ProHoster > Blogs > Administrācija > TÄ«kla droŔības lÄ«meņa paaugstināŔana, izmantojot mākoņa analizatoru

TÄ«kla droŔības lÄ«meņa paaugstināŔana, izmantojot mākoņa analizatoru

TÄ«kla droŔības lÄ«meņa paaugstināŔana, izmantojot mākoņa analizatoru
NepieredzējuÅ”u cilvēku prātos droŔības administratora darbs izskatās kā aizraujoÅ”s duelis starp antihakeru un ļaunajiem hakeriem, kuri nemitÄ«gi iebrÅ«k korporatÄ«vajā tÄ«klā. Un mÅ«su varonis reāllaikā atvaira pārdroÅ”us uzbrukumus, veikli un ātri ievadot komandas, un galu galā kļūst par izcilu uzvarētāju.
Gluži kā karaliskam musketierim ar klaviatūru zobena un musketes vietā.

Bet patiesībā viss izskatās parasts, nepretenciozs un pat, varētu teikt, garlaicīgs.

Viena no galvenajām analÄ«zes metodēm joprojām ir notikumu žurnālu lasÄ«Å”ana. RÅ«pÄ«ga izpēte par Å”o tēmu:

  • kurÅ” no kurienes mēģināja ievadÄ«t, kādam resursam mēģināja piekļūt, kā pierādÄ«ja savas tiesÄ«bas piekļūt resursam;
  • kādas tur bija neveiksmes, kļūdas un vienkārÅ”i aizdomÄ«gas sakritÄ«bas;
  • kurÅ” un kā pārbaudÄ«ja sistēmas izturÄ«bu, skenēja portus, izvēlējās paroles;
  • Un tā tālāk un tā tālākā€¦

Nu kas, pie velna, te ir romantika, nedod Dievs ā€œbraucot neaizmigtā€.

Lai mÅ«su speciālisti pilnÄ«bā nezaudētu mÄ«lestÄ«bu pret mākslu, viņiem tiek izdomāti instrumenti, kas atvieglo dzÄ«vi. Tie ir visa veida analizatori (log parseri), uzraudzÄ«bas sistēmas ar kritisku notikumu paziņoÅ”anu un daudz kas cits.

Tomēr, ja paņemat labu instrumentu un sākat to manuāli pieskrÅ«vēt katrai ierÄ«cei, piemēram, interneta vārtejai, tas nebÅ«s tik vienkārÅ”i, ne tik ērti, un, cita starpā, jums ir jābÅ«t papildu zināŔanām no pilnÄ«gi dažādām ierÄ«cēm. apgabali. Piemēram, kur ievietot programmatÅ«ru Ŕādai uzraudzÄ«bai? Fiziskā serverÄ«, virtuālajā maŔīnā, Ä«paŔā ierÄ«cē? Kādā formā dati ir jāuzglabā? Ja tiek izmantota datu bāze, kura? Kā veikt dublējumus un vai man tas ir jādara? Kā pārvaldÄ«t? Kuru interfeisu man vajadzētu izmantot? Kā aizsargāt sistēmu? Kuru Å”ifrÄ“Å”anas metodi izmantot ā€” un daudz ko citu.

Daudz vienkārŔāk ir tad, ja ir noteikts vienots mehānisms, kas uzņemas visu uzskaitÄ«to jautājumu risināŔanu, administratoram liekot strādāt strikti savas specifikas ietvaros.

Saskaņā ar iedibināto tradÄ«ciju jēdzienu ā€œmākonisā€ saukt par visu, kas neatrodas konkrētajā resursdatorā, mākoņpakalpojums Zyxel CNM SecuReporter ļauj ne tikai atrisināt daudzas problēmas, bet arÄ« nodroÅ”ina ērtus rÄ«kus.

Kas ir Zyxel CNM SecuReporter?

Å is ir inteliÄ£ents analÄ«tikas pakalpojums ar datu vākÅ”anas, statistiskās analÄ«zes (korelācijas) un ziņoÅ”anas funkcijām ZyWALL lÄ«nijas un viņu Zyxel aprÄ«kojumam. Tas nodroÅ”ina tÄ«kla administratoram centralizētu skatÄ«jumu uz dažādām darbÄ«bām tÄ«klā.
Piemēram, uzbrucēji var mēģināt ielauzties droŔības sistēmā, izmantojot tādus uzbrukuma mehānismus kā zaglÄ«gs, mērÄ·tiecÄ«gs Šø saglabājas. SecuReporter atklāj aizdomÄ«gu uzvedÄ«bu, kas ļauj administratoram veikt nepiecieÅ”amos aizsardzÄ«bas pasākumus, konfigurējot ZyWALL.

