Get best of the week

Integrasi Netflow dan Solusi Pemantauan SIEM

SIEM telah lama menjadi standar de facto dalam menganalisis peristiwa keamanan dan mendeteksi insiden (walaupun ada beberapa gerakan menuju meninggalkan SIEM dan menggantinya dengan solusi untuk mengelola log dengan tambahan dari teknologi pembelajaran mesin), tetapi efektivitas solusi ini tergantung pada dengan sumber data apa ia bekerja. Namun, biasanya spesialis SIEM terutama bekerja dengan log, mengesampingkan sumber informasi penting seperti Netflow, yang memungkinkan Anda untuk melihat sesuatu yang sering tidak masuk ke dalam log atau masuk, tetapi terlambat. Ini menimbulkan sejumlah pertanyaan. Mengapa solusi SIEM modern membutuhkan dukungan Netflow? Apa yang bisa didapat SIEM dari analisis Netflow? Opsi mana untuk mengintegrasikan SIEM dengan Netflow jika ada produsen,yang menanamkan dukungan Netflow langsung ke solusi mereka, dan ada orang-orang yang lebih suka bekerja dengan berbagai kolektor Netflow. Apa saja fitur bekerja dengan SIEM Netflow? Kami akan membicarakan ini.

Netflow untuk deteksi ancaman


Dalam artikel sebelumnyaSaya telah menjelaskan kemungkinan menggunakan Netflow untuk keamanan siber. Biarkan saya mengingatkan Anda bahwa, tidak seperti log peralatan jaringan atau lalu lintas mentah, Netflow adalah protokol yang memungkinkan Anda untuk menganalisis lalu lintas dengan metadata yang dikumpulkan dari sesi jaringan. Ini bukan hanya alamat dan port tujuan dan sumber, tetapi juga jenis pesan dan kode untuk ICMP, jenis layanan IP, jenis protokol IP, antarmuka jaringan, durasi sesi, waktu mulai dan akhir, dll. Jika log biasanya dihasilkan pada perangkat terminal (misalnya, server, workstation dan DBMS) atau sarana perlindungan, lalu apa yang harus dilakukan dalam situasi di mana mantan tidak menghasilkan peristiwa keamanan atau Anda tidak dapat menempatkan sarana keamanan pada mereka,dan yang terakhir dipasang hanya pada perimeter dan tidak melihat apa yang terjadi di dalam jaringan perusahaan atau departemen? Hal lain adalah peralatan jaringan - sakelar dan router (perangkat keras atau virtual), titik akses nirkabel, dan pengontrol. Mereka diinstal di dalam dan interaksi pengguna, perangkat, aplikasi selalu melewati mereka. Tidak mungkin untuk melewati mereka! Dengan mentransmisikan data tentang interaksi ini ke Netflow (bahkan Cisco ASA atau Firepower menghasilkannya), kami mendapatkan sumber informasi yang berharga tidak hanya untuk TI, tetapi juga keamanan siber. Di mana peralatan tidak memahami protokol aliran, kita dapat menggunakan eksportir khusus, solusi perangkat lunak atau perangkat keras yang menghasilkan catatan aliran untuk lalu lintas yang melewati mereka (untuk Cisco, Netflow Generation Appliance atauyang menghasilkan catatan aliran untuk lalu lintas yang melewati mereka (dengan Cisco,. atauyang menghasilkan catatan aliran untuk lalu lintas yang melewati mereka (dengan Cisco,. atautitik akses nirkabel dan pengontrol. Mereka diinstal di dalam dan interaksi pengguna, perangkat, aplikasi selalu melewati mereka. Tidak mungkin untuk melewati mereka! Dengan mentransmisikan data tentang interaksi ini ke Netflow (bahkan Cisco ASA atau Firepower menghasilkannya), kami mendapatkan sumber informasi yang berharga tidak hanya untuk TI, tetapi juga keamanan siber. Di mana peralatan tidak memahami protokol aliran, kita dapat menggunakan eksportir khusus, solusi perangkat lunak atau perangkat keras yang menghasilkan catatan aliran untuk lalu lintas yang melewati mereka (untuk Cisco, Netflow Generation Appliance atautitik akses nirkabel dan pengontrol. Mereka diinstal di dalam dan interaksi pengguna, perangkat, aplikasi selalu melewati mereka. Tidak mungkin untuk melewati mereka! Dengan mentransmisikan data tentang interaksi ini ke Netflow (bahkan Cisco ASA atau Firepower menghasilkannya), kami mendapatkan sumber informasi yang berharga tidak hanya untuk TI, tetapi juga keamanan siber. Di mana peralatan tidak memahami protokol aliran, kita dapat menggunakan eksportir khusus, solusi perangkat lunak atau perangkat keras yang menghasilkan catatan aliran untuk lalu lintas yang melewati mereka (untuk Cisco, Netflow Generation Appliance atauDengan mentransmisikan data tentang interaksi ini ke Netflow (bahkan Cisco ASA atau Firepower menghasilkannya), kami mendapatkan sumber informasi yang berharga tidak hanya untuk TI, tetapi juga keamanan siber. Di mana peralatan tidak memahami protokol aliran, kita dapat menggunakan eksportir khusus, solusi perangkat lunak atau perangkat keras yang menghasilkan catatan aliran untuk lalu lintas yang melewati mereka (untuk Cisco, Netflow Generation Appliance atauDengan mentransmisikan data tentang interaksi ini ke Netflow (bahkan Cisco ASA atau Firepower menghasilkannya), kami mendapatkan sumber informasi yang berharga tidak hanya untuk TI, tetapi juga keamanan siber. Di mana peralatan tidak memahami protokol aliran, kita dapat menggunakan eksportir khusus, solusi perangkat lunak atau perangkat keras yang menghasilkan catatan aliran untuk lalu lintas yang melewati mereka (untuk Cisco, Netflow Generation Appliance atauyang menghasilkan catatan aliran untuk lalu lintas yang melewati mereka (dengan Cisco,. atauyang menghasilkan catatan aliran untuk lalu lintas yang melewati mereka (dengan Cisco,. atauSensor Aliran Stealthwatch ). Algoritma untuk mendeteksi anomali atau tanda tangan yang ditumpangkan pada aliran Netflow, serta metode pembelajaran mesin, memungkinkan Anda untuk mengidentifikasi penyimpangan dari perilaku standar lalu lintas jaringan, yang akan menandai ancaman keamanan informasi atau masalah dengan infrastruktur TI.

