🍑 🔐 🙌🏽 Intégration des solutions de surveillance Netflow et SIEM ⛹🏻 👩🏽‍🍳 😩

Les SIEM sont depuis longtemps devenus une norme de facto dans l'analyse des événements de sécurité et la détection des incidents (bien qu'il y ait un certain mouvement vers l'abandon du SIEM et son remplacement par des solutions de gestion des journaux avec un module complémentaire des technologies d'apprentissage automatique), mais l'efficacité de cette solution dépend de avec quelles sources de données il fonctionne. Pourtant, généralement, les spécialistes SIEM travaillent principalement avec des journaux, laissant de côté une source d'informations aussi importante que Netflow, qui vous permet de voir quelque chose qui souvent ne pénètre pas dans les journaux ou obtient, mais trop tard. Cela soulève un certain nombre de questions. Pourquoi une solution SIEM moderne a-t-elle besoin du support Netflow? Que peut tirer SIEM de l'analyse Netflow? Quelle option pour intégrer SIEM avec Netflow s'il y a des fabricants,qui intègrent le support Netflow directement dans leurs solutions, et il y a ceux qui préfèrent travailler avec différents collecteurs Netflow. Quelles sont les fonctionnalités de travail avec SIEM Netflow? Nous en parlerons.

Netflow pour la détection des menaces

Dans un article précédentJ'ai déjà décrit les possibilités d'utilisation de Netflow pour la cybersécurité. Permettez-moi de vous rappeler que, contrairement aux journaux des équipements réseau ou du trafic brut, Netflow est un protocole qui vous permet d'analyser le trafic par métadonnées collectées à partir des sessions réseau. Ce ne sont pas seulement les adresses et les ports de destination et de source, mais aussi les types de messages et les codes pour ICMP, les types de service IP, le type de protocole IP, les interfaces réseau, la durée de la session, les heures de début et de fin, etc. Si les journaux sont généralement générés sur des terminaux (par exemple, des serveurs, des postes de travail et des SGBD) ou des moyens de protection, que faire dans une situation où les premiers ne génèrent pas d'événements de sécurité ou vous ne pouvez pas leur attribuer de moyens de sécurité,et ces derniers sont installés uniquement sur le périmètre et ne voient pas ce qui se passe à l'intérieur du réseau corporatif ou départemental? Une autre chose est l'équipement réseau - commutateurs et routeurs (matériels ou virtuels), points d'accès sans fil et contrôleurs. Ils sont installés à l'intérieur et l'interaction des utilisateurs, appareils, applications passe toujours par eux. Il est impossible de les dépasser! En transmettant des données sur cette interaction à Netflow (même Cisco ASA ou Firepower les génère), nous obtenons une source précieuse d'informations non seulement pour l'informatique, mais aussi pour la cybersécurité. Lorsque l'équipement ne comprend pas le protocole de flux, nous pouvons utiliser des exportateurs spéciaux, des solutions logicielles ou matérielles qui génèrent des enregistrements de flux pour le trafic qui les traverse (avec Cisco, Netflow Generation Appliance ouqui génèrent des enregistrements de flux pour le trafic qui les traverse (avec Cisco, Netflow Generation Appliance ouqui génèrent des enregistrements de flux pour le trafic qui les traverse (avec Cisco, Netflow Generation Appliance oupoints d'accès et contrôleurs sans fil. Ils sont installés à l'intérieur et l'interaction des utilisateurs, appareils, applications passe toujours par eux. Il est impossible de les dépasser! En transmettant des données sur cette interaction à Netflow (même Cisco ASA ou Firepower les génère), nous obtenons une source précieuse d'informations non seulement pour l'informatique, mais aussi pour la cybersécurité. Lorsque l'équipement ne comprend pas le protocole de flux, nous pouvons utiliser des exportateurs spéciaux, des solutions logicielles ou matérielles qui génèrent des enregistrements de flux pour le trafic qui les traverse (pour Cisco, Netflow Generation Appliance oupoints d'accès et contrôleurs sans fil. Ils sont installés à l'intérieur et l'interaction des utilisateurs, appareils, applications passe toujours par eux. Il est impossible de les dépasser! En transmettant des données sur cette interaction à Netflow (même Cisco ASA ou Firepower les génère), nous obtenons une source précieuse d'informations non seulement pour l'informatique, mais aussi pour la cybersécurité. Lorsque l'équipement ne comprend pas le protocole de flux, nous pouvons utiliser des exportateurs spéciaux, des solutions logicielles ou matérielles qui génèrent des enregistrements de flux pour le trafic qui les traverse (avec Cisco, Netflow Generation Appliance ouEn transmettant des données sur cette interaction à Netflow (même Cisco ASA ou Firepower les génère), nous obtenons une source précieuse d'informations non seulement pour l'informatique, mais aussi pour la cybersécurité. Lorsque l'équipement ne comprend pas le protocole de flux, nous pouvons utiliser des exportateurs spéciaux, des solutions logicielles ou matérielles qui génèrent des enregistrements de flux pour le trafic qui les traverse (pour Cisco, Netflow Generation Appliance ouEn transmettant des données sur cette interaction à Netflow (même Cisco ASA ou Firepower les génère), nous obtenons une source précieuse d'informations non seulement pour l'informatique, mais aussi pour la cybersécurité. Lorsque l'équipement ne comprend pas le protocole de flux, nous pouvons utiliser des exportateurs spéciaux, des solutions logicielles ou matérielles qui génèrent des enregistrements de flux pour le trafic qui les traverse (pour Cisco, Netflow Generation Appliance ouqui génèrent des enregistrements de flux pour le trafic qui les traverse (avec Cisco, Netflow Generation Appliance ouqui génèrent des enregistrements de flux pour le trafic qui les traverse (avec Cisco, Netflow Generation Appliance ouCapteur de débit Stealthwatch ). Des algorithmes de détection d'anomalies ou de signatures superposées aux flux Netflow, ainsi que des méthodes d'apprentissage automatique, vous permettent d'identifier les écarts par rapport au comportement de référence du trafic réseau, qui caractériseront les menaces ou problèmes de sécurité des informations avec l'infrastructure informatique.

