Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Обзор продукта Juniper Secure Analytics

946 views

Published on

Запись презентации с партнерского саммита Juniper Networks от 21.04.2015.

Published in: Education
  • Be the first to comment

  • Be the first to like this

Обзор продукта Juniper Secure Analytics

  1. 1. Junos Secure Analytics обзор решения NG SIEM Апрель 2015 Павел Живов Senior Systems Engineer Copyright © 2015 Juniper Networks, Inc.
  2. 2. Copyright © 2015 Juniper Networks, Inc. Проблемы при сборе статистики Переизбыток IT-информации • Количество событий • Разнообразие событий • Количество и разнообразие источников событий Анализ данных • Категоризация событий • Поиск по событиям и их подробности • Детектирование аномалий
  3. 3. Copyright © 2015 Juniper Networks, Inc. Решение: Анализ событий безопасности «Вот все Ваши события. Изучите их и сообщите если найдете что-нибудь подозрительное» Обычный Log server Secure Analytics «Из миллиона поступивших сообщений, в первую очередь стоит уделить внимание этому»
  4. 4. Copyright © 2015 Juniper Networks, Inc. Обычный Log Server и JSA Log Server Secure Analytics (JSA) Устройство безопасности Webserver • Веб-сервер уязвим • Веб-сервер прислал сообщение о сбое • Подозрительный трафик от Веб-сервера • Атака с IP-адреса с плохой репутацией • Атака из подозрительный страны • События получены от других устройств безопасности • … «APACHE-STRUTS-URI-CMDEXE» Устройство безопасности «APACHE-STRUTS-URI-CMDEXE»
  5. 5. Функциональная архитектура OS Коммутаторы Маршрутизаторы Сканеры уязвимостей Устройства IPS/IDP Межсетевые экраны Приложения КОНТЕКСТ СЕТИ, АКТИВА и УЧЕТНОЙ ЗАПИСИ КАТЕГОРИИ НОРМАЛИЗАЦИЯ & КАТЕГОРИЗАЦИЯ СОБЫТИЯ, ЛОГИ и FLOW Шаблоны соответствия Отчетность Поиск для расследования НАРУШЕНИЯ Copyright © 2015 Juniper Networks, Inc.
  6. 6. Что JSA умеет собирать: Сетевые события – NetFlow v.5/8/9, IPFIX, Jflow, sFlow, Packeteer, Cisco Network Security Event Logging (NSEL), PCAP Syslog Combination, непосредственный захват пакетов (PCAP) Журналы безопасности: – Syslog, WELF (WebTrends Enhanced Log file Format) Syslog, Log Extended Event Format (LEEF), OPSEC/LEA, Security Device Event Exchange (SDEE), SNMPv2/3, Sourcefire Defense Center Estreamer, Microsoft Security Event Log, TLS Syslog, Juniper Security Binary Log Collector Protocol, UDP Multiline Syslog, TCP Multiline Syslog Журналы ОС, хостов и приложений – Java Database Connectivity (JDBC), SiteProtector protocol (IBM Proventia), Sophos Enterprise Console JDBC, Juniper Networks NSM, Microsoft Windows Management Instrumentation (WMI), Microsoft DHCP protocol, Microsoft Exchange Protocol, Microsoft IIS protocol, SMB Tail, EMC VMWare protocol, Oracle Database Listener, VMware vCloud Director Protocol, IBM Tivoli Endpoint Manager SOAP, Интеграция со сканерами уязвимостей – Automated Vulnerability Detection System (AVDS), eEye REM, eEye Retina CS, Axis, IBM Infosphere Guardium, SiteProtector, Security AppScan, Tivoli Endpoint Manager, McAfee Foundstone, Vulnerability Manager, nCircle ip360, Nessus, netVigilance SecureScout, NMap, Qualys QualysGuard, Rapid7 NeXpose, Saint Corporation SAINT, Tenable SecurityCenter, Microsoft SCCM Scanner, Juniper Profiler NSM Scanner, Positive Technologies MaxPatrol Copyright © 2015 Juniper Networks, Inc.
  7. 7. Преимущества JSA NG SIEM Категория Доверие Значимость SIEM первого поколения: Правила & Сопоставление Статисти- ческая корреляция Корреляция на основе правил Журналы пользова- телей Подозрительные инциденты Хосты & серверы Системы безопасности Активы Пассивный мониторинг Активный мониторинг уязвимостей Профиль атакующего IP по расположению Внешние угрозы Сетевая активность Активность VM Активность пользователей Активность приложений Поведение сети Поведение приложений История актива SIEM следующего поколения: Поведение & Контекст Copyright © 2015 Juniper Networks, Inc.
