes Beispiel. Auf meinem Computer wird eine Website ausgeführt, die für eine Reihe von Aufgaben verwendet wird. Aber wie viele normale Benutzer können sich derselben rühmen? Plötzlich erfassen Sie den Datenverkehr, der mit dem Betrieb eines Webservers verbunden ist, von einem Benutzercomputer aus? Oder in dem Segment, in dem sich Benutzer befinden, die an einem Windows-PC arbeiten, sehen Sie plötzlich den Datenverkehr, der dem Linux-Betriebssystem innewohnt. Vielleicht hat dieser „handliche“ Benutzer beschlossen, eine virtuelle Maschine unter Linux zu erstellen, wodurch die Sicherheitsrichtlinie verletzt wurde? Auf diese Weise können Sie auch Dienstprogramme für den Remotezugriff identifizieren (z. B. RAT), Kryptominierer, Cloud- oder Peer-to-Peer-Anwendungen usw.

Wenn Sie ein Befürworter eines Ansatzes eines einzelnen Anbieters sind, verringert der Aufbau eines Sicherheitssystems auf Basis von Cisco-Lösungen Ihre Abhängigkeit von SIEM - allen Cisco-Lösungen, einschließlich Firewalls, E-Mail-Schutz, Sandbox, PC-Schutzlösung ( Cisco AMP for Endpoints ) und usw. kann Daten, Kontext, Sicherheitsereignisse und Befehle direkt untereinander austauschen. Wenn Ihre Infrastruktur jedoch viele verschiedene Lösungen von verschiedenen Herstellern geerbt hat, ist SIEM das Bindeglied, mit dessen Hilfe eine vollständige Lösung aus dem Zoo verschiedener Produkte erstellt werden kann. In jedem Fall erweitert die Analyse des aus der vorhandenen Netzwerkinfrastruktur gesammelten Netzwerkverkehrs in Kombination mit den Daten, die SIEM normalerweise sammelt, den Horizont.die Fähigkeit des IS-Dienstes, mehr zu sehen und schneller zu reagieren.

Vorteile der Verwendung von Netflow in SIEM:

  • Korrelation der Netzwerkaktivität mit anderen Informationen zur Informationssicherheit, die auf der Ebene von Anwendungen und PCs / Servern gesammelt wurden
  • Sie können überwachen, wo ein hohes Risiko für Verstöße gegen Datenschutzgesetze besteht (z. B. GDPR), und Sie können nur die Header oder Metadaten des Netzwerkverkehrs und nicht dessen Inhalt analysieren
  • Erkennung von Anomalien, die die ersten Stadien der Entwicklung eines Vorfalls oder gezielter Angriffe charakterisieren
  • Erfassung und Speicherung verschiedener Daten, die den Vorfall charakterisieren, und Bereitstellung dieser Daten im Rahmen von IS-Untersuchungen oder der Interaktion mit Strafverfolgungsbehörden.

Silberkugel?


Aber denken Sie nicht, dass Netflow die Silberkugel ist, nach der alle so lange gesucht haben. Es hat auch Nachteile. Beispielsweise kann seine Verarbeitung den Prozessor und den Speicher veralteter oder falsch ausgewählter Netzwerkgeräte laden, was sich nachteilig auf die Leistung und die Netzwerkbandbreite auswirken kann. Um effektiv mit Netflow arbeiten zu können, benötigen Sie möglicherweise dessen Hardwareunterstützung oder die Verwendung der sogenannten Exporteure, die den Datenverkehr durch Weiterleiten in Netflow übersetzen (diejenigen, die auf die Einführung von IDS / COB in geschalteten Netzwerken gestoßen sind, haben für eine ähnliche Aufgabe sogenannte Bänder oder Splitter verwendet ) Ich habe bereits zwei Beispiele für solche externen Lösungen angegeben - Cisco Stealthwatch Flow Sensorund die Cisco Netflow Generation Appliance. Angesichts der jüngsten Modernisierung des Netzwerks kann davon ausgegangen werden, dass Ihre Switches und Router bereits die eine oder andere Version von Netflow unterstützen und Sie keine zusätzlichen Exporteure benötigen.

Weitere wissenswerte Netflow-Funktionen sind:

  • Fehlalarme, die mit einer falschen oder unzureichenden Schulung des Analysesystems sowie mit einer Änderung des IT-Betriebs verbunden sein können, über die das Analysesystem noch nicht „informiert“ wurde.
  • verminderte Leistung und Auswirkungen auf den SIEM-Speicher (darüber werden wir noch weiter sprechen)
  • Über Netflow gesammelte Metadaten ermöglichen nicht immer eine vollständige Untersuchung, was möglicherweise Rohdatenverkehr im PCAP-Format erfordert.

SIEM-Integrationsoptionen mit Netflow


Welche der heute auf dem Markt befindlichen SIEMs arbeiten mit Netzwerkverkehr? Ich muss sagen, dass fast alles, aber auf unterschiedliche Weise und oft erfordert dies eine separate bezahlte Lizenz, die wiederum auch in Optionen unterteilt ist. Ich möchte drei Optionen für die Analyse von Netflow in SIEM hervorheben:

  • integrierte Unterstützung für Netflow in SIEM
  • eigene Exporteure / Sensoren zur Erzeugung von Netflow und zur Übertragung an SIEM
  • SIEM-Integration mit externen Lösungen der Klasse Network Traffic Analysis (NTA).

