NepieredzÄjuÅ”u cilvÄku prÄtos droŔības administratora darbs izskatÄs kÄ aizraujoÅ”s duelis starp antihakeru un ļaunajiem hakeriem, kuri nemitÄ«gi iebrÅ«k korporatÄ«vajÄ tÄ«klÄ. Un mÅ«su varonis reÄllaikÄ atvaira pÄrdroÅ”us uzbrukumus, veikli un Ätri ievadot komandas, un galu galÄ kļūst par izcilu uzvarÄtÄju.
Gluži kÄ karaliskam musketierim ar klaviatÅ«ru zobena un musketes vietÄ.
Bet patiesÄ«bÄ viss izskatÄs parasts, nepretenciozs un pat, varÄtu teikt, garlaicÄ«gs.
Viena no galvenajÄm analÄ«zes metodÄm joprojÄm ir notikumu žurnÄlu lasÄ«Å”ana. RÅ«pÄ«ga izpÄte par Å”o tÄmu:
- kurÅ” no kurienes mÄÄ£inÄja ievadÄ«t, kÄdam resursam mÄÄ£inÄja piekļūt, kÄ pierÄdÄ«ja savas tiesÄ«bas piekļūt resursam;
- kÄdas tur bija neveiksmes, kļūdas un vienkÄrÅ”i aizdomÄ«gas sakritÄ«bas;
- kurÅ” un kÄ pÄrbaudÄ«ja sistÄmas izturÄ«bu, skenÄja portus, izvÄlÄjÄs paroles;
- Un tÄ tÄlÄk un tÄ tÄlÄkā¦
Nu kas, pie velna, te ir romantika, nedod Dievs ābraucot neaizmigtā.
Lai mÅ«su speciÄlisti pilnÄ«bÄ nezaudÄtu mÄ«lestÄ«bu pret mÄkslu, viÅiem tiek izdomÄti instrumenti, kas atvieglo dzÄ«vi. Tie ir visa veida analizatori (log parseri), uzraudzÄ«bas sistÄmas ar kritisku notikumu paziÅoÅ”anu un daudz kas cits.
TomÄr, ja paÅemat labu instrumentu un sÄkat to manuÄli pieskrÅ«vÄt katrai ierÄ«cei, piemÄram, interneta vÄrtejai, tas nebÅ«s tik vienkÄrÅ”i, ne tik Ärti, un, cita starpÄ, jums ir jÄbÅ«t papildu zinÄÅ”anÄm no pilnÄ«gi dažÄdÄm ierÄ«cÄm. apgabali. PiemÄram, kur ievietot programmatÅ«ru Å”Ädai uzraudzÄ«bai? FiziskÄ serverÄ«, virtuÄlajÄ maŔīnÄ, Ä«paÅ”Ä ierÄ«cÄ? KÄdÄ formÄ dati ir jÄuzglabÄ? Ja tiek izmantota datu bÄze, kura? KÄ veikt dublÄjumus un vai man tas ir jÄdara? KÄ pÄrvaldÄ«t? Kuru interfeisu man vajadzÄtu izmantot? KÄ aizsargÄt sistÄmu? Kuru Å”ifrÄÅ”anas metodi izmantot ā un daudz ko citu.
Daudz vienkÄrÅ”Äk ir tad, ja ir noteikts vienots mehÄnisms, kas uzÅemas visu uzskaitÄ«to jautÄjumu risinÄÅ”anu, administratoram liekot strÄdÄt strikti savas specifikas ietvaros.
SaskaÅÄ ar iedibinÄto tradÄ«ciju jÄdzienu āmÄkonisā saukt par visu, kas neatrodas konkrÄtajÄ resursdatorÄ, mÄkoÅpakalpojums Zyxel CNM SecuReporter ļauj ne tikai atrisinÄt daudzas problÄmas, bet arÄ« nodroÅ”ina Ärtus rÄ«kus.
Kas ir Zyxel CNM SecuReporter?
Å is ir inteliÄ£ents analÄ«tikas pakalpojums ar datu vÄkÅ”anas, statistiskÄs analÄ«zes (korelÄcijas) un ziÅoÅ”anas funkcijÄm ZyWALL lÄ«nijas un viÅu Zyxel aprÄ«kojumam. Tas nodroÅ”ina tÄ«kla administratoram centralizÄtu skatÄ«jumu uz dažÄdÄm darbÄ«bÄm tÄ«klÄ.
PiemÄram, uzbrucÄji var mÄÄ£inÄt ielauzties droŔības sistÄmÄ, izmantojot tÄdus uzbrukuma mehÄnismus kÄ zaglÄ«gs, mÄrÄ·tiecÄ«gs Šø saglabÄjas. SecuReporter atklÄj aizdomÄ«gu uzvedÄ«bu, kas ļauj administratoram veikt nepiecieÅ”amos aizsardzÄ«bas pasÄkumus, konfigurÄjot ZyWALL.
