🤽 ⚰️ 🌚 Netflow和SIEM监控解决方案的集成 🍿 🎊 👨🏿‍🌾

SIEM早已成为分析安全事件和检测事件的事实上的标准（尽管有一些趋势放弃了SIEM，并用机器学习技术的附加组件来替代用于管理日志的解决方案），但是该解决方案的有效性取决于它使用什么数据源。但是，通常SIEM专家通常主要使用日志，而没有像Netflow这样重要的信息源，它使您可以看到通常不会进入日志或进入日志的东西，但为时已晚。这引起了许多问题。为什么现代SIEM解决方案需要Netflow支持？ SIEM可以从Netflow分析中得到什么？如果有制造商，哪个选项可以将SIEM与Netflow集成，他们将Netflow支持直接嵌入其解决方案中，并且有些人更喜欢与各种Netflow收集器合作。使用SIEM Netflow的功能是什么？我们将讨论这个。

Netflow用于威胁检测

在上一篇文章中我已经描述了使用Netflow进行网络安全的可能性。让我提醒您，与网络设备的日志或原始流量不同，Netflow是一种协议，允许您通过从网络会话中收集的元数据来分析流量。这些不仅是地址，目的地和源端口，还包括ICMP的消息类型和代码，IP服务类型，IP协议类型，网络接口，会话持续时间，开始和结束时间等。如果日志通常是在终端设备（例如服务器，工作站和DBMS）或保护手段上生成的，那么在前者没有生成安全事件或您不能在其上放置安全手段的情况下该怎么办，而后者仅安装在外围，看不到公司或部门网络内部发生了什么？另一件事是网络设备-交换机和路由器（硬件或虚拟设备），无线访问点和控制器。它们安装在内部，用户，设备，应用程序的交互始终通过它们。无法通过它们！通过将有关此交互的数据传输到Netflow（甚至由Cisco ASA或Firepower生成），我们不仅可以获得IT的宝贵信息来源，还可以获得网络安全的宝贵信息。如果设备不了解流量协议，我们可以使用特殊的导出器，软件或硬件解决方案，为通过它们的流量生成流量记录（适用于Cisco，Netflow Generation Appliance或会为通过它们的流量生成流记录（使用Cisco，Netflow生成设备或生成流记录的流记录（通过Cisco，Netflow生成设备或无线接入点和控制器。它们安装在内部，用户，设备，应用程序的交互始终通过它们。无法通过它们！通过将有关此交互的数据传输到Netflow（甚至由Cisco ASA或Firepower生成），我们不仅获得了宝贵的信息资源，还为IT以及网络安全提供了信息。如果设备不了解流量协议，我们可以使用特殊的导出器，软件或硬件解决方案，为通过它们的流量生成流量记录（适用于Cisco，Netflow Generation Appliance或无线接入点和控制器。它们安装在内部，用户，设备，应用程序的交互始终通过它们。无法通过它们！通过将有关此交互的数据传输到Netflow（甚至由Cisco ASA或Firepower生成），我们不仅获得了宝贵的信息资源，还为IT以及网络安全提供了信息。如果设备不了解流量协议，我们可以使用特殊的导出器，软件或硬件解决方案，为通过它们的流量生成流量记录（适用于Cisco，Netflow Generation Appliance或通过将有关此交互的数据传输到Netflow（甚至由Cisco ASA或Firepower生成），我们不仅获得了宝贵的信息资源，还为IT以及网络安全提供了信息。如果设备不了解流量协议，我们可以使用特殊的导出器，软件或硬件解决方案，为通过它们的流量生成流量记录（适用于Cisco，Netflow Generation Appliance或通过将有关此交互的数据传输到Netflow（甚至由Cisco ASA或Firepower生成），我们不仅获得了宝贵的信息资源，还为IT以及网络安全提供了信息。如果设备不了解流量协议，我们可以使用特殊的导出器，软件或硬件解决方案，为通过它们的流量生成流量记录（适用于Cisco，Netflow Generation Appliance或会为通过它们的流量生成流记录（使用Cisco，Netflow生成设备或会为通过它们的流量生成流记录（使用Cisco，Netflow生成设备或Stealthwatch流量传感器）。用于检测叠加在Netflow流上的异常或特征的算法以及机器学习方法，使您能够识别与网络流量参考行为的偏差，这将表征信息安全威胁或IT基础架构问题。