SIEM mit integrierter Netflow-Unterstützung


Beispielsweise verfügt Microfocus ArcSight, das im postsowjetischen SIEM-Bereich sehr beliebt ist, über eine integrierte Unterstützung für Netflow. Mit dieser Funktion kann SIEM Netzwerkflüsse im laufenden Betrieb mit anderen Sicherheitsereignissen korrelieren oder diese mit Daten aus Threat Intelligence-Quellen anreichern. Diese Option hat jedoch ihre Nachteile, nämlich:

  • -, , . ( , « », )?
  • -, Netflow SIEM, Netflow . ? SIEM , , , ? - «» Netflow ?

Bild

  • -, . ? VPN- ( ).
  • -, Netflow SIEM FPS ?
  • , , flow- (. ). Netflow, SIEM. Netflow — v5, , v9, IPv6, MPLS . Flexible Netflow ( Netflow v9), IPFIX, Netflow v10, sFlow, , , , NetStream, Jflow .. SIEM?

Wenn Sie nur vor der Wahl von SIEM stehen, nehmen Sie in die Liste der betrachteten Parameter auch den Netflow-Typ auf, der von Ihrem Gerät generiert wird. Wenn Sie SIEM bereits gekauft haben, haben Sie nicht viel Auswahl. In diesem Fall sollten Sie die folgenden Optionen in Betracht ziehen:

  • Ein separater IS-Netzwerkanomalie-Analysator (z. B. Cisco Stealthwatch), der die gesamte Analyse selbst durchführt und die Ergebnisse an SIEM weitergibt
  • Separater Netflow-Kollektor, der SIEM-Zusammenfassungsanalysen zu Netzwerkflüssen übermitteln kann, und SIEM analysiert diese Daten bereits.

Wie viel in Gramm zu hängen, das heißt in Bytes gespeichert?


Bevor wir mit der nächsten Option zur Integration von Netflow in SIEM fortfahren, ist es übrigens an der Zeit, die Frage zu beantworten, wie viele Netflow-Daten wir in unserem System zur Analyse von Sicherheitsereignissen erhalten. Für Abhilfemaßnahmen oder regelmäßige Protokolle gibt es eine beträchtliche Anzahl von Beispielen und Statistiken zu EPS (Ereignisse pro Sekunde). Es gibt nicht viele Daten zu FPS (Fluss pro Sekunde). Das durchschnittliche Volumen von Netflow ist direkt proportional zur Anzahl der eindeutigen TCP / UDP-Sockets, die von Clientgeräten und Servern in Ihrem Netzwerk erstellt wurden. Dies kann von Fall zu Fall sehr unterschiedlich sein. Die Einbeziehung von Stichproben (dh die selektive Übertragung von Netflow-Daten) wirkt sich auch auf die Gesamtdatenmenge aus.

Wie viele FPS können wir also generieren? Dies hängt natürlich stark von der Situation ab, aber ich würde sagen, dass diese Zahl für eine normale Workstation im Durchschnitt 1,5 FPS und 6 FPS bei Spitzenlast beträgt. Mit anderen Worten, wenn Ihr Netzwerk 10.000 Knoten hat und die durchschnittliche FPS für jeden von ihnen 4 beträgt, generiert das Netzwerk ungefähr 40.000 Flüsse pro Sekunde. Warum so viel? Wie ich oben geschrieben habe, hängt es davon ab, wie viele eindeutige Verbindungen Ihre Anwendungen oder Ihr Netzwerk generieren. Heutzutage laufen auf den Computern der Benutzer viele „gesprächige“ Programme, die entweder aktiv Inhalte aus dem Internet wie Browser laden oder ständig nach Updates wie Antivirenprogrammen suchen. Hier ist eine Beispielliste von Software und Diensten, die die Anzahl der FPS im Netzwerk aktiv erhöhen:

  • Adobe, Virenschutzprogramme, Java
  • Skype
  • E-Mail-Clients
  • Netbios
  • Browser
  • Feed-orientierte Apps (Twitter, Nachrichten, Telegramm usw.).

Eine genauere Antwort zeigt Ihnen die Analyse von Netflow in den von Ihnen benötigten Netzwerksegmenten, die mit nur einem Befehl auf einem Netzwerkgerät (je nach Hersteller) durchgeführt wird.

Die Länge eines Netflow v5-Datensatzes beträgt 48 Byte. Für die 9. Version von Netflow gibt es keine so genaue Zahl, da Sie mit dieser Version beschreiben können, was Sie in den Datensatz aufnehmen werden, und daher kann seine Länge stark variieren. Wenn wir jedoch ungefähr 100 Bytes für die durchschnittliche Länge eines Stream-Datensatzes benötigen (und jedes Netzwerkpaket 20 bis 30 Streams generieren kann), können wir abschätzen, wie viele Daten generiert und an SIEM übertragen werden. Gleichzeitig kann das SIEM-Speichervolumen für diese Daten größer sein (dies hängt vom Speicherformat, der Indizierung, Komprimierung, Sicherung usw. ab). Denken Sie bei der Berechnung der Anzahl der FPS übrigens daran, dass im Rahmen eines DDoS-Angriffs das Konzept des „durchschnittlichen FPS“ nicht funktioniert, da jede Verbindung, jedes TCP-SYN-Paket ein separater Stream ist und bei einem leistungsstarken DDoS-Angriff die Anzahl der FPS in Ihr Peak wird sehr groß sein.