Protams, droŔības nodroÅ”inÄÅ”ana nav iedomÄjama bez pastÄvÄ«gas datu analÄ«zes ar brÄ«dinÄjumiem reÄllaikÄ. JÅ«s varat zÄ«mÄt skaistus grafikus, cik vÄlaties, bet, ja administrators nezina, kas notiek... NÄ, tas noteikti nevar notikt ar SecuReporter!
Daži jautÄjumi par SecuReporter lietoÅ”anu
Analytics
Faktiski notiekoÅ”Ä analÄ«ze ir informÄcijas droŔības veidoÅ”anas pamatÄ. AnalizÄjot notikumus, droŔības speciÄlists var savlaicÄ«gi novÄrst vai apturÄt uzbrukumu, kÄ arÄ« iegÅ«t detalizÄtu informÄciju rekonstrukcijai, lai savÄktu pierÄdÄ«jumus.
Ko sniedz āmÄkoÅu arhitektÅ«raā?
Å is pakalpojums ir balstÄ«ts uz programmatÅ«ras kÄ pakalpojuma (SaaS) modeli, kas atvieglo mÄrogoÅ”anu, izmantojot attÄlo serveru, sadalÄ«to datu glabÄÅ”anas sistÄmu u.c. jaudu. MÄkoÅu modeļa izmantoÅ”ana ļauj abstrahÄties no aparatÅ«ras un programmatÅ«ras niansÄm, visus spÄkus veltot aizsardzÄ«bas servisa izveidei un uzlaboÅ”anai.
Tas ļauj lietotÄjam ievÄrojami samazinÄt izmaksas, iegÄdÄjoties aprÄ«kojumu glabÄÅ”anai, analÄ«zei un piekļuves nodroÅ”inÄÅ”anai, un nav jÄrisina uzturÄÅ”anas jautÄjumi, piemÄram, dublÄÅ”ana, atjauninÄjumi, kļūmju novÄrÅ”ana utt. Pietiek ar ierÄ«ci, kas atbalsta SecuReporter, un atbilstoÅ”u licenci.
SVARÄŖGI! Izmantojot mÄkoÅa arhitektÅ«ras arhitektÅ«ru, droŔības administratori var aktÄ«vi uzraudzÄ«t tÄ«kla stÄvokli jebkurÄ laikÄ un vietÄ. Tas atrisina problÄmu, tostarp ar atvaļinÄjumiem, slimÄ«bas atvaļinÄjumu utt. Piekļuve aprÄ«kojumam, piemÄram, klÄpjdatora zÄdzÄ«ba, no kura tika piekļūts SecuReporter tÄ«mekļa interfeisam, arÄ« neko nedos, ja tÄ Ä«paÅ”nieks nepÄrkÄps droŔības noteikumus, neuzglabÄja paroles lokÄli utt.
MÄkoÅu pÄrvaldÄ«bas iespÄja ir labi piemÄrota gan monouzÅÄmumiem, kas atrodas vienÄ pilsÄtÄ, gan struktÅ«rÄm ar filiÄlÄm. Å Äda atraÅ”anÄs vietas neatkarÄ«ba ir nepiecieÅ”ama dažÄdÄs nozarÄs, piemÄram, pakalpojumu sniedzÄjiem vai programmatÅ«ras izstrÄdÄtÄjiem, kuru bizness ir sadalÄ«ts dažÄdÄs pilsÄtÄs.
MÄs daudz runÄjam par analÄ«zes iespÄjÄm, bet ko tas nozÄ«mÄ?
Tie ir dažÄdi analÄ«tikas rÄ«ki, piemÄram, notikumu biežuma kopsavilkumi, 100 populÄrÄko (Ä«sto un iespÄjamo) konkrÄta notikuma upuru saraksti, žurnÄli, kas norÄda konkrÄtus uzbrukuma mÄrÄ·us un tÄ tÄlÄk. Jebkas, kas palÄ«dz administratoram noteikt slÄptÄs tendences un identificÄt aizdomÄ«gu lietotÄju vai pakalpojumu uzvedÄ«bu.
KÄ ar ziÅoÅ”anu?
SecuReporter ļauj pielÄgot atskaites formu un pÄc tam saÅemt rezultÄtu PDF formÄtÄ. Protams, ja vÄlaties, pÄrskatÄ varat iegult savu logotipu, pÄrskata nosaukumu, atsauces vai ieteikumus. Atskaites var izveidot pieprasÄ«juma brÄ«dÄ« vai pÄc grafika, piemÄram, reizi dienÄ, nedÄÄ¼Ä vai mÄnesÄ«.