  8. 8. Сбор логов Внутри системы отображаются как «События» – Сообщения от различных источников – Как правило это Syslog сообщения Device Support Module (DSM) – Выполняют «разбор» поступивших сообщений – Конвертируют в стандартный формат JSA – Исходное сообщение также сохраняется После категоризации, данные анализируются и сохраняются Copyright © 2015 Juniper Networks, Inc.
  9. 9. Сбор данных о сетевой активности Потоки – Netflow, Jflow, sFlow и т.д. – Захват пакетов – Обновляет профайлы активов – Обнаруживает нарушение политик безопасности – Внутри системы отображаются как «Сетевые события» Потоки являются записями – Коллектор поддерживает захват пакетов реального трафика – Коллектор получает сообщения о потоках от устройств (коммутаторы и т.п.) – Записи обрабатываются и конвертируются в «Сетевые события» Copyright © 2015 Juniper Networks, Inc.
  10. 10. Активы Профайлы активов – JSA создает профайл каждой системы в сети – Получение данных для профиля путем пассивного анализа трафика (пакеты, данные xFlow) – Получение данных для профиля путем активного сканирования узлов сканерами уязвимостей – Отображение детального информации о сетевой узле (адреса, порты, уязвимости и прочее) – Привязывает активность пользователей к активам Copyright © 2015 Juniper Networks, Inc.
  11. 11. Поиск уязвимостей (VA) Интеграция со сканерами узлов и уязвимостей – Сканирование по расписанию и сбор информации об узлах сети и найденных уязвимостях – Собранные данные обновляют профайлы активов списком найденных уязвимостей – Правила корреляции сопоставляют информацию с данными от IDP & IPS Copyright © 2015 Juniper Networks, Inc.
  12. 12. Информация об учетной записи Что является «информацией об учетной записи»? – Информация о хосте или пользователей, полученная из журналов (логов) – Используется для идентификации нарушителей в случае инцидента – Информация содержится и обновляется в профайле актива Copyright © 2015 Juniper Networks, Inc.
  13. 13. Отчетность Отчеты – Тысячи шаблонов отчетов «из коробки» – Полностью настраиваемые отчеты: создание, стили, время, данные – Выполнение однократное или по расписанию: ежедневно, еженедельно и т.д. – Шаблоны отчетов на соответствие стандартам PCI, SOX, FISMA, GLBA & HIPAA – Отчеты на основе структур управления: NIST, ISO & CoBIT – Экспорт в PDF, HTML, RTF, XML, Excel XLS – Отчеты можно открывать из консоли и отправлять по эл.почте Copyright © 2015 Juniper Networks, Inc.
  14. 14. Правила корреляции – Более 150 правил «из коробки» – Широкие возможности по созданию собственных правил Copyright © 2015 Juniper Networks, Inc.
  15. 15. Правила корреляции Правила детектирования аномалий – Аномалии (детектирование нетипичной активности) – Пороговые (проверяет нахождение значения в заданных пределах) – Поведенческие (тестирует изменение объемов событий и трафика) Пользовательские правила – Параметров События – Параметров Flow – Общее – Параметров Нарушения (Offence) Строительные блоки (Building Blocks) – Правила, которые используются как переменные в других правилах, не генерируют никакой реакции Copyright © 2015 Juniper Networks, Inc.
  16. 16. Правила корреляции Реакции JSA в случае срабатывания правила – Создать Нарушение – Отправить письмо по электронной почте – Отправить SNMP Trap* – Отправить сообщение Syslog – Отправить событие во внешнюю систему – Опубликовать на внешнем IF-MAP сервере* – Создать системное уведомление с отображением на Главной панели – Добавить данные в Набор Данных – Добавить данные в Коллекцию Данных – Изменения значений Severity, Credibility, Relevance – Изменение категории события – Изменение подкатегории события *-доступны если сделаны соответствующие системные настройки Copyright © 2015 Juniper Networks, Inc.