Protams, droŔības nodroÅ”ināŔana nav iedomājama bez pastāvÄ«gas datu analÄ«zes ar brÄ«dinājumiem reāllaikā. JÅ«s varat zÄ«mēt skaistus grafikus, cik vēlaties, bet, ja administrators nezina, kas notiek... Nē, tas noteikti nevar notikt ar SecuReporter!

Daži jautājumi par SecuReporter lietoŔanu

Analytics

Faktiski notiekoŔā analÄ«ze ir informācijas droŔības veidoÅ”anas pamatā. Analizējot notikumus, droŔības speciālists var savlaicÄ«gi novērst vai apturēt uzbrukumu, kā arÄ« iegÅ«t detalizētu informāciju rekonstrukcijai, lai savāktu pierādÄ«jumus.

Ko sniedz ā€œmākoņu arhitektÅ«raā€?

Å is pakalpojums ir balstÄ«ts uz programmatÅ«ras kā pakalpojuma (SaaS) modeli, kas atvieglo mērogoÅ”anu, izmantojot attālo serveru, sadalÄ«to datu glabāŔanas sistēmu u.c. jaudu. Mākoņu modeļa izmantoÅ”ana ļauj abstrahēties no aparatÅ«ras un programmatÅ«ras niansēm, visus spēkus veltot aizsardzÄ«bas servisa izveidei un uzlaboÅ”anai.
Tas ļauj lietotājam ievērojami samazināt izmaksas, iegādājoties aprÄ«kojumu glabāŔanai, analÄ«zei un piekļuves nodroÅ”ināŔanai, un nav jārisina uzturÄ“Å”anas jautājumi, piemēram, dublÄ“Å”ana, atjauninājumi, kļūmju novērÅ”ana utt. Pietiek ar ierÄ«ci, kas atbalsta SecuReporter, un atbilstoÅ”u licenci.

SVARÄŖGI! Izmantojot mākoņa arhitektÅ«ras arhitektÅ«ru, droŔības administratori var aktÄ«vi uzraudzÄ«t tÄ«kla stāvokli jebkurā laikā un vietā. Tas atrisina problēmu, tostarp ar atvaļinājumiem, slimÄ«bas atvaļinājumu utt. Piekļuve aprÄ«kojumam, piemēram, klēpjdatora zādzÄ«ba, no kura tika piekļūts SecuReporter tÄ«mekļa interfeisam, arÄ« neko nedos, ja tā Ä«paÅ”nieks nepārkāps droŔības noteikumus, neuzglabāja paroles lokāli utt.

Mākoņu pārvaldÄ«bas iespēja ir labi piemērota gan monouzņēmumiem, kas atrodas vienā pilsētā, gan struktÅ«rām ar filiālēm. Šāda atraÅ”anās vietas neatkarÄ«ba ir nepiecieÅ”ama dažādās nozarēs, piemēram, pakalpojumu sniedzējiem vai programmatÅ«ras izstrādātājiem, kuru bizness ir sadalÄ«ts dažādās pilsētās.

Mēs daudz runājam par analīzes iespējām, bet ko tas nozīmē?

Tie ir dažādi analītikas rīki, piemēram, notikumu biežuma kopsavilkumi, 100 populārāko (īsto un iespējamo) konkrēta notikuma upuru saraksti, žurnāli, kas norāda konkrētus uzbrukuma mērķus un tā tālāk. Jebkas, kas palīdz administratoram noteikt slēptās tendences un identificēt aizdomīgu lietotāju vai pakalpojumu uzvedību.

Kā ar ziņoÅ”anu?

SecuReporter ļauj pielāgot atskaites formu un pēc tam saņemt rezultātu PDF formātā. Protams, ja vēlaties, pārskatā varat iegult savu logotipu, pārskata nosaukumu, atsauces vai ieteikumus. Atskaites var izveidot pieprasījuma brīdī vai pēc grafika, piemēram, reizi dienā, nedēļā vai mēnesī.

Varat konfigurēt brÄ«dinājumu izdoÅ”anu, ņemot vērā trafika specifiku tÄ«kla infrastruktÅ«rā.

Vai ir iespējams samazināt briesmas, ko rada iekŔējie vai vienkārÅ”i slaisti?

