1. Мониторинг в сфере ИБ:
апробированные методы
обнаружения инцидентов
BRKSEC-3061 © 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 1

2. Мониторинг безопасности
Шесть действий для повышения качества мониторинга
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 2

3. Мониторинг безопасности
Шесть действий для повышения качества мониторинга
Разработка
политики
1
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 3

4. Мониторинг безопасности
Шесть этапов для повышения качества мониторинга
Разработка
политики
1 2
Сбор данных
о сети
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 4

5. Мониторинг безопасности
Шесть действий для повышения качества мониторинга
Разработка Выбор
политики целей
1 2 3
Сбор данных
о сети
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 5

6. Мониторинг безопасности
Шесть действий для повышения качества мониторинга
Разработка Выбор
политики целей
1 2 3 4
Сбор данных Выбор
о сети источников
событий
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 6

7. Мониторинг безопасности
Шесть действий для повышения качества мониторинга
Разработка Выбор Тестирование
политики целей и настройка
1 2 3 4 5
Сбор данных Выбор
о сети источников
событий
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 7

8. Мониторинг безопасности
Шесть действий для повышения качества мониторинга
Разработка Выбор Тестирование
политики целей и настройка
1 2 3 4 5 6
Сбор данных Выбор
источников Эксплуатация
о сети
событий
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 8

9. Выдуманный пример
Blanco Wireless
 Компания Blanco Wireless продает
услуги мобильной связи
 Собирает номера SSN абонентов для
активации услуг (эти номера хранятся
в СУБД)
 Для работы СУБД используется
Oracle 10g
 Необходимо обеспечить мониторинг
для защиты данных и соблюдения
нормативных требований
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 9

10. Мониторинг безопасности
Шесть действий для повышения качества мониторинга
Разработка
политики
1
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 10

11. Подходы к мониторингу
 Мониторинг запрещенных событий
 Необходимо определить список запрещенных действий
и пытаться их обнаружить
 Критерии применимости: возможность полного описания всех запрещенных
действий, достаточно короткий список, невозможность сужения спектра
событий до краткого списка допустимых
 Мониторинг аномалий
 Необходимо описать нормальное состояние и обнаруживать события,
выходящие за рамки нормального состояния
 Перспективно, высока вероятность ложных срабатываний.
 Мониторинг соответствия политикам
 Описание набора критериев, по котором оценивается допустимость или
недопустимость действия и сбор данных.
 Критерии применимости: контроль над средой (системами, сервисами),
вероятность маскировки вредоносных воздействий
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 11

12. Четкое описание
Бонус: самопроверка
Средства контроля
и обеспечения
соблюдения
Отсутствует: описание разграничения ролей

13. Определение политики
Типы
Соблюдение требований
• Sarbanes-Oxley
• HIPAA
• PCI DSS
• ФЗ-152
Регламентирование
действий сотрудников
• Посторонние устройства
• Совместное использование
учетных записей
• Конфигурирование устройств
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 13

14. Пример: COBIT DS9.4, контроль конфигураций
Мониторинг изменений конфигураций сетевых устройств, сравнение
с утвержденными списками изменений
Кто изменил
конфигурацию
МСЭ?
МСЭ
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 14

15. Разработка политики
Дополнительные примеры
 Политика: запрет входа с высоким уровнем прав
Мониторинг журналов IDS и подключений SSH, поиск
входа пользователя root
 Политика: надежность паролей
Определение требований, также инструментальный
аудит существующих учетных записей (cisco/cisco)
 Политики: запрет интернет-доступа с рабочих
серверов
Мониторинг подключений серверов к Интернету
 Политика: запрет туннелирования протоколов
Мониторинг тревог IDS, связанных с туннелированием
трафика по DNS (взаимодействие с не-DNS серверами)
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 15

16. Пример: вход на FTP-сервер с высоким
уровнем прав
evIdsAlert: eventId="1173129985693574851" severity="low" vendor="Cisco"
originator:
hostId: rcdn4-dmz-nms-1 обнаружила успешный
IPS
appName: sensorApp вход на FTP-сервер от
appInstanceId: 421
имени учетной записи
time: Mar 22 2007 18:14:39 EDT (1174601679880242000) offset="0" timeZone="UTC"
“administrator”
signature: version="S31" description="Ftp Priviledged Login" id="3171"
subsigId: 1
sigDetails: USER administrator
marsCategory: Info/SuccessfulLogin/FTP
interfaceGroup: vs0
vlan: 0
participants:
attacker:
addr: 163.180.17.91 locality="OUT"
port: 1387
target:
addr: 12.19.88.226 locality="IN"
port: 21
os: idSource="unknown" relevance="unknown" type="unknown"
summary: 2 final="true" initialAlert="1173129985693574773" summaryType="Regular"
alertDetails: Regular Summary: 2 events this interval ;
riskRatingValue: 37 targetValueRating="medium"
threatRatingValue: 37
interface: ge0_0
protocol: tcp
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 16

17. Пример: SSH-подключение с
высоким уровнем прав
Mar 28 16:19:01 xianshield sshd(pam_unix)[13698]: session
opened for user root by (uid=0)
Syslog: вход с
использованием
записи root
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 17

18. Blanco Wireless: политики
 Политика защиты данных
Персональные данные должны быть (ПДн) зашифрованы как при хранении, так и
при передаче
Доступ к базе данных должен быть разрешен только с определенных серверов
Конфигурация СУБД должна быть защищенной в соответствии со стандартом
настройки СУБД в компании Blanco Wireless
 Политика обеспечения безопасности серверов
Рабочие серверы могут подключаться только к другим рабочим серверам Blanco
Все сетевые сервисы документированы
Число учетных записей с административными правами ограничено,
такие учетные записи задокументированы
Прямое подключение к серверам устанавливается только с использованием личных
учетных записей с низким уровнем прав
Журналирование процедур аутентификации, авторизации и изменений состояния
сетевых сервисов
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 18