  17. 17. Автоматизация Автоматизация – Работает из коробки: более 150 правил, 900+ распознаваемых приложений – Источники сообщений обнаруживаются автоматически как только они начинают отправлять сообщения в адрес JSA – Тип источника сообщений (производитель, продукт, протокол) определяется автоматически – Если тип определить не удалось применяется общая схема DSM Обновления – JSA автоматически обновляет схемы DSM, добавляет новые DSM, обновляет и добавляет правила – В случае отсутствия прямого подключения к Интернету (или если это запрещено политикой безопасности) обновления могут производится с внутреннего сервера, который настраивается как AutoUpdate- сервер Copyright © 2015 Juniper Networks, Inc.
  18. 18. Приоритезация и удаление лишнего 24 часа сетевой активности 2.7МБ логов После корреляции источников данных отображается 129 инцидентов STRM Инцидент – история атаки или нарушения с полным контекстом о сопутствующих событиях в сети, информации об активах и пользователях Нарушения приоритезируются по степени воздействия на деловые процессы компании Copyright © 2015 Juniper Networks, Inc.
  19. 19. Пример: Детектирование сложных атак Звучит пугающе… Как узнать истинную причину? Ответ можно получить после пары кликов мышкой Переполнение буфера Попытка Эксплоита обнаружена Snort Сканирование узлов Обнаружено модулем QFlow Уязвимый узел Обнаружен сканером Nessus Интеллектуальность информационной безопасности Конвергенция данных о Сети, Событиях и Уязвимостях Copyright © 2015 Juniper Networks, Inc.
  20. 20. Пример: Мониторинг действий пользователей Неудачные попытки аутентификации Возможно, пользователь просто забыл свой пароль? Попытка подбора пароля (Brute Force) Множественные неудачные попытки входа из под нескольких учетных записей Получен доступ к узлу Последующее получение доступа к узлу Автоматически обнаружено JSA без какой- либо настройки со стороны администратора Copyright © 2015 Juniper Networks, Inc.
  21. 21. Пример: Кастомизация поиска Использование любого атрибута сообщений в правилах, отчетах – Выбираем интересующий тип сообщений
  22. 22. Пример: Кастомизация поиска Использование любого атрибута сообщений в правилах, отчетах – Извлекаем свойство (Extract Property)
  23. 23. Пример: Кастомизация поиска Использование любого атрибута сообщений в правилах, отчетах – Задаем имя для свойства – Задаем выражение поиска regexp – Проверяем, что в сообщении Syslog выражение regexp находит нужное значение – Сохраняем
  24. 24. Пример: Кастомизация поиска Использование любого атрибута сообщений в правилах, отчетах – Выполняем поиск в сообщениях Syslog с группировкой по сохраненному новому свойству
  25. 25. Пример: Интеграция с Juniper SecIntel Поддержка RESTful API позволяет интегрироваться с внешними системами – Подозрительная активность от хоста в недоверенной сети Copyright © 2015 Juniper Networks, Inc. JSA Juniper Firewall Недоверенная сеть Junos Space Security Director & Spotlight Connector Juniper IDS
  26. 26. Пример: Интеграция с Juniper SecIntel Поддержка RESTful API позволяет интегрироваться с внешними системами – IDS обнаруживает подозрительную активность и извещает JSA Copyright © 2015 Juniper Networks, Inc. JSA Juniper Firewall Недоверенная сеть Junos Space Security Director & Spotlight Connector Juniper IDS
  27. 27. Пример: Интеграция с Juniper SecIntel Поддержка RESTful API позволяет интегрироваться с внешними системами – JSA извлекает данные о Source IP и передает в Junos Space Spotlight Connector Copyright © 2015 Juniper Networks, Inc. JSA Juniper Firewall Недоверенная сеть Junos Space Security Director & Spotlight Connector Juniper IDS
  28. 28. Пример: Интеграция с Juniper SecIntel Поддержка RESTful API позволяет интегрироваться с внешними системами – Junos Space Spotlight Connector извещает межсетевые экраны об адресе, который необходимо заблокировать Copyright © 2015 Juniper Networks, Inc. JSA Juniper Firewall Недоверенная сеть Junos Space Security Director & Spotlight Connector Juniper IDS
  29. 29. Варианты развертывания «Все-в-одном» JSA 5000 EP or FP EX Series Virtual Chassis Устройства SRX JSA3800 Flow Data и System Log System Log Copyright © 2015 Juniper Networks, Inc.  Одно устройство или виртуальная машина обеспечивают сбор логов и потоков  Весь функционал обеспечивается одним устройством или виртуальной машиной