Il convient de rappeler que Netflow ne peut pas dire ce qui est transmis à l'intérieur du trafic réseau (bien qu'il existe déjà des technologies qui vous permettent de reconnaître les applications utilisées et le code malveillant par Netflow), il a été développé pour d'autres tâches. Mais il sait qui a «parlé» et avec qui, comment et pendant combien de temps. Malgré l'existence de différentes versions des protocoles de flux, la plupart d'entre eux vous permettent de collecter les données suivantes:

Adresse IP source et destination
ports source et de destination
protocole
type de service
interface source
horodatages de début et de fin
la quantité d'informations transmises.

Dans certaines versions, par exemple, dans IPFIX ou Netflow v9, vous pouvez extraire certaines informations du corps de données, ce qui permet à l'analyseur Netflow (autonome ou intégré à SIEM) d'identifier les applications en cours d'exécution. Toutes ces informations sont souvent suffisantes pour détecter des anomalies voire des menaces dans le trafic réseau.

Netflow et SIEM: quelle est la force, mon frère?

Que faire si le système cible ne génère pas de journaux ou s'ils sont désactivés par des intrus? Que faire lorsqu'il n'y a tout simplement pas de fonctions de sécurité sur le système cible car elles chargent le processeur et ralentissent le système? Que faire lorsqu'un employé apporte son appareil personnel non câblé à SIEM? Nous avons toujours la seule source d'information - le trafic réseau, qui est en tout cas généré par le périphérique cible. Qu'est-ce qui peut aider à identifier un Netflow «propre» qui peut être analysé sans SIEM à l'aide de solutions NTA (Network Traffic Analysis)? Voici une courte liste de ces menaces et anomalies:

code malveillant, ransomware et crypto-mineurs
interaction avec les serveurs de commandes
analyse du réseau
attaques par déni de service
fuite de données
piratage ssh ou rdp
torrents et autres applications P2P
,
..

Et que vous apportent les journaux collectés par votre SIEM? La capacité de surveiller l'activité des utilisateurs sur les nœuds, l'accès aux ressources, les entrées et sorties vers et depuis les systèmes, les alarmes provenant des équipements réseau et des outils de sécurité, et bien plus encore. La combinaison des journaux et de Netflow qui arrivent sur SIEM et y sont analysés vous permet d'identifier rapidement les nouvelles sessions et le nouveau trafic provenant des appareils qui viennent d'être attaqués, y compris ceux qui contournent votre périmètre. En combinant ces types de données, vous pouvez également identifier des fonctionnalités de sécurité réseau mal configurées. Netflow complète les capacités traditionnelles de SIEM avec la capacité de détecter de nouveaux types de trafic, ses rafales, l'interaction avec les ressources externes et internes, les fuites de données, la distribution de code malveillant, l'interaction avec les serveurs d'équipe,encapsulation de charges malveillantes dans des protocoles autorisés, etc.

La combinaison de données SIEM traditionnellement traitées avec Netflow permet non seulement de voir plus d'événements de sécurité divers, mais aussi de les voir plus rapidement, ce qui réduit le paramètre dit TTD (Time-to-Detect) et, par conséquent, le temps de réponse. Il est clair que l'analyse SIEM et Netflow peuvent fonctionner indépendamment l'une de l'autre et bien faire leur travail, mais c'est la combinaison de ces deux solutions qui vous permet d'obtenir un effet synergique.

La modification du modèle de comportement du trafic peut indiquer un comportement suspect ou anormal. Par exemple, le dépassement du seuil de données téléchargées sur Internet peut indiquer une fuite. Un changement dans la taille des requêtes et des réponses DNS par rapport au RFC fourni peut caractériser le fait du fonctionnement d'un code malveillant (selon les statistiques de Cisco, 92% des logiciels malveillants utilisent le DNS pour recevoir des commandes, télécharger des données ou télécharger des mises à jour). Rappelez-vous l'histoire avec Equifax? Ensuite, les attaquants ont pu accéder au portail Web, puis aux serveurs de bases de données internes, téléchargeant lentement de grandes quantités de données vers l'extérieur. Séparément, tous ces événements n'étaient pas d'un grand intérêt et ne se sont réunis et enrichis qu'avec des données Netflow, ils ont permis d'identifier les incidents de sécurité de l'information. Ceci est un autre cas pour les systèmes d'analyse Netflow,qui peut détecter un comportement non standard à la fois du portail Web à partir duquel la requête vers la base de données est fréquente et des bases de données qui fournissent soudainement beaucoup de données au portail. Je suis déjàDécrit ce scénario sur Habr plus tôt. SIEM, recevant des données Netflow, peut obtenir un contexte supplémentaire pour les événements générés par IPS, ITU, mandataires, antivirus, EDR, etc., afin de répondre plus efficacement à l'incident.

Un autre exemple. Détection d'attaques inconnues pour lesquelles les systèmes de détection d'intrusion n'ont pas de signatures - en raison de la corrélation des anomalies et des événements réseau des hôtes, ainsi que du déclenchement des déclencheurs. Par exemple, l'analyse de 100 nœuds en 3 minutes peut caractériser le fonctionnement d'un code malveillant qui étend sa tête de pont. Une augmentation du temps de réponse du serveur peut caractériser une attaque DDoS contre lui, et, par exemple, un décalage dans la quantité d'informations reçues et envoyées via le protocole DNS peut indiquer une fuite de données. C'est un cas que nous avons déjà examiné plus tôt lorsque j'ai parlé de trouver une campagne DNSpionage. Dans le même temps, vous pouvez noter que dans un cas, nous n'avons analysé que Netflow, et dans l' autre , nous avons également collecté des données à partir de terminaux, de bacs à sable, d'une passerelle DNS, etc.