ÄŖpaÅ”ais User Partially Quotient rÄ«ks ļauj administratoram ātri identificēt riskantos lietotājus, bez papildu piepÅ«les un ņemot vērā atkarÄ«bu starp dažādiem tÄ«kla žurnāliem vai notikumiem.

Tas nozÄ«mē, ka tiek veikta visu notikumu un trafika padziļināta analÄ«ze, kas ir saistÄ«ta ar lietotājiem, kuri izrādÄ«juÅ”ies aizdomÄ«gi.

Kādi citi punkti ir raksturīgi SecuReporter?

VienkārŔa iestatīŔana gala lietotājiem (droŔības administratoriem).

SecuReporter aktivizÄ“Å”ana mākonÄ« notiek, izmantojot vienkārÅ”u iestatÄ«Å”anas procedÅ«ru. Pēc tam administratoriem nekavējoties tiek pieŔķirta piekļuve visiem datiem, analÄ«zes un ziņoÅ”anas rÄ«kiem.

Vairāki nomnieki vienā mākoņa platformā ā€” varat pielāgot savu analÄ«zi katram klientam. Atkal, pieaugot jÅ«su klientu lokam, mākoņa arhitektÅ«ra ļauj viegli pielāgot vadÄ«bas sistēmu, nezaudējot efektivitāti.

Datu aizsardzības likumi

SVARÄŖGS! Zyxel ir ļoti jutÄ«gs pret starptautiskajiem un vietējiem likumiem un citiem noteikumiem par personas datu aizsardzÄ«bu, tostarp GDPR un ESAO privātuma principiem. AtbalstÄ«ts ar federālo likumu ā€œPar personas datiemā€ 27.07.2006. gada 152. jÅ«lijā Nr. XNUMX-FZ.

Lai nodroÅ”inātu atbilstÄ«bu, SecuReporter ir trÄ«s iebÅ«vētas privātuma aizsardzÄ«bas iespējas:

  • neanonÄ«mi dati ā€“ personas dati ir pilnÄ«bā identificēti analizatorā, atskaitēs un lejupielādējamos arhÄ«vu žurnālos;
  • daļēji anonÄ«mi - personas dati tiek aizstāti ar to mākslÄ«gajiem identifikatoriem arhÄ«va žurnālos;
  • pilnÄ«gi anonÄ«mi ā€” personas dati ir pilnÄ«bā anonimizēti analizatorā, ziņojumos un lejupielādējamos arhÄ«vu žurnālos.

Kā savā ierīcē iespējot SecuReporter?

ApskatÄ«sim ZyWall ierÄ«ces piemēru (Å”ajā gadÄ«jumā mums ir ZyWall 1100). Dodieties uz iestatÄ«jumu sadaļu (cilne labajā pusē ar ikonu divu pārnesumu formā). Pēc tam atveriet sadaļu Cloud CNM un atlasiet tajā apakÅ”sadaļu SecuReporter.

Lai atļautu izmantot pakalpojumu, ir jāaktivizē elements Enable SecuReporter. Turklāt ir vērts izmantot opciju Iekļaut satiksmes žurnālu, lai apkopotu un analizētu satiksmes žurnālus.

TÄ«kla droŔības lÄ«meņa paaugstināŔana, izmantojot mākoņa analizatoru
1. attēls. SecuReporter iespējoÅ”ana.

Otrais solis ir statistikas vākÅ”anas atļauja. Tas tiek darÄ«ts sadaļā Monitorings (cilne labajā pusē ar ikonu monitora formā).

Pēc tam dodieties uz sadaļu UTM statistika, apakÅ”sadaļu App Patrol. Å eit jums jāaktivizē opcija Apkopot statistiku.

TÄ«kla droŔības lÄ«meņa paaugstināŔana, izmantojot mākoņa analizatoru
2. attēls. Statistikas vākÅ”anas iespējoÅ”ana.

Tas ir viss, varat izveidot savienojumu ar SecuReporter tīmekļa saskarni un izmantot mākoņpakalpojumu.

SVARÄŖGI! SecuReporter ir lieliska dokumentācija PDF formātā. JÅ«s varat to lejupielādēt no uz Å”o adresi.

SecuReporter tīmekļa saskarnes apraksts
Å eit nebÅ«s iespējams sniegt detalizētu aprakstu par visām funkcijām, kuras SecuReporter nodroÅ”ina droŔības administratoram - vienam rakstam to ir diezgan daudz.

