第2
部分。通过引用的第1部分。
在我们的案例中,“用户和实体行为分析”产品类(简称UEBA)中的Introspect行为分析系统是从现有基础架构(包括SIEM系统)收集的,基于机器分析算法和人工智能可通过分析大量事件来帮助安全人员自动化日常工作。
此外,该系统可以与现有的基础架构访问控制(NAC)系统集成在一起,以执行各种操作来处理网络中异常行为的来源-断开连接,减慢速度,移至另一个VLAN等
Introspect系统应接收哪些数据作为初始信息? 最多样化,最多网络流量。 为此,系统具有用于处理熔炼的专用组件-分组处理器(PP)。
从SIEM系统接收数据的优点可能是这些系统已经预先准备好了这些数据。 Introspect可与SPLUNK,QRadar,ArcSight等SIEM系统配合使用。 接下来的是Intel Nitro LogRhythm(原始syslog)的实现。 另外,系统收集大量数据:
MS Active Directory(AD安全日志,AD用户,组,组用户),MS LDAP日志,
DHCP日志MS DHCP,Infoblox DHCP,dnsmasq DHCP
DNS日志MS DNS,Infoblox DNS,绑定
防火墙日志思科ASA(系统日志),Fortinet(通过SPLUNK),Palo Alto(通过SPLUNK),检查点(通过SPLUNK),瞻博网络(通过SPLUNK)。
代理日志Bluecoat,McAfee,ForcePoint
Alertts
火眼
微软ATA
VPN日志思科Anyconnect / WebVPN
瞻博网络VPN(通过SPLUNK)
瞻博网络脉冲安全(通过SPLUNK)
Fortinet VPN(通过SPLUNK)
Checkpoint VPN
帕洛阿尔托VPN
流日志Netflow v5,v7,v9
电子邮件记录Ironport ESA
兄弟日志
连接日志
该系统的竞争优势是在交易级别上工作的能力,即 网络流量,它补充了日志消息中收到的信息。 这为系统提供了额外的分析功能-DNS查询分析,隧道流量和有效搜索,以尝试在组织范围内传输敏感数据。 此外,该系统还提供数据包熵分析,HTTPS标头和文件分析以及云应用程序运行分析。
上面提到的数据包处理器(PP)具有虚拟和硬件实现,可高达5-6 Gbps的速度运行,并对原始数据执行DPI,从中提取上下文信息或数据包元数据并将其传输到系统的另一个组件-分析器(Analyzer)。
如果决定不仅要分析日志,而且要分析使用SPAN / TAP方法或使用数据包代理或转发器(例如Gigamon或Ixia)的流量,则PP应该位于网络上的正确位置。 为了获得最大效率,有必要捕获每个用户VLAN中到Internet的所有网络流量,以及从用户到受保护资源或包含关键信息的服务器的所有流量。
系统的必要和关键组件是分析器。 它处理来自日志,流,数据包元数据,来自第三方系统的警报,威胁情报源和其他来源的数据。
分析仪可以是单个2RU设备,也可以是由许多1RU设备组成的水平可扩展横向扩展解决方案,也可以是云解决方案。
逻辑结构从逻辑上讲,分析器是一个可水平扩展的Hadoop平台,由多种类型的节点组成-边缘节点,索引和搜索节点,Hadoop数据节点。
边缘节点使用HDFS接收器接收数据并记录到Flume通道。
索引和搜索节点从三种类型的数据库中提取信息:Hbase,Parquet,ElasticSearch。
Hadoop数据节点旨在用于数据存储。
从逻辑上讲,系统的操作如下-批处理元数据,流,日志,警报,威胁源经过解析,缓存,提取和关联。 该系统实现了用户与其数据之间的链接,从而在HDFS中缓存快速传入的用户数据。