Un autre domaine où l'intégration de Netflow dans SIEM peut aider est la connaissance de la situation. Corrélation des flux avec les journaux, le contexte, les informations de géolocalisation, l'activité des utilisateurs, les données de réputation. Par exemple, dans une note précédente, j'ai cité un cas de détection de trafic interne avec des nœuds en provenance d'Iran ou de Corée du Nord. Si vous n'avez pas de contacts avec ces pays, il s'agit peut-être d'un signe de code malveillant volant des informations ou de pirates pro-gouvernementaux ciblant votre entreprise. Un système d'analyse d'anomalie de réseau peut effectuer une partie de ce travail en identifiant l'anomalie correspondante. Mais si vous souhaitez également comprendre quel utilisateur a été impliqué dans cet incident, vous aurez besoin d'un contexte supplémentaire sous la forme de noms d'utilisateur provenant d'Active Directory.Netflow lui-même ne fonctionne pas sur ces informations - nous devons donc les enrichir avec des informations provenant d'AD. Si tu utilisesCisco Stealthwatch , pour cela, il vous suffit de l'intégrer à Cisco ISE , qui reliera les adresses IP et MAC à des utilisateurs et des profils d'appareils spécifiques. Et si Cisco ISE n'est pas déployé sur le réseau? La tâche d'enrichir Netflow avec les informations utilisateur est de la responsabilité de SIEM.

Un autre exemple. J'ai un site Web en cours d'exécution sur mon ordinateur qui est utilisé pour un certain nombre de tâches. Mais combien d'utilisateurs ordinaires peuvent se vanter de la même chose? Soudain, vous capturez le trafic inhérent au fonctionnement d'un serveur Web à partir d'un ordinateur utilisateur? Ou dans le segment où se trouvent les utilisateurs travaillant sur un PC Windows, vous voyez soudain le trafic inhérent au système d'exploitation Linux. Peut-être que cet utilisateur «pratique» a décidé de créer une machine virtuelle avec Linux, violant ainsi la politique de sécurité? Et vous pouvez également identifier les utilitaires d'accès à distance de cette manière (par exemple, RAT), les cryptomineurs, les applications cloud ou peer-to-peer, etc.

Si vous êtes partisan d'une approche à fournisseur unique, la création d'un système de sécurité basé sur les solutions Cisco vous permettra de réduire votre dépendance à l'égard de SIEM - toutes les solutions Cisco, y compris les pare-feu, la protection des e-mails, le sandboxing, Cisco AMP for Endpoints et etc. peut échanger des données, du contexte, des événements de sécurité, des commandes entre eux directement. Mais si votre infrastructure a hérité de nombreuses solutions différentes de différents fabricants, alors SIEM sera le lien qui vous aidera à construire une solution complète à partir du zoo de différents produits. Dans tous les cas, l'analyse du trafic réseau collecté à partir de l'infrastructure réseau existante, combinée aux données que recueille généralement SIEM, élargit les ~~horizons.~~la capacité du service SI à voir plus et à répondre plus rapidement.

Avantages de l'utilisation de Netflow dans SIEM:

corrélation de l'activité du réseau avec d'autres informations sur la sécurité des informations collectées au niveau des applications et des PC / serveurs
la capacité de surveiller les risques élevés de violation des lois sur la confidentialité (par exemple, le RGPD) et vous pouvez analyser uniquement les en-têtes ou les métadonnées du trafic réseau, et non son contenu
détection d'anomalies caractérisant les premières étapes du développement d'un incident ou d'attaques ciblées
la collecte et le stockage de diverses données caractérisant l'incident, et leur mise à disposition dans le cadre d'enquêtes SI ou d'interaction avec les forces de l'ordre.

Balle en argent?

Mais ne pensez pas que Netflow est la solution miracle que tout le monde recherche depuis si longtemps. Il présente également des inconvénients. Par exemple, son traitement peut charger le processeur et la mémoire d'un équipement réseau obsolète ou mal sélectionné, ce qui peut nuire à ses performances et à sa bande passante réseau. Pour travailler efficacement avec Netflow, vous pouvez avoir besoin de son support matériel ou de l'utilisation des soi-disant exportateurs, qui en passant le trafic par eux-mêmes le transmettront à Netflow (ceux qui ont rencontré l'introduction d'IDS / COB dans les réseaux commutés, ont utilisé des soi-disant bandes ou répartiteurs pour une tâche similaire ) J'ai déjà donné deux exemples de telles solutions externes - Cisco Stealthwatch Flow Sensoret l'appliance Cisco Netflow Generation. Bien que, compte tenu de la récente modernisation du réseau, on peut supposer que vos commutateurs et routeurs prennent déjà en charge l'une ou l'autre version de Netflow et vous n'aurez pas besoin d'exportateurs supplémentaires.

Les autres fonctionnalités de Netflow méritent d'être connues:

faux positifs pouvant être associés à une formation incorrecte ou insuffisante du système d'analyse, ainsi qu'à un changement dans les opérations informatiques, dont le système d'analyse n'a pas encore été «informé»
baisse des performances et de l'impact sur le stockage SIEM (nous en reparlerons encore)
les métadonnées collectées via Netflow ne permettent pas toujours une enquête complète, ce qui peut nécessiter un trafic brut au format PCAP.

Options d'intégration SIEM avec Netflow

Parmi les SIEM du marché, lesquels fonctionnent actuellement avec le trafic réseau? Je dois dire que presque tout, mais de différentes manières et souvent cela nécessite une licence payante distincte, qui, à son tour, est également divisée en options. Je voudrais souligner trois options pour analyser Netflow dans SIEM:

prise en charge intégrée de Netflow dans SIEM
propres exportateurs / capteurs pour générer Netflow et transmettre au SIEM
Intégration SIEM avec des solutions externes de la classe NTA (Network Traffic Analysis).

SIEM avec support Netflow intégré

Par exemple, Microfocus ArcSight, qui est assez populaire dans l'espace SIEM post-soviétique, a un support intégré pour Netflow. Cette fonctionnalité permet à SIEM de corréler les flux réseau avec d'autres événements de sécurité à la volée ou de les enrichir avec des données provenant de sources Threat Intelligence. Cependant, cette option a ses inconvénients, à savoir:

-, , . ( , « », )?
-, Netflow SIEM, Netflow . ? SIEM , , , ? - «» Netflow ?