值得记住的是，Netflow无法说出网络流量内部传输的内容（尽管已经有技术可以让您识别Netflow所使用的应用程序和恶意代码），但是它是为其他任务而开发的。但是他可以告诉谁“说话”，以及与谁说话，如何说话以及持续多长时间。尽管存在不同版本的流协议，但是大多数协议允许您收集以下数据：

源和目标IP地址
源端口和目标端口
协议
服务类型
源接口
开始和结束时间戳记
传输的信息量。

在某些版本中，例如在IPFIX或Netflow v9中，您可以从数据主体中提取一些信息，这使Netflow分析器（独立或内置于SIEM）可以识别正在运行的应用程序。所有这些信息通常足以检测网络流量中的异常甚至威胁。

Netflow和SIEM：兄弟有什么优势？

如果目标系统不生成日志或被入侵者禁用，该怎么办？如果目标系统上没有安全功能，因为它们会加载处理器并降低系统速度，那么该怎么办？员工携带未连接到SIEM的个人设备怎么办？我们仍然拥有唯一的信息来源-网络流量，无论如何它都是由目标设备生成的。什么可以帮助识别无需使用SIEM即可使用网络流量分析（NTA）解决方案进行分析的“干净” Netflow？以下是此类威胁和异常的简短列表：

恶意代码，勒索软件和加密矿工
与命令服务器的交互
网络扫描
拒绝服务攻击
数据泄漏
破解SSH或RDP
种子和其他P2P应用程序
,
..

SIEM收集的日志给您什么？监视节点上的用户活动，访问资源，进出系统的权限，网络设备和安全工具发出的警报等功能。日志和Netflow进入SIEM并在其中进行分析的组合，使您可以快速识别来自刚刚受到攻击的设备（包括绕过外围设备的设备）的新会话和新流量。通过组合这些数据类型，您还可以识别配置错误的网络安全功能。 Netflow通过检测新型流量，突发流量，与外部和内部资源的交互，数据泄漏，恶意代码分发，与团队服务器的交互，将恶意负载封装到允许的协议中，等等。

传统处理的SIEM数据与Netflow的结合，不仅可以查看更多的各种安全事件，而且可以更快地查看它们，从而减少了所谓的TTD（检测时间）参数，从而缩短了响应时间。显然，SIEM和Netflow分析可以彼此独立地工作并很好地完成工作，但是这两种解决方案的结合使您可以实现协同效果。

更改流量行为的模式可能表示可疑或异常行为。例如，超过上载到Internet的数据的阈值可能表示泄漏。与提供的RFC相比，DNS查询和响应的大小变化可以表征恶意代码的运行情况（根据Cisco统计，92％的恶意软件使用DNS接收命令，下载数据或下载更新）。还记得Equifax的故事吗？然后，攻击者可以访问Web门户，然后访问内部数据库服务器，然后缓慢地将大量数据上传到外部。另外，所有这些事件都不是很重要，只是聚集在一起并充实Netflow数据即可识别信息安全事件。这是Netflow分析系统的另一种情况，它可以检测频繁查询数据库的Web门户和突然向该门户提供大量数据的数据库的非标准行为。我已经先前在Habr上描述了这种情况。接收Netflow数据的SIEM可以为IPS，ITU，代理，防病毒，EDR等生成的事件获取其他上下文，以便更有效地响应事件。

另一个例子。由于网络异常和来自主机的事件之间的相关性以及触发器的触发，因此检测到入侵检测系统没有特征的未知攻击。例如，在3分钟内扫描100个节点可以表征扩展其桥头的恶意代码的操作。来自服务器的响应时间增加可能是针对服务器的DDoS攻击的特征，例如，通过DNS协议接收和发送的信息量不匹配可能表示数据泄漏。在我前面提到寻找DNSpionage广告系列时，我们已经讨论过这种情况。同时，您可以注意到，在一种情况下，我们仅分析了Netflow，而在另一种情况下，我们还从终端设备，沙箱，DNS网关等收集了数据。

