Обзор продукта Juniper Secure Analytics

Junos Secure Analytics
обзор решения NG SIEM
Апрель 2015
Павел Живов
Senior Systems Engineer
Copyright © 2015 Juniper Networks, Inc.

Проблемы при сборе статистики
Переизбыток IT-информации
• Количество событий
• Разнообразие событий
• Количество и разнообразие источников
событий
Анализ данных
• Категоризация событий
• Поиск по событиям и их подробности
• Детектирование аномалий

Решение: Анализ событий безопасности
«Вот все Ваши события.
Изучите их и сообщите если
найдете что-нибудь
подозрительное»
Обычный Log server Secure Analytics
«Из миллиона поступивших
сообщений, в первую очередь стоит
уделить внимание этому»

Обычный Log Server и JSA
Log Server Secure Analytics (JSA)
Устройство
безопасности
Webserver
• Веб-сервер уязвим
• Веб-сервер прислал сообщение о сбое
• Подозрительный трафик от Веб-сервера
• Атака с IP-адреса с плохой репутацией
• Атака из подозрительный страны
• События получены от других устройств
• …
«APACHE-STRUTS-URI-CMDEXE»
Устройство
«APACHE-STRUTS-URI-CMDEXE»

Функциональная архитектура
OS
Коммутаторы
Маршрутизаторы
Сканеры
уязвимостей
Устройства
IPS/IDP Межсетевые
экраны
Приложения
КОНТЕКСТ СЕТИ, АКТИВА
и УЧЕТНОЙ ЗАПИСИ
КАТЕГОРИИ
НОРМАЛИЗАЦИЯ & КАТЕГОРИЗАЦИЯ
СОБЫТИЯ, ЛОГИ и FLOW
Шаблоны
соответствия
Отчетность
Поиск для
расследования
НАРУШЕНИЯ

Что JSA умеет собирать:
Сетевые события
– NetFlow v.5/8/9, IPFIX, Jflow, sFlow, Packeteer, Cisco Network Security Event Logging (NSEL), PCAP Syslog
Combination, непосредственный захват пакетов (PCAP)
Журналы безопасности:
– Syslog, WELF (WebTrends Enhanced Log file Format) Syslog, Log Extended Event Format (LEEF),
OPSEC/LEA, Security Device Event Exchange (SDEE), SNMPv2/3, Sourcefire Defense Center Estreamer,
Microsoft Security Event Log, TLS Syslog, Juniper Security Binary Log Collector Protocol, UDP Multiline Syslog,
TCP Multiline Syslog
Журналы ОС, хостов и приложений
– Java Database Connectivity (JDBC), SiteProtector protocol (IBM Proventia), Sophos Enterprise Console JDBC,
Juniper Networks NSM, Microsoft Windows Management Instrumentation (WMI), Microsoft DHCP protocol,
Microsoft Exchange Protocol, Microsoft IIS protocol, SMB Tail, EMC VMWare protocol, Oracle Database
Listener, VMware vCloud Director Protocol, IBM Tivoli Endpoint Manager SOAP,
Интеграция со сканерами уязвимостей
– Automated Vulnerability Detection System (AVDS), eEye REM, eEye Retina CS, Axis, IBM Infosphere Guardium,
SiteProtector, Security AppScan, Tivoli Endpoint Manager, McAfee Foundstone, Vulnerability Manager, nCircle
ip360, Nessus, netVigilance SecureScout, NMap, Qualys QualysGuard, Rapid7 NeXpose, Saint Corporation
SAINT, Tenable SecurityCenter, Microsoft SCCM Scanner, Juniper Profiler NSM Scanner, Positive Technologies
MaxPatrol Copyright © 2015 Juniper Networks, Inc.