19. Мониторинг безопасности
Шесть этапов для повышения качества мониторинга
Разработка
политики
1 2
Сбор данных
о сети
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 19

20. Вашу сеть можно назвать
самозащищающейся?
BRKSEC-3061 © 2011 Ci sc o and/or its affiliates. All rights reserved.
2010 Cis co Confi dentic
Cis co Publi al 20

21. Сбор данных о сети
Знайте свои подсети!
BRKSEC-3061 © 2011 Ci sc o and/or its affiliates. All rights reserved.
2010 Cis co Confi dentic
Cis co Publi al 21

22. Сбор данных о сети
Телеметрия
 Этимология
tele = удаленный(ое)
metron = измерение
 Возможность удаленного измерения
 Получение оператором нужных данных
BRKSEC-3061 © 2011 Ci sc o and/or its affiliates. All rights reserved.
2010 Cis co Confi dentic
Cis co Publi al 22

23. Сетевая телеметрия —
Практическая польза
 История: использовалась для планирования
емкости
 Обнаружение атак
Средства аналитики позволяют
обнаруживать аномалии
 Поддержка расследований
Инструментальные средства позволяют
собирать данные, определять тренды,
определять корреляцию
 Типовые примеры средств
OSU FlowTools
Lancope StealthWatch
Cacti/MRTG
NetQoS
 Проста в освоении
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 23

24. Сетевая телеметрия
Обязательное условие: синхронизация времени
 Без синхронизации
невозможно установить
корреляцию
 Решение: протокол NTP
Поддерживается
практически всеми
сетевыми системами
 Распределенные
системы: UTC позволяет
решить проблему
часовых поясов
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 24

25. Сетевая телеметрия —
NetFlow
• Телеметрические данные,
поступающие от устройств
Cisco
• Простой обзор подключений
• Низкое воздействие на
производительность
• БЕСПЛАТНО
• Не только Cisco
• Juniper, Huawei, ...
• Счет за телефонные
разговоры
• Сбор сетевого трафика
напоминает «прослушку»
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 25

26. Сбор данных о сети
NetFlow
C
B
A
B
C
A
A
B
C
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 26

27. Сетевая телеметрия —
сбор данных NetFlow
 Данные NetFlow могут собираться и передаваться в различные средства
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 27

28. Сетевая телеметрия
NetFlow в Cisco
240 000 п/с
4 канала ISP ЦОД в CA Amsterdam
San Jose POP PoP
600 Гбайт
Milan PoP
3 месяца Tel Avi v PoP
Johannesburg PoP
ЦОД EMEA
ЦОДы
в Сан-Хос е
ЦОД APAC
Bangal ore
PoP
RTP PoP
4,6 млрд Tokyo
сеансов/день PoP Hong Kong
PoP
Si ngapore
PoP Sydney
PoP
ЦОД для
ис следователей
ЦОД
Разные в Сиднее
ЦОД
Сбор в регионах позволяет разгрузить WAN
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 28

29. Сетевая телеметрия
OSU FlowTools — кто выходит на связь?
 Сценарий: новый ботнет, обнаружение на хостах затруднено
Необходимо определить все системы, выходившие на связь с центром управления
ботнета
Легко, если сбор данных NetFlow ведется на всех точках подключения
Файл bot.acl: привычный синтаксис ACL. Создайте список "bot"
Объедините все файлы
[mynfchost]$ head bot.acl put in specific query
данных с 12.02.200, затем
syntax for the example dest и
ip access-list standard bot permit host 69.50.180.3
фильтр по src или
acl "bot"
ip access-list standard bot permit host 66.182.153.176
А вот и
[mynfchost]$ flow-cat /var/local/flows/data/2007-02-12/ft* | flow-filter -Sbot -o -...
участник
Start End Sif SrcIPaddress SrcP DIf
ботнета!
DstIPaddress DstP
0213.08:39:49.911 0213.08:40:34.519 58 10.10.71.100 8343 98 69.50.180.3 31337
0213.08:40:33.590 0213.08:40:42.294 98 69.50.180.3 31337 58 10.10.71.100 83
BRKSEC-3061 © 2011 Ci sc o and/or its affiliates. All rights reserved.
2010 Cis co Confi dentic
Cis co Publi al 29

30. Сетевая телеметрия
Генератор пользовательских отчетов NetFlow
BRKSEC-3061 © 2011 Ci sc o and/or its affiliates. All rights reserved.
2010 Cis co Confi dentic
Cis co Publi al 30

31. Netflow
Lancope — быстрый обзор
Когда?
Кто? С кем?
Как?
Сколько?
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 31

32. Сбор данных о сети
Знайте свои подсети!
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 32

33. Сбор данных о сети
Пример: средство управления IP-адресами
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 33