Varat konfigurÄt brÄ«dinÄjumu izdoÅ”anu, Åemot vÄrÄ trafika specifiku tÄ«kla infrastruktÅ«rÄ.
Vai ir iespÄjams samazinÄt briesmas, ko rada iekÅ”Äjie vai vienkÄrÅ”i slaisti?
ÄŖpaÅ”ais User Partially Quotient rÄ«ks ļauj administratoram Ätri identificÄt riskantos lietotÄjus, bez papildu piepÅ«les un Åemot vÄrÄ atkarÄ«bu starp dažÄdiem tÄ«kla žurnÄliem vai notikumiem.
Tas nozÄ«mÄ, ka tiek veikta visu notikumu un trafika padziļinÄta analÄ«ze, kas ir saistÄ«ta ar lietotÄjiem, kuri izrÄdÄ«juÅ”ies aizdomÄ«gi.
KÄdi citi punkti ir raksturÄ«gi SecuReporter?
VienkÄrÅ”a iestatÄ«Å”ana gala lietotÄjiem (droŔības administratoriem).
SecuReporter aktivizÄÅ”ana mÄkonÄ« notiek, izmantojot vienkÄrÅ”u iestatÄ«Å”anas procedÅ«ru. PÄc tam administratoriem nekavÄjoties tiek pieŔķirta piekļuve visiem datiem, analÄ«zes un ziÅoÅ”anas rÄ«kiem.
VairÄki nomnieki vienÄ mÄkoÅa platformÄ ā varat pielÄgot savu analÄ«zi katram klientam. Atkal, pieaugot jÅ«su klientu lokam, mÄkoÅa arhitektÅ«ra ļauj viegli pielÄgot vadÄ«bas sistÄmu, nezaudÄjot efektivitÄti.
Datu aizsardzības likumi
SVARÄŖGS! Zyxel ir ļoti jutÄ«gs pret starptautiskajiem un vietÄjiem likumiem un citiem noteikumiem par personas datu aizsardzÄ«bu, tostarp GDPR un ESAO privÄtuma principiem. AtbalstÄ«ts ar federÄlo likumu āPar personas datiemā 27.07.2006. gada 152. jÅ«lijÄ Nr. XNUMX-FZ.
Lai nodroÅ”inÄtu atbilstÄ«bu, SecuReporter ir trÄ«s iebÅ«vÄtas privÄtuma aizsardzÄ«bas iespÄjas:
- neanonÄ«mi dati ā personas dati ir pilnÄ«bÄ identificÄti analizatorÄ, atskaitÄs un lejupielÄdÄjamos arhÄ«vu žurnÄlos;
- daļÄji anonÄ«mi - personas dati tiek aizstÄti ar to mÄkslÄ«gajiem identifikatoriem arhÄ«va žurnÄlos;
- pilnÄ«gi anonÄ«mi ā personas dati ir pilnÄ«bÄ anonimizÄti analizatorÄ, ziÅojumos un lejupielÄdÄjamos arhÄ«vu žurnÄlos.
KÄ savÄ ierÄ«cÄ iespÄjot SecuReporter?
ApskatÄ«sim ZyWall ierÄ«ces piemÄru (Å”ajÄ gadÄ«jumÄ mums ir ZyWall 1100). Dodieties uz iestatÄ«jumu sadaļu (cilne labajÄ pusÄ ar ikonu divu pÄrnesumu formÄ). PÄc tam atveriet sadaļu Cloud CNM un atlasiet tajÄ apakÅ”sadaļu SecuReporter.
Lai atļautu izmantot pakalpojumu, ir jÄaktivizÄ elements Enable SecuReporter. TurklÄt ir vÄrts izmantot opciju Iekļaut satiksmes žurnÄlu, lai apkopotu un analizÄtu satiksmes žurnÄlus.
1. attÄls. SecuReporter iespÄjoÅ”ana.
Otrais solis ir statistikas vÄkÅ”anas atļauja. Tas tiek darÄ«ts sadaÄ¼Ä Monitorings (cilne labajÄ pusÄ ar ikonu monitora formÄ).
PÄc tam dodieties uz sadaļu UTM statistika, apakÅ”sadaļu App Patrol. Å eit jums jÄaktivizÄ opcija Apkopot statistiku.
2. attÄls. Statistikas vÄkÅ”anas iespÄjoÅ”ana.
Tas ir viss, varat izveidot savienojumu ar SecuReporter tÄ«mekļa saskarni un izmantot mÄkoÅpakalpojumu.
SVARÄŖGI! SecuReporter ir lieliska dokumentÄcija PDF formÄtÄ. JÅ«s varat to lejupielÄdÄt no
SecuReporter tīmekļa saskarnes apraksts
Å eit nebÅ«s iespÄjams sniegt detalizÄtu aprakstu par visÄm funkcijÄm, kuras SecuReporter nodroÅ”ina droŔības administratoram - vienam rakstam to ir diezgan daudz.
