Geekly articles weekly

2. Periksa Log Analisis Titik: SmartEvent



Halo kolega. Terakhir kali, dalam artikel β€œ1. Analisis log Titik Periksa: aplikasi Titik Periksa resmi untuk Splunk Β» kami membahas analisis log untuk Gateway Keamanan berdasarkan aplikasi resmi dalam sistem log masuk Splunk. Sebagai kesimpulan, mereka sampai pada kesimpulan bahwa meskipun aplikasi sebagai solusi cepat sangat mudah, tetapi pada tahap ini tidak lengkap - sejumlah besar dashboard tidak dikonfigurasi, yang sangat penting untuk memperhatikan insinyur keamanan untuk memahami apa yang terjadi dalam organisasi dari sudut pandang keamanan informasi. Dalam artikel ini kita akan membahas kemungkinan melihat dan menganalisis log dengan fungsionalitas SmartEvent, yang patut diperhatikan, dan mempertimbangkan opsi apa yang tersedia untuk otomatisasi acara.

SmartEvent membandingkan log dari semua gateway Titik Periksa untuk mengidentifikasi aktivitas mencurigakan, melacak tren, dan menyelidiki insiden keamanan informasi. Analisis data terjadi secara real time, yang memungkinkan Anda untuk merespons suatu peristiwa dengan cepat. SmartEvent termasuk dalam daftar produk di server manajemen, tetapi memerlukan lisensi terpisah, terdiri dari tampilan dan laporan yang dapat Anda buat sendiri atau gunakan yang sudah diinstal.

Bahkan, agar fungsi berfungsi, Anda hanya perlu mengaktifkan blade di pengaturan server manajemen, Anda segera mendapatkan satu set laporan yang dapat dihasilkan, di samping ada kemungkinan membuat laporan baru tergantung pada tugas Anda, selain snap-in Pengaturan & Kebijakan SmartEvent, aturan untuk otomasi acara dikonfigurasikan.

Pertimbangkan dulu laporan SmartEvent standar. Saya juga menarik perhatian pada fakta bahwa server manajemen memiliki versi sistem operasi GAIA R80.20.

Laporan SmartEvent Standar


Dengan sejumlah besar peristiwa keamanan yang telah ditentukan dan mudah dikonfigurasi, Anda dapat meluncurkan SmartEvent dan mulai mengumpulkan informasi ancaman dalam hitungan menit. Segera setelah mengaktifkan blade, Anda mendapatkan kesempatan untuk membuat sejumlah besar laporan SmartEvent standar, yang dapat Anda lihat pada gambar di bawah ini.



Pelaporan internal memungkinkan proses perlindungan berkelanjutan. Dan ini merupakan prasyarat untuk keamanan informasi.
Mari kita tinjau ulasan singkat tentang pandangan dan laporan utama.

1) Pencegahan Ancaman

Informasi yang paling menarik dalam pemindaian ini adalah daftar semua tanda tangan IPS yang hanya terdeteksi tetapi tidak diblokir. Menurut pengaturan kebijakan keamanan, banyak tanda tangan hanya dapat dideteksi, ini tidak diinginkan, tetapi lebih buruk lagi, ketika tanda tangan ini diketahui dalam lalu lintas dan tidak ada tindakan lebih lanjut, selalu ada varian acara sehingga tanda tangan khusus ini dapat menjadi ancaman bagi infrastruktur Anda Oleh karena itu, insinyur harus meninjau laporan ini dan mengambil tindakan atas peristiwa ini, misalnya, meletakkan tanda tangan dalam mode Prevent. Anda juga harus memeriksa host yang telah mengidentifikasi Gateway Keamanan sebagai mesin yang terinfeksi.