Perlu diingat bahwa Netflow tidak dapat mengatakan apa yang ditransmisikan di dalam lalu lintas jaringan (walaupun sudah ada teknologi yang dapat mengenali aplikasi yang digunakan dan kode berbahaya oleh Netflow), itu dikembangkan untuk tugas-tugas lain. Tapi dia bisa tahu siapa yang "berbicara" dan dengan siapa, bagaimana dan berapa lama. Meskipun terdapat berbagai versi protokol aliran, sebagian besar memungkinkan Anda untuk mengumpulkan data berikut:

  • Sumber dan Alamat IP Tujuan
  • port sumber dan tujuan
  • protokol
  • jenis layanan
  • antarmuka sumber
  • mulai dan akhiri stempel waktu
  • jumlah informasi yang dikirimkan.

Dalam beberapa versi, misalnya, di IPFIX atau Netflow v9, Anda dapat mengekstrak beberapa informasi dari badan data, yang memungkinkan penganalisa Netflow (berdiri sendiri atau built-in ke SIEM) untuk mengidentifikasi aplikasi yang berjalan. Semua informasi ini seringkali cukup untuk mendeteksi anomali atau bahkan ancaman dalam lalu lintas jaringan.

gambar

Netflow dan SIEM: apa kekuatannya, saudara?


Bagaimana jika sistem target tidak menghasilkan log atau dinonaktifkan oleh penyusup? Apa yang harus dilakukan ketika tidak ada fitur keamanan pada sistem target, karena mereka memuat prosesor dan memperlambat sistem? Apa yang harus dilakukan ketika seorang karyawan membawa perangkat pribadinya yang tidak terhubung ke SIEM? Kami masih memiliki satu-satunya sumber informasi - lalu lintas jaringan, yang dalam hal apa pun dihasilkan oleh perangkat target. Apa yang dapat membantu mengidentifikasi Netflow "bersih" yang dapat dianalisis tanpa SIEM menggunakan solusi Network Traffic Analysis (NTA)? Berikut ini daftar singkat ancaman dan anomali tersebut:

  • kode berbahaya, ransomware, dan crypto miners
  • interaksi dengan server perintah
  • pemindaian jaringan
  • Penolakan serangan layanan
  • kebocoran data
  • peretasan ssh atau rdp
  • torrent dan aplikasi P2P lainnya
  • ,
  • ..

Dan apa yang diberikan oleh log yang dikumpulkan SIEM Anda? Kemampuan untuk memantau aktivitas pengguna pada node, akses ke sumber daya, masuk dan keluar ke dan dari sistem, alarm dari peralatan jaringan dan alat keamanan, dan banyak lagi. Kombinasi log dan Netflow datang ke SIEM dan dianalisis di sana memungkinkan Anda untuk dengan cepat mengidentifikasi sesi baru dan lalu lintas baru dari perangkat yang baru saja diserang, termasuk yang melewati perimeter Anda. Dengan menggabungkan tipe data ini, Anda juga dapat mengidentifikasi fitur keamanan jaringan yang tidak dikonfigurasi dengan benar. Netflow melengkapi kemampuan SIEM tradisional dengan kemampuan untuk mendeteksi jenis lalu lintas baru, semburannya, interaksi dengan sumber daya eksternal dan internal, kebocoran data, distribusi kode berbahaya, interaksi dengan server tim,enkapsulasi muatan berbahaya ke dalam protokol yang diizinkan, dll.

Kombinasi data SIEM yang diproses secara tradisional dengan Netflow memungkinkan tidak hanya untuk melihat lebih banyak berbagai peristiwa keamanan, tetapi juga untuk melihatnya lebih cepat, mengurangi apa yang disebut parameter TTD (Time-to-Detect) dan, sebagai hasilnya, waktu respons. Jelas bahwa analisis SIEM dan Netflow dapat bekerja secara independen satu sama lain dan melakukan tugasnya dengan baik, tetapi kombinasi dari dua solusi ini yang memungkinkan Anda untuk mencapai efek sinergis.

Mengubah pola perilaku lalu lintas dapat mengindikasikan perilaku mencurigakan atau abnormal. Misalnya, melebihi ambang batas untuk data yang diunggah ke Internet dapat mengindikasikan kebocoran. Perubahan ukuran permintaan DNS dan tanggapan dibandingkan dengan RFC yang diberikan dapat mencirikan fakta pengoperasian kode berbahaya (menurut statistik Cisco, 92% malware menggunakan DNS untuk menerima perintah, mengunduh data, atau mengunduh pembaruan). Ingat cerita dengan Equifax? Kemudian para penyerang dapat mengakses portal-Web, dan kemudian ke server database internal, perlahan-lahan mengunggah sejumlah besar data ke luar. Secara terpisah, semua peristiwa ini tidak terlalu menarik dan hanya dikumpulkan bersama dan diperkaya dengan data Netflow, mereka memungkinkan untuk mengidentifikasi insiden keamanan informasi. Ini adalah kasus lain untuk sistem analisis Netflow,yang dapat mendeteksi perilaku non-standar dari kedua portal Web dari mana kueri ke basis data sering dikunjungi, dan basis data yang tiba-tiba memberikan banyak data ke portal. Saya sudahDijelaskan skenario ini pada Habr sebelumnya. SIEM, yang menerima data Netflow, bisa mendapatkan konteks tambahan untuk peristiwa yang dihasilkan oleh IPS, ITU, proksi, antivirus, EDR, dll., Agar dapat merespons insiden dengan lebih efektif.

Contoh lain. Deteksi serangan yang tidak diketahui dimana sistem deteksi intrusi tidak memiliki tanda tangan - karena korelasi anomali jaringan dan peristiwa dari host, serta memicu pemicu. Misalnya, pemindaian 100 node dalam 3 menit dapat mencirikan operasi kode berbahaya yang memperluas jembatannya. Peningkatan waktu respons dari server dapat mencirikan serangan DDoS terhadapnya, dan, misalnya, ketidakcocokan dalam jumlah informasi yang diterima dan dikirim melalui protokol DNS dapat menunjukkan kebocoran data. Ini adalah kasus yang sudah kita bahas sebelumnya ketika saya berbicara tentang menemukan kampanye DNSpionage. Pada saat yang sama, Anda dapat mencatat bahwa dalam satu kasus kami hanya menganalisis Netflow, dan dalam kasus lain , kami juga mengumpulkan data dari perangkat terminal, kotak pasir, gateway DNS, dll.