Tāpēc mēs aprobežosimies ar Ä«su aprakstu par pakalpojumiem, kurus administrators redz un ar ko viņŔ pastāvÄ«gi strādā. Tātad, uzziniet, no kā sastāv SecuReporter tÄ«mekļa konsole.

Karte

Å ajā sadaļā tiek parādÄ«ts reÄ£istrētais aprÄ«kojums, norādot pilsētu, ierÄ«ces nosaukumu un IP adresi. Parāda informāciju par to, vai ierÄ«ce ir ieslēgta un kāds ir brÄ«dinājuma statuss. Draudu kartē varat redzēt uzbrucēju izmantoto pakeÅ”u avotu un uzbrukumu biežumu.

Mans Profils

ÄŖsa informācija par galvenajām darbÄ«bām un Ä«ss analÄ«tisks pārskats par norādÄ«to periodu. Varat norādÄ«t periodu no 7 dienām lÄ«dz 1 stundai.

TÄ«kla droŔības lÄ«meņa paaugstināŔana, izmantojot mākoņa analizatoru
3. attēls. Informācijas paneļa sadaļas izskata piemērs.

Analizators

Nosaukums runā pats par sevi. Å Ä« ir tāda paÅ”a nosaukuma rÄ«ka konsole, kas noteiktā laika posmā diagnosticē aizdomÄ«gu trafiku, identificē draudu raÅ”anās tendences un apkopo informāciju par aizdomÄ«gām paketēm. Analizators spēj izsekot visbiežāk sastopamajam kaitÄ«gajam kodam, kā arÄ« sniegt papildu informāciju par droŔības problēmām.

TÄ«kla droŔības lÄ«meņa paaugstināŔana, izmantojot mākoņa analizatoru
4. attēls. Analizatora sadaļas izskata piemērs.

Ziņot

Å ajā sadaļā lietotājs var piekļūt pielāgotiem pārskatiem ar grafisko interfeisu. NepiecieÅ”amo informāciju var savākt un apkopot ērtā prezentācijā uzreiz vai pēc grafika.

Brīdinājumi

Å eit jÅ«s konfigurējat brÄ«dinājuma sistēmu. Var konfigurēt sliekŔņus un dažādus smaguma lÄ«meņus, kas atvieglo anomāliju un iespējamo uzbrukumu identificÄ“Å”anu.

Iestatījums

Patiesībā iestatījumi ir iestatījumi.

Turklāt ir vērts atzīmēt, ka, apstrādājot personas datus, SecuReporter var atbalstīt dažādas aizsardzības politikas.

Secinājums

Vietējās metodes ar droŔību saistÄ«tās statistikas analÄ«zei principā ir sevi pierādÄ«juÅ”as diezgan labi.

Tomēr draudu klāsts un smagums ar katru dienu palielinās. AizsardzÄ«bas lÄ«menis, kas iepriekÅ” apmierināja visus, pēc kāda laika kļūst diezgan vājÅ”.

Papildus uzskaitÄ«tajām problēmām vietējo rÄ«ku izmantoÅ”ana prasa zināmas pÅ«les, lai uzturētu funkcionalitāti (iekārtu apkope, dublÄ“Å”ana utt.). Ir arÄ« attālinātās atraÅ”anās vietas problēma - ne vienmēr ir iespējams noturēt droŔības administratoru birojā 24 stundas, 7 dienas nedēļā. Tāpēc jums ir kaut kā jāorganizē droÅ”a piekļuve vietējai sistēmai no ārpuses un jāuztur paÅ”am.

Mākoņpakalpojumu izmantoÅ”ana ļauj izvairÄ«ties no Ŕādām problēmām, Ä«paÅ”i koncentrējoties uz nepiecieÅ”amā droŔības lÄ«meņa uzturÄ“Å”anu un aizsardzÄ«bu pret ielauÅ”anos, kā arÄ« lietotāju noteikumu pārkāpumiem.

SecuReporter ir tikai piemērs veiksmÄ«gai Ŕāda pakalpojuma ievieÅ”anai.

Darbība

No Å”odienas Zyxel un mÅ«su zelta partneris X-Com ir kopÄ«ga akcija, kas paredzēta tādu ugunsmÅ«ru pircējiem, kuri atbalsta Secureporter:

TÄ«kla droŔības lÄ«meņa paaugstināŔana, izmantojot mākoņa analizatoru

Noderīgas saites

[1] Atbalstītās ierīces.
[2] SecuReporter apraksts oficiālajā Zyxel tīmekļa vietnē.
[3] SecuReporter dokumentācija.

Avots: www.habr.com

Pievieno komentāru