34. Сбор данных о сети
Знайте свои подсети!
Критически важно формировать контекст инцидента
Принадлежит ли адрес к ДМЗ? лаборатории? пулу удаленного доступа?
сегменту настольных компьютеров? ЦОД?
Обеспечьте возможность выполнения запросов по данным
Доступны коммерческие продукты и продукты с открытым исходным
кодом
Задавайте данные на устройствах обеспечения ИБ
SIMS — группы ресурсов netForensics
IDS — переменные сети Cisco
Конфигурация CS-IPS
variables DC_NETWORKS address 10.2.121.0-10.2.121.255,10.3.120.0-10.3.127.
255,10.4.8.0-10.4.15.255
variables DMZ_PROD_NETWORKS address 198.133.219.0-198.133.219.255
variables DMZ_LAB_NETWORKS address 172.16.10.0-172.16.11.255
Уведомление CS-IPS Хост
eventId=1168468372254753459 eventType=evIdsAlert hostId=xxx-dc-nms-4appName=sensorApp из ЦОД!
appInstanceId=6718 tmTime=1178426525155 severity=1 vLan=700 Interface=ge2_1 Protocol=tcp
riskRatingValue=26 sigId=11245 sigDetails=NICK...USER" src=10.2.121.10 srcDir=DC_NETWORKS srcport=40266
dst=208.71.169.36 dstDir=OUT
dstport=6665
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 30
34

35. Сбор данных о сети
Знайте свои подсети!
Сеть компании Приобретенная компания
NAT
Перекрытие
пространств
RFC1918!
Конфигурация CS-IPS для сенсоров в новых сетях
variables ACQUISITION_DATACENTER address 10.2.121.0-10.2.121.255,10.3.120.0-10.3.127.
255,10.4.8.0-10.4.15.255
variables ACQUISITION_LAB_NETS address 198.133.219.0-198.133.219.255
variables ACQUISITION_XNET address 172.16.10.0-172.16.11.255
Переменные уникальны, контекст присутствует!
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 35
© 2008 Ci sco Systems, Inc. All rights reserved. Cis co Publi c

36. Сбор данных о сети —
еще одно средство: MRTG/RRDTool/Cacti
Вы должны
 Телеметрия не ограничивается NetFlow, SNMP располагать
также может принести пользу
данными о
 Отображение передаваемого объема данных
трафике!
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 36

37. Сбор данных о сети
Blanco Wireless
 Сведения о трафике С учетом архитектуры,
среды и уровней трафика с
пиками свыше 400 Мбит/с
потребуется IPS 4260…
а лучше IPS серии 4300
 Данные о подсетях: управление IP-адресами
10.10.0.0/19 A (Active) ЦОДы
|-- 10.10.0.0/20 A (Active) ЦОД здания 3
| |-- 10.10.0.0/25 S (Active) Подс еть Windows-серверов
| |-- 10.10.0.128/25 S (Activ e) Подсеть Oracle 10g
| |-- 10.10.1.0/26 S (Active) Ферма ESX VMWare
| |-- 10.10.1.64./26 S (Activ e) Серверы w eb-приложений
10.10.0.0/16 A (Active) Кампус в Индиане
|-- 10.10.0.0/19 A (Active) ЦОДы
|-- 10.10.32.0/19 A (Activ e) Сети настольных компьютеров на объекте 1
| |-- 10.10.32.0/24 S (Active) 1-й этаж здания 1
| |-- 10.10.33.0/25 S (Active) 2-й этаж здания 1
| |-- 10.10.33.128/25 S (Active) Здание 2
BRKSEC-2006
17796_04_2008_c 1
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 32
37
© 2008 Ci sco Systems, Inc. All rights reserved. Cis co Publi c

38. Сбор данных о сети
Зоны сети Blanco Wireless
10.10.0.0/25 Windows-серверы
10.10.0.128/25 Oracle 10g
10.10.1.0/26 Ферма ESX VMWare
10.10.1.64/26 Серверы web-приложений
10.10.32.0/24 Здание 1, 1ый этаж
10.10.33.0/25 Здание 1, 2ой этаж
10.10.33.128/25 Здание 2
Конфигурация CS-IPS
variables DC_NETWORKS address 10.10.0.0-1010.1.255
variables WINDOWS_SERVER address 10.10.0.0-10.10.0.127
variables ORACLE10G address 10.10.0.128-10.10.0.255
variables ESX_VMWARE address 10.10.1.0-10.10.1.63
variables WEB_APP_SERVER address 10.10.1.64-10.10.1.127
variables BLDG1_1ST address 10.10.32.0-10.10.32.255
variables BLDG1_2ND address 10.10.33.0-10.10.33.127
variables BLDG2 address 10.10.33.238-10.10.33.255
BRKSEC-2006
17796_04_2008_c 1
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 32
38
© 2008 Ci sco Systems, Inc. All rights reserved. Cis co Publi c

39. Мониторинг безопасности
Шесть действий для повышения качества мониторинга
Разработка Выбор
политики целей
1 2 3
Сбор данных
о сети
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 39

40. Выбор целей
Определение ресурсов для мониторинга
Важность для бизнеса Финансовая Воздействие на прибыль
ценность
Доступность Прямые расходы Упущенные продажи
Юридическая Уровень риска Реноме
важность
Уставы/контракты Уязвимые Системы для работы
системы с заказчиками
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 40

41. Выбор целей
Способ определения
Система
Анализ ценности
для бизнеса Выбранные хосты
Оценка рисков
Выбранная
система
Система
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 41

42. Выбор целей
Примеры нормативных требований
Sarbanes-Oxley Несанкцио-
нированные
изменения
Финансовые
системы
Попытки
PCI DSS вторжения
Системы обработки
пластиковых карт
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 42

43. Выбор целей
Примеры нормативных требований
Где проводить
Нормативный акт Что искать
мониторинг
Несанкционированные
Sarbanes-Oxley Финансовые системы изменения, повышение
привилегий
Нарушение правил
Graham-Leach Bliley Act Системы обработки ПДн
доступа
Хранилища данных
PCI DSS Попытки вторжения
о пластиковых картах
Стандарты защиты
Доступ к системам
критически важных систем Попытки вторжения
управления
(например, NERC)
Системы, предостав-
Контрактные обязательства ляемые в рамках Попытки вторжения
сервисного контракта
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 43