Area lain di mana mengintegrasikan Netflow ke SIEM dapat membantu adalah kesadaran situasional. Korelasi aliran dengan log, konteks, informasi geolokasi, aktivitas pengguna, data reputasi. Misalnya, dalam catatan sebelumnya, saya mengutip sebuah kasus dengan deteksi lalu lintas internal dengan node dari Iran atau Korea Utara. Jika Anda tidak memiliki kontak dengan negara-negara ini, maka mungkin ini adalah tanda informasi mencuri kode berbahaya, atau peretas pro-pemerintah yang menargetkan perusahaan Anda. Sistem analisis anomali jaringan dapat melakukan beberapa pekerjaan ini dengan mengidentifikasi anomali yang sesuai. Tetapi jika Anda juga ingin memahami pengguna mana yang terlibat dalam insiden ini, Anda akan memerlukan konteks tambahan dalam bentuk nama pengguna dari Active Directory.Netflow sendiri tidak beroperasi pada informasi ini - jadi kami perlu memperkaya dengan informasi dari AD. Jika Anda menggunakanCisco Stealthwatch , untuk ini Anda hanya perlu mengintegrasikannya dengan Cisco ISE , yang akan menautkan alamat IP dan MAC dengan pengguna dan profil perangkat tertentu. Bagaimana jika Cisco ISE tidak digunakan di jaringan? Tugas memperkaya Netflow dengan informasi pengguna adalah tanggung jawab SIEM.

Contoh lain. Saya memiliki situs Web yang berjalan di komputer saya yang digunakan untuk sejumlah tugas. Tetapi berapa banyak pengguna biasa yang dapat membanggakan hal yang sama? Tiba-tiba Anda menangkap lalu lintas yang melekat dalam pengoperasian server Web dari komputer pengguna? Atau di segmen tempat pengguna yang bekerja pada PC Windows berada, Anda tiba-tiba melihat lalu lintas yang melekat di OS Linux. Mungkin pengguna "praktis" ini memutuskan untuk membuat mesin virtual dengan Linux, sehingga melanggar kebijakan keamanan? Dan Anda juga dapat mengidentifikasi utilitas untuk akses jarak jauh dengan cara ini (misalnya, RAT), cryptominers, cloud atau aplikasi peer-to-peer, dll.

Jika Anda adalah pendukung pendekatan vendor tunggal, membangun sistem keamanan berbasis pada solusi Cisco akan memungkinkan Anda untuk mengurangi ketergantungan Anda pada SIEM - semua solusi Cisco, termasuk firewall, perlindungan email, kotak pasir, solusi perlindungan PC ( Cisco AMP untuk Endpoints ) dan dll. dapat bertukar data, konteks, acara keamanan, perintah di antara mereka sendiri secara langsung. Tetapi jika infrastruktur Anda telah mewarisi banyak solusi berbeda dari produsen yang berbeda, maka SIEM akan menjadi tautan yang akan membantu membangun solusi lengkap dari kebun binatang berbagai produk. Dalam kasus apa pun, analisis lalu lintas jaringan yang dikumpulkan dari infrastruktur jaringan yang ada, dikombinasikan dengan data yang biasanya dikumpulkan SIEM, memperluas cakrawala.kemampuan layanan IS untuk melihat lebih banyak dan merespons lebih cepat.

Manfaat menggunakan Netflow di SIEM:

  • korelasi aktivitas jaringan dengan informasi lain tentang keamanan informasi yang dikumpulkan dari tingkat aplikasi dan PC / server
  • kemampuan untuk memantau di mana ada risiko tinggi pelanggaran undang-undang privasi (misalnya, GDPR) dan Anda hanya dapat menganalisis tajuk atau metadata lalu lintas jaringan, dan bukan isinya
  • Deteksi anomali yang menjadi ciri tahap pertama pengembangan insiden atau serangan yang ditargetkan
  • pengumpulan dan penyimpanan berbagai data yang mencirikan insiden tersebut, dan menyediakannya sebagai bagian dari investigasi IS atau interaksi dengan lembaga penegak hukum.

Peluru perak?


Tapi jangan berpikir bahwa Netflow adalah peluru perak yang sudah lama dicari semua orang. Ini juga memiliki kekurangan. Misalnya, pemrosesannya dapat memuat prosesor dan memori dari peralatan jaringan yang usang atau tidak dipilih dengan benar dan ini dapat mempengaruhi kinerja dan bandwidth jaringannya. Untuk bekerja secara efektif dengan Netflow, Anda mungkin memerlukan dukungan perangkat kerasnya atau penggunaan yang disebut eksportir, yang dengan melewati lalu lintas melalui diri mereka sendiri akan mengirimkannya ke Netflow (mereka yang telah mengalami pengenalan IDS / COB di jaringan yang diaktifkan, menggunakan apa yang disebut kaset atau splitter untuk tugas yang serupa ) Saya telah memberikan dua contoh solusi eksternal semacam itu - Cisco Stealthwatch Flow Sensordan Cisco Netflow Generation Appliance. Meskipun, mengingat modernisasi jaringan baru-baru ini, dapat diasumsikan bahwa switch dan router Anda sudah mendukung satu atau versi Netflow lainnya dan Anda tidak akan memerlukan eksportir tambahan.

Fitur-fitur Netflow lainnya yang perlu diketahui termasuk:

  • false positive yang dapat dikaitkan dengan pelatihan sistem analisis yang tidak tepat atau tidak memadai, serta dengan perubahan dalam operasi TI, yang sistem analisisnya belum “diinformasikan”
  • penurunan kinerja dan dampak pada penyimpanan SIEM (kami akan membicarakan ini lebih jauh)
  • metadata yang dikumpulkan melalui Netflow tidak selalu memungkinkan penyelidikan penuh, yang mungkin memerlukan lalu lintas mentah dalam format PCAP.

Opsi Integrasi SIEM dengan Netflow


SIEM mana yang saat ini ada di pasaran yang berfungsi dengan lalu lintas jaringan? Saya harus mengatakan itu hampir semuanya, tetapi dengan cara yang berbeda dan seringkali ini memerlukan lisensi berbayar yang terpisah, yang, pada gilirannya, juga dibagi menjadi beberapa opsi. Saya akan menyoroti tiga opsi untuk menganalisis Netflow di SIEM:

  • dukungan bawaan untuk Netflow di SIEM
  • eksportir / sensor sendiri untuk menghasilkan Netflow dan mentransmisikan ke SIEM
  • Integrasi SIEM dengan solusi eksternal dari kelas Network Traffic Analysis (NTA).

SIEM dengan dukungan Netflow terintegrasi


Misalnya, Microfocus ArcSight, yang cukup populer di ruang SIEM pasca-Soviet, memiliki dukungan bawaan untuk Netflow. Fitur ini memungkinkan SIEM untuk mengkorelasikan aliran jaringan dengan peristiwa keamanan lainnya saat itu juga atau untuk memperkaya mereka dengan data dari sumber Ancaman Intelijen. Namun, opsi ini memiliki kekurangan, yaitu:

  • -, , . ( , « », )?
  • -, Netflow SIEM, Netflow . ? SIEM , , , ? - «» Netflow ?

gambar

  • -, . ? VPN- ( ).
  • -, Netflow SIEM FPS ?
  • , , flow- (. ). Netflow, SIEM. Netflow — v5, , v9, IPv6, MPLS . Flexible Netflow ( Netflow v9), IPFIX, Netflow v10, sFlow, , , , NetStream, Jflow .. SIEM?