将Netflow集成到SIEM中可以提供帮助的另一个领域是态势感知。流与日志，上下文，地理位置信息，用户活动，信誉数据的关联。例如，在先前的说明中，我列举了一个案例，该案例涉及检测来自伊朗或朝鲜的节点的内部流量。如果您与这些国家/地区没有联系，则可能表明这是恶意代码窃取信息或针对您公司的亲政府黑客的标志。网络异常分析系统可以通过识别相应的异常来完成某些工作。但是，如果您还想了解此事件涉及哪个用户，则需要使用Active Directory中用户名形式的其他上下文。Netflow本身不处理此信息-因此我们需要使用来自AD的信息来丰富它。如果您使用Cisco Stealthwatch，为此，您只需要将其与Cisco ISE集成，即可将IP和MAC地址与特定用户和设备配置文件链接在一起。如果未在网络上部署Cisco ISE怎么办？用用户信息丰富Netflow的任务是SIEM的责任。

另一个例子。我的计算机上运行着一个网站，用于执行许多任务。但是有多少普通用户可以吹牛呢？突然您从用户计算机捕获了Web服务器运行中固有的流量？在使用Windows PC的用户所在的网段中，您突然会看到Linux操作系统固有的流量。也许这个“方便”的用户决定使用Linux来提升虚拟机，从而违反了安全策略？您还可以标识以这种方式进行远程访问的实用程序（例如RAT），加密矿工，云或对等应用程序等。

如果您是单一供应商方法的支持者，则基于Cisco解决方案构建安全系统将使您减少对SIEM的依赖-所有Cisco解决方案，包括防火墙，电子邮件保护，沙盒，PC保护解决方案（适用于Endpoints的Cisco AMP）和等等可以直接在彼此之间交换数据，上下文，安全事件和命令。但是，如果您的基础架构继承了来自不同制造商的许多不同解决方案，则SIEM将成为帮助从不同产品的动物园构建完整解决方案的链接。无论如何，对从现有网络基础结构中收集的网络流量进行的分析，再加上SIEM通常收集的数据，可以扩大~~视野。~~IS服务能够看到更多并做出更快响应的能力。

在SIEM中使用Netflow的好处：

网络活动与从应用程序和PC /服务器级别收集的其他有关信息安全的信息之间的相关性
监视违反隐私法律的高风险（例如GDPR）的能力，并且您只能分析网络流量的标头或元数据，而不能分析其内容
检测表征事件或目标攻击发展的第一阶段的异常
收集和存储表征事件的各种数据，并将其作为IS调查或与执法机构互动的一部分提供。

银子弹？

但是不要以为Netflow是每个人都已经寻找了这么长时间的灵丹妙药。它也有缺点。例如，其处理可能会加载过时的或错误选择的网络设备的处理器和内存，这可能对其性能和网络带宽产生不利影响。为了有效地与Netflow一起使用，您可能需要其硬件支持或使用所谓的出口商，这些出口商通过将其自身传递的流量将其转换为Netflow（那些在交换网络中遇到IDS / COB引入，使用所谓的磁带或分离器来完成类似任务的人））我已经给出了两个此类外部解决方案的示例-Cisco Stealthwatch流量传感器和思科Netflow生成设备。尽管考虑到网络的最新现代化，可以假定您的交换机和路由器已经支持一个或另一个版本的Netflow，并且您不需要任何其他导出程序。

其他值得了解的Netflow功能包括：

误报可能与分析系统的培训不正确或不足有关，还可能与尚未通知分析系统的IT操作更改有关。
性能下降以及对SIEM存储的影响（我们将进一步讨论）
通过Netflow收集的元数据并不总是允许进行全面调查，这可能需要PCAP格式的原始流量。

具有Netflow的SIEM集成选项

当今市场上有哪些SIEM可以处理网络流量？我必须说，几乎所有内容，但通常以不同的方式，并且这都需要单独的付费许可证，而许可证又又分为选项。我将重点介绍在SIEM中分析Netflow的三个选项：

SIEM中对Netflow的内置支持
自己的出口商/传感器，用于生成Netflow并传输给SIEM
SIEM与网络流量分析（NTA）类的外部解决方案集成。

具有集成Netflow支持的SIEM

例如，在后苏联SIEM领域非常流行的Microfocus ArcSight具有对Netflow的内置支持。该功能使SIEM可以将网络流与其他安全事件动态关联起来，或者用来自Threat Intelligence来源的数据丰富它们。但是，此选项有其缺点，即：

-, , . ( , « », )?
-, Netflow SIEM, Netflow . ? SIEM , , , ? - «» Netflow ?