44. Выбор целей
Множество потоков событий
1 1 0 0 1 1 1 0 1 0 0 1 0 0 0 0 1
0 1 1 0 1 0 0 0 0 1 1 1 1 1 1 1 1
1 0 1 0 0 0 1 1 0 1 0 1 0 0 1 1
0 0 0 0 1 1 0 0 0 0 1 1 1 1 1 1
1 1 1 0 1 0 1 1 1 0 0 0
1 0 0 0 1 1 1 0
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 44

45. Выбор целей
Потоки событий, связанные
с выбранными объектами Выбранные хосты
Потоки событий,
1 1 0 0 1 1 1 0 1
связанные с0
0 1 0 0 0 0 1
0 1 1 0 1 0 0 0 0 1 1 1 1 1 1 1 1
1 0 1 0 0 0
выбранными хостами
1 1 0 1 0 1 0 0 1 1
0 0 0 0 1 1 0 0 0 0 1 1 1 1 1 1
1 1 1 0 1 0 1 1 1 0 0 0
1 0 0 0 1 1 1 0
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 45

46. Выбор целей
Оптимальные цели для мониторинга
Конфиденциально
• Соблюдение нормативных требований
• Интеллектуальная собственность
• Данные о заказчиках
Высокий риск
• Мало средств обеспечения ИБ
• Незащищенная конфигурация
Источник прибыли
• Средства ведения бизнеса
• Поддержка заказчиков
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 46

47. Выбор целей
Пример: компоненты ERP-системы (SAP R/3)
Уведом- ЦОД
ления
NIPS NIPS NetFlow
Шлюзы Данные
ЦОД syslog со
всех хостов
Linux
Серверы Серверы База данных
представления приложений (Linux) (Oracle / Linux)
(Linux)
Файлы аудита SAP Журналы аудита БД
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 47

48. Выбор целей
Blanco Wireless: приложение для предоставления услуг
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 48

49. Выбор целей
Blanco Wireless: приложение для предоставления услуг
Документировать
 IP-адреса
 Схему именования
пользователей
 Экземпляр БД,
имена схем БД
 Средства контроля Мониторинг
доступа
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 49

50. Мониторинг безопасности
Шесть действий для повышения качества мониторинга
Разработка Выбор
политики целей
1 2 3 4
Сбор данных Выбор
о сети источников
событий
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 50

51. Выбор источников событий
Потоки событий от различных компонентов
1 1 0 0 1 1 1
Web -сервер 0 Поток событий 0 0
1 1 0 1 БД
1 0 1 0 0 1 0
Сервер 0 0 0 0 1 1 1
DB DB 1 1 1 1 0 0 0
прил.
1 1 0 0 0 1 0
Сервер Поток событий
0 0 0 1 0 1 1
DB 0 1 0 маршрутизатора
1 0 0 0
приложений
1 1 0 1 1 0 0
0 0 1 1 0 1 1
Маршрутизатор
0 0 0 1 1 0
0 0 0 1 0
Коммутатор 1 1 1 1
1 0
0 1
LDAP Кэш 1
Поток событий LDAP
Сервисы хоста
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 51

52. Выбор источников событий
Типы
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c
Cis co Confi denti al
52

53. Выбор источников событий
Типы
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c
Cis co Confi denti al
53

54. Выбор источников событий
Потоки данных NetFlow
Получение Push
Расследование ✔
Уведомления ✖
Нагрузка ✔
Хранение ✔
Доступ Прямой запрос,
SIEM
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c
Cis co Confi denti al
54

55. Выбор источников событий
Сетевая IDS
Получение Пассивный сбор
Расследование ✖
Уведомление ✔
Нагрузка ✔
Хранение ✔
Доступ SIEM
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c
Cis co Confi denti al
55

56. Выбор источников событий
Данные Syslog от устройств
Получение Push
Расследование ✔
Уведомление ✖
Нагрузка ✖
Хранение ✖
Доступ Прямой + SIEM
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c
Cis co Confi denti al
56

57. Выбор источников событий
Данные Syslog от серверов
Получение Push
Расследование ✔
Уведомление ✖
Нагрузка ✔
Хранение ✖
Доступ Прямой + SIEM
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c
Cis co Confi denti al
57

58. Выбор источников событий
Журналы приложений
Получение Различное
Расследование ✔
Уведомление ✖
Нагрузка ✖
Хранение ✖
Доступ Прямой + SIEM
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c
Cis co Confi denti al
58

59. Выбор источников событий
Среда Oracle eBiz
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 59

60. IronPort WSA Capture
Блокировка Zeus
Попытка Zeus
(поддельный
1281729668.247 0.img)
64.102.69.122TCP_DENIED/403 10548 GET
http://nahwgwwergwyt.com/gamer/eqtewttetwq.img - NONE/- - 4 0 10
BLOCK_WBRS-DefaultGroup-DefaultGroup-NONE-NONE
<-,-6.2,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - Hostname nahwgwwergwyt.com Server
IP 255.255.255.255 Referrer - User-Agent "Mozilla/4.0 (compatible; MSIE 7.0;
Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR
3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; .NET4.0C)" Блокировка
Mcafee-Verdict - Webroot-Verdict - WBRS -6.2
WSA (низкая
репутация)
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 60
6

61. Выбор источников событий
Журналы Oracle
Получение Запрос к БД
Расследования ✖
Уведомление ✖
Нагрузка ✖
Хранение ✖
Доступ Прямой
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 61