Jika Anda hanya menghadapi pilihan SIEM, maka sertakan dalam daftar parameter yang dipertimbangkan juga jenis Netflow, yang dihasilkan oleh peralatan Anda. Jika Anda sudah membeli SIEM, maka Anda tidak punya banyak pilihan. Dalam hal ini, Anda harus mempertimbangkan opsi berikut:

  • penganalisa anomali jaringan IS yang terpisah (misalnya, Cisco Stealthwatch), yang akan melakukan seluruh analisis sendiri, dan memberikan hasilnya kepada SIEM
  • Kolektor Netflow terpisah, yang akan dapat menyerahkan analisis ringkasan SIEM tentang aliran jaringan, dan SIEM sudah akan menganalisis data ini.

Berapa banyak untuk menggantung dalam gram, yaitu, disimpan dalam byte?


Ngomong-ngomong, sebelum kita beralih ke opsi berikutnya untuk mengintegrasikan Netflow dengan SIEM, sekarang saatnya untuk menyentuh pertanyaan, berapa banyak data Netflow yang akan kita terima dalam sistem analisis peristiwa keamanan kita? Untuk perbaikan atau log reguler, ada banyak contoh dan statistik EPS (peristiwa per detik). Tidak banyak data tentang FPS (flow per detik). Volume rata-rata Netflow berbanding lurus dengan jumlah soket TCP / UDP unik yang dibuat oleh perangkat klien dan server di jaringan Anda, yang dapat sangat bervariasi dari kasus ke kasus. Dan dimasukkannya sampel (yaitu, transfer selektif data Netflow) juga mempengaruhi jumlah total data.

Jadi berapa banyak FPS yang bisa kita hasilkan? Tentu saja, ini sangat tergantung pada situasinya, tetapi saya akan mengatakan bahwa untuk workstation biasa, angka ini rata-rata 1,5 FPS, dan 6 FPS pada beban puncak. Dengan kata lain, jika jaringan Anda memiliki 10 ribu node dan FPS rata-rata untuk masing-masing adalah 4, maka jaringan menghasilkan sekitar 40 ribu aliran per detik. Kenapa sangat banyak? Seperti yang saya tulis di atas, itu tergantung pada berapa banyak koneksi unik yang dihasilkan oleh aplikasi Anda atau jaringan Anda. Saat ini, ada banyak program “mengobrol” yang berjalan di komputer pengguna, yang memuat konten secara aktif dari Internet, seperti browser, atau terus-menerus memeriksa pembaruan, seperti antivirus. Berikut adalah contoh daftar perangkat lunak dan layanan yang secara aktif meningkatkan jumlah FPS di jaringan:

  • Adobe, antivirus, Java
  • Skype
  • klien email
  • Netbios
  • browser
  • aplikasi berorientasi umpan (Twitter, berita, Telegram, dll.).

Jawaban yang lebih akurat akan memberi tahu Anda analisis Netflow di segmen jaringan yang Anda butuhkan, yang dilakukan hanya dengan satu perintah pada perangkat jaringan (tergantung pabrikan).

Panjang satu catatan Netflow v5 adalah 48 byte. Untuk versi 9 Netflow, angka yang tepat tidak ada, karena versi ini memungkinkan Anda untuk menggambarkan apa yang akan Anda sertakan dalam catatan dan karenanya panjangnya bisa sangat bervariasi. Tetapi jika, secara sangat kasar, kami mengambil 100 byte untuk panjang rata-rata rekaman stream (dan setiap paket jaringan dapat menghasilkan 20-30 stream), maka kami dapat memperkirakan berapa banyak data yang akan dihasilkan dan ditransfer ke SIEM. Pada saat yang sama, volume penyimpanan SIEM untuk data ini mungkin lebih besar (ini akan tergantung pada format penyimpanan, pengindeksan, kompresi, cadangan, dll.). Ngomong-ngomong, ketika menghitung jumlah FPS, ingatlah bahwa dalam kerangka serangan DDoS, konsep "FPS rata-rata" tidak berfungsi, karena setiap koneksi, setiap paket TCP SYN akan menjadi aliran terpisah, dan dengan serangan DDoS yang kuat, jumlah FPS dalam puncakmu akan sangat besar.

Saya sebutkan di atas bahwa dalam kasus mentransfer Netflow ke SIEM pusat, Anda harus "mengarahkan" itu melalui Internet. Jangan berpikir bahwa generasi Netflow akan membuat beban besar pada jaringan dan mengurangi bandwidthnya. Menurut penelitian kami, karena hanya informasi tajuk dan telemetri tambahan yang ditransmisikan dalam Netflow, dan bukan seluruh badan data, beban akan meningkat sekitar 1-2% ke antarmuka dari mana telemetri jaringan diekspor (pada kenyataannya, menggunakan sampel dan versi protokol modern Netflow nilai ini bisa lebih sedikit dengan urutan besarnya dan bervariasi pada tingkat 0,1%).

Mengumpulkan tidak dapat dianalisis


Tapi katakanlah Anda masih memutuskan untuk mendapatkan Netflow mentah pada SIEM Anda. Skenario ini memiliki nuansa lain. Sangat penting untuk dipahami bahwa memiliki dukungan Netflow di SIEM tidak cukup; Sangat penting untuk dapat menangani Netflow ini dari sudut pandang keamanan, yaitu, memiliki aturan untuk menganalisis dan menghubungkan aliran Netflow yang terpasang dan terus diperbarui untuk jenis serangan baru. Katakanlah Netflow memberi kita gambar ini:

gambar

Kami melihat lonjakan protokol SSH. Bahkan, kita sekarang melihat gambar yang sama dengan serangan pada protokol RDP. Ini menebak kata sandi. Tetapi ini hanya bisa diungkapkan dengan syarat kami memiliki aturan yang sesuai, yang dari sejumlah aliran Netflow akan mengumpulkan satu acara "Pencocokan Kata Sandi". Kemudian kita dapat mengatakan bahwa SIEM memiliki dukungan Netflow internal dan dapat menganalisanya dari sudut pandang keamanan. Oleh karena itu, memilih jalur ini, Anda harus bertanya kepada penjual apa yang dapat menganalisis SIEM di Netflow "di luar kotak" dan, jika tidak ada, seberapa melelahkan proses menggambarkan prosesor Netflow Anda sendiri dan apakah Anda memiliki spesialis yang akan melakukan ini? Kami sangat menyadari bahwa menulis konektor ke Netflow tidak begitu sulit, tidak seperti aturan untuk memprosesnya dan mengidentifikasi anomali di dalamnya yang membutuhkan kerja terus-menerus.Ini adalah tentang menyalin mesin orang lain untuk IDS Anda (Snort, Zeek, atau Suricata), tetapi tidak dapat menulis tanda tangan untuk eksploitasi dan serangan yang baru ditemukan secara berkelanjutan. Dalam contoh di atas, sistem itu sendiri harus mengenali lonjakan lalu lintas di SSH dan mengatakan sendiri bahwa ini adalah serangan "tebak kata sandi" pada SSH (baik Telnet, atau RDP, atau FTP). Mungkin terlihat seperti ini (misalnyaCisco Stealthwatch Enterprise ):