Преимущества JSA NG SIEM
Категория
Доверие
Значимость
SIEM первого поколения: Правила & Сопоставление
Статисти-
ческая
корреляция
Корреляция
на основе
правил
Журналы
пользова-
телей
Подозрительные
инциденты
Хосты &
серверы
Системы
Активы
Пассивный
мониторинг
Активный
мониторинг
уязвимостей
Профиль
атакующего
IP по
расположению
Внешние
угрозы
Сетевая
активность
Активность
VM
пользователей
приложений
Поведение
сети
Поведение
приложений
История
актива
SIEM следующего поколения: Поведение & Контекст

Сбор логов
Внутри системы отображаются как «События»
– Сообщения от различных источников
– Как правило это Syslog сообщения
Device Support Module (DSM)
– Выполняют «разбор» поступивших сообщений
– Конвертируют в стандартный формат JSA
– Исходное сообщение также сохраняется
После категоризации, данные анализируются и сохраняются

Сбор данных о сетевой активности
Потоки
– Netflow, Jflow, sFlow и т.д.
– Захват пакетов
– Обновляет профайлы активов
– Обнаруживает нарушение политик безопасности
– Внутри системы отображаются как «Сетевые события»
Потоки являются записями
– Коллектор поддерживает захват пакетов реального трафика
– Коллектор получает сообщения о потоках от устройств (коммутаторы и т.п.)
– Записи обрабатываются и конвертируются в «Сетевые события»

Активы
Профайлы активов
– JSA создает профайл каждой системы в сети
– Получение данных для профиля путем пассивного анализа трафика (пакеты, данные xFlow)
– Получение данных для профиля путем активного сканирования узлов сканерами уязвимостей
– Отображение детального информации о сетевой узле (адреса, порты, уязвимости и прочее)
– Привязывает активность пользователей к активам

Поиск уязвимостей (VA)
Интеграция со сканерами узлов и уязвимостей
– Сканирование по расписанию и сбор информации об узлах сети и найденных
уязвимостях
– Собранные данные обновляют профайлы активов списком найденных уязвимостей
– Правила корреляции сопоставляют информацию с данными от IDP & IPS

Информация об учетной записи
Что является «информацией об учетной записи»?
– Информация о хосте или пользователей, полученная из журналов (логов)
– Используется для идентификации нарушителей в случае инцидента
– Информация содержится и обновляется в профайле актива

Отчетность
Отчеты
– Тысячи шаблонов отчетов «из коробки»
– Полностью настраиваемые отчеты:
создание, стили, время, данные
– Выполнение однократное или по
расписанию: ежедневно, еженедельно и
т.д.
– Шаблоны отчетов на соответствие
стандартам PCI, SOX, FISMA, GLBA &
HIPAA
– Отчеты на основе структур управления:
NIST, ISO & CoBIT
– Экспорт в PDF, HTML, RTF, XML,
Excel XLS
– Отчеты можно открывать из консоли и
отправлять по эл.почте

Правила корреляции
– Более 150 правил «из коробки»
– Широкие возможности по созданию собственных правил

Правила детектирования аномалий
– Аномалии (детектирование нетипичной
активности)
– Пороговые
(проверяет нахождение значения в заданных пределах)
– Поведенческие
(тестирует изменение объемов событий и трафика)
Пользовательские правила
– Параметров События
– Параметров Flow
– Общее
– Параметров Нарушения (Offence)
Строительные блоки (Building Blocks)
– Правила, которые используются как
переменные в других правилах,
не генерируют никакой реакции

Реакции JSA в случае срабатывания правила
– Создать Нарушение
– Отправить письмо по электронной почте
– Отправить SNMP Trap*
– Отправить сообщение Syslog
– Отправить событие во внешнюю систему
– Опубликовать на внешнем IF-MAP сервере*
– Создать системное уведомление с
отображением на Главной панели
– Добавить данные в Набор Данных
– Добавить данные в Коллекцию Данных
– Изменения значений Severity, Credibility,
Relevance
– Изменение категории события
– Изменение подкатегории события
*-доступны если сделаны соответствующие системные настройки Copyright © 2015 Juniper Networks, Inc.

