الجزء 2.
الجزء 1 بالإشارة.
في حالتنا ، يعد نظام تحليلات سلوك الاستبطان من فئة منتج تحليلات سلوك المستخدم والكيان (اختصارًا UEBA) نقطة دخول واحدة لمجموعة متنوعة من معلومات الماكينة التي تم جمعها من البنية التحتية الحالية ، بما في ذلك أنظمة SIEM ، واستنادًا إلى خوارزميات تحليلات الجهاز و الذكاء الاصطناعي لمساعدة أفراد الأمن على أتمتة العمل الروتيني من خلال تحليل عدد كبير من الحوادث.
علاوة على ذلك ، يمكن دمج النظام مع أنظمة التحكم في الوصول إلى البنية التحتية (NAC) القائمة لتنفيذ إجراءات مختلفة مع مصادر السلوك غير الطبيعي في الشبكة - قطع الاتصال ، وإبطاء ، والانتقال إلى شبكة محلية ظاهرية أخرى ، وما إلى ذلك.
ما البيانات التي يجب أن يتلقاها نظام Introspect كمعلومات أولية؟ الأكثر تنوعا ، حتى حركة الشبكة. لهذا الغرض ، يحتوي النظام على مكونات متخصصة لمعالجة الصهر - معالج الحزم (PP).
يمكن أن تكون ميزة تلقي البيانات من أنظمة SIEM حقيقة أنه تم تحليلها مسبقًا بواسطة هذه الأنظمة. يعمل Introspect مع أنظمة SIEM مثل SPLUNK و QRadar و ArcSight. التالي هو تنفيذ LogRhythm (سجل النظام الخام) ، Intel Nitro. بالإضافة إلى ذلك ، يجمع النظام مجموعة كبيرة من البيانات:
MS Active Directory (سجلات أمان AD ، مستخدم AD ، مجموعة ، مستخدم مجموعة) ، سجلات MS LDAP ،
سجلات DHCPMS DHCP ، Infoblox DHCP ، dnsmasq DHCP
سجلات DNSMS DNS و Infoblox DNS و BIND
سجلات جدار الحمايةCisco ASA (syslog) ، Fortinet (عبر SPLUNK) ، Palo Alto (عبر SPLUNK) ، نقطة تفتيش (عبر SPLUNK) ، Juniper (عبر SPLUNK).
سجلات الوكيلBluecoat ، McAfee ، ForcePoint
التنبيهات
Fireeye
MS ATA
سجلات VPNCisco Anyconnect / WebVPN
Juniper VPN (عبر SPLUNK)
Juniper Pulse Secure (عبر SPLUNK)
Fortinet VPN (عبر SPLUNK)
Checkpoint VPN
بالو ألتو VPN
سجلات التدفقNetflow v5 و v7 و v9
سجلات البريد الإلكترونيايرونبورت وكالة الفضاء الأوروبية
سجلات إخوانه
سجلات الاتصال
الميزة التنافسية للنظام هي القدرة على العمل على مستوى المعاملات ، أي مع حركة مرور الشبكة ، والتي تكمل المعلومات الواردة في رسائل السجل. وهذا يمنح النظام قدرات تحليلية إضافية - تحليل استعلامات DNS وحركة المرور عبر الأنفاق والبحث الفعال عن محاولات نقل البيانات الحساسة حول محيط المؤسسة. بالإضافة إلى ذلك ، يوفر النظام تحليلات إنتروبي الحزم وتحليل رؤوس وملفات HTTPS ، بالإضافة إلى تحليل تشغيل التطبيقات السحابية.
تتمتع معالجات الحزم (PP) المذكورة أعلاه بتطبيق افتراضي ومعدات ، وتعمل بسرعات تصل إلى 5-6 جيجابت في الثانية وتقوم بإجراء DPI للبيانات الأولية ، واستخراج المعلومات السياقية أو بيانات تعريف الحزم منها ونقلها إلى مكون آخر في النظام - المحلل (محلل).
إذا تم اتخاذ قرارات لتحليل السجلات ليس فقط ، ولكن أيضًا حركة المرور باستخدام طرق SPAN / TAP أو باستخدام وسيط حزم أو مكررين مثل Gigamon أو Ixia ، يجب أن يكون PP موجودًا في المكان الصحيح على الشبكة. لتحقيق أقصى قدر من الكفاءة ، من الضروري التقاط كل حركة مرور الشبكة التي تذهب في كل مستخدم VLAN إلى / من الإنترنت ، بالإضافة إلى حركة المرور التي تنتقل من / إلى المستخدمين إلى الموارد المحمية ، أو الخوادم التي تحتوي على معلومات مهمة.