gambar

Dan kemudian Anda dapat menyelidiki insiden ini di tingkat yang lebih dalam, menggunakan kemampuan yang disediakan oleh SIEM atau alat analisis Netflow terpisah. Tanpa kemampuan untuk "memahami" Netflow dalam hal keamanan informasi, kehadiran dukungan bawaan untuk Netflow adalah keuntungan yang meragukan bagi SIEM.

gambar

SIEM dengan eksportir Netflow sendiri


Pelaku pasar SIEM lainnya, LogRhythm, pada gilirannya, menawarkan pengekspor tambahan stream NetMon, yang dapat berguna dalam infrastruktur terdistribusi, serta dalam jaringan yang peralatannya tidak mendukung Netflow dan membutuhkan generator Netflow terpisah untuk lalu lintas jaringan yang melewatinya. Bahkan, dalam perwujudan ini, produsen SIEM mengambil fungsi dari vendor jaringan, mengembangkan solusi untuk menghasilkan Netflow dan mengurangi beban pada SIEM, yang menghilangkan kebutuhan untuk memproses dan menyimpan Netflow mentah. Situasinya mirip dengan dukungan SSL Offload pada banyak firewall generasi baru. Ya, itu ada di sana, tetapi dengan pertukaran lalu lintas HTTPS yang intensif, beban tambahan pada NGFW menyebabkan penurunan yang signifikan dalam throughputnya.Oleh karena itu, dalam arsitektur yang sarat muatan, perangkat terpisah biasanya dialokasikan untuk tugas ini, yang mengambil tugas mendekripsi lalu lintas SSL dan kemudian mengembalikannya ke NGFW. Hal yang sama terjadi dengan pemrosesan SIEM Netflow dalam skenario ini.

gambar

Jelas bahwa skenario ini juga memiliki kelemahan - kenaikan harga akhir solusi, karena selain membayar lisensi untuk jumlah FPS yang dianalisis, Anda juga perlu membayar sensor tambahan yang akan melewati lalu lintas melalui dirinya sendiri dan menghasilkan Netflow. Selain itu, Anda perlu membuat perubahan pada arsitektur jaringan, tetapi ini harus tetap dilakukan, jadi saya akan menyebutnya bukan kelemahan, tetapi fitur dari skenario ini. Jika peralatan jaringan Anda tidak tahu cara menghasilkan Netflow, dan Anda ingin menganalisis anomali jaringan, maka satu-satunya pilihan untuk melakukan ini adalah dengan menggunakan sensor terpisah. Satu-satunya pertanyaan adalah apa yang akan lebih murah - membeli sensor dari produsen SIEM atau menggunakan sensor dari produsen jaringan (misalnya, Cisco Netflow Generation Appliance) atau pengembang alat analisis anomali jaringan (misalnya,Sensor Arus Perusahaan Cisco Stealthwatch). Dalam opsi ini, juga bermanfaat untuk mengetahui apakah SIEM mampu menganalisis Netflow dari sudut pandang keamanan informasi, atau apakah hanya ada konektor dalam bentuk eksportir / sensor yang diambil (biasanya itu bisa)?

SIEM, NTA


Opsi ketiga, integrasi dengan solusi kelas NTA, cukup jelas, karena, pada kenyataannya, NTA adalah penghasil acara keamanan yang sama dengan NGFW, antivirus, pemindai keamanan, IPS, dll. Namun, skenario ini menarik karena Anda menggabungkan dua alat analisis keamanan yang Anda miliki, tetapi Anda dapat bekerja dengannya secara terpisah. NTA memungkinkan Anda untuk melakukan analisis mendalam tentang lalu lintas jaringan, mendeteksi kode berbahaya, serangan DDoS, kebocoran informasi, memantau pengguna jarak jauh ... Pada saat yang sama, alat analisis lalu lintas jaringan yang baik juga memungkinkan Anda untuk menggunakan sensor terpisah di segmen-segmen di mana peralatan jaringan tidak mendukung Netflow atau Inklusi menyebabkan peningkatan beban pada peralatan jaringan. NTA dalam skenario ini memungkinkan Anda untuk mengumpulkan, memproses, menganalisis Netflow (dalam versi yang berbeda),dan pada SIEM hanya memberikan alarm atas fakta deteksi satu atau aktivitas jahat lainnya. Jelas, opsi ini juga masuk akal untuk digunakan ketika Anda atau staf TI Anda sudah memiliki solusi kelas NTA untuk pemecahan masalah jaringan dan juga dapat digunakan untuk tugas-tugas keamanan jaringan. Atau ketika, sebaliknya, Anda ingin berbagi biaya untuk solusi NTA dengan networkers Anda, yang akan menggunakannya untuk tugas mereka, dan Anda untuk Anda.siapa yang akan menggunakannya untuk tugas mereka, dan Anda untuk Anda.siapa yang akan menggunakannya untuk tugas mereka, dan Anda untuk Anda.

Kerugian dari opsi ini adalah biaya tambahan dari solusi kelas NTA, serta kebutuhan untuk pelatihan ganda spesialis dalam dasar-dasar bekerja dengan dua solusi yang berbeda. Tetapi di sisi lain, solusi terpisah untuk menganalisis lalu lintas jaringan akan memungkinkan untuk investigasi insiden yang lebih dalam daripada dengan SIEM tunggal dengan dukungan Netflow internal, dan aplikasi yang lebih fleksibel daripada dengan produsen SIEM yang memiliki sensor Netflow terpisah. Tetapi perlu diingat bahwa ketika kita berbicara tentang solusi terpisah dari kelas NTA, maksud saya solusi keamanan, dan bukan hanya alat untuk menganalisis lalu lintas jaringan atau memantau kinerja jaringan. Sebagai contoh, SolarWinds NTA telah disebutkan sebelumnya menganalisis lalu lintas jaringan dengan baik untuk mendukung tugas-tugas TI, tetapi itu sangat buruk untuk tujuan keamanan informasi.Hal yang sama berlaku untuk 5View dari InfoVista atau Visual TruView dari Fluke. Dan yang sama, misalnya,Cisco Stealthwatch Enterprise dapat digunakan oleh keduanya di perusahaan.

gambar

Apa yang harus dicari ketika memilih?