Ich habe oben erwähnt, dass Sie Netflow beim Übertragen auf das zentrale SIEM über das Internet „steuern“ müssen. Denken Sie nicht, dass die Generierung von Netflow das Netzwerk stark belastet und seine Bandbreite reduziert. Laut unserer Forschung erhöht sich die Last für die Schnittstelle, von der die Netzwerktelemetrie exportiert wird, um etwa 1-2%, da in Netflow nur Kursinformationen und zusätzliche Telemetrie übertragen werden und nicht der gesamte Datenkörper (tatsächlich mithilfe von Stichproben und modernen Protokollversionen) Netflow Dieser Wert kann um eine Größenordnung noch geringer sein und bei 0,1% variieren.

Sammeln kann nicht analysiert werden


Angenommen, Sie haben sich dennoch für einen unformatierten Netflow auf Ihrem SIEM entschieden. Dieses Szenario hat eine andere Nuance. Es ist sehr wichtig zu verstehen, dass die Unterstützung von SIflow Netflow nicht ausreicht. Es ist äußerst wichtig, diesen Netflow unter Sicherheitsgesichtspunkten handhaben zu können, dh Regeln für die Analyse und Korrelation von integrierten Netflow-Streams zu haben, die ständig aktualisiert und für neue Arten von Angriffen aktualisiert werden. Angenommen, Netflow gibt uns dieses Bild:

Bild

Wir sehen einen Anstieg im SSH-Protokoll. Tatsächlich sehen wir jetzt dasselbe Bild bei Angriffen auf das RDP-Protokoll. Dies ist das Erraten von Passwörtern. Dies kann jedoch nur unter der Bedingung offengelegt werden, dass wir eine entsprechende Regel haben, die aus einer Reihe von Netflow-Streams ein Ereignis "Password Matching" sammelt. Dann können wir sagen, dass SIEM über eine integrierte Netflow-Unterstützung verfügt und diese unter Sicherheitsgesichtspunkten analysieren kann. Wenn Sie diesen Pfad wählen, sollten Sie den Verkäufer fragen, was SIEM in Netflow „out of the box“ analysieren kann und wie mühsam die Beschreibung Ihrer eigenen Netflow-Prozessoren ist. Haben Sie Spezialisten, die dies tun? Wir sind uns bewusst, dass das Schreiben eines Connectors in Netflow nicht so schwierig ist, im Gegensatz zu den Regeln für die Verarbeitung und das Erkennen von Anomalien, die ständige Arbeit erfordern.Es geht darum, die Engine eines anderen für Ihr IDS (Snort, Zeek oder Suricata) zu kopieren, aber nicht in der Lage zu sein, fortlaufend Signaturen für neu entdeckte Exploits und Angriffe zu schreiben. Im obigen Beispiel sollte das System selbst einen Anstieg des Datenverkehrs auf SSH erkennen und selbst sagen, dass es sich um Angriffe zum Erraten von Kennwörtern auf SSH handelt (entweder Telnet, RDP oder FTP). Es könnte so aussehen (zum BeispielCisco Stealthwatch Enterprise ):

Bild

Anschließend können Sie diesen Vorfall mithilfe der Funktionen von SIEM oder einem separaten Netflow-Analysetool auf einer tieferen Ebene untersuchen. Ohne die Fähigkeit, Netflow in Bezug auf Informationssicherheit zu "verstehen", ist das Vorhandensein einer integrierten Unterstützung für Netflow ein zweifelhafter Vorteil für SIEM.

Bild

SIEM mit eigenem Netflow-Exporteur


Ein anderer SIEM-Marktteilnehmer, LogRhythm, bietet wiederum einen zusätzlichen Exporteur von NetMon-Streams an, der in einer verteilten Infrastruktur sowie in einem Netzwerk nützlich sein kann, dessen Geräte Netflow nicht unterstützen und für den durch ihn übertragenen Netzwerkverkehr einen separaten Netflow-Generator erfordert. Tatsächlich übernimmt der SIEM-Hersteller in dieser Ausführungsform die Funktionen von Netzwerkanbietern, entwickelt eine Lösung zum Generieren von Netflow und reduziert die Belastung von SIEM, wodurch die Notwendigkeit entfällt, rohen Netflow zu verarbeiten und zu speichern. Die Situation ähnelt der Unterstützung von SSL Offload auf vielen Firewalls der neuen Generation. Ja, es existiert dort, aber bei einem intensiven Austausch von HTTPS-Verkehr führt die zusätzliche Belastung von NGFW zu einer signifikanten Verringerung seines Durchsatzes.Daher wird in stark ausgelasteten Architekturen normalerweise ein separates Gerät für diese Aufgabe zugewiesen, das die Aufgabe übernimmt, den SSL-Verkehr zu entschlüsseln und ihn dann an NGFW zurückzugeben. Das gleiche passiert mit der SIEM Netflow-Verarbeitung in diesem Szenario.