2) Ringkasan Pemeriksaan Keamanan

Saya pikir jika Anda sudah memiliki Titik Periksa atau Anda telah menguji produk ini, maka laporan ini, Anda tahu pasti. Ringkasan Pemeriksaan Keamanan memberikan gambaran lengkap tentang status keamanan informasi di organisasi, dan proses yang tidak diinginkan yang terjadi di infrastruktur Anda. Namun, saya tidak bisa menyarankan menggunakan laporan sebagai bahan harian untuk bekerja, karena sejumlah besar informasi hanya akan mengganggu dan mengalihkan perhatian. Lebih masuk akal untuk membuat laporan dengan frekuensi tertentu untuk dibandingkan dengan versi sebelumnya untuk memastikan bahwa perubahan dalam kebijakan keamanan telah membawa tindakan positif.

3) Aktivitas Pengguna

Ini adalah laporan yang sangat nyaman dari aktivitas pengguna internal, namun, dari sudut pandang saya, lebih mudah untuk menunjukkan secara terpisah statistik penggunaan Aplikasi Berisiko Tinggi oleh pengguna, dan bukan hanya daftar semua aplikasi.





4) Intrusion Prevention System (IPS)

Laporan cerdas tentang pemantauan kinerja sistem IPS, bagi saya tabel yang paling menarik adalah Layanan Top dan Koneksi Top. Laporan ini sangat membantu dalam mengoptimalkan sistem IPS untuk layanan dengan baik, akibatnya, berdasarkan laporan ini, adalah mungkin untuk mengidentifikasi tindakan penyerang untuk mencari kerentanan dalam infrastruktur Anda, dan kemudian, pada gilirannya, Anda dapat dengan benar mengkonfigurasi kebijakan Pencegahan Ancaman untuk layanan tanpa mengganggu bisnis. proses.



5) Blade Kepatuhan

Blade Perangkat Lunak Kepatuhan Titik Periksa adalah solusi pemantauan kepatuhan terintegrasi untuk praktik keamanan TI yang ada.
Laporan ini berisi saran untuk mengubah kebijakan untuk memenuhi praktik terbaik dan standar keamanan informasi dasar. Jika Anda tidak tahu cara mengamankan infrastruktur Anda dengan benar, maka rekomendasi ini memberikan ide bagus tentang cara mengkonfigurasi firewall, namun, ada baiknya untuk memahami proses mana yang perlu diblokir dan mana yang tidak, dalam kaitannya dengan organisasi Anda. Saya tidak yakin akan menarik bagi Anda untuk melihat laporan ini setiap hari, tetapi pasti layak dibaca setidaknya sekali.



6) Layanan Cloud

Dalam laporan tentang penggunaan aplikasi cloud, Anda akan melihat statistik tentang penggunaan layanan cloud, sebagai aturan, hal yang paling menarik di sini adalah penggunaan cloud disk, dan berapa banyak MB yang diunduh dan diunduh, dalam laporan Anda hanya akan melihat statistik ringkasan, lebih penting untuk memantau berapa banyak lalu lintas yang dikuras pengguna dari layanan cloud mereka. pekerjaan di cloud drive, karena ini mungkin dokumen yang membentuk informasi rahasia.



7) Aplikasi dan Penyaringan URL

Saya tidak ragu bahwa "Penyaringan Aplikasi dan URL" adalah laporan yang telah ditentukan paling populer. β€œAplikasi dan Penyaringan URL” berisi informasi tentang kunjungan ke situs yang berpotensi berbahaya dan paling populer. Statistik dikumpulkan untuk kategori, situs, dan jumlah lalu lintas yang paling banyak dikunjungi untuk setiap pengguna individu, pemahaman yang jelas tentang apa yang dilakukan karyawan datang. Dokumen yang sangat diperlukan dalam penyusunan dan modernisasi aturan untuk Kontrol Aplikasi dan bilah Penyaringan URL.



Anda juga dapat membaca artikel "Periksa Titik Dasbor - inilah yang saya sukai" , di mana Anda dapat mempelajari lebih lanjut tentang dasbor, fitur-fitur fungsional, dan karenanya mengapa mereka sangat menyukainya.