محلل ضروري ومكون أساسي للنظام. يعالج البيانات من السجلات والتدفقات والبيانات الوصفية للحزم والتنبيهات من أنظمة الطرف الثالث وموجز المعلومات الاستخبارية للتهديد ومصادر أخرى.
يمكن أن يكون المحلل عبارة عن جهاز 2RU واحد أو حل قابل للتوسيع أفقياً يتألف من العديد من أجهزة 1RU ، بالإضافة إلى حل سحابي.
البنية المنطقيةمنطقيا ، المحلل هو منصة Hadoop قابلة للتوسيع أفقيا وتتكون من عدة أنواع من العقد - عقد الحافة ، وعقد الفهرس والبحث ، وعقد بيانات Hadoop.
تتلقى Edge Edge البيانات وتسجيلها في قنوات Flume باستخدام أجهزة استقبال HDFS.
تستخرج عُقد الفهرس والبحث معلومات من ثلاثة أنواع من قواعد البيانات - Hbase و Parquet و ElasticSearch.
تم تصميم عقد بيانات Hadoop لتخزين البيانات.
منطقياً ، يكون تشغيل النظام على النحو التالي - البيانات الوصفية للدفعات والتدفقات والسجلات والتنبيهات وموجزات التهديد التي تخضع للتحليل والتخزين المؤقت والتقطير والارتباط. يقوم النظام بتنفيذ ارتباط بين المستخدم وبياناته ، وتخزين بيانات المستخدم الواردة بسرعة في HDFS.
ثم تنتقل البيانات إلى وحدة التحليلات المنفصلة ، حيث يتم غربلة ما يسمى الإنذارات المنفصلة ، بناءً على المعلومات الواردة في أي حدث أو حقل ثابت. على سبيل المثال ، من الواضح أن تشغيل خوارزمية DNS DGA أو محاولة إدخال حساب مقفل لا يتطلب أي نوع من تحليلات الجهاز لاكتشاف حدث خطير محتمل. يتم توصيل وحدة سلوك التحليلات في هذه المرحلة فقط لقراءة الأحداث المحتملة على الشبكة.
المرحلة التالية هي ارتباط الأحداث والفهرسة والتخزين في قواعد البيانات المذكورة أعلاه. يتم تمكين آلية سلوك التحليلات بناءً على المعلومات المخزنة ويمكن أن تعمل على أساس فترات زمنية معينة أو على أساس سلوك هذا المستخدم مقارنةً بمستخدم آخر. هذا هو ما يسمى الأساس لآلية التنميط السلوكي. تم بناء نماذج تصنيف السلوك على أساس خوارزميات تحليلات الآلة SVD و RBM و BayesNet و K-يعني وشجرة القرار.
يظهر نموذج مكثف لسلوك تحليلات المنتج في الشكل 1
الشكل 1يوضح الرسم البياني أن آلية تحليلات السلوك تستند إلى أربع كتل:
- مصادر البيانات ؛
- شروط العمل مع البيانات (وقت الوصول ، مقدار البيانات التي تم تنزيلها أو تفريغها ، عدد رسائل البريد الإلكتروني ، معلومات حول الموقع الجغرافي لمصدر أو متلقي المعلومات ، اتصال VPN ، وما إلى ذلك) ؛
- آليات لتحديد سلوك المستخدم (تقييم السلوك بعد مرور بعض الوقت أو فيما يتعلق بموظف آخر ، النافذة الزمنية التي يتم خلالها إجراء التحليل ، النموذج الرياضي لسلوك التنميط - SVD ، آلة Boltzmann المقيدة (RBM) ، BayesNet ، K-يعني ، شجرة القرار و آخرون) ؛
- الكشف عن الحالات الشاذة لحركة المرور باستخدام النماذج الرياضية لتحليلات الآلة ، مثل مسافة Mahalanobis ، ومسافة الطاقة وتوليد الأحداث في النظام مع أولوية ومرحلة معينة.