-, . ? VPN- ( ).
-, Netflow SIEM FPS ?
, , flow- (. ). Netflow, SIEM. Netflow — v5, , v9, IPv6, MPLS . Flexible Netflow ( Netflow v9), IPFIX, Netflow v10, sFlow, , , , NetStream, Jflow .. SIEM?

如果仅选择SIEM，则在考虑的参数列表中还应包括设备产生的Netflow类型。如果您已经购买了SIEM，那么您没有太多选择。在这种情况下，应考虑以下选项：

一个单独的IS网络异常分析器（例如Cisco Stealthwatch），它将自行进行整个分析，并将结果提供给SIEM
单独的Netflow收集器，它将能够向SIEM提交有关网络流的摘要分析，并且SIEM将已经分析此数据。

挂多少克（即以字节为单位）？

顺便说一句，在我们继续进行下一个将Netflow与SIEM集成的选择之前，是时候讨论这个问题了，我们在安全事件分析系统中将收到多少Netflow数据？对于补救措施或常规日志，存在大量有关EPS（每秒事件）的示例和统计信息。 FPS（每秒流量）没有太多数据。 Netflow的平均容量与网络上的客户端设备和服务器创建的唯一TCP / UDP套接字数量成正比，具体情况视情况而定。采样的包含（即Netflow数据的选择性传输）也会影响数据总量。

那么我们可以产生多少FPS？当然，这在很大程度上取决于情况，但是我要说的是，对于常规工作站，该数字平均为1.5 FPS，在峰值负载时为6 FPS。换句话说，如果您的网络有1万个节点，并且每个节点的平均FPS为4，则网络每秒会生成约4万个流。为什么这么多？正如我在上面所写，它取决于您的应用程序或网络生成多少个唯一连接。如今，用户计算机上运行着许多“聊天”程序，这些程序要么主动从Internet加载内容（例如浏览器），要么不断检查更新（例如防病毒软件）。以下是正在积极增加网络上FPS数量的软件和服务的示例列表：

Adobe，防病毒软件，Java
Skype的
电子邮件客户
Netbios
浏览器
面向Feed的应用（Twitter，新闻，电报等）。

一个更准确的答案将告诉您对所需网段中Netflow的分析，只需在网络设备上执行一个命令即可完成（取决于制造商）。

一个Netflow v5记录的长度为48个字节。对于第9版的Netflow，不存在这样的确切数字，因为此版本允许您描述要包含在记录中的内容，因此其长度可能会有很大差异。但是，如果非常粗略地将100字节用作流记录的平均长度（每个网络数据包可以生成20-30个流），则可以估计将生成多少数据并将其传输到SIEM。同时，此数据的SIEM存储量可能更大（这将取决于存储格式，索引，压缩，备份等）。顺便说一句，在计算FPS数量时，请记住，在DDoS攻击的框架中，“平均FPS”的概念不起作用，因为每个连接，每个TCP SYN数据包都将是一个单独的流，并且具有强大的DDoS攻击，因此FPS的数量您的高峰将非常大。

上面我提到过，在将Netflow传输到中央SIEM的情况下，您将必须通过Internet“驱动”它。不要以为Netflow的产生会给网络造成巨大的负担并减少其带宽。根据我们的研究，由于仅标题信息和其他遥测在Netflow中传输，而不是在整个数据主体中传输，因此从中导出网络遥测的接口的负载将增加大约1-2％（实际上，使用采样和现代协议版本）净流量该值甚至可以小一个数量级，并且以0.1％的水平变化。

无法分析收集

但是，假设您仍然决定在SIEM上获得原始Netflow。这种情况还有另一个细微差别。理解SIEM中Netflow支持的可用性还不够是非常重要的。从安全的角度来看，能够处理此Netflow极为重要，也就是说，具有内置的分析和关联Netflow流的规则，并针对新型攻击不断对其进行更新。假设Netflow为我们提供了这张图片：

