Cisco CyberOps Associate - Monitorowanie sieci komputerowej
- Złącza sieciowe, czasami znane jako punkty dostępu do testów (TAPs)
- Lustrowanie ruchu za pomocą analizatora portu przełącznika (SPAN) lub innego lustrowania portów.
Termin SPAN | Opis |
---|---|
Ruch przychodzący (Ingress traffic) | Ruch, który wchodzi do przełącznika. |
Ruch wychodzący (Egress traffic) | Ruch, który opuszcza przełącznik. |
Port źródłowy (SPAN) (Source (SPAN) port) | Porty źródłowe są monitorowane, ponieważ ruch wpływający do nich jest replikowany (zwierciadlany) do portów docelowych. |
Port docelowy (SPAN) (Destination (SPAN) port) | Port, który zwierciadla porty źródłowe. Docelowe porty SPAN często łączą się z urządzeniami analizującymi, takimi jak analizator pakietów lub IDS. |
Relacja pomiędzy portami źródłowymi a portem docelowym nazywa się sesją SPAN. W pojedynczej sesji można monitorować jeden lub wiele portów. Na niektórych przełącznikach Cisco ruch sesji może być kopiowany do więcej niż jednego portu docelowego. Alternatywnie można określić źródłowy VLAN, w którym wszystkie porty w źródłowym VLAN stają się źródłami ruchu SPAN. Każda sesja SPAN może mieć porty lub VLANy jako źródła, ale nie oba jednocześnie.
4. Powszechnie używane narzędzia do monitorowania bezpieczeństwa sieci to:
- Analizatory protokołów sieciowych, takie jak Wireshark i Tcpdump
- NetFlow
- Systemy zarządzania informacjami i zdarzeniami związanymi z bezpieczeństwem (SIEM)
Analizy bezpieczeństwa często polegają również na plikach dziennika i protokole Simple Network Management Protocol (SNMP) do odkrywania zachowań sieci.
Prawie wszystkie systemy generują pliki dziennika, aby rejestrować i komunikować swoje operacje. Poprzez dokładne monitorowanie plików dziennika, analityk bezpieczeństwa może zgromadzić niezwykle cenne informacje.
SNMP pozwala analitykom na żądanie i otrzymywanie informacji o działaniu urządzeń sieciowych. Jest to kolejne dobre narzędzie do monitorowania zachowania sieci.
5. Analizatory protokołów sieciowych (lub aplikacje “packet sniffer”) są programami używanymi do przechwytywania ruchu. Analizatory protokołów pokazują, co dzieje się w sieci, często za pośrednictwem graficznego interfejsu użytkownika. Analitycy mogą korzystać z tych aplikacji, aby zobaczyć wymianę sieciową aż do poziomu pakietu. Jeśli komputer został zainfekowany złośliwym oprogramowaniem i aktualnie atakuje inne komputery w sieci, analityk może to jasno zobaczyć, przechwytując ruch sieciowy w czasie rzeczywistym i analizując pakiety.
Analizatory protokołów sieciowych są używane nie tylko do analizy bezpieczeństwa. Są również bardzo przydatne do rozwiązywania problemów z siecią, tworzenia oprogramowania i protokołów oraz edukacji. Na przykład, w badaniach nad bezpieczeństwem, analityk bezpieczeństwa może próbować zrekonstruować incydent z odpowiednich przechwytywanych pakietów.
Wireshark to bardzo popularne narzędzie do analizy protokołów sieciowych, które jest używane w środowiskach Windows, Linux i Mac OS. Wireshark to darmowe oprogramowanie, które można pobrać i używać przez każdego. Jest to bardzo przydatne narzędzie do nauki o komunikacji protokołów sieciowych. Umiejętności analizy protokołów sieciowych są niezbędne dla analityków cyberbezpieczeństwa.