然后,数据进入离散分析模块,在该模块中,根据在任何固定事件或现场接收到的信息,筛选所谓的离散警报。 例如,DNS DGA算法的操作或尝试输入锁定帐户的过程显然不需要任何类型的机器分析来检测潜在的危险事件。 在此阶段,仅连接分析行为模块以读取网络上的潜在事件。
下一阶段是上述数据库中事件,索引和存储的相关性。 基于所存储的信息启用分析行为机制,并且该分析行为机制可以在一定时间段内或与其他用户相比,根据该用户的行为来工作。 这是行为分析机制的所谓基准。 行为分析模型是基于机器分析算法SVD,RBM,BayesNet,K-means,决策树构建的。
产品分析行为的放大模型如图1所示。
图1该图显示了行为分析机制基于四个模块:
- 数据来源;
- 处理数据的条件(访问时间,下载或卸载的数据量,电子邮件数量,有关信息源或接收者的地理位置的信息,VPN连接等);
- 用于分析用户行为的机制(一段时间后或与另一位员工有关的行为评估,执行分析的时间窗口,行为分析的数学模型-SVD,受限玻尔兹曼机(RBM),BayesNet,K-means,决策树和其他);
- 使用机器分析的数学模型检测交通异常,例如马哈拉诺比斯距离,能量距离和系统中具有特定优先级和阶段的事件的生成。
Aruba Introspect具有100多个受监督和不受监督的模型,旨在检测CKC模型每个阶段的目标攻击。 例如,Introspect Advanced级别的实现可以检测到
- 可疑的网络活动类型:异常资产访问,异常数据使用,异常网络访问,广告软件通信,以比特币采矿形式出现的比特币应用,僵尸网络(TeslaCrypt,CryptoWall),云渗透,HTTP协议异常(标头拼写错误,标头错误排序),黑客工具下载,IOC攻击类型(IOC-STIX滥用-ch,IOC-STIX网络犯罪跟踪器,IOC-STIX新兴威胁规则等),网络扫描,P2P应用程序,远程命令执行,SSL协议违规,间谍软件通信,可疑数据使用,可疑外部访问,可疑文件,可疑出站Comm,WebShell,恶意软件通信,命令和控制,横向移动,数据泄露,浏览器利用,信标,SMB执行,协议违规,内部侦察等。
- 可疑访问帐户的行为,例如异常帐户活动,异常资产访问,异常登录,特权升级,可疑帐户活动,可疑用户登录等
- 通过VPN访问数据:数据使用异常,登录异常,用户登录异常,
- DNS数据分析:使用各种DGA DNS算法的僵尸网络
- 电子邮件分析:异常传入电子邮件,异常传出电子邮件,可疑附件,可疑电子邮件
此外,根据所识别的异常,根据洛克希德·马丁公司的网络杀伤链(CKC)定义,为事件分配与黑客入侵系统的一个或另一个阶段相关的风险评估。 风险评估由隐马尔可夫模型确定,这与竞争对手在计算中线性增加或减少风险评估的竞争对手不同。
随着攻击根据CKC模型发展,即 感染,内部侦察,命令和控制,特权升级,横向移动,渗透,风险评估的阶段增加。 见图2
图2当在风险评分评估中或在“白名单”中查看或调整分析模块的结果时,系统具有自适应学习功能。
可以使用STIX,TAXII机制从外部来源下载有关威胁或威胁源的信息。 还支持异常资源。 Introspect还可以从Alexa下载“白名单”域名,以减少生成警报时的误报。
该系统的竞争优势是:
- 使用的各种输入数据,
- DPI功能
- 如果没有其他软件,安全事件与用户(而不是IP地址)之间的关联,
- 将Hadoop / Spark大数据系统与无限集群一起使用
- 系统工作的分析结果,使用全文本取证法调查事件的能力,威胁搜寻,
- 与现有的NAC Clearpass解决方案集成,
- 在端点上没有代理的情况下工作,
- 不受网络基础设施制造商类型的影响
- 本地操作,无需将数据发送到云
该系统有两个交付选项-标准版和高级版。 Standard Edition适用于Aruba网络设备,并接收来自AD,AMON协议,LDAP,防火墙,VPN日志的日志信息输入。