TÄpÄc mÄs aprobežosimies ar Ä«su aprakstu par pakalpojumiem, kurus administrators redz un ar ko viÅÅ” pastÄvÄ«gi strÄdÄ. TÄtad, uzziniet, no kÄ sastÄv SecuReporter tÄ«mekļa konsole.
Karte
Å ajÄ sadaÄ¼Ä tiek parÄdÄ«ts reÄ£istrÄtais aprÄ«kojums, norÄdot pilsÄtu, ierÄ«ces nosaukumu un IP adresi. ParÄda informÄciju par to, vai ierÄ«ce ir ieslÄgta un kÄds ir brÄ«dinÄjuma statuss. Draudu kartÄ varat redzÄt uzbrucÄju izmantoto pakeÅ”u avotu un uzbrukumu biežumu.
Mans Profils
ÄŖsa informÄcija par galvenajÄm darbÄ«bÄm un Ä«ss analÄ«tisks pÄrskats par norÄdÄ«to periodu. Varat norÄdÄ«t periodu no 7 dienÄm lÄ«dz 1 stundai.
3. attÄls. InformÄcijas paneļa sadaļas izskata piemÄrs.
Analizators
Nosaukums runÄ pats par sevi. Å Ä« ir tÄda paÅ”a nosaukuma rÄ«ka konsole, kas noteiktÄ laika posmÄ diagnosticÄ aizdomÄ«gu trafiku, identificÄ draudu raÅ”anÄs tendences un apkopo informÄciju par aizdomÄ«gÄm paketÄm. Analizators spÄj izsekot visbiežÄk sastopamajam kaitÄ«gajam kodam, kÄ arÄ« sniegt papildu informÄciju par droŔības problÄmÄm.
4. attÄls. Analizatora sadaļas izskata piemÄrs.
ZiÅot
Å ajÄ sadaÄ¼Ä lietotÄjs var piekļūt pielÄgotiem pÄrskatiem ar grafisko interfeisu. NepiecieÅ”amo informÄciju var savÄkt un apkopot ÄrtÄ prezentÄcijÄ uzreiz vai pÄc grafika.
BrÄ«dinÄjumi
Å eit jÅ«s konfigurÄjat brÄ«dinÄjuma sistÄmu. Var konfigurÄt sliekÅ”Åus un dažÄdus smaguma lÄ«meÅus, kas atvieglo anomÄliju un iespÄjamo uzbrukumu identificÄÅ”anu.
Iestatījums
PatiesÄ«bÄ iestatÄ«jumi ir iestatÄ«jumi.
TurklÄt ir vÄrts atzÄ«mÄt, ka, apstrÄdÄjot personas datus, SecuReporter var atbalstÄ«t dažÄdas aizsardzÄ«bas politikas.
SecinÄjums
VietÄjÄs metodes ar droŔību saistÄ«tÄs statistikas analÄ«zei principÄ ir sevi pierÄdÄ«juÅ”as diezgan labi.
TomÄr draudu klÄsts un smagums ar katru dienu palielinÄs. AizsardzÄ«bas lÄ«menis, kas iepriekÅ” apmierinÄja visus, pÄc kÄda laika kļūst diezgan vÄjÅ”.
Papildus uzskaitÄ«tajÄm problÄmÄm vietÄjo rÄ«ku izmantoÅ”ana prasa zinÄmas pÅ«les, lai uzturÄtu funkcionalitÄti (iekÄrtu apkope, dublÄÅ”ana utt.). Ir arÄ« attÄlinÄtÄs atraÅ”anÄs vietas problÄma - ne vienmÄr ir iespÄjams noturÄt droŔības administratoru birojÄ 24 stundas, 7 dienas nedÄļÄ. TÄpÄc jums ir kaut kÄ jÄorganizÄ droÅ”a piekļuve vietÄjai sistÄmai no Ärpuses un jÄuztur paÅ”am.
MÄkoÅpakalpojumu izmantoÅ”ana ļauj izvairÄ«ties no Å”ÄdÄm problÄmÄm, Ä«paÅ”i koncentrÄjoties uz nepiecieÅ”amÄ droŔības lÄ«meÅa uzturÄÅ”anu un aizsardzÄ«bu pret ielauÅ”anos, kÄ arÄ« lietotÄju noteikumu pÄrkÄpumiem.
SecuReporter ir tikai piemÄrs veiksmÄ«gai Å”Äda pakalpojuma ievieÅ”anai.
Darbība
No Å”odienas Zyxel un mÅ«su zelta partneris X-Com ir kopÄ«ga akcija, kas paredzÄta tÄdu ugunsmÅ«ru pircÄjiem, kuri atbalsta Secureporter:
Noderīgas saites
[1]
[2]
[3]
Avots: www.habr.com