我们看到SSH协议激增。实际上，我们现在看到了与RDP协议攻击相同的情况。这是密码猜测。但这只能在我们有相应规则的情况下才能揭示出来，该规则将从多个Netflow流中收集一个事件“ Password Matching”。那么我们可以说SIEM具有内置的Netflow支持，并且可以从安全角度分析它。因此，选择此路径时，您应该问卖方可以“直接”分析Netflow中的SIEM的方法，如果没有，那么描述您自己的Netflow处理器的过程有多么繁琐，您是否有专家可以做到这一点？我们很清楚，与Netflow编写连接器并不那么困难，这与处理它和识别其中需要不断工作的异常的规则不同。这是关于为您的IDS（Snort，Zeek或Suricata）复制其他人的引擎，但不能持续为新发现的攻击和攻击编写签名。在上面的示例中，系统本身应该认识到SSH上的流量激增，并说自己是SSH（Telnet，RDP或FTP）上的“密码猜测”攻击。它可能看起来像这样（例如思科Stealthwatch Enterprise）：

然后，您可以使用SIEM或单独的Netflow分析工具提供的功能来更深入地调查此事件。如果无法在信息安全性方面“了解” Netflow，则对Netflow的内置支持的存在对于SIEM而言是可疑的优势。

SIEM及其自己的Netflow出口商

另一个SIEM市场参与者LogRhythm又提供了NetMon流的附加导出器，该输出器可用于分布式基础结构以及设备不支持Netflow且需要单独的Netflow生成器以用于通过它的网络流量的网络中。实际上，在此实施例中，SIEM制造商承担了网络供应商的职能，开发了一种用于生成Netflow并减少SIEM负载的解决方案，从而无需处理和存储原始Netflow。这种情况类似于许多新一代防火墙上对SSL Offload的支持。是的，它在那里存在，但是随着HTTPS流量的密集交换，NGFW上的额外负载导致其吞吐量显着下降。因此，在高负载的体系结构中，通常为该任务分配一个单独的设备，该设备承担解密SSL流量并将其返回给NGFW的任务。在这种情况下，SIEM Netflow处理也会发生相同的情况。

显然，这种情况也有一个缺点-解决方案的最终价格上涨，因为除了为已分析的FPS数量支付许可证之外，您还需要支付额外的传感器，这些传感器将通过自身传递流量并生成Netflow。另外，您将需要对网络体系结构进行更改，但是无论如何都必须这样做，因此我称其不是缺点，而是此方案的功能。如果您的网络设备不知道如何生成Netflow，并且您想分析网络异常，那么唯一的选择就是使用单独的传感器。唯一的问题是什么会更便宜-从SIEM制造商处购买传感器，或使用网络制造商处的传感器（例如Cisco Netflow Generation Appliance）或网络异常分析工具的开发人员（例如，思科Stealthwatch企业流量传感器）。在此选项中，值得一提的是，SIEM是否能够从信息安全的角度分析Netflow，还是仅将出口商/传感器形式的连接器取出（通常可以这样做）？

SIEM, NTA

第三种选择是与NTA类解决方案集成，这非常明显，因为事实上NTA与NGFW，防病毒，安全扫描程序，IPS等是相同的安全事件生成器。但是，此方案很有趣，因为您可以结合使用两个安全分析工具，但是可以分别使用它们。 NTA允许您对网络流量进行深入分析，检测恶意代码，DDoS攻击，信息泄漏，监视远程用户……同时，良好的网络流量分析工具还允许您在网络设备不支持Netflow或其网段的那些网段中使用单独的传感器包容性会导致网络设备的负载增加。在这种情况下，NTA允许您汇总，处理和分析Netflow（不同版本），并且在SIEM上仅在检测到一个或另一个恶意活动的事实时发出警报。显然，当您或您的IT员工已经具有用于网络故障排除的NTA类解决方案时，也可以使用此选项，它也可以用于网络安全任务。或者，相反，当您想与网络人员分担NTA解决方案的费用时，他们将用它来执行任务，而您则将其用于您的任务。谁将使用它来完成任务，而您则使用您的任务。谁将使用它来完成任务，而您则使用您的任务。

此选项的缺点是NTA类解决方案的额外成本，以及需要对使用两种不同解决方案的基础知识进行双重培训的专家。但另一方面，与具有内置Netflow支持的单个SIEM相比，用于分析网络流量的单独解决方案将允许更深入的事件调查，并且比具有单独Netflow传感器的SIEM制造商更灵活的应用程序。但是值得记住的是，当我们谈论单独的NTA类解决方案时，我指的是安全性解决方案，而不仅仅是分析网络流量或监视网络性能的工具。例如，前面已经提到过的SolarWinds NTA可以很好地分析网络流量以支持IT任务，但是出于信息安全的目的，它做得很差。InfoVista的5View或Fluke的Visual TruView也是如此。例如，同一个思科Stealthwatch Enterprise均可在公司中同时使用。