62. Выбор источников событий
Оптимальные источники
Данные NetFlow
• Низкая нагрузка на устройство Сетевая IDS
• Основная база расследований • На основе сигнатур
• Низкие требования • Пассивный сбор
к хранилищу • Основной источник
уведомлений
Данные Syslog от серверов
• Средство глубокого анализа
• Поддержка фильтрации
• Ограниченная нагрузка
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c
Cis co Confi denti al
62

63. Второстепенные события
Что можно узнать из полученных событий
Тип устройства События
Все Аутентификация
Изменения конфигурации
Остановка/запуск сервисов
МСЭ Записи permit/deny
Удаленный доступ Назначение IP-адресов пользователю/хосту
Системы кэширования Доступ к контенту
DHCP-серверы Назначение IP-адресов пользователю/хосту
Поддержка WLAN Назначение IP-адресов пользователю/хосту
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 63

64. Выбор источников событий
Blanco Wireless: источники событий
 NetFlow
• Подключение к БД извне ЦОД
• Копирование больших объемов из БД
в сети настольных компьютеров
 Syslog
• Подключение к Unix-серверам с
высоким уровнем полномочий
• Остановки и перезапуски СУБД, web-
сервера и SSH-сервера
 Сетевая IPS
• Известные атаки на ПО Oracle
• Пользовательские сигнатуры:
• Шаблон SSN (###-##-####) –
передача в открытом виде
• Операторы Describe в запросах к БД
 Аудит Oracle
• Запросы к столбцу SSN в таблице
клиентов
• Запросы к таблицам V$
• Прямые подключения с высоким
уровнем полномочий
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 64

65. Мониторинг безопасности
Шесть действий для повышения качества мониторинга
Разработка Выбор Тестирование
политики целей и настройка
1 2 3 4 5
Сбор данных Выбор
о сети источников
событий
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 65

66. Тестирование и настройка
Корреляция событий: обработка событий
BRKSEC-3061 © 2011 Ci sc o and/or its affiliates. All rights reserved.
2010 Cis co Confi dentic
Cis co Publi al 66

67. Тестирование и настройка
Корреляция событий: обработка событий
 Требования
• Группа специалистов
• Набор правил обработки
• Процесс обработки
событий/повышения
уровня обработки
 Набор правил обработки
• Ключевые условия для
поиска наиболее
популярных угроз
• Техническое
обслуживание систем
мониторинга
• Процедуры сбора данных
об инцидентах
• Процедуры передачи
обработки на следующий
уровень
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Confi dentic
Cis co Publi al 67

68. Тестирование и настройка
Краткое напоминание: сетевые IDS
пакеты {атаки}
 IDS — система обнаружения вторжений
пассивный мониторинг сетевого трафика
ограниченный функционал, в основном уведомления
Поток трафика
 IPS — система предотвращения вторжений Соот-
ве тст-
мониторинг трафика, передаваемого через систему вие ?
уведомления + возможность удаления пакетов
Уве -
дом-
ление?
Поток трафика
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 68

69. Тестирование и настройка
IDS или IPS
 Где требуется фильтрация транзитного трафика?
Развертывание в точке агрегации уровня распределения может привести
к слишком большой нагрузке
VLAN уровня доступа, как правило, характеризуется слишком интенсивным трафиком
 Ориентируйтесь на более мелкую область
Подсеть/VLAN/сегмент
Область
IDS
Область
IPS
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Confi dentic
Cis co Publi al 69

70. Тестирование и настройка
IDS или IPS
 Зоны контроля
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 70

71. Тестирование и настройка
Настройка сетевой IDS
 Учитывайте все асимметричные маршруты
передачи при анализе трафика!
 Сокращайте число платформ и архитектур
 Собирайте трафик восходящих каналов
маршрутизаторов на уровне распределения
 Помните, что при использовании IPS каждое устройство
характеризуется пороговым уровнем трафика (Мбит/с)
 При устойчивом превышении порога
пользуйтесь балансировкой нагрузки
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 53
71

72. Тестирование и настройка
Развертывание NIDS
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 72

73. Тестирование и настройка
Развертывание сетевой IDS в небольшом ЦОД
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 73

74. Тестирование и настройка
Развертывание сетевой IDS в крупном ЦОД
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 74

75. Тестирование и настройка
Настройка IDS: следует рекомендациям Cisco SAFE
Анализ
Без настройки… Проект
сенсоры генерируют
уведомления для всего
трафика, соответствующего Развертывание
критериям
уведомления перегружают
специалистов по мониторингу Настройка
сетевая IDS генерирует события,
иррелевантные вашей среде
зачастую данные IDS
игнорируются или IDS
Управление
отключается
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 75

76. Тестирование и настройка
Настройка IDS
Запуск в режиме promiscuous
Конфигурацию по умолчанию
Самые свежие сигнатуры
Настройка типового трафика
Анализ частых уведомлений
Трассировка до типовых адресов
отправителя/получателя
Создание переменных
для зон сети
Именование зон сети (DNS, email,
ДМЗ)
Более четкое понимание трафика
Упрощение анализа
Упрощение фильтрации
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 76

77. Тестирование и настройка
Настройка IDS: настройка для типового трафика
xxx-dc-ids-1# show stat virt
Статистика
Virtual Sensor Statistics интерфейса
Statistics for Virtual Sensor vs0 виртуального
<snip> сенсора
Per-Signature SigEvent count since reset
Sig 1101.0 = 22
Sig 3041.0 = 43
Sig 3052.0 = 1
Sig 3135.3 = 13
Sig 3159.0 = 12
Sig 5829.0 = 17
Sig 5837.0 = 22
Sig 5847.1 = 2 Посмотрим на
Sig 6005.0 = 281 cisco.com
Sig 6054.0 = 49
Sig 6055.0 = 7
Sig 3030.0 = 2045681
© 2011 Ci sc o and/or its affiliates. All rights reserved.
Cis co Publi c
Cis co Publi c 77