Автоматизация
Автоматизация
– Работает из коробки: более 150 правил,
900+ распознаваемых приложений
– Источники сообщений обнаруживаются автоматически
как только они начинают отправлять сообщения в
адрес JSA
– Тип источника сообщений (производитель, продукт,
протокол) определяется автоматически
– Если тип определить не удалось применяется общая
схема DSM
Обновления
– JSA автоматически обновляет схемы DSM, добавляет
новые DSM, обновляет и добавляет правила
– В случае отсутствия прямого подключения к Интернету
(или если это запрещено политикой безопасности)
обновления могут производится с внутреннего
сервера, который настраивается как AutoUpdate-
сервер

Приоритезация и удаление лишнего
24 часа сетевой активности
2.7МБ логов
После корреляции источников данных
отображается 129 инцидентов
STRM
Инцидент – история атаки или
нарушения с полным контекстом о
сопутствующих событиях в сети,
информации об активах и
пользователях
Нарушения приоритезируются по степени
воздействия на деловые процессы
компании

Пример: Детектирование сложных атак
Звучит пугающе…
Как узнать истинную причину?
Ответ можно получить после
пары кликов мышкой
Переполнение буфера
Попытка Эксплоита обнаружена Snort
Сканирование узлов
Обнаружено модулем QFlow
Уязвимый узел
Обнаружен сканером Nessus
Интеллектуальность информационной безопасности
Конвергенция данных о Сети, Событиях и Уязвимостях

Пример: Мониторинг действий пользователей
Неудачные попытки аутентификации
Возможно, пользователь просто забыл
свой пароль?
Попытка подбора пароля (Brute Force)
Множественные неудачные попытки входа
из под нескольких учетных записей
Получен доступ к узлу
Последующее получение доступа к узлу
Автоматически обнаружено JSA без какой-
либо настройки со стороны администратора

Пример: Кастомизация поиска
Использование любого атрибута сообщений в правилах, отчетах
– Выбираем интересующий тип сообщений

Пример:
Кастомизация поиска
Использование любого атрибута
сообщений в правилах, отчетах
– Извлекаем свойство (Extract Property)

Пример:
Кастомизация поиска
Использование любого атрибута сообщений
в правилах, отчетах
– Задаем имя для свойства
– Задаем выражение поиска regexp
– Проверяем, что в сообщении Syslog
выражение regexp находит нужное значение
– Сохраняем

Пример: Кастомизация поиска
Использование любого атрибута сообщений в правилах, отчетах
– Выполняем поиск в сообщениях Syslog с группировкой по сохраненному новому свойству

Пример: Интеграция с Juniper SecIntel
Поддержка RESTful API позволяет интегрироваться с внешними системами
– Подозрительная активность от хоста в недоверенной сети
JSA
Juniper
Firewall
Недоверенная
сеть
Junos Space
Security Director & Spotlight Connector
Juniper IDS

– IDS обнаруживает подозрительную активность и извещает JSA
JSA
Juniper
Firewall
сеть
Junos Space
Juniper IDS

– JSA извлекает данные о Source IP и передает в Junos Space Spotlight Connector
JSA
Juniper
Firewall
сеть
Junos Space
Juniper IDS

– Junos Space Spotlight Connector извещает межсетевые экраны об адресе, который необходимо
заблокировать
JSA
Juniper
Firewall
сеть
Junos Space
Juniper IDS

Варианты развертывания
«Все-в-одном»
JSA 5000 EP or FP
EX Series Virtual Chassis
Устройства SRX
JSA3800
Flow Data и System Log
System Log
 Одно устройство или виртуальная
машина обеспечивают сбор логов и
потоков
 Весь функционал обеспечивается одним
устройством или виртуальной машиной

Варианты развертывания
Распределенное
JSA3800
Локальный EP/FP
JSA VM
Локальная
обработка событий
JSA VM
Локальная
обработка потоков
Консоль JSA
 Коллекторы событий и/или потоков
размещаются в требуемых точках
 Распределенный сбор информации
разгружает каналы
 Выделенная консоль получает
агрегированную информацию от
локальных коллекторов
 Консоль обеспечивает единый интерфейс
JSA
 Данные между коллектором и консолью
сжимаются. Происходит передача только
мета-данных.
 Коллектор продолжает сбор информации
при потере связи с консолью
 К консоли можно подключить
250 Event Processors
 Поиск и Отчеты производятся на основе
данных от всех коллекторов
 Настраиваемые политики хранения
позволяют хранить ценные данные (логи,
потоки) дольше, чем стандартные