Bild

Es ist klar, dass dieses Szenario auch einen Nachteil hat - eine Erhöhung des Endpreises der Lösung, da Sie neben der Zahlung von Lizenzen für die Anzahl der analysierten FPS auch zusätzliche Sensoren bezahlen müssen, die den Datenverkehr durch sich selbst leiten und Netflow generieren. Darüber hinaus müssen Sie Änderungen an der Netzwerkarchitektur vornehmen, dies muss jedoch trotzdem erfolgen, sodass ich es nicht als Nachteil, sondern als Merkmal dieses Szenarios bezeichnen würde. Wenn Ihre Netzwerkgeräte nicht wissen, wie Netflow generiert wird, und Sie Netzwerkanomalien analysieren möchten, können Sie nur separate Sensoren verwenden. Die Frage ist nur, was billiger ist - kaufen Sie Sensoren vom SIEM-Hersteller oder verwenden Sie Sensoren von Netzwerkherstellern (z. B. Cisco Netflow Generation Appliance) oder Entwicklern von Tools zur Analyse von Netzwerkanomalien (z. B.Cisco Stealthwatch Enterprise Flow Sensor). Bei dieser Option lohnt es sich auch herauszufinden, ob SIEM in der Lage ist, Netflow unter dem Gesichtspunkt der Informationssicherheit zu analysieren, oder ob nur Konnektoren in Form von Exporteuren / Sensoren herausgenommen werden (normalerweise).

SIEM, NTA


Die dritte Option, die Integration in Lösungen der NTA-Klasse, liegt auf der Hand, da NTA tatsächlich derselbe Generator für Sicherheitsereignisse ist wie NGFW, Antivirus, Sicherheitsscanner, IPS usw. Dieses Szenario ist jedoch insofern interessant, als Sie die beiden vorhandenen Sicherheitsanalysetools kombinieren, aber separat damit arbeiten können. Mit NTA können Sie eine eingehende Analyse des Netzwerkverkehrs durchführen, bösartigen Code, DDoS-Angriffe, Informationslecks erkennen, Remotebenutzer überwachen ... Mit einem guten Tool zur Analyse des Netzwerkverkehrs können Sie gleichzeitig separate Sensoren in den Segmenten verwenden, in denen Netzwerkgeräte Netflow oder dessen nicht unterstützen Die Einbeziehung führt zu einer Erhöhung der Belastung der Netzwerkgeräte. Mit NTA in diesem Szenario können Sie Netflow (in verschiedenen Versionen) aggregieren, verarbeiten und analysieren.und auf SIEM nur Alarme geben, wenn die eine oder andere böswillige Aktivität entdeckt wird. Diese Option ist natürlich auch dann sinnvoll, wenn Sie oder Ihre IT-Mitarbeiter bereits über eine NTA-Klassenlösung zur Fehlerbehebung im Netzwerk verfügen und sie auch für Netzwerksicherheitsaufgaben verwendet werden kann. Oder wenn Sie im Gegenteil die Kosten für die NTA-Lösung mit Ihren Netzwerkern teilen möchten, die sie für ihre Aufgaben verwenden, und mit Ihnen für Ihre.wer wird es für ihre Aufgaben verwenden, und Sie für Ihre.wer wird es für ihre Aufgaben verwenden, und Sie für Ihre.

Der Nachteil dieser Option sind die zusätzlichen Kosten einer NTA-Klassenlösung sowie die Notwendigkeit einer doppelten Schulung von Spezialisten in den Grundlagen der Arbeit mit zwei verschiedenen Lösungen. Andererseits ermöglicht eine separate Lösung zur Analyse des Netzwerkverkehrs tiefere Untersuchungen von Vorfällen als mit einem einzelnen SIEM mit integrierter Netflow-Unterstützung und flexibleren Anwendungen als mit dem SIEM-Hersteller, der über separate Netflow-Sensoren verfügt. Wenn wir jedoch über eine separate Lösung der NTA-Klasse sprechen, meine ich die Sicherheitslösung und nicht nur ein Tool zur Analyse des Netzwerkverkehrs oder zur Überwachung der Netzwerkleistung. Beispielsweise analysiert der bereits erwähnte SolarWinds NTA den Netzwerkverkehr gut, um IT-Aufgaben zu unterstützen, ist jedoch aus Gründen der Informationssicherheit sehr schlecht.Gleiches gilt für 5View von InfoVista oder Visual TruView von Fluke. Und das gleiche zum BeispielCisco Stealthwatch Enterprise kann von beiden im Unternehmen verwendet werden.

Bild

Worauf muss man bei der Auswahl achten?