78. Тестирование и настройка
Настройка IDS: исключение срабатываний на легитимный
трафик
Cisco IntelliShield – источник полезных сведений ;) (cisco.com/security)
Sig 3030 = TCP SYN Host Sweep
Сведения о том, что могло
вызвать ложное
срабатывание
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 78

79. Тестирование и настройка
Настройка IDS: настройка для типового трафика
xxx-dc-nms-1# show event alert past 00:01:00 | include 3030
Все
evIdsAlert: eventId=1173255092619515843 severity=high vendor=Cisco
уведомления
originator: для сигнатуры
hostId: xxx-dc-nms-1 3030 за 1
минуту
appName: sensorApp
time: 2007/04/23 18:50:47 2007/04/23 18:50:47 UTC
signature: description=TCP SYN Host Sweep id=3030 version=S2
subsigId: 0 Одно из устройств
marsCategory: Info/Misc/Scanner
marsCategory: Probe/FromScanner
сканирования сети
interfaceGroup: vs0 генерирует трафик
vlan: 0 TCP SYN
participants:
attacker:
addr: locality=IN 10.6.30.5
target:
addr: locality=IN 10.9.4.4
port: 80
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 79

80. Тестирование и настройка
Настройка IDS: использование переменных для зон
 Простота настройки с помощью переменных (а не IP)
 Пример: системы управления
 Простота добавления новых систем (значение переменной)
 Можно добавлять хосты и сети
CS-IPS Config
xxx-dc-nms-1# conf t
xxx-dc-nms-1(config)# Переменная MGT_SYSTEMS
service event-action-rules rules0
variables MGT_SYSTEMS address
10.6.30.5,10.6.30.6,10.30.6.7,10.50.1.5,10.50.1.6,10.50.1.7
filters insert drop_mgt_system_alerts Фильтр для
signature-id-range 4003,3030,2100,2152 игнорирования
attacker-address-range $MGT_SYSTEMS сигнатур, если
victim-address-range $IN отправитель входит
в MGT_SYSTEMS
actions-to-remove produce-alert|produce-verbose-alert
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 80

81. Тестирование и настройка
Настройка IDS: использование SIM для настройки
событий
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 81

82. Тестирование и настройка
Настройка IDS: пользовательские сигнатуры
 Более 2 000 сигнатур по умолчанию
 Тысячи уязвимостей и нелегитимных действий
 Возможность создания пользовательских сигнатур
Конфигурация CS-IPS
sig-fidelity-rating 100
sig-description
sig-name IRC BOT DOMAINS
sig-string-info IRC BOT DOMAINS
sig-comment IRC BOT DOMAINS
exit
utk.thirtyfivek.org|bla.girlso
engine atomic-ip ntheblock.com
specify-l4-protocol yes
specify-payload-inspection yes
regex-string
(x03[Uu][Tt][Kk]x0b[Tt][Hh][Ii][Rr][Tt][Yy][Ff][Ii][Vv][Ee][Kk]x03[Oo][Rr][Gg])|(x03[Bb][
Ll][Aa]x0f[Gg][Ii][Rr][Ll][Ss][Oo][Nn][Tt][Hh][Ee][Bb][Ll][Oo][Cc][Kk]x03[Cc][Oo][Mm])
exit
l4-protocol udp
specify-dst-port yes
dst-port 53
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 82

83. Тестирование и настройка
NetFlow: передача данных в системы SIM
 Передавайте
данные NetFlow
в те средства,
которые вы
выбрали
SIM, Lancope,
...
 Упрощайте
развертывание
Снижайте
нагрузку на
сеть
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 83

84. Тестирование и настройка
Журналы с хостов: сбор
• Используйте распределенную систему сбора
• Региональные модули сбора
• Глобальное распределение
• Способы сбора
• Пересылка (syslog-ng)
• Модули пересылки (open source)
• Для региональных модулей сбора
• Фильтрация до уровня событий безопасности
• Считывание (свой скрипт)
• Отправка по SNMP
• Запрос (SQL)
• Публикуйте данные для других групп
• Сервер архива для последующего анализа
• Расширяемое NAS-хранилище
• Долговременное хранение данных
• Запуск средств анализа
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 84

85. Настройка и тестирование
Журналы хостов: фильтрация
• Только данные из области ИБ
• Аутентификация/
авторизация
• Состояние сервиса
• Системы безопасности
• Архив событий безопасности
• Хранится на сервере архива
• Поддерживает поиск с
помощью средств анализа
• Используется для реакции,
при расследовании и для
мониторинга
• Дополнительные события
остаются на региональном
сервере
• Более старые журналы
перезаписываются по мере
необходимости
• Доступ для ИТ-специалистов
BRKSEC-3061 © 2011 Ci sc o and/or its affiliates. All rights reserved.
2010 Cis co Confi dentic
Cis co Publi al 85

86. Тестирование и настройка
Журналы хостов: журналы Windows
• Пересылка с помощью агента
• Snare – «релей» в стиле syslog
• Необходимо указывать EventID
• Множество информации
• В более новых ОС события изменяются
• Vista vs XP, Server 2003 и Server 2008
• События, которые важны
• Аутентификация
• Успешный вход
• Неудачная попытка входа
• Авторизация
• Привилегированные сервисы
• Привилегированный режим
• События процессов Windows
• События контроллера домена
• Ошибки Kerberos
• Ошибки NTLM
• Системы безопасности
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 86