-, . ? VPN- ( ).
-, Netflow SIEM FPS ?
, , flow- (. ). Netflow, SIEM. Netflow — v5, , v9, IPv6, MPLS . Flexible Netflow ( Netflow v9), IPFIX, Netflow v10, sFlow, , , , NetStream, Jflow .. SIEM?

Si vous n'êtes confronté qu'au choix du SIEM, alors incluez dans la liste des paramètres considérés également le type de Netflow, qui est généré par votre équipement. Si vous avez déjà acheté SIEM, vous n'avez pas beaucoup de choix. Dans ce cas, vous devez considérer les options suivantes:

un analyseur d'anomalies de réseau IS distinct (par exemple, Cisco Stealthwatch), qui effectuera l'intégralité de l'analyse par lui-même et donnera ses résultats au SIEM
Collecteur Netflow distinct, qui sera en mesure de soumettre à SIEM une analyse récapitulative des flux de réseau, et SIEM analysera déjà ces données.

Combien pendre en grammes, c'est-à-dire stocké en octets?

Au fait, avant de passer à la prochaine option pour intégrer Netflow à SIEM, il est temps de toucher à la question, combien de données Netflow recevrons-nous dans notre système d'analyse des événements de sécurité? Pour les remèdes ou les journaux réguliers, il existe un nombre considérable d'exemples et de statistiques sur l'EPS (événements par seconde). Il n'y a pas beaucoup de données sur le FPS (débit par seconde). Le volume moyen de Netflow est directement proportionnel au nombre de sockets TCP / UDP uniques créés par les périphériques clients et les serveurs sur votre réseau, qui peut varier considérablement d'un cas à l'autre. Et l'inclusion de l'échantillonnage (c'est-à-dire le transfert sélectif des données Netflow) affecte également la quantité totale de données.

Alors, combien de FPS pouvons-nous générer? Bien sûr, cela dépend beaucoup de la situation, mais je dirais que pour un poste de travail normal, ce nombre est en moyenne de 1,5 FPS et 6 FPS en charge de pointe. En d'autres termes, si votre réseau compte 10 000 nœuds et que le FPS moyen pour chacun d'eux est de 4, alors le réseau génère environ 40 000 flux par seconde. Pourquoi tant? Comme je l'ai écrit ci-dessus, cela dépend du nombre de connexions uniques générées par vos applications ou votre réseau. Aujourd'hui, il existe de nombreux programmes «bavards» exécutés sur les ordinateurs des utilisateurs, qui chargent activement le contenu à partir d'Internet, comme les navigateurs, ou recherchent constamment des mises à jour, comme les antivirus. Voici un exemple de liste de logiciels et de services qui augmentent activement le nombre de FPS sur le réseau:

Adobe, antivirus, Java
Skype
clients de messagerie
Netbios
navigateurs
applications orientées flux (Twitter, actualités, télégramme, etc.).

Une réponse plus précise vous indiquera l'analyse de Netflow dans les segments de réseau dont vous avez besoin, qui se fait avec une seule commande sur un périphérique réseau (selon le fabricant).

La longueur d'un enregistrement Netflow v5 est de 48 octets. Pour la 9e version de Netflow, un tel chiffre exact n'existe pas, car cette version vous permet de décrire ce que vous allez inclure dans l'enregistrement et donc sa longueur peut varier considérablement. Mais si, très approximativement, nous prenons 100 octets pour la longueur moyenne d'un enregistrement de flux (et que chaque paquet réseau peut générer 20 à 30 flux), alors nous pouvons estimer la quantité de données qui seront générées et transférées vers SIEM. Dans le même temps, le volume de stockage SIEM pour ces données peut être plus important (cela dépendra du format de stockage, de l'indexation, de la compression, de la sauvegarde, etc.). Soit dit en passant, lors du calcul du nombre de FPS, n'oubliez pas que dans le cadre d'une attaque DDoS, le concept de «FPS moyen» ne fonctionne pas, car chaque connexion, chaque paquet TCP SYN sera un flux distinct, et avec une attaque DDoS puissante, le nombre de FPS dans votre pic sera très grand.

J'ai mentionné ci-dessus que dans le cas du transfert de Netflow vers le SIEM central, vous devrez le «piloter» via Internet. Ne pensez pas que la génération de Netflow créera une énorme charge sur le réseau et réduira sa bande passante. Selon nos recherches, puisque seules les informations de cap et la télémétrie supplémentaire sont transmises dans Netflow, et non l'ensemble du corps de données, la charge augmentera d'environ 1 à 2% vers l'interface à partir de laquelle la télémétrie réseau est exportée (en fait, en utilisant l'échantillonnage et les versions de protocole modernes Netflow cette valeur peut être encore inférieure d'un ordre de grandeur et varier au niveau de 0,1%).

Collect ne peut pas être analysé

Mais disons que vous avez toujours décidé d'obtenir un Netflow brut sur votre SIEM. Ce scénario a une autre nuance. Il est très important de comprendre que la disponibilité du support Netflow dans SIEM n'est pas suffisante; Il est extrêmement important de pouvoir gérer ce Netflow d'un point de vue de la sécurité, c'est-à-dire d'avoir des règles pour analyser et corréler les flux Netflow intégrés et constamment mis à jour pour de nouveaux types d'attaques. Disons que Netflow nous donne cette image:

