MaxPatrol Cisco Mars Intergration
Upcoming SlideShare
Loading in...5
×
 

MaxPatrol Cisco Mars Intergration

on

  • 2,598 views

MaxPatrol Cisco Mars Intergration

MaxPatrol Cisco Mars Intergration

Statistics

Views

Total Views
2,598
Views on SlideShare
2,403
Embed Views
195

Actions

Likes
0
Downloads
30
Comments
0

7 Embeds 195

http://sgordey.blogspot.com 109
http://www.securitylab.ru 62
http://sgordey.blogspot.ru 12
http://www.slideshare.net 8
http://xss.yandex.net 2
http://209.85.129.132 1
http://translate.googleusercontent.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

MaxPatrol Cisco Mars Intergration MaxPatrol Cisco Mars Intergration Presentation Transcript

  • Интеграция системы контроля защищенности MaxPatrol с Cisco MARS Сергей Гордейчик Positive Technologies
  • О чем пойдет речь? Зачем интегрировать Cisco MARS и системы контроля защищенности? Почему это непросто? Как обойти «подводные камни» интеграции? Пример решения
  • Что такое Cisco MARS? Система сбора и анализа событий безопасности Борьба с бесконечными журналами безопасности • Применимость данного типа атаки к конкретному узлу; • Оценка ущерба от атаки; • Просмотр распространения атаки в режиме реального времени; • Идентификация источников распространения атаки; • Механизм реагирования на атаки через единый централизованный комплекс.
  • Что такое MaxPatrol?
  • Что такое MaxPatrol? Сетевая топология Инвентаризация узлов (ОС, открытые порты, приложения) Уязвимости узлов и систем
  • Что такое MaxPatrol?
  • Что такое MaxPatrol?
  • Что такое MaxPatrol?
  • Зачем интегрировать Cisco MARS и MaxPatrol? Получение данных по топологии сети Анализ актуальных уязвимостей в консоли MARS Корреляция событий с учетом типа операционных систем Анализ атак с учетом наличия уязвимостей Автоматическое изменение степени риска и приоритетов событий
  • Подход к интеграции CS MARS Начиная с CS-MARS 6.0.1 анонсирована поддержка Device Support Framework  Расширение набора типов событий (device event type, DET), методов парсинга  Переопределение методов парсинга  Использование готовых DET и методов парсинга  Импорт и экспорт готовых правил парсинга, отчетов, событий и т.д. в качестве одного парсинга Устройства типа Vulnerability assessment (VA) не поддерживаются в рамках DSF!
  • Подход к интеграции CS MARS В рамках CS MARS существую готовые адаптеры для систем VA  Доступ к базе данных системы VA  Получение XML-отчетов через Web Был выбран подход с использованием готовых XML-отчетов. В рамках этой задачи: • Сформировать отчеты согласно XML-схеме • Связать типы событий готовых VA (уязвимостей, топологической информации) и событий MaxPatrol • Опубликовать готовые отчеты на Web-сервере
  • Подход к интеграции CS MARS Подготовка отчетов  Схема XML-документов открыта  Два типа документов: – информация о сканированиях (список узлов) – детальная информация по сканированию (ОС, открытые порты, список уязвимостей) Связь типов событий • Составлена таблица соответствия идентификаторов CVE и внутренних идентификаторов VA • Подготовлен XSLT для преобразований Публикация • IIS + SSL + ASP
  • Результаты – настройки MaxPatrol
  • Результаты – Cisco MARS
  • Резюме Системы контроля защищенности VA являются отдельным типом устройств в Cisco MARS (и в других системах корреляции событий) MARS не позволяет расширять типы VA-систем штатными методами Возможно использование готовых адаптеров, путем адаптации системы под требуемую отчетность
  • Спасибо за внимание! Сергей Гордейчик http://sgordey.blogspot.com gordey@ptsecurity.ru