Integracja platformy Flowmon z systemem Splunk

Bardzo często w organizacjach za obszar bezpieczeństwa odpowiada wiele zespołów. Każdy z nich zarządza wybranym fragmentem infrastruktury. Część administratorów zajmuje się tylko siecią, część tylko serwerami. Brakuje globalnego poglądu na całe środowisko. Aby rozwiązać ten problem powstała koncepcja Security Operations Center (SOC), która zakłada łączenie informacji bezpieczeństwa z wielu źródeł w jednym centralnym miejscu.

Bazując na założeniach SOC firma EMCA SA przygotowała autorską aplikację Security and Informational Events. Oferowane rozwiązanie integruje platformę Flowmon z systemem Splunk.

Integracja technologii

Splunk Enterprise to platforma dla danych maszynowych, zgromadzonych w bazach danych, aplikacjach biznesowych czy operacyjnym sprzęcie IT. Jest to proste, szybkie i elastyczne narzędzie do gromadzenia, analizy i zabezpieczania strumieni danych maszynowych generowanych przez wszystkie systemy i infrastrukturę IT. Splunk to rozwiązywanie problemów i badanie incydentów bezpieczeństwa w ciągu kilku minut. Nadrzędnym zadaniem Splunk jest praca na 100% danych pochodzących z IT i ich analiza pod kątem wymagań biznesowych, bezpieczeństwa oraz wydajnościowych.

Flowmon jest liderem rynku w obszarze analizy ruchu sieciowego. Produkt pozwala na wydajny przegląd ruchu sieciowego wskazując trendy wykorzystania sieci, naruszenia polityki bezpieczeństwa lub ponadnormatywną utylizację pasm. Flowmon wyposażony w licencję analizy bezpieczeństwa (ADS – Anomally Detection System) przejmuje ciężar z operatora dotyczący konieczności nieustannej kontroli bezpieczeństwa ruchu sieciowego.

Security and Informational Events (S&IE) to stworzona przez zespół EMCA aplikacja środowiska Splunk pozwalająca na uzyskanie wspólnego widoku analizy logów oraz ruchu sieciowego w kontekście bezpieczeństwa.

Zastosowanie

Dane z obszaru zarządzania logami trafiają bezpośrednio do platformy Splunk. Utworzona aplikacja S&IE w pierwszym kroku realizuje korelację logów zgromadzonych w Splunk tworząc automatyczne incydenty z obszaru IT. Widok obszaru sieci uzupełniany jest w wyniku integracji z platformą Flowmon. Flowmon zbiera i przetwarza dane dotyczące transmisji sieciowych w postaci ruchu SPAN port, NetFlow, JFlow oraz pochodnych. Pracujący moduł bezpieczeństwa Anomally Detection System prowadzi nieustanną detekcję niepoprawnych zachowań sieci. Wykorzystuje on wbudowane metody analityczne, które pozwalają na wykrycie zagrożenia sieciowego na podstawie analizy zachowania sieci. Używana algorytmika ma mechanizmy uczące się zachowania badanej infrastruktury i pozwala uniknąć ataków typu Zero-Day. Uruchomione reguły detekcji anomalii dynamicznie reagują na pojawiającą się transmisję i dokonują oceny ryzyka nadając tworzonym alarmom odpowiedni poziom krytyczności.

 

Flowmon ADS – konsola operatora

Flowmon ADS – konsola operatora

 

 

Zagrożenia wykryte przez ADS są przekazywane do wcześniej przygotowanych przez aplikację S&IE indeksów Splunk. Użytkownik z poziomu aplikacji S&IE może w trybie rzeczywistym obserwować 100% aspektów bezpieczeństwa.

Incydenty podzielono na trzy kategorie:

  • Audyt – analiza logów systemów operacyjnych,
  • Network ADS – indcydenty sieciowe,
  • Threat – podatności z systemów AV/IPS/IDS.

Poszczególne wykresy przedstawiają typy zdarzeń, które występowały w badanym okresie.

Na wykresie kołowym widzimy udziały każdej kategorii w całym wolumenie zdarzeń.

 

Security and Informational Events – konsola bezpieczeństwa

Security and Informational Events – konsola bezpieczeństwa

 

 

Stworzona przez EMCA aplikacja Security and Informational Events pozwala sięgnąć operatorowi w szczegóły każdego zdarzenia przesłanego przez środowisko Flowmon. Incydenty ADS zostały pogrupowane według hostów źródłowych i docelowych oraz poddane dodatkowym analizom statystycznym. Efekt ten prezentowany jest osobnym oknie omawianej aplikacji o nazwie ADS.

 

Security and Informational Events – dedykowana konsola ADS

Security and Informational Events – dedykowana konsola ADS

 Zaprezentowane podejście pozwala na budowę analitycznego środowiska, które pracując na tych samych danych będzie udostępniało je osobnym grupom zainteresowanych użytkowników.

Więcej na temat platformy na: IT EMCA

Comments are closed.

Post Navigation