Wireshark może również otwierać pliki zawierające przechwycony ruch z innego oprogramowania, takiego jak narzędzie tcpdump. Popularne wśród systemów typu UNIX, takich jak Linux, tcpdump to potężne narzędzie z licznymi opcjami wiersza poleceń. Przykład w wyjściu poleceń pokazuje próbkę przechwytywania tcpdump pakietów ping.
6. NetFlow to technologia Cisco IOS, która dostarcza statystyk 24x7 na temat pakietów, które przepływają przez router Cisco lub wielowarstwowy przełącznik. NetFlow jest standardem do zbierania danych operacyjnych IP w sieciach IP. NetFlow jest teraz obsługiwany na platformach innych niż Cisco. IP Flow Information Export (IPFIX) to wersja NetFlow, która jest standardowym protokołem IETF.
NetFlow może być używany do monitorowania sieci i bezpieczeństwa, planowania sieci i analizy ruchu. Zapewnia on pełny rejestr informacji podstawowych o każdym przekierowanym przepływie IP na urządzeniu. Informacje te obejmują informacje IP o urządzeniu źródłowym i docelowym, czas komunikacji i ilość przesyłanych danych. NetFlow nie przechwytuje rzeczywistej zawartości przepływu. Funkcjonalność NetFlow jest często porównywana do rachunku telefonicznego. Rachunek identyfikuje numer docelowy, czas i czas trwania połączenia. Jednak nie wyświetla on zawartości rozmowy telefonicznej.
- Analiza śledcza - Możliwość przeszukiwania dzienników i zapisów zdarzeń ze źródeł na całym przedsiębiorstwie. Zapewnia to bardziej kompleksowe informacje do analizy śledczej.
- Korelacja - Badanie dzienników i zdarzeń z różnych systemów lub aplikacji, przyspieszając wykrywanie i reagowanie na zagrożenia bezpieczeństwa.
- Agregacja - Agregacja redukuje objętość danych o zdarzeniach poprzez konsolidację zduplikowanych rekordów zdarzeń.
- Raportowanie - Raportowanie prezentuje skorelowane i zagregowane dane o zdarzeniach w monitoringu w czasie rzeczywistym i długoterminowych podsumowaniach.
- Informacje o użytkowniku, takie jak nazwa użytkownika, status uwierzytelnienia, lokalizacja.
- Informacje o urządzeniu, takie jak producent, model, wersja systemu operacyjnego, adres MAC, metoda połączenia sieciowego i lokalizacja.
- Informacje o postawie, takie jak to, czy urządzenie jest zgodne z polityką bezpieczeństwa, ma aktualne pliki antywirusowe i jest zaktualizowane najnowszymi łatkami systemu operacyjnego.
- Dostarczają narzędzia do zarządzania przypadkami, które pozwalają personelowi ds. cyberbezpieczeństwa na badanie i śledzenie incydentów, często poprzez integrację z wywiadem dotyczącym zagrożeń z platformą bezpieczeństwa sieciowego.
- Wykorzystują sztuczną inteligencję do wykrywania incydentów i pomocy w analizie incydentów i reakcji na nie.
- Automatyzują skomplikowane procedury reagowania na incydenty i śledztwa, które są potencjalnie pracochłonnymi zadaniami wykonywanymi przez personel centrum operacji bezpieczeństwa (SOC) poprzez wykonanie książek do wykonania.
- Są to podręczniki, które wykonują takie czynności jak dostęp do i analiza odpowiednich danych, podjęcie kroków w celu izolacji skompromitowanych systemów i badanie zagrożeń w celu potwierdzenia alertów i wykonania reakcji na incydent.
- Oferują deski rozdzielcze i raporty do dokumentowania reakcji na incydenty w celu poprawy wskaźników efektywności kluczowej dla SOC i mogą znacznie poprawić bezpieczeństwo sieci dla organizacji. S
- IEM pomaga w alarmowaniu o złośliwej aktywności.
- Analitycy będą musieli zareagować na zagrożenie.
- SOAR pomaga analitykom reagować na zagrożenie.
- SolarWinds
- Security Event Manager
- Splunk Enterprise Security