Aruba Introspect لديها أكثر من 100 نموذج خاضع للإشراف وغير خاضع للرقابة مصمم للكشف عن الهجمات المستهدفة في كل مرحلة من مراحل نموذج CKC. على سبيل المثال ، يكتشف تنفيذ مستوى الاستبطان المتقدم
- أنواع الأنشطة المشبوهة على الشبكة: الوصول غير الطبيعي للأصول ، الاستخدام غير الطبيعي للبيانات ، الوصول غير الطبيعي إلى الشبكة ، الاتصال Adware ، تطبيق Bitcoin في شكل Bitcoin Mining ، Botnet (TeslaCrypt ، CryptoWall) ، السحب السحابي ، بروتوكول HTTP الشذوذ (أخطاء إملائية للرأس ، سوء توجيه الرأس) ، أداة الهاكر تنزيل ، أنواع هجمات IOC (IOC-STIX Abuse-ch ، IOC-STIX CybercrimeTracker ، IOC-STIX EmergingThreatsRules وغيرها) ، مسح الشبكة ، تطبيق P2P ، تنفيذ الأوامر عن بعد ، انتهاك بروتوكول SSL ، Commy Comm Comm ، استخدام مريب للبيانات ، وصول خارجي مشبوه ، الملفات المشبوهة ، الاتصالات الخارجية المشبوهة ، WebShell ، اتصالات البرامج الضارة ، القيادة والتحكم ، الحركة الجانبية ، استخراج البيانات ، استغلال المتصفح ، الإشارات ، تنفيذ SMB ، انتهاك البروتوكول ، الاستطلاع الداخلي وغيرها.
- الوصول المريب إلى حسابات مثل نشاط الحساب غير الطبيعي ، والوصول غير الطبيعي للأصول ، وتسجيل الدخول غير الطبيعي ، وتصعيد الامتياز ، ونشاط الحساب المريب ، وتسجيل دخول المستخدم المريب وغيرها
- الوصول إلى البيانات عبر VPN: استخدام بيانات غير طبيعي ، تسجيل دخول غير طبيعي ، تسجيل دخول مستخدم غير طبيعي ،
- تحليل بيانات DNS: Botnet باستخدام خوارزميات DNS DGA المختلفة
- تحليل رسائل البريد الإلكتروني: بريد إلكتروني غير طبيعي ، بريد إلكتروني غير طبيعي ، مرفق مشبوه ، بريد إلكتروني مشبوه
علاوة على ذلك ، بناءً على الشذوذ المحدد ، تم تعيين الحدث لتقييم المخاطر المرتبط بمرحلة أو أخرى من اختراق النظام وفقًا لتعريف Lockheed Martin's Cyber Kill Chain (CKC). يتم تحديد تقييم المخاطر من خلال نموذج Hidden Markov ، على عكس المنافسين الذين يزيدون أو يقللون من تقييم المخاطر في حساباتهم.
مع تطور الهجوم وفقًا لنموذج CKC ، أي مراحل الإصابة ، الاستطلاع الداخلي ، القيادة والسيطرة ، تصعيد الامتيازات ، الحركة الجانبية ، الارتشاح ، زيادة تقييم المخاطر. انظر الشكل 2
الشكل 2يحتوي النظام على وظائف التعلم التكيفي عندما تتم مراجعة أو تعديل نتائج وحدة التحليلات ، أو في تقييم درجات المخاطر أو عند وضعها في "القائمة البيضاء".
يمكن تنزيل معلومات حول التهديدات أو خلاصات التهديدات من مصادر خارجية باستخدام آليات STIX و TAXII. كما يتم دعم الموارد الشاذة. يمكن أيضًا لـ Introspect تنزيل أسماء نطاقات "القائمة البيضاء" من Alexa لتقليل الإيجابيات الزائفة في توليد التنبيهات.
المزايا التنافسية للنظام هي:
- مجموعة متنوعة من بيانات الإدخال المستخدمة ،
- دالة DPI
- ارتباط الأحداث الأمنية بالمستخدم ، وليس بعنوان IP ، بدون برامج إضافية ،
- استخدام نظام Hadoop / Spark Big Data System مع مجموعات غير محدودة
- النتائج التحليلية لعمل النظام ، والقدرة على التحقيق في الحوادث باستخدام الطب الشرعي كامل السياق ، والبحث عن التهديدات ،
- التكامل مع حل NAC Clearpass الحالي ،
- العمل بدون وكيل في نقطة النهاية ،
- الاستقلال العملي عن نوع الشركة المصنعة للبنية التحتية للشبكة
- عملية داخل الشركة ، دون الحاجة إلى إرسال البيانات إلى السحابة
يحتوي النظام على خيارين للتسليم - الإصدار القياسي والإصدار المتقدم. الإصدار القياسي مكيف لمعدات Aruba Network ويستقبل مدخلات معلومات السجل من AD ، بروتوكول AMON ، LDAP ، جدار الحماية ، سجلات VPN.