Bei der Auswahl einer NTA-Lösung aus Sicherheitsgründen sowie bei der Analyse von Exporteuren / Sensoren, die von SIEM- oder SIEM-Anbietern mit Netflow-Unterstützung bereitgestellt werden, würde ich empfehlen, die folgenden Kriterien zu beachten:

  • Arten von erkennbaren böswilligen Aktivitäten. Sie verwenden ein Tool zur Überwachung der Informationssicherheit. Es ist logisch anzunehmen, dass es in der Lage sein sollte, verschiedene Anomalien und Bedrohungen im Zusammenhang mit der Informationssicherheit „out of the box“ zu identifizieren. Darüber hinaus ist dieser Parameter in drei Teile unterteilt: integrierte Algorithmen zum Erkennen verschiedener Arten von Bedrohungen der Informationssicherheit, Schreiben von benutzerdefinierten Handlern / Regeln und Unterstützung externer Quellen für Threat Intelligence, um die analysierten Abläufe mit Bedrohungsdaten anzureichern.
  • Netflow. , , .
  • . , 1 ( FPS)? 60 FPS, NTA 40 , , , , , 80 FPS.
  • . , flat, … , . , . . , (, , Argus, Fluke, Plixer, Riverbed SolarWinds), , . , . , ; , . , , Cisco Stealthwatch.
  • . , , , , . — NTA. , Cisco nfdump OSU FlowTools Lancope, .
  • . , - . :

    • /
    • flow cache ( cash flow :-)
    • . MAC-, VLAN, MPLS, TCP, , , , , ( IPFIX ).
  • . Netflow SIEM, SIEM NTA . , , (, ) REST API, syslog ..

Wenn es darum geht, was unabhängig von SIEM zu wählen ist, würde ich auch raten, die Möglichkeiten der Bedrohungssuche zu prüfen, die die gewählte Lösung bietet. Da das Thema der Notiz jedoch etwas anders gewählt wurde, werden wir diesen Aspekt jetzt nicht berücksichtigen.

Preisfrage


Wenn Sie diese drei Optionen unter dem Gesichtspunkt ihrer Kosten betrachten, wird sich die dritte Option unter dem Gesichtspunkt der Investitionsausgaben als die teuerste herausstellen (vorbehaltlich der gleichen Funktionen für die Netflow-Analyse in allen drei Szenarien). Es ist verständlich. Zusätzlich zu den Kosten für SIEM benötigen Sie eine separate Lösung für die Analyse des Netzwerkverkehrs, die mindestens aus einem Steuerungssystem und der erforderlichen Anzahl von Sammlern besteht, die Netflow von verschiedenen Exporteuren / Sensoren sammeln. Unabhängig davon, wie stark Sie die Abdeckung Ihres Netzwerks mit neuen Exporteuren / Sensoren erweitern, hat dies keine Auswirkungen auf die Kosten für SIEM und die Infrastruktur, da es mit bereits verarbeiteten Alarmen und nicht mit rohen Netflow-Streams funktioniert. welche (Signale) mehrere Größenordnungen weniger sein werden.

Die erste Option erscheint unter dem Gesichtspunkt des Preises am attraktivsten, da wir für die Schulung von Analysten und NTA-Administratoren oder für zusätzliche Exporteure / Sensoren keine zusätzlichen Kosten zahlen müssen. Wissen Sie, übertragen Sie Netflow-Streams an SIEM und alle. Die Infrastrukturkosten für SIEM steigen jedoch erheblich, da Sie rohe Netflow-Streams speichern müssen, wodurch Ihr vorhandener Speicher erweitert werden muss. Die zweite Option liegt zwischen den beiden Extremen, sowohl in Bezug auf die Netflow-Analysefunktionen als auch in Bezug auf die Kosten. In jedem Fall lohnt es sich bei den ersten beiden Optionen, die Gesamtbetriebskosten der Lösung anhand der Herausforderungen sowie der aktuellen und erwarteten FPS und infolgedessen der Änderungen der Lizenzkosten für SIEM und der Speicherung für die SIEM-Hersteller zu erfragen. Nehmen wir zum BeispielLogRhythm und sein Subsystem für die Netflow-Analyse. Es gibt mindestens drei Optionen für die Implementierung und folglich für die Preisgestaltung. Die jüngste Option, Freemium, kann nur Alarme an SIEM senden, die Bandbreite darf 1 GB / s nicht überschreiten, die Speicherkapazität beträgt nur 1 GB (dies entspricht etwa einem Tag Netflow-Speicher ohne Stichproben), die Indexspeicherdauer beträgt nicht mehr als 3 Tage. und es gibt keine Korrelation mit zusätzlichen Datenquellen, und der Support funktioniert nur online und über die Community. In der nächsten Version, NetMon, sind die Indikatoren besser (Bandbreite bis zu 10 GB / s für alle Exporteure, Speicherplatz ist unbegrenzt, der Index wird bis zu einem Monat gespeichert, es besteht jedoch auch keine Korrelation mit anderen Quellen). Und nur in der Premium-Version von NetworkXDR gibt es keine Einschränkungen, aber es steht als "ein Kilometer Moskauer Straßen", das heißt nicht billig.