Nous voyons une augmentation du protocole SSH. En fait, nous voyons maintenant la même image avec des attaques contre le protocole RDP. Il s'agit de deviner un mot de passe. Mais cela ne peut être révélé qu'à la condition que nous ayons une règle correspondante, qui à partir d'un certain nombre de flux Netflow collectera un événement "Correspondance de mot de passe". Ensuite, nous pouvons dire que SIEM a un support Netflow intégré et peut l'analyser d'un point de vue de la sécurité. Par conséquent, en choisissant ce chemin, vous devez demander au vendeur ce qui peut analyser SIEM dans Netflow «prêt à l'emploi» et, si rien, à quel point le processus de description de vos propres processeurs Netflow est-il laborieux et avez-vous des spécialistes qui le feront? Nous sommes bien conscients que l'écriture d'un connecteur sur Netflow n'est pas si difficile, contrairement aux règles de traitement et d'identification des anomalies qui nécessitent un travail constant.Il s'agit de copier le moteur de quelqu'un d'autre pour votre IDS (Snort, Zeek ou Suricata), mais de ne pas être en mesure d'écrire des signatures pour les exploits et les attaques nouvellement découverts sur une base continue. Dans l'exemple ci-dessus, le système lui-même devrait reconnaître une augmentation du trafic sur SSH et se dire qu'il s'agit d'attaques de «devinettes de mots de passe» sur SSH (soit Telnet, soit RDP, soit FTP). Cela pourrait ressembler à ceci (par exempleCisco Stealthwatch Enterprise ):

Et vous pouvez ensuite enquêter sur cet incident à un niveau plus profond, en utilisant les capacités fournies par SIEM ou un outil d'analyse Netflow distinct. Sans la capacité de «comprendre» Netflow en termes de sécurité de l'information, la présence d'un support intégré pour Netflow est un avantage douteux pour SIEM.

SIEM avec son propre exportateur Netflow

Un autre acteur du marché SIEM, LogRhythm, propose à son tour un exportateur supplémentaire de flux NetMon, qui peut être utile dans une infrastructure distribuée, ainsi que dans un réseau dont l'équipement ne prend pas en charge Netflow et nécessite un générateur Netflow distinct pour le trafic réseau qui le traverse. En fait, dans ce mode de réalisation, le fabricant SIEM assume les fonctions de fournisseurs de réseau, développant une solution pour générer Netflow et réduire la charge sur SIEM, ce qui élimine la nécessité de traiter et de stocker Netflow brut. La situation est similaire à la prise en charge de SSL Offload sur de nombreux pare-feu de nouvelle génération. Oui, il existe là-bas, mais avec un échange intensif de trafic HTTPS, la charge supplémentaire sur NGFW entraîne une diminution significative de son débit.Par conséquent, dans les architectures fortement chargées, un périphérique distinct est généralement alloué pour cette tâche, qui se charge de déchiffrer le trafic SSL, puis de le renvoyer à NGFW. La même chose se produit avec le traitement SIEM Netflow dans ce scénario.

Il est clair que ce scénario présente également un inconvénient - une augmentation du prix final de la solution, car en plus de payer des licences pour le nombre de FPS analysés, vous devrez également payer pour des capteurs supplémentaires qui passeront le trafic et généreront Netflow. De plus, vous devrez apporter des modifications à l'architecture du réseau, mais cela devra être fait de toute façon, donc je dirais que ce n'est pas un inconvénient, mais une caractéristique de ce scénario. Si votre équipement réseau ne sait pas comment générer Netflow et que vous souhaitez analyser les anomalies du réseau, la seule option consiste à utiliser des capteurs séparés. La seule question est de savoir ce qui sera le moins cher - acheter des capteurs auprès du fabricant SIEM ou utiliser des capteurs auprès de fabricants de réseaux (par exemple, Cisco Netflow Generation Appliance) ou de développeurs d'outils d'analyse d'anomalies de réseau (par exemple,Capteur de débit Cisco Stealthwatch Enterprise). Dans cette option, il est également utile de savoir si SIEM est capable d'analyser Netflow du point de vue de la sécurité de l'information, ou a-t-il simplement des connecteurs sous la forme d'exportateurs / capteurs souscrits (généralement il le peut)?

SIEM, NTA

La troisième option, l'intégration avec les solutions de classe NTA, est assez évidente, car, par essence, NTA est le même générateur d'événements de sécurité que NGFW, antivirus, scanner de sécurité, IPS, etc. Ce scénario est cependant intéressant dans la mesure où vous combinez les deux outils d'analyse de sécurité dont vous disposez, mais vous pouvez les utiliser séparément. NTA vous permet d'effectuer une analyse approfondie du trafic réseau, de détecter les codes malveillants, les attaques DDoS, les fuites d'informations, de surveiller les utilisateurs distants ... Dans le même temps, un bon outil d'analyse du trafic réseau vous permet également d'utiliser des capteurs distincts dans les segments où l'équipement réseau ne prend pas en charge Netflow ou ses l'inclusion entraîne une augmentation de la charge des équipements de réseau. NTA dans ce scénario vous permet d'agréger, de traiter, d'analyser Netflow (dans ses différentes versions),et sur SIEM donner uniquement des alarmes sur le fait de la détection de l'une ou l'autre activité malveillante. Évidemment, cette option est également judicieuse à utiliser lorsque vous ou votre personnel informatique avez déjà une solution de classe NTA pour le dépannage du réseau et elle peut également être utilisée pour des tâches de sécurité du réseau. Ou lorsque, au contraire, vous souhaitez partager les dépenses de la solution NTA avec vos networkers, qui l'utiliseront pour leurs tâches, et vous pour les vôtres.qui l'utilisera pour leurs tâches et vous pour la vôtre.qui l'utilisera pour leurs tâches et vous pour la vôtre.

L'inconvénient de cette option est le coût supplémentaire d'une solution de classe NTA, ainsi que la nécessité d'une double formation de spécialistes dans les bases du travail avec deux solutions différentes. Mais d'un autre côté, une solution distincte pour analyser le trafic réseau permettra de mener des enquêtes plus approfondies sur les incidents qu'avec un seul SIEM avec prise en charge Netflow intégrée et des applications plus flexibles qu'avec le fabricant SIEM qui a des capteurs Netflow distincts. Mais il convient de se rappeler que lorsque nous parlons d'une solution distincte de la classe NTA, je veux dire la solution de sécurité, et pas seulement un outil pour analyser le trafic réseau ou surveiller les performances du réseau. Par exemple, le SolarWinds NTA déjà mentionné précédemment analyse bien le trafic réseau afin de prendre en charge les tâches informatiques, mais il fonctionne très mal à des fins de sécurité des informations.Il en va de même pour 5View d'InfoVista ou Visual TruView de Fluke. Et le même, par exemple,Cisco Stealthwatch Enterprise peut être utilisé par les deux dans l'entreprise.