选择时要寻找什么？

为了安全起见，选择NTA解决方案，并分析具有Netflow支持的SIEM或SIEM供应商提供的出口商/传感器，我建议注意以下标准：

可检测的恶意活动的类型。您使用了一种监视信息安全的工具；逻辑上假设它应该能够“开箱即用”地识别与信息安全有关的各种异常和威胁。此外，此参数分为三个部分-内置算法，用于检测各种类型的信息安全威胁，编写自定义处理程序/规则并支持Threat Intelligence的外部源，以利用有关威胁的数据来丰富所分析的流。
Netflow. , , .
. , 1 ( FPS)? 60 FPS, NTA 40 , , , , , 80 FPS.
. , flat, … , . , . . , (, , Argus, Fluke, Plixer, Riverbed SolarWinds), , . , . , ; , . , , Cisco Stealthwatch.
. , , , , . — NTA. , Cisco nfdump OSU FlowTools Lancope, .
. , - . :
- /
- flow cache ( cash flow :-)
- . MAC-, VLAN, MPLS, TCP, , , , , ( IPFIX ).
. Netflow SIEM, SIEM NTA . , , (, ) REST API, syslog ..

如果是与SIEM无关而选择什么的问题，那么我也建议您考虑选择的解决方案提供的威胁搜寻机会。但是由于注释的主题选择有所不同，因此我们现在将不再关注此方面。

价格问题

如果从成本的角度来看这三个选项，那么从资本支出的角度来看，第三个选项将是最昂贵的（在所有三种情况下，Netflow分析都具有相同的功能）。这是可以理解的。除了SIEM的成本外，您还需要一个单独的解决方案来分析网络流量，该解决方案至少由一个控制系统和所需数量的收集器组成，这些收集器从各种出口商/传感器收集Netflow。另一方面，无论您使用新的导出器/传感器扩大网络覆盖范围的多少，这都不会影响SIEM及其基础架构的成本，因为它可以处理已处理的警报，而不适用于原始的Netflow流，（信号）将减少几个数量级。

从价格的角度来看，第一种选择看起来最有吸引力，因为我们不必为分析人员和NTA管理员的培训或其他出口商/传感器支付额外的费用；知道，将Netflow流传输到SIEM以及所有。但是，由于必须存储原始Netflow流，因此SIEM的基础结构成本将显着增加，这将需要扩展现有存储。在Netflow分析功能和成本方面，第二种选择介于两个极端之间。无论如何，在前两个选项中，值得与SIEM制造商一起根据挑战，当前和预期的FPS以及因此而变化的SIEM和存储许可证成本来与解决方案的总拥有成本进行核对。举个例子LogRhythm及其子系统，用于Netflow分析。实施它至少有三个选择，因此也要定价。 Freemium是最年轻的选项，它只能向SIEM发送警报，带宽不能超过1 GB / s，存储容量仅为1 GB（这是Netflow存储的一天，不进行采样），索引存储期不超过3天，而且与其他数据源也没有关联，并且支持只能在线或通过社区进行。在下一个版本NetMon中，指标会更好（所有导出器的带宽最高为10 GB / s，存储不受限制，索引最多可以存储一个月，但也与其他来源没有关联）。而且，只有在NetworkXDR的高级版本中，您才没有任何限制，但是它代表着“莫斯科道路的一公里”，也就是说，价格并不便宜。

在其中一个项目中，我们面临的一个事实是，每天的网络遥测量为1 TB，并通过内置Netflow支持将其发送给SIEM，该解决方案的总成本约为60万美元（甚至在下一次升级之前）。同时，由于SIEM中缺少适当的规则和重复数据，部分数据仍未处理。使用单独的NTA解决方案（在我们的示例中为Cisco Stealthwatch Enterprise）使传输到SIEM的数据量减少了80％，解决方案的成本降至9.9万美元。数学因项目而异，但是我们注意到，我们需要处理的Netflow越多，SIEM基础结构处理的成本就越高。这是为什么？