In einem der Projekte wurden wir mit der Tatsache konfrontiert, dass bei einem täglichen Netzwerk-Telemetrievolumen von 1 TB und dem Senden an SIEM mit integrierter Netflow-Unterstützung die Gesamtkosten der Lösung etwa 600.000 US-Dollar betrugen (sogar vor dem nächsten Kurssprung). Gleichzeitig blieb ein Teil dieser Daten aufgrund des Fehlens geeigneter Regeln im SIEM und im Duplikat unverarbeitet. Die Verwendung einer separaten NTA-Lösung (in unserem Fall Cisco Stealthwatch Enterprise ) führte zu einer Reduzierung des an SIEM übertragenen Datenvolumens um 80%, und die Kosten für die Lösung sanken auf 99.000 US-Dollar. Die Mathematik mag von Projekt zu Projekt unterschiedlich sein, aber wir haben festgestellt, dass die SIEM-Infrastruktur umso teurer ist, je mehr Netflow wir verarbeiten müssen. Warum so?

Schauen wir uns ein Beispiel an. Wenn ein Benutzer eine Verbindung zum Server herstellt, behandeln wir unter dem Gesichtspunkt der klassischen Analyse von Informationssicherheitsereignissen nur ein Ereignis, das wir vom Server „entfernen“, indem wir es beispielsweise über ein Syslog an SIEM senden (tatsächlich gibt es zwei Ereignisse - einen Versuch Verbindung und deren Ergebnis). Wenn dieses Ereignis in Netzwerkkomponenten zerlegt wird, werden wir sehen, dass um eine Größenordnung mehr Threads generiert werden. Beispielsweise beträgt die durchschnittliche Anzahl von "Hop" (Hop) vom Client zum Server im durchschnittlichen Netzwerk 5-6. Jeder Switch oder Router, über den die Anforderung vom Client zur Serverseite weitergeleitet wird, generiert seine Netflow-Einträge, die den durchlaufenden Datenverkehr beschreiben. Darüber hinaus erfolgt dies für jede Sitzungsrichtung (Anforderung und Antwort) separat. Es stellt sich heraus, dass dort,Wenn auf Anwendungsebene nur 1-2 Ereignisse generiert wurden, waren für Netflow-Flows mindestens zehnmal mehr erforderlich (sogar noch mehr, da ein Netzwerkpaket etwa 20 bis 30 Netflow-Flows generiert). Und wir müssen nicht nur für all diese Dutzende von Threads bezahlen (obwohl das Ereignis immer noch einer ist) und Speicherplatz für ihre Speicherung zuweisen. Daher muss SIEM sie auch verarbeiten, Duplikate entfernen, multidirektionale Flows innerhalb einer Sitzung kombinieren und diese Daten erst dann mit anderen Ereignissen korrelieren. Daher können die Gesamtkosten einer scheinbar offensichtlichen Lösung höher sein als bei einem separaten Netflow-Exporteur oder einer in SIEM integrierten eigenständigen Lösung zur Analyse von Netzwerkanomalien.Ein Netzwerkpaket generiert also ungefähr 20 bis 30 Netflow-Streams. Und wir müssen nicht nur für all diese Dutzende von Threads bezahlen (obwohl das Ereignis immer noch einer ist) und Speicherplatz für ihre Speicherung zuweisen. Daher muss SIEM sie auch verarbeiten, Duplikate entfernen, multidirektionale Flows innerhalb einer Sitzung kombinieren und diese Daten erst dann mit anderen Ereignissen korrelieren. Daher können die Gesamtkosten einer scheinbar offensichtlichen Lösung höher sein als bei einem separaten Netflow-Exporteur oder einer in SIEM integrierten eigenständigen Lösung zur Analyse von Netzwerkanomalien.Ein Netzwerkpaket generiert also ungefähr 20 bis 30 Netflow-Streams. Und wir müssen nicht nur für all diese Dutzende von Threads bezahlen (obwohl das Ereignis immer noch einer ist) und Speicherplatz für ihre Speicherung zuweisen. Daher muss SIEM sie auch verarbeiten, Duplikate entfernen, multidirektionale Flows innerhalb einer Sitzung kombinieren und diese Daten erst dann mit anderen Ereignissen korrelieren. Daher können die Gesamtkosten einer scheinbar offensichtlichen Lösung höher sein als bei einem separaten Netflow-Exporteur oder einer in SIEM integrierten eigenständigen Lösung zur Analyse von Netzwerkanomalien.multidirektionale Flüsse innerhalb einer Sitzung zu kombinieren und diese Daten erst dann mit anderen Ereignissen zu korrelieren. Daher können die Gesamtkosten einer scheinbar offensichtlichen Lösung höher sein als bei einem separaten Netflow-Exporteur oder einer in SIEM integrierten eigenständigen Lösung zur Analyse von Netzwerkanomalien.multidirektionale Flüsse innerhalb einer Sitzung zu kombinieren und diese Daten erst dann mit anderen Ereignissen zu korrelieren. Daher können die Gesamtkosten einer scheinbar offensichtlichen Lösung höher sein als bei einem separaten Netflow-Exporteur oder einer in SIEM integrierten eigenständigen Lösung zur Analyse von Netzwerkanomalien.

Solche externen Netflow-Analysatoren können in einem von zwei Szenarien verwendet werden. Die erste ist die Übertragung einer optimierten Telemetrie an SIEM, die von Wiederholungen befreit (dedupliziert) ist und multidirektionale Streams kombiniert. Aufgrund unserer Erfahrung (und Stealthwatch Enterprise kann in diesem Modus arbeiten) kann ich sagen, dass dies eine sechsfache Reduzierung des an SIEM übertragenen Telemetrievolumens bedeutet, das in diesem Szenario Netflow unter Sicherheitsgesichtspunkten weiterhin analysieren sollte.