87. Тестирование и настройка: NetFlow
Blanco Wireless: внедрение NetFlow
Используем средства формирования отчетов NetFlow для формирования
уведомлений о копировании файлов из подсети Oracle10g
flow.acl: привычный
синтаксис ACL.
[mynfchost]$ head flow.acl
ip access-list standard oracle10g permit 10.10.0.128 0.0.0.127
Создание списка
‘oracle10g’ Объединение всех
файлов с 5 мая 2007 г.,
фильтр src = сеть
‘oracle10g’, запись
результатов в syslog
[mynfchost]$ flow-cat /var/local/flows/data/2007-05-05/ft* | flow-filter -Soracle10g | flow-
dscan -O 50000000 | logger -f outputfile -p local4
[mynfchost]# crontab -e
* * * * * su - netflow -c "env LANG=C; DATE=`date +%Y"/"%m"/"%d`; flow-cat
/var/local/flows/data/$DATE/ft* | flow-filter -Soracle10g | flow-dscan -O 500000000 | logger -f
outputfile -p local4” Добавление в список crontab
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c для автоматизации 87

88. Тестирование и настройка: NIDS
Blanco Wireless: внедрение сетевой IDS
Пользовательская сигнатура для поиска незашифрованных SSN при
передаче между хостами, кроме серверов web-приложений Oracle10g
Конфигурация CS-IPS
signatures 60001 0 Пользовательская
! сигнатура 60001
“SSN_POLICY”
sig-description
sig-name SSN_POLICY
sig-string-info SSN HANDLING POLICY VIOLATION
sig-comment CLEARTEXT SSN
exit
Regex, описывающий
engine string-tcp
формат SSN:
event-action produce-verbose-alert ###-##-####
specify-min-match-length no
regex-string ([0-9][0-9][0-9]-[0-9][0-9]-[0-9][0-9][0-9][0-9])
service-ports 1-65535
exit
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 88

89. Тестирование и настройка: NIDS
Blanco Wireless: использование сетевой IDS
Использование сигнатуры для поиска незашифрованных SSN при
передаче между хостами, кроме серверов web-приложений Oracle10g
CS-IPS Config
xxx-dc-nms-1# conf t Создание
xxx-dc-nms-1(config)# переменных для
service event-action-rules rules0
подсетей
variables ORACLE_10G address 10.10.0.128-10.10.0.255
variables ORACLE_WEBAPP address 10.10.1.64-10.10.1.95
variables DESKTOP_NETS address 10.10.32.0-10.10.63.255
filters insert drop_desktop_to_webapp_alerts Фильтрация
signature-id-range 60001 уведомлений от
серверов web-
attacker-address-range $DESKTOP_NETS
приложений
victim-address-range $ORACLE_WEBAPP
oracle
actions-to-remove produce-alert|produce-verbose-alert
filters insert drop_webapp_to_desktop_alerts
signature-id-range 60001
attacker-address-range $ORACLE_WEBAPP
victim-address-range $DESKTOP_NETS
actions-to-remove produce-alert|produce-verbose-alert
© 2011 Ci sc o and/or its affiliates. All rights reserved.
© 2008 Ci sco Systems, Inc. All rights reserved. Cis co Publi c
Cis co Publi c 89

90. Мониторинг
Blanco Wireless: использование сетевой IDS
Пользовательская сигнатура для поиска SQL- инструкции describe,
направленной в рабочую базу данных
CS-IPS Config
signatures 60002 0 Сигнатура 60002
! SQL_DESCRIBE
sig-description
sig-name SQL_DESCRIBE
sig-string-info SQL dB enumeration
sig-comment Should not see in prod
exit regex для поиска
engine string-tcp SQL-инструкции
event-action produce-verbose-alert describe
specify-min-match-length no
regex-string [Dd][Ee][Ss][Cc][Rr][Ii][Bb][Ee]
service-ports 1433-1433
exit
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 90

91. Мониторинг
Blanco Wireless: использование сетевой IDS
Настройка уведомлений при доступе из подсети для рабочих
компьютеров к базам данных для разработчиков
Применение фильтра для
уведомлений о доступе
Конфигурация CS-IPS систем управления к
базам для разработчиков
filters insert drop_desktop_to_devdb_alerts
signature-id-range 60002
attacker-address-range $MGT_SERVERS
victim-address-range 10.10.0.120
actions-to-remove produce-alert|produce-verbose-
alert
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 91

92. Мониторинг безопасности
Шесть действий для повышения качества мониторинга
Разработка Выбор Тестирование
политики целей и настройка
1 2 3 4 5 6
Сбор данных Выбор
источников Эксплуатация
о сети
событий
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 92

94. Эксплуатация
Документирование обещаний — сетевые администраторы
Сетевые
NIDS
Вы администраторы
Маршрутизаторы
 SPAN-порты на маршрутизаторах и коммутаторах
 Журналирование NetFlow от маршрутизаторов
 Журналирование событий выбранных типов
 Журналирование заданных событий, связанных с работой
сетевых устройств
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 94

95. Эксплуатация
Документирование обещаний — системные администраторы
Системные
Вы администраторы
Серверы
 Журналирование событий безопасности заданных типов
 Получатель журналов (для модулей сбора событий)
 Поддержка операционных систем
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 95

