Интеграция системы контроля
защищенности MaxPatrol с Cisco MARS
Сергей Гордейчик
Positive Technologies

О чем пойдет речь?
Зачем интегрировать Cisco MARS и системы
контроля защищенности?
Почему это непросто?
Как обойти «подводные камни» интеграции?
Пример решения

Что такое Cisco MARS?
Система сбора и анализа событий безопасности
Борьба с бесконечными журналами
безопасности
• Применимость данного типа атаки к конкретному
узлу;
• Оценка ущерба от атаки;
• Просмотр распространения атаки в режиме
реального времени;
• Идентификация источников распространения
атаки;
• Механизм реагирования на атаки через единый
централизованный комплекс.

Что такое MaxPatrol?

Что такое MaxPatrol?
Сетевая топология
Инвентаризация узлов (ОС,
открытые порты, приложения)
Уязвимости узлов и систем

Что такое MaxPatrol?

Что такое MaxPatrol?

Что такое MaxPatrol?

Зачем интегрировать Cisco MARS и MaxPatrol?
Получение данных по топологии сети
Анализ актуальных уязвимостей в консоли
MARS
Корреляция событий с учетом типа
операционных систем
Анализ атак с учетом наличия уязвимостей
Автоматическое изменение степени риска и
приоритетов событий

Подход к интеграции CS MARS
Начиная с CS-MARS 6.0.1 анонсирована
поддержка Device Support Framework
 Расширение набора типов событий (device event
type, DET), методов парсинга
 Переопределение методов парсинга
 Использование готовых DET и методов парсинга
 Импорт и экспорт готовых правил парсинга,
отчетов, событий и т.д. в качестве одного парсинга
Устройства типа Vulnerability assessment (VA) не
поддерживаются в рамках DSF!

Подход к интеграции CS MARS
В рамках CS MARS существую готовые адаптеры
для систем VA
 Доступ к базе данных системы VA
 Получение XML-отчетов через Web
Был выбран подход с использованием готовых
XML-отчетов. В рамках этой задачи:
• Сформировать отчеты согласно XML-схеме
• Связать типы событий готовых VA (уязвимостей,
топологической информации) и событий MaxPatrol
• Опубликовать готовые отчеты на Web-сервере

Подход к интеграции CS MARS
Подготовка отчетов
 Схема XML-документов открыта
 Два типа документов:
– информация о сканированиях (список узлов)
– детальная информация по сканированию (ОС,
открытые порты, список уязвимостей)
Связь типов событий
• Составлена таблица соответствия идентификаторов
CVE и внутренних идентификаторов VA
• Подготовлен XSLT для преобразований
Публикация
• IIS + SSL + ASP

Результаты – настройки MaxPatrol

Результаты – Cisco MARS

Резюме
Системы контроля защищенности VA являются
отдельным типом устройств в Cisco MARS (и в
других системах корреляции событий)
MARS не позволяет расширять типы VA-систем
штатными методами
Возможно использование готовых адаптеров,
путем адаптации системы под требуемую
отчетность

Спасибо за внимание!
Сергей Гордейчик
http://sgordey.blogspot.com
gordey@ptsecurity.ru