Bild

Im zweiten Szenario wird davon ausgegangen, dass die gesamte Verarbeitung mit einer Lösung der NTA-Klasse ausgeführt wird und nur Alarme, die als Ergebnis der Netflow-Verarbeitung empfangen wurden, in SIEM empfangen werden. Diese Option reduziert noch mehr Daten, die an SIEM gesendet werden, und senkt die Kosten für Lizenzen und Infrastruktur. Ja, und SIEM ist nicht mehr erforderlich, um den unformatierten Netflow analysieren zu können. Dies erweitert die Möglichkeiten zur Auswahl von Tools zur Analyse von Informationssicherheitsereignissen.

Bild

Gibt es Alternativen?


Nachdem wir die Optionen für die Verwendung von Netflow in SIEM untersucht haben, um mehr Sicherheitsereignisse als ohne Netflow zu erkennen, wollen wir uns mögliche Alternativen ansehen.

Netzwerkdiagnosetools


Sie können versuchen, die Netzwerkdiagnosetools zu verwenden, mit denen die Netzwerkbandbreite, die Verfügbarkeit interner Knoten und Segmente, Spitzenlasten usw. bewertet werden. Zum Beispiel SolarWinds NetFlow Traffic Analyzer. Diese Lösungen sind nicht dafür ausgelegt, IS-Anomalien und -Drohungen zu erkennen, sondern können verwendet werden, um Flussinformationen an SIEM zu übertragen, das möglicherweise Netflow analysieren kann. Dadurch wird SIEM geladen, wie oben beschrieben, und Sie müssen sich entscheiden, ob Sie dazu bereit sind. Es ist zwar sinnvoll, zunächst zu klären, ob der Netzwerkanalysator Netflow-Daten an externe Systeme senden kann. Manchmal können sie nur zusammenfassende Statistiken ausgeben oder Alarme generieren, was für IS-Aufgaben eindeutig nicht ausreicht.

Bild

Intrusion Detection Systems und NGFW


Netzwerk-IPS und NGFW sind eine weitere Alternative. Sie können in den Netzwerkverkehr hineinschauen und viele Bedrohungen durch einen umfassenden Netzwerkinspektionsmechanismus erkennen ... aber am Rand. Normalerweise befinden sich NGFW und IPS jedoch an der Grenze zwischen Unternehmensnetzwerk und Internet und sehen nur, was durch sie hindurchgeht. Die Installation dieser Geräte, "bügeln" oder virtuell, an jedem Ort, an dem Sie interessiert sind, ist zu teuer und in einigen Fällen technisch unmöglich. In Bezug auf die Grenze oder den Umfang ist zu beachten, dass die Schnittstelle zwischen dem Rechenzentrum des Unternehmens und den Benutzersegmenten auch die Grenze ist. Und auch die Schnittstelle zwischen Unternehmens- und Industrienetzwerk. In jedem Fall kann die Installation zusätzlicher IPS- oder NGFW-Sensoren Ihre Brieftasche schmerzhaft treffen, während Netflow von bereits gekauften und implementierten Netzwerkgeräten gesammelt wird.

Tools zur Untersuchung von Netzwerkvorfällen


Mit den NFT-Klassenlösungen (Network Forensics Tool) können Sie den Netzwerkverkehr speichern, verarbeiten und analysieren, um Vorfälle zu untersuchen. Es gibt jedoch einen signifikanten Unterschied zwischen dieser Art von Lösung und NTA - NFT arbeitet mit einer vollständigen Kopie des Datenverkehrs, dh normalerweise mit PCAP-Dateien, und NTA mit Aufzeichnungen darüber. Und wenn Netflow-Analyselösungen fast in Echtzeit funktionieren, dann NFT - mit einer erheblichen Verzögerung. Darüber hinaus tritt bei jeder Lösung, die mit PCAP funktioniert (oder auf andere Weise eine Kopie des gesamten Netzwerkverkehrs erfasst und speichert), das Problem auf, dass alle gesammelten Daten gespeichert werden.

Stellen Sie sich vor, Sie haben einen Port an einem 1-Gbit / s-Netzwerkgerät. Mit einer Paketlänge von 64 Bytes kann dieser Port 1953125 Pakete pro Sekunde und mit einer Länge von 1500 Bytes - 83.333 Pakete - passieren. Das heißt, abhängig von der Länge des Pakets (und dies hängt von den Anwendungen im Netzwerk ab) haben wir ungefähr 80.000 bis 2 Millionen Pakete pro Sekunde, die wir speichern müssen. An einem Tag erlaubt ein solcher Port 86400 Gbit / s oder fast 11 TB. Fast 4 PB werden im Laufe des Jahres ausgeführt, und dies gilt nur für einen Port, von dem wir Tausende und Zehntausende in unserem Netzwerk haben können. Selbst die selektive Speicherung von Verkehr wird unser Leben nicht wesentlich erleichtern. Daher werden Lösungen der NFT-Klasse benötigt, die Netflow-Analysatoren jedoch nicht ersetzen können. Dies sind Tools, die verschiedene Aufgaben lösen - Überwachung und Untersuchung von Vorfällen.In der Regel arbeiten diese Lösungen paarweise. Mit Netflow können wir Vorfälle identifizieren, und NFT sammelt bereits detaillierte Daten dazu in Form der Erfassung des gesamten Netzwerkverkehrs.

