1.
Dane sesji to zapis rozmowy między dwoma punktami końcowymi sieci, które często są klientem i serwerem. Serwer może znajdować się wewnątrz sieci przedsiębiorstwa lub w lokalizacji dostępnej przez internet. Dane sesji to dane dotyczące sesji, a nie dane pobrane i używane przez klienta. Dane sesji będą zawierać informacje identyfikacyjne, takie jak pięć krotek adresów IP źródła i celu, numery portów źródła i celu oraz kod IP protokołu w użyciu. Dane dotyczące sesji zwykle obejmują identyfikator sesji, ilość danych przesłanych przez źródło i cel, oraz informacje związane z czasem trwania sesji.
2. Pełne przechwytywanie pakietów to szczegółowa metoda zbierania danych sieciowych, która obejmuje zarówno metadane rozmów, jak i ich rzeczywistą zawartość, w tym teksty e-maili, HTML stron internetowych i pliki przesyłane przez sieć. Te dane są wykorzystywane w monitorowaniu bezpieczeństwa sieci (NSM) i mogą być analizowane pod kątem złośliwego oprogramowania lub niezgodnych z polityką działań użytkowników. Narzędzie Wireshark jest powszechnie stosowane do przeglądania tych danych.
3. Systemy wykrywania intruzów oparte na hostach (HIDS) działają na poszczególnych hostach. HIDS nie tylko wykrywa intruzje, ale także w formie zapór ogniowych opartych na hostach może zapobiegać intruzjom. Oprogramowanie to tworzy logi i przechowuje je na hoście. Może to utrudnić uzyskanie obrazu tego, co dzieje się na hostach w przedsiębiorstwie, dlatego wiele ochron opartych na hostach ma możliwość przesyłania logów do scentralizowanych serwerów zarządzania logami. W ten sposób logi mogą być przeszukiwane z centralnej lokalizacji przy użyciu narzędzi NSM.
Systemy HIDS mogą używać agentów do przesyłania logów do serwerów zarządzających. OSSEC, popularny otwartoźródłowy HIDS, zawiera rozbudowaną funkcjonalność zbierania i analizy logów. Wyszukaj OSSEC w internecie, aby dowiedzieć się więcej. Microsoft Windows zawiera kilka metod automatycznego zbierania i analizy logów hosta. Tripwire oferuje HIDS dla systemu Linux, który zawiera podobną funkcjonalność. Wszystkie mogą być skalowane do większych przedsiębiorstw.
4. Syslog to standardowy protokół sieciowy służący do logowania zdarzeń, obsługiwany przez wiele urządzeń. Definiuje on formaty wiadomości i strukturę klient-serwer, umożliwiając przesyłanie logów do scentralizowanych serwerów. Wiadomości Syslog, zwykle poniżej 1KB, składają się z priorytetu (PRI), nagłówka (HEADER) i treści (MSG), gdzie PRI określa źródło (Facility) i wagę (Severity) wiadomości. Komunikacja odbywa się głównie przez UDP (port 514) lub TCP (port 5000), często w postaci zwykłego tekstu.
5. Narzędzie wiersza poleceń tcpdump to bardzo popularny analizator pakietów. Może wyświetlać przechwycone pakiety w czasie rzeczywistym lub zapisywać je do pliku. Przechwytuje szczegółowe dane protokołu i zawartości pakietów. Wireshark to interfejs graficzny oparty na funkcjonalności tcpdump.
Struktura przechwytywania tcpdump różni się w zależności od przechwyconego protokołu i żądanych pól.
6. NetFlow to protokół opracowany przez firmę Cisco jako narzędzie do rozwiązywania problemów sieciowych i rozliczeń opartych na sesjach. NetFlow efektywnie dostarcza ważny zestaw usług dla aplikacji IP, w tym rachunkowość ruchu sieciowego, rozliczenia sieci oparte na użyciu, planowanie sieci, bezpieczeństwo, możliwości monitorowania ataków typu Denial-of-Service oraz monitorowanie sieci. NetFlow dostarcza cennych informacji o użytkownikach sieci i aplikacjach, szczytowych czasach użytkowania i trasowaniu ruchu.
7. Serwery proxy, takie jak te używane do żądań internetowych i DNS, zawierają cenne logi, które są podstawowym źródłem danych do monitorowania bezpieczeństwa sieci.
Serwery proxy to urządzenia, które działają jako pośrednicy dla klientów sieciowych. Na przykład przedsiębiorstwo może skonfigurować serwer proxy internetowego, aby obsługiwać żądania internetowe w imieniu klientów. Zamiast wysyłania żądań o zasoby internetowe bezpośrednio do serwera od klienta, żądanie jest najpierw wysyłane do serwera proxy. Serwer proxy żąda zasobów i zwraca je klientowi. Serwer proxy generuje logi wszystkich żądań i odpowiedzi. Te logi mogą być następnie analizowane, aby określić, które hosty dokonują żądań, czy cele są bezpieczne lub potencjalnie złośliwe, oraz aby uzyskać wgląd w rodzaj pobranych zasobów.
Serwery proxy internetowe dostarczają danych, które pomagają określić, czy odpowiedzi z internetu zostały wygenerowane w odpowiedzi na legalne żądania, czy zostały zmanipulowane tak, aby wyglądały na odpowiedzi, ale w rzeczywistości są wykorzystaniem. Możliwe jest również używanie serwerów proxy internetowych do inspekcji ruchu wychodzącego jako środek zapobiegania utracie danych (DLP). DLP polega na skanowaniu ruchu wychodzącego w celu wykrycia, czy dane opuszczające internet zawierają wrażliwe, poufne lub tajne informacje.
8. Firewalle NextGen rozszerzają ochronę sieciową na warstwę aplikacji, oferując zaawansowane funkcje, takie jak interaktywne pulpity nawigacyjne do tworzenia raportów. Urządzenia Cisco NGFW z usługami Firepower konsolidują wiele warstw bezpieczeństwa, co obniża koszty i upraszcza zarządzanie. Typowe zdarzenia NGFW obejmują logi połączeń, zdarzenia intruzji, wykrywanie hostów i punktów końcowych, zmiany w sieci oraz zdarzenia Netflow, które są monitorowane przez interfejs GUI.