Que rechercher lors du choix?

En choisissant une solution NTA à des fins de sécurité, ainsi qu'en analysant les exportateurs / capteurs fournis par SIEM ou les fournisseurs SIEM avec la prise en charge de Netflow, je recommanderais de prêter attention aux critères suivants:

Types d'activités malveillantes détectables. Vous prenez un outil pour surveiller la sécurité de l'information; il est logique de supposer qu'il devrait être en mesure d'identifier les anomalies et les menaces liées à la sécurité de l'information «prêtes à l'emploi». De plus, ce paramètre est divisé en trois parties - des algorithmes intégrés pour détecter divers types de menaces de sécurité de l'information, écrire des gestionnaires / règles personnalisés et prendre en charge des sources externes de Threat Intelligence pour enrichir les flux analysés avec des données sur les menaces.
Netflow. , , .
. , 1 ( FPS)? 60 FPS, NTA 40 , , , , , 80 FPS.
. , flat, … , . , . . , (, , Argus, Fluke, Plixer, Riverbed SolarWinds), , . , . , ; , . , , Cisco Stealthwatch.
. , , , , . — NTA. , Cisco nfdump OSU FlowTools Lancope, .
. , - . :
- /
- flow cache ( cash flow :-)
- . MAC-, VLAN, MPLS, TCP, , , , , ( IPFIX ).
. Netflow SIEM, SIEM NTA . , , (, ) REST API, syslog ..

S'il s'agissait de savoir quoi choisir indépendamment du SIEM, je conseillerais également de regarder vers les opportunités de chasse aux menaces que la solution choisie offre. Mais comme le sujet de la note a été choisi un peu différemment, nous ne ferons pas attention à cet aspect maintenant.

Problème de prix

Si vous examinez ces trois options du point de vue de leur coût, la troisième option se révélera être la plus chère du point de vue des dépenses en capital (sous réserve des mêmes capacités d'analyse Netflow dans les trois scénarios). C'est compréhensible. En plus du coût de SIEM, vous aurez besoin d'une solution distincte pour analyser le trafic réseau, qui comprendra au moins un système de contrôle et le nombre requis de collecteurs collectant Netflow auprès de divers exportateurs / capteurs. D'un autre côté, peu importe à quel point vous étendez la couverture de votre réseau avec de nouveaux exportateurs / capteurs, cela n'affectera pas le coût du SIEM et de l'infrastructure pour celui-ci, car cela fonctionnera avec des alarmes déjà traitées, et non avec des flux Netflow bruts, qui (signaux) seront de plusieurs ordres de grandeur de moins.

La première option semble la plus attrayante du point de vue de son prix, car nous n'avons pas à payer de supplément pour la formation des analystes et des administrateurs NTA, ni pour les exportateurs / capteurs supplémentaires; savoir, transférer des flux Netflow vers SIEM et tout. Cependant, le coût de l'infrastructure pour SIEM augmentera considérablement, car vous devrez stocker des flux Netflow bruts, ce qui nécessitera d'étendre votre stockage existant. La deuxième option est intermédiaire entre les deux extrêmes, à la fois en termes de capacités d'analyse Netflow et en termes de coût. Dans tous les cas, dans les deux premières options, il convient de vérifier auprès du fabricant SIEM le coût total de possession de la solution en fonction des défis, ainsi que les FPS actuels et attendus et, par conséquent, les changements dans le coût des licences pour SIEM et de son stockage. Prends pour exempleLogRhythm et son sous-système pour l'analyse Netflow. Il existe au moins trois options pour sa mise en œuvre et, par conséquent, la tarification. L'option la plus récente, Freemium ne peut envoyer des alarmes qu'au SIEM, la bande passante ne peut pas dépasser 1 Go / s, la capacité de stockage n'est que de 1 Go (cela représente environ un jour de stockage Netflow sans échantillonnage), la période de stockage d'index ne dépasse pas 3 jours, et il n'y a aucune corrélation avec des sources de données supplémentaires, et le support fonctionne uniquement en ligne et via la communauté. Dans la prochaine version, NetMon, les indicateurs sont meilleurs (bande passante jusqu'à 10 Go / s pour tous les exportateurs, le stockage est illimité, l'index est stocké jusqu'à un mois, mais il n'y a pas non plus de corrélation avec d'autres sources). Et seulement dans la version premium de NetworkXDR, vous n'avez aucune restriction, mais cela représente «un kilomètre de routes de Moscou», c'est-à-dire pas bon marché.

Dans l'un des projets, nous étions confrontés au fait qu'avec un volume quotidien de télémétrie réseau de 1 To et que nous l'envoyions à SIEM avec la prise en charge Netflow intégrée, le coût total de la solution était d'environ 600 mille dollars américains (avant même le prochain saut dans le cours). Dans le même temps, une partie de ces données est restée non traitée en raison de l'absence de règles appropriées dans le SIEM et en double. L'utilisation d'une solution NTA distincte (dans notre cas, c'était Cisco Stealthwatch Enterprise ) a entraîné une réduction de 80% du volume de données transférées à SIEM, et le coût de la solution est tombé à 99 mille dollars américains. Les calculs peuvent différer d'un projet à l'autre, mais nous avons remarqué que plus Netflow devait être traité, plus l'infrastructure SIEM serait coûteuse à traiter. Pourquoi donc?