96. Эксплуатация
Автоматизация управления конфигурациями
 Обеспечение соответствия конфигурации
устройств политике журналирования
 Повышение согласованности
 Процедуры
1. Формирование и развертывание
стандартного шаблона
2. Развертывание с помощью
инструментальных средств
Red Hat Network
Microsoft System Center Configuration
Manager
...или создание своей среды
Шаблоны автоконфигурац ии Cisco
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 96

97. Эксплуатация
Пример шаблона Syslog
# Sample section of syslog.conf to enable remote logging
local2.notice /var/log/sudolog
local2.notice @10.83.4.102
local3.info /var/adm/ssh.log
local3.info @10.83.4.102
local4.info /var/adm/tcpwrap.log
local4.info @10.83.4.102
local7.info /var/adm/portsentry.log
local7.info @10.83.4.102
*.err;kern.debug;daemon.notice;mail.crit
@10.83.4.102
auth.notice /var/log/authlog
auth.notice @10.83.4.102
Модуль сбора Syslog
10.83.4.102
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 97

98. Эксплуатация
Пример шаблона конфигурации маршрутизатора
# Setup NetFlow export to our
# collector at 10.83.4.99
ip flow-export source Loopback0
ip flow-export version 5
ip flow-export destination 10.83.4.99 2055
Модуль сбора NetFlow
10.83.4.102
# Setup logging for certain events to our
# event log collector at 10.83.4.102
logging facility auth
logging facility daemon
logging trap informational
logging host 10.83.4.102
Модуль сбора Syslog
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c
10.83.4.102 98

99. Эксплуатация
Поддержание потока данных от IDS
Sensor no longer
receiving traffic
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 99

100. Эксплуатация
Мониторинг систем
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 100

101. Эксплуатация
Средства мониторинга
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 101

102. Эксплуатация
Мониторинг работоспособности
Возможность подключения
Память
Диск
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 102

103. Эксплуатация
Мониторинг работоспособности
Использование
памяти
test-gw1>show proc
CPU utilization for five seconds: 2%/0%; one minute: 0%; five minutes: 0%
PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process
1 Cwe 6003581C 72 2460 29 5484/6000 0 Chunk Manager
2 Csp 60B76818 16392 6145008 2 2556/3000 0 Load Meter
3 Mwe 627D8898
4 Mwe 623E45B0
0
0
1
1
0 5576/6000 Нагрузка на
0 chkpt message ha
023380/24000 0 EDDRI_MAIN
5 Lst 60032B70 51948052 3224063 16112 5264/6000 ЦП
0 Check heaps
Поиск
процессов
[netflow@blanco-nfc-1 ~]# ps auxww | grep -i zUSER defunct
PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
netflow 14644 0.0 0.0 0 0 ? Z Sep19 0:02 [find] <defunct>
netflow 27622 0.0 0.0 0 0 ? Z Sep20 0:02 [find] <defunct>
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 103

104. Эксплуатация
Мониторинг сетевой IDS
Состояние портов
dc-gw-1
dc-gw-3
Важнейшие процессы
Число тревог Модуль
Последняя анализа
тревога NIDS
HTTPS
NIDS-1 10 минут назад
NIDS-2 43 минуты назад
Основные сигнатуры
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 104

105. Эксплуатация
Мониторинг сетевой IDS на примере Cisco IPS
ids-1# show version
Application Partition:
Состояние
Cisco Intrusion Prevention System, Version 6.1(1)E2 ключевых
-- output clipped for brevity -- процессов
MainApp M-2008_APR_24_19_16 (Release) 2008-04-24T19:49:05-0500 Running
AnalysisEngine ME-2008_JUN_05_18_26 (Release) 2008-06-05T18:55:02-0500 Running
CLI M-2008_APR_24_19_16 (Release) 2008-04-24T19:49:05-0500
-- output clipped for brevity --
ids-1# show version
Application Partition: Объем
Cisco Intrusion Prevention System, Version 6.1(1)E2 доступной
-- output clipped for brevity -- памяти
Using 1901985792 out of 4100345856 bytes of available memory (46% usage)
system is using 17.7M out of 29.0M bytes of available disk space (61% usage)
application-data is using 51.6M out of 166.8M bytes of available disk space (33% usage)
boot is using 40.6M out of 69.5M bytes of available disk space (62% usage)
-- output clipped for brevity --
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 105

106. Эксплуатация
Мониторинг модулей сбора
Файловая система
Процессы
syslog-ng Чтение
syslog-ng Запись
Файлы данных Объем трафика
Последняя
Журнал запись
/logs/se rver1 10 минут назад
/logs/se rver2 43 минуты назад
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 106

107. Эксплуатация
Мониторинг хостов и устройств — проверки вручную
Проверка conf-
файлов (отправка
$ ssh webserver-1 grep 10.83.4.102 /etc/syslog.conf событий)
*.* @10.83.4.102
Контроль конфигурации
Проверка
поступления
событий
[mnystrom@collector-1 logs]$ egrep "Sep 19 03:.*webserver-1” /apps/logs/all-*
/apps/logs/all-06:Sep 19 03:27:35 webserver-1 ntpdate[9910]: [ID 558275
daemon.notice] adjust time server 10.81.254.202 offset 0.037428 sec
/apps/logs/all-06:Sep 19 03:30:22 webserver-1 sshd[9967]: [ID 800047
local3.info] Accepted rsa for root from 171.70.170.241 port 45915
Контроль событий
© 2011 Ci sc o and/or its affiliates. All rights reserved. Cis co Publi c 107

108. Эксплуатация
Blanco Wireless
© 2011 Ci sc o and/or its affiliates. All rights reserved.
© 2010 Ci sco and/or its affiliates. All rights reserved. Cis co Publi c 108