让我们看一个例子。当用户连接到服务器时，从对信息安全事件的经典分析的角度来看，我们有条件地处理仅从服务器“删除”的一个事件，例如通过syslog将其发送到SIEM（实际上，将发生两个事件-一次尝试连接及其结果）。如果此事件分解为网络组件，那么我们将看到将产生更多数量级的线程。例如，在平均网络中，从客户端到服务器的平均“跳数”（跳数）为5-6。请求从客户端传递到服务器端所经过的每个交换机或路由器都会生成其Netflow条目，以描述通过的流量。此外，这是分别针对会话的每个方向（请求和响应）完成的。原来那里如果在应用程序级别仅生成1-2个事件，则Netflow流至少需要10倍以上（实际上甚至更多，因为一个网络数据包生成大约20-30个Netflow流）。而且，我们不仅必须为所有这几十个线程付费（尽管该事件仍然是一个），并为它们的存储分配空间。因此，SIEM还必须处理它们，删除重复项，在一个会话中合并多方向流，然后才将此数据与其他事件相关联。因此，看似显而易见的解决方案的总成本可能会高于单独的Netflow导出器或与SIEM集成的独立网络异常分析解决方案的总成本。因此，一个网络数据包会生成大约20-30个Netflow流）。而且，我们不仅必须为所有这几十个线程付费（尽管该事件仍然是一个），并为它们的存储分配空间。因此，SIEM还必须处理它们，删除重复项，在一个会话中合并多方向流，然后才将此数据与其他事件相关联。因此，看似显而易见的解决方案的总成本可能会高于单独的Netflow导出器或与SIEM集成的独立网络异常分析解决方案的总成本。因此，一个网络数据包会生成大约20-30个Netflow流）。而且，我们不仅必须为所有这几十个线程付费（尽管该事件仍然是一个），并为它们的存储分配空间。因此，SIEM还必须处理它们，删除重复项，在一个会话中合并多方向流，然后才将此数据与其他事件相关联。因此，看似显而易见的解决方案的总成本可能会高于单独的Netflow导出器或与SIEM集成的独立网络异常分析解决方案的总成本。在一个会话中组合多方向流，然后才将此数据与其他事件相关联。因此，看似显而易见的解决方案的总成本可能会高于单独的Netflow导出器或与SIEM集成的独立网络异常分析解决方案的总成本。在一个会话中组合多方向流，然后才将此数据与其他事件相关联。因此，看似显而易见的解决方案的总成本可能比单独的Netflow导出器或与SIEM集成的独立网络异常分析解决方案的总成本更高。

这样的外部Netflow分析器可用于以下两种情况之一。首先是将优化的遥测传输到SIEM，清除重复（重复数据删除），并合并多方向流。根据我们的经验（Stealthwatch Enterprise可以在此模式下工作），我可以说这将传输到SIEM的遥测量减少了六倍，在这种情况下，它仍然应该能够从安全角度分析Netflow。

第二种情况假定所有处理都是在NTA类解决方案上执行的，并且在SIEM中仅接收作为Netflow处理结果接收到的警报。此选项减少了发送给SIEM的更多数据，从而降低了其许可证和基础架构的成本。是的，不再需要SIEM能够分析原始Netflow，这扩大了选择用于分析信息安全事件的工具的可能性。

还有其他选择吗？

在检查了在SIEM中使用Netflow来检测比没有Netflow时更多的安全事件的选项之后，让我们看一下可能的选择。

网络诊断工具

您可以尝试使用网络诊断工具来评估网络带宽，内部节点和网段的可用性，峰值负载等。例如，SolarWinds NetFlow流量分析器。这些解决方案并非旨在检测IS异常和威胁，但可以用于将流信息传输到SIEM，SIEM可以分析Netflow。如上所述，这将加载SIEM，并且您必须确定是否已为此做好准备？的确，首先需要澄清网络分析器是否可以将Netflow数据发送到外部系统。有时他们只能给出摘要统计信息或生成警报，这显然不足以执行IS任务。

入侵检测系统和NGFW

网络IPS和NGFW是另一种选择。他们可以查看内部网络流量，并可以通过深度网络检查机制来检测许多威胁……但在外围。通常，NGFW和IPS通常位于公司网络和Internet的边界，并且仅查看通过它们的内容。在您感兴趣的每个位置安装这些设备（“铁”或虚拟设备）会太昂贵，在某些情况下在技术上是不可能的。说到边界或外围，值得记住的是，公司数据中心和用户群之间的接口也是边界。以及公司和工业网络之间的交汇处。但是无论如何，安装额外的IPS或NGFW传感器可能会令您痛苦不已，而Netflow将从已购买和实施的网络设备中收集。