Regardons un exemple. Lorsqu'un utilisateur se connecte au serveur, du point de vue de l'analyse classique des événements de sécurité de l'information, nous traitons, conditionnellement, un seul événement que nous «supprimons» du serveur, en l'envoyant, par exemple, via syslog à SIEM (en fait, il y aura deux événements - une tentative connexion et son résultat). Si cet événement est décomposé en composants réseau, alors nous verrons qu'il y aura un ordre de grandeur de plus de threads générés. Par exemple, le nombre moyen de «sauts» (sauts) du client vers le serveur est de 5-6 dans le réseau moyen. Chaque commutateur ou routeur via lequel la demande passe du client au serveur génère ses entrées Netflow décrivant le trafic qui le traverse. De plus, cela se fait séparément pour chaque direction de la session (demande et réponse). Il s'avère que là,où seuls 1 à 2 événements ont été générés au niveau de l'application, les flux Netflow ont nécessité au moins 10 fois plus (en fait encore plus, car un paquet réseau génère environ 20 à 30 flux Netflow). Et non seulement nous devrons payer pour toutes ces dizaines de threads (bien que l'événement n'en soit encore qu'un) et allouer de l'espace pour leur stockage. Ainsi, SIEM devra également les traiter, supprimer les doublons, combiner des flux multidirectionnels au sein d'une session et ensuite seulement corréler ces données avec d'autres événements. Par conséquent, le coût total d'une solution apparemment évidente peut être plus élevé que dans le cas d'un exportateur Netflow distinct ou d'une solution d'analyse d'anomalies de réseau autonome intégrée à SIEM.donc un paquet réseau génère environ 20-30 flux Netflow). Et non seulement nous devrons payer pour toutes ces dizaines de threads (bien que l'événement n'en soit encore qu'un) et allouer de l'espace pour leur stockage. Ainsi, SIEM devra également les traiter, supprimer les doublons, combiner des flux multidirectionnels au sein d'une session et ensuite seulement corréler ces données avec d'autres événements. Par conséquent, le coût total d'une solution apparemment évidente peut être plus élevé que dans le cas d'un exportateur Netflow distinct ou d'une solution d'analyse d'anomalies de réseau autonome intégrée à SIEM.donc un paquet réseau génère environ 20-30 flux Netflow). Et non seulement nous devrons payer pour toutes ces dizaines de threads (bien que l'événement n'en soit encore qu'un) et allouer de l'espace pour leur stockage. Ainsi, SIEM devra également les traiter, supprimer les doublons, combiner des flux multidirectionnels au sein d'une session et ensuite seulement corréler ces données avec d'autres événements. Par conséquent, le coût total d'une solution apparemment évidente peut être plus élevé que dans le cas d'un exportateur Netflow distinct ou d'une solution d'analyse d'anomalies de réseau autonome intégrée à SIEM.pour combiner des flux multidirectionnels dans une session et ensuite seulement corréler ces données avec d'autres événements. Par conséquent, le coût total d'une solution apparemment évidente peut être plus élevé que dans le cas d'un exportateur Netflow distinct ou d'une solution d'analyse d'anomalies de réseau autonome intégrée à SIEM.pour combiner des flux multidirectionnels dans une session et ensuite seulement corréler ces données avec d'autres événements. Par conséquent, le coût total d'une solution apparemment évidente peut être plus élevé que dans le cas d'un exportateur Netflow distinct ou d'une solution d'analyse d'anomalies de réseau autonome intégrée à SIEM.

Et ces analyseurs Netflow externes peuvent être utilisés dans l'un des deux scénarios. Le premier est le transfert au SIEM d'une télémétrie optimisée, débarrassée des répétitions (dédupliquées), combinant des flux multidirectionnels. D'après notre expérience (et Stealthwatch Enterprise peut fonctionner dans ce mode), je peux dire que cela donne une réduction de six fois le volume de télémétrie transmis à SIEM, qui, dans ce scénario, devrait toujours être en mesure d'analyser Netflow d'un point de vue de la sécurité.

Le deuxième scénario suppose que tout le traitement est effectué sur une solution de la classe NTA et que seules les alarmes reçues à la suite du traitement Netflow sont reçues dans SIEM. Cette option réduit encore plus de données envoyées à SIEM, réduisant le coût de ses licences et de son infrastructure. Oui, et SIEM n'est plus obligé d'analyser Netflow brut, ce qui élargit les possibilités de choix d'outils d'analyse des événements de sécurité des informations.

Existe-t-il des alternatives?

Après avoir examiné les options d'utilisation de Netflow dans SIEM pour détecter plus d'événements de sécurité que sans Netflow, examinons les alternatives possibles.

Outils de diagnostic réseau

Vous pouvez essayer d'utiliser les outils de diagnostic réseau utilisés pour évaluer la bande passante du réseau, la disponibilité des nœuds et segments internes, les pics de charge, etc. Par exemple, SolarWinds NetFlow Traffic Analyzer. Ces solutions ne sont pas conçues pour détecter des anomalies et des menaces SI, mais elles peuvent être utilisées pour transférer des informations de flux à SIEM, qui peut être en mesure d'analyser Netflow. Cela chargera SIEM, comme je l'ai décrit ci-dessus, et vous devez décider si vous êtes prêt pour cela? Certes, il vaut la peine de clarifier d'abord si l'analyseur de réseau peut envoyer des données Netflow à des systèmes externes. Parfois, ils ne peuvent fournir que des statistiques récapitulatives ou générer des alarmes, ce qui n'est clairement pas suffisant pour les tâches SI.

Systèmes de détection d'intrusion et NGFW

IPS réseau et NGFW sont une autre alternative. Ils peuvent scruter le trafic réseau à l'intérieur et détecter de nombreuses menaces grâce à un mécanisme d'inspection réseau approfondi ... mais sur le périmètre. Pourtant, généralement NGFW et IPS sont placés à la frontière du réseau d'entreprise et d'Internet et ne voient que ce qui les traverse. L'installation de ces appareils, «en fer» ou virtuels, dans tous les lieux qui vous intéressent sera trop coûteuse, et dans certains cas techniquement impossible. Parlant de la frontière ou du périmètre, il convient de rappeler que l'interface entre le centre de données d'entreprise et les segments d'utilisateurs est également la frontière. Et la jonction entre le réseau corporatif et industriel aussi. Mais dans tous les cas, l'installation de capteurs IPS ou NGFW supplémentaires peut pénaliser votre portefeuille, tandis que Netflow sera collecté à partir d'équipements réseau déjà achetés et mis en œuvre.