Ketika memilih solusi NTA untuk tujuan keamanan, serta menganalisis eksportir / sensor yang disediakan oleh vendor SIEM atau SIEM dengan dukungan Netflow, saya akan merekomendasikan memperhatikan kriteria berikut:

  • Jenis aktivitas berbahaya yang terdeteksi. Anda mengambil alat untuk memantau keamanan informasi; logis untuk berasumsi bahwa ia harus dapat mengidentifikasi berbagai anomali dan ancaman yang terkait dengan keamanan informasi “out of the box”. Selain itu, parameter ini dibagi menjadi tiga bagian - algoritma bawaan untuk mendeteksi berbagai jenis ancaman keamanan informasi, menulis penangan / aturan khusus dan mendukung sumber eksternal Threat Intelligence untuk memperkaya aliran yang dianalisis dengan data tentang ancaman.
  • Netflow. , , .
  • . , 1 ( FPS)? 60 FPS, NTA 40 , , , , , 80 FPS.
  • . , flat, … , . , . . , (, , Argus, Fluke, Plixer, Riverbed SolarWinds), , . , . , ; , . , , Cisco Stealthwatch.
  • . , , , , . — NTA. , Cisco nfdump OSU FlowTools Lancope, .
  • . , - . :

    • /
    • flow cache ( cash flow :-)
    • . MAC-, VLAN, MPLS, TCP, , , , , ( IPFIX ).
  • . Netflow SIEM, SIEM NTA . , , (, ) REST API, syslog ..

Jika itu adalah pertanyaan tentang apa yang harus dipilih terlepas dari SIEM, maka saya juga akan menyarankan untuk melihat ke arah peluang berburu ancaman yang disediakan oleh solusi yang dipilih. Tetapi karena topik dari catatan itu dipilih sedikit berbeda, maka kita tidak akan memperhatikan aspek ini sekarang.

Masalah harga


Jika Anda melihat ketiga opsi ini dari sudut pandang biayanya, maka opsi ketiga akan menjadi yang paling mahal dari sudut pandang pengeluaran modal (tergantung pada kemampuan yang sama untuk analisis Netflow dalam ketiga skenario). Ini dapat dimengerti. Selain biaya SIEM, Anda akan memerlukan solusi terpisah untuk menganalisis lalu lintas jaringan, yang akan terdiri dari setidaknya satu sistem kontrol dan jumlah kolektor yang diperlukan yang mengumpulkan Netflow dari berbagai eksportir / sensor. Di sisi lain, tidak peduli seberapa besar Anda memperluas jangkauan jaringan Anda dengan eksportir / sensor baru, ini tidak akan mempengaruhi biaya SIEM dan infrastruktur untuk itu, karena itu akan bekerja dengan alarm yang sudah diproses, dan tidak dengan aliran Netflow mentah, yang (sinyal) akan beberapa kali lipat lebih kecil.

Opsi pertama terlihat paling menarik dari sudut pandang harganya, karena kami tidak perlu membayar ekstra untuk pelatihan analis dan administrator NTA, atau untuk eksportir / sensor tambahan; tahu, transfer aliran Netflow ke SIEM dan semua. Namun, biaya infrastruktur untuk SIEM akan meningkat secara signifikan, karena Anda harus menyimpan aliran Netflow mentah, yang akan membutuhkan perluasan penyimpanan yang ada. Opsi kedua adalah perantara di antara kedua ekstrem, baik dalam hal kemampuan analisis Netflow dan dalam hal biaya. Dalam setiap kasus, dalam dua opsi pertama, ada baiknya memeriksa dengan produsen SIEM total biaya kepemilikan solusi berdasarkan tantangan, serta FPS saat ini dan yang diharapkan dan, sebagai akibatnya, perubahan dalam biaya lisensi untuk SIEM dan penyimpanan untuk itu. Ambil contohLogRhythm dan subsistemnya untuk analisis Netflow. Setidaknya ada tiga opsi untuk penerapannya dan, sebagai konsekuensinya, penetapan harga. Opsi termuda, Freemium hanya dapat mengirim alarm ke SIEM, bandwidth tidak dapat melebihi 1 GB / s, kapasitas penyimpanan hanya 1 GB (ini adalah sekitar satu hari penyimpanan Netflow tanpa pengambilan sampel), periode penyimpanan indeks tidak lebih dari 3 hari, dan tidak ada korelasi dengan sumber data tambahan, dan dukungan hanya berfungsi secara online dan melalui komunitas. Dalam versi berikutnya, NetMon, indikatornya lebih baik (bandwidth hingga 10 GB / s untuk semua eksportir, penyimpanan tidak terbatas, indeks disimpan hingga satu bulan, tetapi tidak ada korelasi dengan sumber lain juga). Dan hanya dalam versi premium NetworkXDR Anda tidak memiliki batasan, tetapi berdiri sebagai "satu kilometer jalan Moskow", yaitu, tidak murah.

Dalam salah satu proyek, kami dihadapkan dengan fakta bahwa dengan volume telemetri jaringan 1 TB setiap hari dan mengirimkannya ke SIEM dengan dukungan Netflow internal, total biaya solusi adalah sekitar 600 ribu dolar AS (bahkan sebelum lompatan berikutnya dalam kursus). Pada saat yang sama, bagian dari data ini tetap tidak diproses karena kurangnya aturan yang sesuai dalam SIEM dan duplikat. Penggunaan solusi NTA terpisah (dalam kasus kami itu adalah Cisco Stealthwatch Enterprise ) menyebabkan pengurangan 80% dalam volume data yang ditransfer ke SIEM, dan biaya solusi turun menjadi 99 ribu dolar AS. Matematika mungkin berbeda dari proyek ke proyek, tetapi kami perhatikan bahwa semakin banyak Netflow yang kami butuhkan untuk memproses, semakin mahal infrastruktur SIEM untuk memprosesnya. Mengapa demikian?