" Es gibt jedoch SIEM mit NFT, z. B. IBM QRadar Incident Forensics oder RSA Security Analytics, mit denen Sie mit einer vollständigen Kopie des Netzwerkverkehrs arbeiten können und alle Netflow-Metadaten automatisch in SIEM verfügbar sind"Ja, das gibt es! Darüber hinaus besteht der Vorteil dieser Lösung in der Möglichkeit, alle interessierenden Netzwerksitzungen zu rekonstruieren und zu visualisieren, was die Untersuchung von Vorfällen erleichtern kann. Mit SIEM können Sie den Platz eines Angreifers einnehmen und alles sehen, was er sieht. Aber diese Würde ist verborgen und ein schwerwiegender Nachteil, den ich oben erwähnt habe, ist, dass das Speichern einer vollständigen Kopie des Netzwerkverkehrs einen großen, nicht so großen Speicher erfordert, der als separates SIEM oder sogar mehr kosten kann (mehr als nur das Speichern von nur rohem Netflow) ). Möglicherweise müssen Sie auswählen, welche bestimmten Sitzungen gespeichert werden sollen, um Platz zu sparen. Dies kann dazu führen, dass Datenverkehr verloren geht. Wenn die gesetzlichen Anforderungen für die Speicherung von Daten im Zusammenhang mit Vorfällen eingehalten werden,Sie müssen sie brechen oder zusätzliches Geld für die Lagerung bezahlen. Ein weiteres Merkmal dieser Lösung ist die Notwendigkeit, Datenverkehr zu speichern, der bereits in SIEM entschlüsselt wurde. Dies bedeutet, dass Sie die Architektur Ihres Überwachungssystems überprüfen müssen, um Datenverkehr entschlüsseln und an SIEM senden zu können. Und vergessen Sie nicht, dass sich solche Lösungen immer noch auf die Durchführung von Untersuchungen konzentrieren, für die qualifiziertes Personal erforderlich ist, und nicht auf die Erkennung von Anomalien und Bedrohungen mithilfe vorgefertigter Algorithmen.Solche Entscheidungen konzentrieren sich jedoch auf die Durchführung von Untersuchungen, für die qualifiziertes Personal erforderlich ist, und nicht auf die Erkennung von Anomalien und Bedrohungen mithilfe vorgefertigter Algorithmen.Solche Entscheidungen konzentrieren sich jedoch auf die Durchführung von Untersuchungen, für die qualifiziertes Personal erforderlich ist, und nicht auf die Erkennung von Anomalien und Bedrohungen mithilfe vorgefertigter Algorithmen.

In diesem Szenario würde ich immer noch die anfängliche Analyse des Netzwerkverkehrs mit Netflow betrachten und erst dann für die Ereignisse und Vorfälle, die für mich von Interesse sind, die Aufzeichnung des Netzwerkverkehrs aktivieren. Dadurch werden Ressourcen für die Speicherung von "allem" gespart und nicht ausgegeben.

Fazit


Also, um es kurz zusammenzufassen. Netflow ist eine wertvolle Datenquelle für die Überwachung der Sicherheit von Unternehmens- und Abteilungsnetzwerken. Oft ist dies die einzige, die erfasst werden kann und auf deren Grundlage Sie Entscheidungen über das Vorhandensein oder Fehlen von Bedrohungen in Ihrer Umgebung treffen können. Grundsätzlich kann Netflow auch unabhängig mithilfe von NTA-Klassenlösungen analysiert werden, die über eine große Datenbank mit Regeln und Algorithmen zur Erkennung böswilliger und abnormaler Aktivitäten verfügen und in der Lage sind, Vorfälle schnell zu erkennen und darauf zu reagieren. Die Integration von Netflow in die von SIEM gesammelten Daten bietet uns viel mehr. SIEM beginnt zu sehen, was es vorher nicht gesehen hat und sieht es viel früher, als wir verletzt werden können. Gleichzeitig müssen wir keine starken Änderungen an der vorhandenen Überwachungsinfrastruktur vornehmen, da wir bereits über Netzwerkgeräte verfügen.- Sie müssen Netflow nur direkt oder über Zwischenlösungen zu SIEM umleiten. Durch die Aktivierung von Netflow kann ich auch einen kleinen, aber schnellen Sieg erzielen - fast alle unsere LösungspilotenCisco Stealthwatch Enterprise endet mit der Tatsache, dass wir bestimmte Verstöße gegen IS-Richtlinien feststellen, die zuvor vom IS-Dienst nicht erkannt wurden. Mit Netflow konnten sie gesehen und in SIEM integriert werden, um einen synergistischen Effekt aus den angewendeten Netzwerküberwachungstools und dem Aktivitätssystem zu erzielen.

More articles:


All Articles