  30. 30. Варианты развертывания Распределенное Copyright © 2015 Juniper Networks, Inc. JSA3800 Локальный EP/FP JSA VM Локальная обработка событий JSA VM Локальная обработка потоков Консоль JSA  Коллекторы событий и/или потоков размещаются в требуемых точках  Распределенный сбор информации разгружает каналы  Выделенная консоль получает агрегированную информацию от локальных коллекторов  Консоль обеспечивает единый интерфейс JSA  Данные между коллектором и консолью сжимаются. Происходит передача только мета-данных.  Коллектор продолжает сбор информации при потере связи с консолью  К консоли можно подключить 250 Event Processors  Поиск и Отчеты производятся на основе данных от всех коллекторов  Настраиваемые политики хранения позволяют хранить ценные данные (логи, потоки) дольше, чем стандартные
  31. 31. Все-в-одном Макс. Events Per Second (EPS) при распределенном развертывании Макс. Flows Per Minute (FPM) при распределенном развертывании Макс. комбо (EPS + FPM) при распределенном развертывании Как консоль при распределенном развертывании JSA виртуальная машина Combo: Max 1K EPS & 50K F/min Event: Max 1K EPS 20K 600K Нет Да JSA3800- BSE Combo: Max 2.5k EPS & 50k F/min Event: Max 5k EPS 5K 100k 2.5k EPS + 50k FP Нет JSA5800- BSE Combo: Max 5k EPS & 200k F/min Event: Max 10k EPS 20K 600K Нет Да JSA7500- BSE Нет 30K 1.2M Нет Да JSA Series Secure Analytics: производительность и масштабируемость Copyright © 2015 Juniper Networks, Inc.
  32. 32. Продукты серии JSA JSA3800 JSA5800 JSA7500 10,000 EPS 600,000 Малые и средние предприятия События: Потоки: 5000 EPS 100,000 30,000 EPS 1.2 Млн. JSA VM 1,000 EPS 50,000 20,000 EPS 600,000 JSA EC JSA FC JSA5800 JSA EC JSA FC Большие предприятия и провайдеры 20,000 EPS 600,000 JSA VM JSA VM EC JSA VM FC Copyright © 2015 Juniper Networks, Inc.
  33. 33. Высокая доступность – Возможность резервирования каждого устройства JSA (консоль, EP, FP) – Резервный узел синхронизирует базу данных Основного узла – Резервное устройство кластера осуществляет мониторинг Основного устройства и/или других узлов инсталляции Copyright © 2015 Juniper Networks, Inc. Juniper SRX Основной узел Резервный узел Консоль JSA VIP данные синхронизация
  34. 34. Высокая доступность Переключение на Резервный узел в случае: – Пропадания отклика от Основного узла – Основной узел теряет связность с другими сетевыми узлами о чем сообщает Резервному (Резервный узел проверяет связность и при ее наличии переключает VIP на себя) – Отказа интерфейса управления Основного узла – Отказа RAID-массива Основного узла – Отказа блока питания Основного узла Copyright © 2015 Juniper Networks, Inc. Основной узел Резервный узел Неуспешные Ping Успешные Ping 1 2 4 3 Запрос Ping Управляемый узел Управляемый узел Управляемый узел
  35. 35. Высокая доступность Варианты хранения данных: – Использование локального RAID – данные синхронизируются между Основным и Резервным узлами – Использование внешнего хранилища iSCSI или NFS Copyright © 2015 Juniper Networks, Inc. Juniper SRX Основной EP Резервный EP Консоль JSA VIP данные синхронизация iSCSI или NFS
  36. 36. Ключевые преимущества JSA Уменьшение стоимости владения OPEX – Централизованный сбор событий и данных о потоках – Работает «из коробки» – Поддержка «из коробки» большинства производителей Соответствие требованиям стандартов – Поставляется с предустановленными отчетами COBIT, FISMA, GLBA, GSX-Memo22, HIPAA, NERC, PCI и SOX. Визуализация – Поддержка графиков, панелей инструментов, отчетов для любого события – Сбор данных о потоках позволяет действовать проактивно Детектирование угроз – Модуль аналитики обнаруживает нарушения и аномалии – Встроенная поддержка GeoIP и источников данных о репутации Масштабируемость – До 7 000 000 EPS на одну консоль – Распределенный сбор данных о событиях и потоках Copyright © 2015 Juniper Networks, Inc.
  37. 37. СПАСИБО!

×