Outils d'enquête sur les incidents réseau

Les solutions de classe Network Forensics Tool (NFT) vous permettent de stocker, traiter et analyser le trafic réseau afin d'enquêter sur les incidents. Mais il existe une différence significative entre ce type de solution et NTA - NFT fonctionne avec une copie complète du trafic, c'est-à-dire généralement avec des fichiers PCAP, et NTA avec des enregistrements à ce sujet. Et si les solutions d'analyse Netflow fonctionnent presque en temps réel, alors NFT - avec un retard important. De plus, toute solution qui fonctionne avec PCAP (ou d'une autre manière pour capturer et enregistrer une copie de tout le trafic réseau) se heurtera au problème d'un endroit pour stocker toutes les données collectées.

Imaginez que vous disposez d'un port sur un périphérique réseau de 1 Gbit / s. Avec une longueur de paquet de 64 octets, ce port pourra passer par 1953125 paquets par seconde, et avec une longueur de 1500 octets - 83 333 paquets. Autrement dit, selon la longueur du paquet (et cela dépend des applications sur le réseau), nous aurons environ 80 000 à 2 millions de paquets par seconde, que nous devrons enregistrer. Un jour, un tel port permettra 86400 Gbit / s ou presque 11 To. Près de 4 PB se dérouleront sur l'année, et ce n'est que pour un port, dont nous pouvons avoir des milliers et des dizaines de milliers dans notre réseau. Même le stockage sélectif du trafic ne nous facilitera pas beaucoup la vie. Par conséquent, des solutions de classe NFT sont nécessaires, mais elles ne peuvent pas remplacer les analyseurs Netflow. Ce sont des outils qui résolvent différentes tâches - surveillance et enquête sur les incidents.En règle générale, ces solutions fonctionnent par paires - Netflow nous permet d'identifier les incidents, et NFT collecte déjà des données détaillées à leur sujet sous la forme de la capture de tout le trafic réseau.

" Mais il y a SIEM avec NFT, par exemple, IBM QRadar Incident Forensics ou RSA Security Analytics, qui vous permet de travailler avec une copie complète du trafic réseau et toutes les métadonnées Netflow seront automatiquement disponibles dans SIEM"Oui, il y en a! De plus, l'avantage de cette solution est la possibilité de reconstruire toutes les sessions réseau d'intérêt et de les visualiser, ce qui peut faciliter l'enquête sur les incidents. Ce SIEM vous permet de prendre la place de l'attaquant et de voir tout ce qu'il voit. Mais cet avantage est caché et un sérieux inconvénient que j'ai mentionné ci-dessus est que le stockage d'une copie complète du trafic réseau nécessite un stockage important, non, pas si énorme qui peut coûter en tant que SIEM séparé, voire plus (plus que le stockage, même juste Netflow brut Vous devrez peut-être choisir les sessions spécifiques à enregistrer afin d'économiser de l'espace, ce qui peut entraîner une perte de trafic. En outre, en cas de respect des exigences légales relatives au stockage des données relatives aux incidents,Vous devrez les casser ou payer de l'argent supplémentaire pour le stockage. Une autre caractéristique de cette solution est la nécessité de sauvegarder le trafic qui a déjà été décrypté dans SIEM, ce qui signifie que vous devrez revoir l'architecture de votre système de surveillance afin de pouvoir décrypter le trafic et le soumettre à SIEM. Et n'oubliez pas que ces solutions sont toujours axées sur la conduite d'enquêtes, qui nécessitent un personnel qualifié, et non sur la détection d'anomalies et de menaces à l'aide d'algorithmes prêts à l'emploi.que ces décisions sont néanmoins axées sur la conduite d'enquêtes, qui nécessitent un personnel qualifié, et non sur la détection d'anomalies et de menaces à l'aide d'algorithmes prêts à l'emploi.que ces décisions sont néanmoins axées sur la conduite d'enquêtes, qui nécessitent un personnel qualifié, et non sur la détection d'anomalies et de menaces à l'aide d'algorithmes prêts à l'emploi.

Dans ce scénario, je continuerais à regarder l'analyse initiale du trafic réseau à l'aide de Netflow, et seulement ensuite, pour les événements et incidents qui m'intéressent, j'activerais l'enregistrement du trafic réseau. Cela permettra d'économiser et de ne pas dépenser de ressources sur le stockage de «tout».

Conclusion

Donc, pour résumer brièvement. Netflow est une source de données précieuse pour surveiller la sécurité des réseaux d'entreprise et départementaux, souvent la seule qui peut être collectée et sur laquelle vous pouvez prendre des décisions concernant la présence ou l'absence de menaces dans votre environnement. En principe, Netflow peut également être analysé indépendamment à l'aide de solutions de classe NTA qui, ayant une large base de règles et d'algorithmes pour détecter les activités malveillantes et anormales, sont capables de détecter rapidement les incidents et d'y répondre. L'intégration de Netflow avec les données collectées par SIEM nous donne beaucoup plus. SIEM commence à voir ce qu'il n'a pas vu auparavant et à le voir bien plus tôt que nous ne pouvons le nuire. Dans le même temps, nous n'avons pas besoin d'apporter de changements importants à l'infrastructure de surveillance existante, car nous avons déjà des équipements de réseau,- il vous suffit de rediriger Netflow vers SIEM, directement ou via des solutions intermédiaires. L'activation de Netflow me permet également de remporter une petite mais rapide victoire - presque tous nos pilotes de solutionCisco Stealthwatch Enterprise se termine par le fait que nous détectons certaines violations des politiques SI qui n'étaient pas vues auparavant par le service SI. Netflow leur a permis d'être vus, et son intégration avec SIEM, d'obtenir un effet synergique des outils de surveillance de réseau appliqués et du système d'activité.

Intégration des solutions de surveillance Netflow et SIEM