MaxPatrol Cisco Mars Intergration

2,033 views

Published on

MaxPatrol Cisco Mars Intergration

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,033
On SlideShare
0
From Embeds
0
Number of Embeds
198
Actions
Shares
0
Downloads
34
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

MaxPatrol Cisco Mars Intergration

  1. 1. Интеграция системы контроля защищенности MaxPatrol с Cisco MARS Сергей Гордейчик Positive Technologies
  2. 2. О чем пойдет речь? Зачем интегрировать Cisco MARS и системы контроля защищенности? Почему это непросто? Как обойти «подводные камни» интеграции? Пример решения
  3. 3. Что такое Cisco MARS? Система сбора и анализа событий безопасности Борьба с бесконечными журналами безопасности • Применимость данного типа атаки к конкретному узлу; • Оценка ущерба от атаки; • Просмотр распространения атаки в режиме реального времени; • Идентификация источников распространения атаки; • Механизм реагирования на атаки через единый централизованный комплекс.
  4. 4. Что такое MaxPatrol?
  5. 5. Что такое MaxPatrol? Сетевая топология Инвентаризация узлов (ОС, открытые порты, приложения) Уязвимости узлов и систем
  6. 6. Что такое MaxPatrol?
  7. 7. Что такое MaxPatrol?
  8. 8. Что такое MaxPatrol?
  9. 9. Зачем интегрировать Cisco MARS и MaxPatrol? Получение данных по топологии сети Анализ актуальных уязвимостей в консоли MARS Корреляция событий с учетом типа операционных систем Анализ атак с учетом наличия уязвимостей Автоматическое изменение степени риска и приоритетов событий
  10. 10. Подход к интеграции CS MARS Начиная с CS-MARS 6.0.1 анонсирована поддержка Device Support Framework  Расширение набора типов событий (device event type, DET), методов парсинга  Переопределение методов парсинга  Использование готовых DET и методов парсинга  Импорт и экспорт готовых правил парсинга, отчетов, событий и т.д. в качестве одного парсинга Устройства типа Vulnerability assessment (VA) не поддерживаются в рамках DSF!
  11. 11. Подход к интеграции CS MARS В рамках CS MARS существую готовые адаптеры для систем VA  Доступ к базе данных системы VA  Получение XML-отчетов через Web Был выбран подход с использованием готовых XML-отчетов. В рамках этой задачи: • Сформировать отчеты согласно XML-схеме • Связать типы событий готовых VA (уязвимостей, топологической информации) и событий MaxPatrol • Опубликовать готовые отчеты на Web-сервере
  12. 12. Подход к интеграции CS MARS Подготовка отчетов  Схема XML-документов открыта  Два типа документов: – информация о сканированиях (список узлов) – детальная информация по сканированию (ОС, открытые порты, список уязвимостей) Связь типов событий • Составлена таблица соответствия идентификаторов CVE и внутренних идентификаторов VA • Подготовлен XSLT для преобразований Публикация • IIS + SSL + ASP
  13. 13. Результаты – настройки MaxPatrol
  14. 14. Результаты – Cisco MARS
  15. 15. Резюме Системы контроля защищенности VA являются отдельным типом устройств в Cisco MARS (и в других системах корреляции событий) MARS не позволяет расширять типы VA-систем штатными методами Возможно использование готовых адаптеров, путем адаптации системы под требуемую отчетность
  16. 16. Спасибо за внимание! Сергей Гордейчик http://sgordey.blogspot.com gordey@ptsecurity.ru

×