Mari kita lihat satu contoh. Ketika seorang pengguna terhubung ke server, dari sudut pandang analisis klasik peristiwa keamanan informasi, kami berurusan, secara kondisional, dengan hanya satu peristiwa yang kami "hapus" dari server, mengirimkannya, misalnya, melalui syslog ke SIEM (pada kenyataannya, akan ada dua peristiwa - upaya koneksi dan hasilnya). Jika acara ini diuraikan menjadi komponen jaringan, maka kita akan melihat bahwa akan ada urutan besarnya lebih banyak thread yang dihasilkan. Sebagai contoh, jumlah rata-rata "hop" (hop) dari klien ke server adalah 5-6 di jaringan rata-rata. Setiap switch atau router yang melaluinya permintaan melewati dari klien ke sisi server menghasilkan entri Netflow yang menggambarkan lalu lintas yang lewat. Selain itu, ini dilakukan untuk setiap arah sesi (permintaan dan tanggapan) secara terpisah. Ternyata di sana,di mana hanya 1-2 peristiwa dihasilkan pada tingkat aplikasi, aliran Netflow diperlukan setidaknya 10 kali lebih banyak (sebenarnya bahkan lebih, karena satu paket jaringan menghasilkan sekitar 20-30 aliran Netflow). Dan kita tidak hanya akan harus membayar semua lusinan utas ini (meskipun acara ini masih satu) dan mengalokasikan ruang untuk penyimpanan mereka. Jadi, SIEM juga harus memprosesnya, menghapus duplikat, menggabungkan aliran multi arah dalam satu sesi dan hanya kemudian menghubungkan data ini dengan peristiwa lain. Oleh karena itu, total biaya solusi yang tampak jelas mungkin lebih tinggi daripada dalam kasus eksportir Netflow yang terpisah atau solusi analisis anomali jaringan mandiri yang terintegrasi dengan SIEM.jadi satu paket jaringan menghasilkan sekitar 20-30 aliran Netflow). Dan kita tidak hanya akan harus membayar semua lusinan utas ini (meskipun acara ini masih satu) dan mengalokasikan ruang untuk penyimpanan mereka. Jadi, SIEM juga harus memprosesnya, menghapus duplikat, menggabungkan aliran multi arah dalam satu sesi dan hanya kemudian menghubungkan data ini dengan peristiwa lain. Oleh karena itu, total biaya solusi yang tampak jelas mungkin lebih tinggi daripada dalam kasus eksportir Netflow yang terpisah atau solusi analisis anomali jaringan mandiri yang terintegrasi dengan SIEM.jadi satu paket jaringan menghasilkan sekitar 20-30 aliran Netflow). Dan kita tidak hanya akan harus membayar semua lusinan utas ini (meskipun acara ini masih satu) dan mengalokasikan ruang untuk penyimpanan mereka. Jadi, SIEM juga harus memprosesnya, menghapus duplikat, menggabungkan aliran multi arah dalam satu sesi dan hanya kemudian menghubungkan data ini dengan peristiwa lain. Oleh karena itu, total biaya solusi yang tampak jelas mungkin lebih tinggi daripada dalam kasus eksportir Netflow yang terpisah atau solusi analisis anomali jaringan mandiri yang terintegrasi dengan SIEM.untuk menggabungkan aliran multi arah dalam satu sesi dan hanya kemudian menghubungkan data ini dengan peristiwa lain. Oleh karena itu, total biaya solusi yang tampak jelas mungkin lebih tinggi daripada dalam kasus eksportir Netflow yang terpisah atau solusi analisis anomali jaringan mandiri yang terintegrasi dengan SIEM.untuk menggabungkan aliran multi arah dalam satu sesi dan hanya kemudian menghubungkan data ini dengan peristiwa lain. Oleh karena itu, total biaya solusi yang tampak jelas mungkin lebih tinggi daripada dalam kasus eksportir Netflow yang terpisah atau solusi analisis anomali jaringan mandiri yang terintegrasi dengan SIEM.

Dan analisis Netflow eksternal tersebut dapat digunakan dalam salah satu dari dua skenario. Yang pertama adalah transfer ke SIEM telemetri yang dioptimalkan, dibersihkan dari pengulangan (deduplicated), menggabungkan aliran multi arah. Berdasarkan pengalaman kami (dan Stealthwatch Enterprise dapat bekerja dalam mode ini), saya dapat mengatakan bahwa ini memberikan pengurangan enam kali lipat dalam volume telemetri yang dikirimkan ke SIEM, yang, dalam skenario ini, masih harus dapat menganalisis Netflow dari sudut pandang keamanan.

gambar

Skenario kedua mengasumsikan bahwa semua pemrosesan dilakukan pada solusi dari kelas NTA, dan hanya alarm yang diterima sebagai hasil pemrosesan Netflow yang diterima dalam SIEM. Opsi ini mengurangi bahkan lebih banyak data yang dikirim ke SIEM, mengurangi biaya lisensi dan infrastrukturnya. Ya, dan SIEM tidak lagi diperlukan untuk dapat menganalisis Netflow mentah, yang memperluas kemungkinan untuk memilih alat untuk menganalisis peristiwa keamanan informasi.

gambar

Apakah ada alternatif lain?


Setelah memeriksa opsi untuk menggunakan Netflow di SIEM untuk mendeteksi lebih banyak peristiwa keamanan daripada tanpa Netflow, mari kita lihat alternatif yang mungkin.

Alat Diagnostik Jaringan


Anda dapat mencoba menggunakan alat diagnostik jaringan yang digunakan untuk menilai bandwidth jaringan, ketersediaan node dan segmen internal, beban puncak, dll. Sebagai contoh, SolarWinds NetFlow Traffic Analyzer. Solusi ini tidak dirancang untuk mendeteksi anomali IS dan ancaman, tetapi mereka dapat digunakan untuk mentransfer informasi aliran ke SIEM, yang mungkin dapat menganalisis Netflow. Ini akan memuat SIEM, seperti yang saya jelaskan di atas, dan Anda harus memutuskan apakah Anda siap untuk ini? Benar, ada baiknya untuk mengklarifikasi terlebih dahulu apakah penganalisa jaringan dapat mengirim data Netflow ke sistem eksternal. Kadang-kadang mereka dapat memberikan hanya ringkasan statistik atau menghasilkan alarm, yang jelas tidak cukup untuk tugas IS.

gambar

Sistem Deteksi Intrusi dan NGFW


Jaringan IPS dan NGFW adalah alternatif lain. Mereka dapat mengintip di dalam lalu lintas jaringan dan dapat mendeteksi banyak ancaman melalui mekanisme inspeksi jaringan yang mendalam ... tetapi di perimeter. Namun, biasanya NGFW dan IPS ditempatkan di perbatasan jaringan perusahaan dan Internet dan hanya melihat apa yang melewatinya. Memasang perangkat ini, "besi" atau virtual, di setiap tempat yang Anda minati akan terlalu mahal, dan dalam beberapa kasus secara teknis tidak mungkin. Berbicara tentang perbatasan atau perimeter, perlu diingat bahwa antarmuka antara pusat data perusahaan dan segmen pengguna juga merupakan perbatasan. Dan persimpangan antara jaringan perusahaan dan industri juga. Tetapi bagaimanapun juga, memasang sensor IPS atau NGFW tambahan dapat menghantam dompet Anda dengan menyakitkan, sementara Netflow akan dikumpulkan dari peralatan jaringan yang sudah dibeli dan diimplementasikan.