Buat laporan Anda


Meskipun laporan yang telah ditentukan sebelumnya sangat praktis, Anda tidak dapat memasukkan semua jamur ke dalam satu keranjang. Hampir semua insinyur dihadapkan pada kenyataan bahwa mereka perlu mengkonfigurasi laporan mereka, yang akan mengandung informasi yang berpotensi penting untuk kinerja fungsi kerja mereka, mengikuti fitur perangkat dan sifat organisasi.

Karena kami menyebutkan keinginan untuk mengumpulkan statistik tentang jumlah lalu lintas yang masuk ke aplikasi cloud, mari kita coba membuat contoh khas - sebuah tabel. Mari kita buat laporan tentang lalu lintas yang diunduh ke cloud disk, yang akan mencakup informasi tentang pengguna, alamat IP, dan jumlah lalu lintas yang masuk ke aplikasi cloud.

Buat laporan - dengan memilih menu Laporan Baru , tetapkan nama Lalu Lintas Layanan Cloud .



Selanjutnya, tambahkan tabel ke halaman kosong: Tambah Widget -> Tabel .
Tetapkan nama tabel, misalnya, 'Cloud Table' , lalu tinggalkan tipe Tabel Statistik . Dalam hal ini, data statistik ringkasan yang dihitung akan ditampilkan, jika Anda memilih Tabel Log , maka tabel akan terdiri dari data untuk setiap peristiwa individu, dalam konteks tugas kami, kami tidak memerlukan opsi ini.

Selanjutnya, Anda perlu memutuskan parameter apa yang akan dibangun tabel, Anda perlu melihat pengguna, nama aplikasi cloud tempat data diunduh, jumlah lalu lintas keluar, dan Anda juga perlu mempertimbangkan opsi ketika nama pengguna hilang, yaitu, Anda perlu menambahkan kolom tambahan dengan alamat IP dari mana Ada hubungannya. Oleh karena itu, kami memilih parameter Sumber , Pengguna , Nama Aplikasi , Lalu Lintas Terkirim Bytes .



Selanjutnya, Anda perlu mengkonfigurasi dan mengurutkan parameter dengan benar. Sebagai parameter pertama, pilih Sumber, tergantung pada ukuran organisasi, atur jumlah maksimum nilai ( Jumlah nilai ), saya tentukan 100, urutkan berdasarkan nilai eigen, karena ini adalah parameter utama, yang tidak bergantung pada parameter lain.



Selanjutnya, konfigurasikan parameter Pengguna , Nama Aplikasi , dan Lalu Lintas yang dikirim byte dengan cara yang serupa. Hanya mengurutkan hasil berdasarkan Sumber.







Kami menetapkan struktur, sebagai hasilnya, sebuah tabel akan dikeluarkan untuk semua pengguna dan aplikasi, yang jumlahnya sangat banyak, dan kami hanya tertarik pada aplikasi cloud, kami akan mengatur filter untuk menyelesaikan masalah ini (ikonnya berada pada level yang sama dengan Judul).

Sebagai bidang, pilih Kategori Aplikasi , operasi Setara , setel nama grup - Penyimpanan File dan Berbagi .



Setelah itu kami meregangkan tabel ke seluruh halaman, simpan perubahan - Selesai. Juga, jika kami memiliki sejumlah besar hasil dalam tabel, dan semuanya tidak sesuai pada satu halaman, Anda harus menginstal ekstensi hasil ke halaman baru, untuk ini pergi ke Pilihan -> Lihat Pengaturan .



Sebagai hasilnya, kami mendapatkan tabel yang sudah jadi, Anda dapat mempelajari hasilnya.



Juga dalam laporan Anda dapat mengkonfigurasi grafik, bagan, dan sebagainya. Prinsipnya hampir sama di mana-mana. Toolkit untuk pengguna rata-rata cukup transparan, dan tidak memerlukan bakat khusus. Masih mempertimbangkan fungsi otomatisasi di SmartEvent, yang tidak terlalu populer, tetapi dari sudut pandang saya, yang memainkan peran penting dalam memastikan proses keamanan informasi.