网络事件调查工具

网络取证工具（NFT）类解决方案使您可以存储，处理和分析网络流量，以便调查事件。但是，这种解决方案与NTA之间存在显着差异-NFT使用完整的流量副本，即通常使用PCAP文件，而NTA带有相关记录。而且，如果Netflow分析解决方案几乎是实时工作，那么NFT会出现大量延迟。此外，任何与PCAP配合使用的解决方案（或以另一种方式捕获和保存所有网络流量的副本）都将遇到存储所有收集的数据的地方的问题。

假设您在1 Gb / s网络设备上有一个端口。数据包长度为64字节时，该端口每秒可以通过1953125数据包，长度为1500字节-83,333数据包。也就是说，根据数据包的长度（这取决于网络上的应用程序），每秒将有大约8万到200万个数据包，我们需要节省这些数据包。在一天中，这样的端口将允许86400 Gbit / s或接近11 TB。一年中将运行近4 PB，这仅用于一个端口，其中我们的网络中可以有成千上万。即使选择性地存储流量也不会大大改善我们的生活。因此，需要NFT类解决方案，但是它们不能代替Netflow分析仪。这些是解决不同任务的工具-监视和调查事件。通常，这些解决方案是成对工作的-Netflow使我们能够识别事件，而NFT已经以捕获所有网络流量的形式收集了有关事件的详细数据。

“ 但是有NFT的SIEM，例如IBM QRadar Incident Forensics或RSA Security Analytics，它们使您可以使用网络流量的完整副本，并且所有Netflow元数据将自动在SIEM中可用“是的，确实存在！此外，此解决方案的优势在于可以重建所有感兴趣的网络会话并对其进行可视化，从而可以方便地调查事件。此类SIEM允许您代替攻击者并查看他所看到的一切。但是这种尊严是隐藏的我上面提到的一个严重缺点是，存储网络流量的完整副本需要一个很大的，不需要的，不是那么大的存储，而这可能需要花费单独的SIEM甚至更多的费用（甚至比仅存储原始Netflow还要多））。为了节省空间，您可能需要选择要保存的特定会话，这可能会导致一些流量丢失。此外，如果符合存储与事件相关的数据的法律要求，您将不得不打破它们或支付额外的存储费用。该解决方案的另一个功能是需要保存已在SIEM中解密的流量，这意味着您将需要查看监视系统的体系结构才能解密流量并将其提交给SIEM。并且不要忘记，此类解决方案仍然专注于进行调查，这需要合格的人员，而不是使用现成的算法来检测异常和威胁。但是，此类决策的重点是进行调查，这需要合格的人员，而不是使用现成的算法来检测异常和威胁。但是，此类决策的重点是进行调查，这需要合格的人员，而不是使用现成的算法来检测异常和威胁。

在这种情况下，我仍将使用Netflow进行网络流量的初始分析，然后，对于我感兴趣的事件和事件，我将启用网络流量记录。这样可以节省资源，而不会在“一切”的存储上花费资源。

结论

因此，简单总结一下。 Netflow是用于监视公司和部门网络安全的宝贵数据源，通常是唯一可以收集的数据，您可以基于该数据来做出有关环境中威胁是否存在的决策。原则上，也可以使用NTA类解决方案独立分析Netflow，该解决方案具有用于检测恶意和异常活动的大型规则和算法数据库，能够快速检测事件并做出响应。 Netflow与SIEM收集的数据的集成为我们提供了更多。 SIEM开始看到它以前从未见过的东西，并且比我们受到伤害的时间要早得多。同时，由于我们已经拥有网络设备，因此无需对现有的监控基础架构进行重大更改，-您只需要直接或通过中间解决方案将Netflow重定向到SIEM。启用Netflow还使我获得了一个小而快速的胜利-几乎我们所有的解决方案试验者思科Stealthwatch Enterprise以以下事实为结尾：我们检测到某些IS服务以前未发现的违反IS策略的情况。Netflow使人们可以看到它们，并将其与SIEM集成在一起，从而从应用的网络监视工具和活动系统中获得协同效应。

Netflow和SIEM监控解决方案的集成