Alat Investigasi Insiden Jaringan


Solusi kelas Network Forensics Tool (NFT) memungkinkan Anda untuk menyimpan, memproses, dan menganalisis lalu lintas jaringan untuk menyelidiki insiden. Tetapi ada perbedaan yang signifikan antara jenis solusi ini dan NTA - NFT bekerja dengan salinan lalu lintas penuh, yaitu, biasanya dengan file PCAP, dan NTA dengan catatan tentang hal itu. Dan jika solusi analisis Netflow bekerja hampir secara real time, maka NFT - dengan penundaan yang signifikan. Selain itu, solusi apa pun yang bekerja dengan PCAP (atau dengan cara lain untuk menangkap dan menyimpan salinan semua lalu lintas jaringan) akan mengalami masalah tempat menyimpan semua data yang dikumpulkan.

Bayangkan Anda memiliki port pada perangkat jaringan 1 Gb / s. Dengan panjang paket 64 byte, port ini akan dapat melewati 1953125 paket per detik, dan dengan panjang 1500 byte - 83.333 paket. Yaitu, tergantung pada panjang paket (dan ini tergantung pada aplikasi di jaringan), kita akan memiliki sekitar 80 ribu hingga 2 juta paket per detik, yang perlu kita simpan. Pada suatu hari, port seperti itu akan memungkinkan 86400 Gbit / s atau hampir 11 TB. Hampir 4 PB akan berjalan sepanjang tahun, dan ini hanya untuk satu port, di mana kita dapat memiliki ribuan dan puluhan ribu di jaringan kami. Bahkan penyimpanan lalu lintas selektif tidak akan banyak memudahkan kehidupan kita. Oleh karena itu, solusi kelas NFT diperlukan, tetapi mereka tidak dapat menggantikan analisis Netflow. Ini adalah alat yang menyelesaikan tugas yang berbeda - pemantauan dan investigasi insiden.Biasanya, solusi ini bekerja berpasangan - Netflow memungkinkan kami untuk mengidentifikasi insiden, dan NFT sudah mengumpulkan data terperinci tentang mereka dalam bentuk menangkap semua lalu lintas jaringan.

" Tetapi ada SIEM dengan NFT, misalnya, IBM QRadar Incident Forensics atau RSA Security Analytics, yang memungkinkan Anda untuk bekerja dengan salinan penuh lalu lintas jaringan dan semua meta-data Netflow akan secara otomatis tersedia di SIEM"Ya, ada! Selain itu, keuntungan dari solusi ini adalah kemungkinan merekonstruksi semua sesi jaringan yang menarik dan memvisualisasikannya, yang dapat memfasilitasi penyelidikan insiden. SIEM semacam itu memungkinkan Anda untuk mengambil tempat penyerang dan melihat segala sesuatu yang dilihatnya. Tetapi martabat ini tersembunyi. dan kelemahan serius yang saya sebutkan di atas adalah bahwa menyimpan salinan penuh dari lalu lintas jaringan memerlukan penyimpanan yang besar, tidak, tidak terlalu besar yang dapat dikenai biaya sebagai SIEM terpisah, atau bahkan lebih (lebih dari sekadar menyimpan Netflow mentah saja) ) .Anda mungkin perlu memilih sesi spesifik mana yang akan disimpan untuk menghemat ruang, dan ini dapat menyebabkan beberapa lalu lintas hilang. Selain itu, dalam hal kepatuhan dengan persyaratan hukum untuk menyimpan data yang terkait dengan insiden,Anda harus memecahkannya atau membayar uang ekstra untuk penyimpanan. Fitur lain dari solusi ini adalah kebutuhan untuk menghemat lalu lintas yang telah didekripsi di SIEM, yang berarti Anda perlu meninjau arsitektur sistem pemantauan Anda agar dapat mendekripsi lalu lintas dan mengirimkannya ke SIEM. Dan jangan lupa bahwa solusi seperti itu masih fokus pada melakukan investigasi, yang membutuhkan personel yang berkualitas, dan bukan pada mendeteksi anomali dan ancaman menggunakan algoritma yang sudah jadi.bahwa keputusan semacam itu bagaimanapun difokuskan pada melakukan investigasi, yang membutuhkan personel yang berkualifikasi, dan bukan pada mendeteksi anomali dan ancaman menggunakan algoritma yang sudah jadi.bahwa keputusan semacam itu bagaimanapun difokuskan pada melakukan investigasi, yang membutuhkan personel yang berkualifikasi, dan bukan pada mendeteksi anomali dan ancaman menggunakan algoritma yang sudah jadi.

Dalam skenario ini, saya masih akan melihat analisis awal lalu lintas jaringan menggunakan Netflow, dan hanya kemudian, untuk peristiwa dan insiden yang menarik bagi saya, saya akan memungkinkan pencatatan lalu lintas jaringan. Ini akan menghemat dan tidak menghabiskan sumber daya untuk penyimpanan "segalanya."

Kesimpulan


Jadi, untuk meringkas secara singkat. Netflow adalah sumber data yang berharga untuk memantau keamanan jaringan perusahaan dan departemen, seringkali satu-satunya yang dapat dikumpulkan dan didasarkan pada mana Anda dapat membuat keputusan tentang ada atau tidaknya ancaman di lingkungan Anda. Pada prinsipnya, Netflow juga dapat dianalisis secara independen menggunakan solusi kelas NTA, yang, memiliki basis data besar peraturan dan algoritma untuk mendeteksi aktivitas berbahaya dan tidak normal, dapat dengan cepat mendeteksi insiden dan meresponsnya. Integrasi Netflow dengan data yang dikumpulkan oleh SIEM memberi kita lebih banyak. SIEM mulai melihat apa yang belum pernah dilihat sebelumnya dan melihatnya jauh lebih awal daripada kita dapat dirugikan. Pada saat yang sama, kita tidak perlu melakukan perubahan kuat pada infrastruktur pemantauan yang ada, karena kita sudah memiliki peralatan jaringan,- Anda hanya perlu mengarahkan Netflow ke SIEM, secara langsung atau melalui solusi perantara. Mengaktifkan Netflow juga memungkinkan saya untuk meraih kemenangan kecil tapi cepat - hampir semua pilot solusi kamiCisco Stealthwatch Enterprise berakhir dengan fakta bahwa kami mendeteksi pelanggaran kebijakan IS tertentu yang sebelumnya tidak terlihat oleh layanan IS. Netflow memungkinkan mereka untuk dilihat, dan integrasinya dengan SIEM, untuk mendapatkan efek sinergis dari alat pemantauan jaringan yang diterapkan dan sistem aktivitas.

More articles:


All Articles