Все-в-одном
Макс. Events Per
Second (EPS) при
распределенном
развертывании
Макс. Flows Per
Minute (FPM)
при
Макс. комбо (EPS
+ FPM) при
Как консоль при
JSA
виртуальная
машина
Combo: Max 1K EPS &
50K F/min
Event: Max 1K EPS 20K 600K Нет Да
JSA3800-
BSE
Combo: Max 2.5k EPS &
50k F/min
Event: Max 5k EPS 5K 100k
2.5k EPS + 50k
FP Нет
JSA5800-
BSE
Combo: Max 5k EPS &
200k F/min
Event: Max 10k EPS 20K 600K Нет Да
JSA7500-
BSE Нет 30K 1.2M Нет Да
JSA Series Secure Analytics:
производительность и масштабируемость

Продукты серии JSA
JSA3800
JSA5800
JSA7500
10,000 EPS
600,000
Малые и
средние
предприятия
События:
Потоки:
5000 EPS
100,000
30,000 EPS
1.2 Млн.
JSA VM
1,000 EPS
50,000
20,000 EPS
600,000
JSA EC JSA FC
JSA5800
JSA EC
JSA FC
Большие
предприятия
и
провайдеры
20,000 EPS
600,000
JSA VM
JSA VM EC
JSA VM FC

Высокая доступность
– Возможность резервирования каждого устройства JSA (консоль,
EP, FP)
– Резервный узел синхронизирует базу данных Основного узла
– Резервное устройство кластера осуществляет мониторинг
Основного устройства и/или других узлов инсталляции
Juniper SRX
Основной узел
Резервный узел
Консоль JSA
VIP
данные
синхронизация

Переключение на Резервный узел в случае:
– Пропадания отклика от Основного узла
– Основной узел теряет связность с другими сетевыми узлами о чем сообщает
Резервному (Резервный узел проверяет связность и при ее наличии
переключает VIP на себя)
– Отказа интерфейса управления Основного узла
– Отказа RAID-массива Основного узла
– Отказа блока питания Основного узла
Основной узел Резервный узел
Неуспешные
Ping
Успешные
Ping
1 2
4
3
Запрос Ping
Управляемый
узел
узел
узел

Варианты хранения данных:
– Использование локального RAID – данные синхронизируются
между Основным и Резервным узлами
– Использование внешнего хранилища iSCSI или NFS
Juniper SRX
Основной EP
Резервный EP
Консоль JSA
VIP
данные
синхронизация
iSCSI или NFS

Ключевые преимущества JSA
Уменьшение стоимости владения OPEX
– Централизованный сбор событий и данных о потоках
– Работает «из коробки»
– Поддержка «из коробки» большинства производителей
Соответствие требованиям стандартов
– Поставляется с предустановленными отчетами COBIT, FISMA, GLBA,
GSX-Memo22, HIPAA, NERC, PCI и SOX.
Визуализация
– Поддержка графиков, панелей инструментов, отчетов для любого события
– Сбор данных о потоках позволяет действовать проактивно
Детектирование угроз
– Модуль аналитики обнаруживает нарушения и аномалии
– Встроенная поддержка GeoIP и источников данных о репутации
Масштабируемость
– До 7 000 000 EPS на одну консоль
– Распределенный сбор данных о событиях и потоках

Обзор продукта Juniper Secure Analytics

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (17)

Similar a Обзор продукта Juniper Secure Analytics

Similar a Обзор продукта Juniper Secure Analytics (20)

Más de TERMILAB. Интернет - лаборатория

Más de TERMILAB. Интернет - лаборатория (17)

Обзор продукта Juniper Secure Analytics