Otomasi SmartEvent


Ada utilitas khusus di SmartEvent dengan nama yang sama untuk manajemen blade, yang memungkinkan Anda untuk mengonfigurasi pembuatan dan penyesuaian peristiwa keamanan, dan otomatisasi tindakan untuk peristiwa ini.

Pohon manajemen dibagi menjadi 2 cabang: Kebijakan Acara dan pengaturan global. Semua peristiwa yang terdeteksi oleh SmartEvent dikategorikan dalam cabang kebijakan acara. Ketika suatu peristiwa dipilih, properti khusus ditampilkan di panel rincian, dan deskripsi acara ditampilkan di panel deskripsi. Membersihkan properti akan menghapus jenis peristiwa ini dari kebijakan saat berikutnya dipasang.

Dalam Pengaturan Umum, pengaturan awal ditetapkan, tetapi kemungkinan besar satu-satunya hal yang diperlukan di sana adalah:

  1. Penyiapan Pekerjaan Offline adalah memuat log lama di SmartEvent, yang tidak ada di server manajemen, atau SmartEvent diaktifkan setelah log ini dibuat.
  2. Membuat tindakan otomatis dalam Reaksi Otomatis.

Untuk setiap kebijakan, Anda dapat mengatur tindakan otomatis.
Tindakan otomatis adalah penyelesaian dari serangkaian tindakan tertentu yang tunduk pada pelaksanaan suatu peristiwa, yang meliputi:

  1. Mengirim Email
  2. Mengirim Perangkap SNMP
  3. Sumber IP Block
  4. Blokir Event Attack
  5. Menjalankan skrip eksternal.



Setiap opsi cukup berlaku dalam kehidupan nyata, tergantung pada peristiwa di mana Anda mengatur tindakan otomatis, misalnya, untuk beberapa peristiwa yang kontroversial, Anda dapat mengatur tindakan untuk mengirim surat ke insinyur, dan memblokir alamat IP untuk acara lain, misalnya, jika ada upaya untuk memindai jaringan atau serangan virus Anda. Tindakan otomatis ditumpangkan di properti acara.



Dimungkinkan untuk mengkonfigurasi eksekusi skrip untuk acara tertentu, tetapi dalam mode ini saya percaya bahwa ini sangat tidak nyaman dan tidak sesuai, karena fungsinya sangat terbatas, dan Anda tidak dapat mengkonfigurasi input ke skrip, karena diperlukan untuk tugas-tugas tertentu, mudah untuk membuat kesalahan karena hal sepele dari sistem, oleh karena itu, segala sesuatu yang berkaitan dengan skrip sebaiknya dibiarkan pada sistem logging sebagai Splunk + Check Point API, rentang kemampuan yang lebih besar dan fungsi yang hampir tidak terbatas.

Kesimpulan


Kami menguraikan laporan utama yang harus menarik bagi insinyur keamanan informasi:

  1. Pencegahan ancaman
  2. Intrusion Prevention System (IPS)
  3. Aplikasi dan Penyaringan URL
  4. Laporan khusus

Jika kami menganggap SmartEvent hanya sebagai sistem logging dan analisis, yang juga menghasilkan semua laporan yang diperlukan dengan pra-pengaturan minimal, maka ini adalah solusi ideal.
Antarmuka sepele untuk membuat laporan Anda, semua yang diperlukan untuk analisis insiden keamanan selanjutnya, dan mempertahankan proses SI di organisasi. Selain itu, ini adalah proses yang berkelanjutan dan membutuhkan partisipasi insinyur yang konstan. Tetapi jika kita menganggap produk ini sebagai solusi SIEM, maka ia memiliki kelemahan, fungsi terbatas untuk mengotomatisasi dan menghubungkan peristiwa, sulit untuk dikonfigurasikan, dan tidak mungkin untuk membangun satu pusat tunggal untuk memantau dan mengelola sistem keamanan informasi dalam suatu organisasi berdasarkan hal ini. Pertimbangkan semua detail dan bandingkan berbagai solusi untuk analisis log Titik Periksa dalam artikel berikut.

Source: https://habr.com/ru/post/id436464/

More articles:


All Articles