BỘ GIÁO DỤC VÀ ĐÀO TẠO I Bố cục Ngoài những phần mở đầu và kết luận, bài báo cáo được chia thành 2 chương Chương I Giới thiệu vê CSMars Chương II Thực hành Lab MỤC LỤC LỜI CẢM ƠN NHẬN XÉT CỦA ĐƠN VỊ T[.]
I Bố cục Ngoài phần mở đầu kết luận, báo cáo chia thành chương Chương I: Giới thiệu vê CSMars Chương II: Thực hành Lab MỤC LỤC LỜI CẢM ƠN NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN DẪN NHẬP .v I Lí chọn đề tài……………………………………………………………….……v II Nội dung nghiên cứu…………………………………………………………… vi III.Mục tiêu nghiên cứu…………………………………………………………… vi IV Phạm vi nghiên cứu…………………………………………………………… vi V Phương pháp nghiên cứu………………………………………………………… vi VI Bố cục………….……………………………………………………………… vii CHƯƠNG I: GIỚI THIỆU VỀ CSMARS Giới thiệu……………………………………………………………………… 1 Phần mở đầu…………………………………………………………………… .1 Quy trình lưu lượng CSMARS…………………………………………… Lựa chọn thiết bị để giám sát……………………………………………… .3 Thông tin liên lạc CSMARS…………………………………………………… 5 Các tính măng lợi ích CSMARS………………………………………… CSMARS triển khai tùy chọn……………………………………………… II Rules…………………………………………………………………………… Khái niệm……………………………………………………………………… Các loại Rules………………………………………………………………… 2.1 Inspection Rules…………………………………………………………… 2.1.1 System Rules……………………………………………………… 2.1.2 User Define Rules…………………………………………….…… 2.2 Drop Rules………………………………………………………………… 2.2.1 Liên kết False Positive……………………………………………… .8 2.2.2 Thủ công…………………………………………………………… Active Inactive Rules……………………………………………………… 11 Complex Behavioral Rule Creation………………………………………… .12 III Incident………………………………………………………………………… .13 Khái quát Incident……………………………………………………… …… 13 Sử dụng Incident để quan sát liệu………………………………………… 16 I IV Queries………………………………………………………………………… 16 Khái niệm……………………………………………………………………… 16 Các loại Query………………………………………………………………… .17 2.1 Query Type……………………………………………………………… 17 2.2 Instant Query……………………………………………………………… 18 2.3 On-Demand Queries Manual Queries………………………………… 20 V.Report…………………………………………………………………………… 21 Khái niệm……………………………………………………………………… 22 Các lọai Report………………………………………………………………… 22 2.1 Report có sẵn…………………………………………………………… … 22 2.1.1 Sử dụng tab report…………………………………………………… 23 2.1.2 Lấy report theo yêu cầu………………………………………………… 24 2.2 Tạo riêng Report…………………………………………………….… 24 2.3 Cách nhận Report……………………………………………………… … 26 VI Netflow……………………………………………………………………….… .28 Khái niệm 28 Netfow CSMars 28 Cấu hình Netflow 29 Cấu hình Netflow CSMars 32 Router .33 3.2.1 Cấu hình SNMP 33 3.2.2 Cấu hình Netflow Router Cisco 34 3.2.3 Cấu hình file Log Router Cisco 34 3.3 Switch 35 3.3.1 Cấu hình switch để kích hoạt L2 Discovery 35 3.3.2 Cisco IOS 12.2 Switches kích hoạt L2 Discovery SNMP… .35 3.3.3 IOS Switches kích hoạt Syslog 36 3.3.4 IOS Switches kích hoạt NetFlow………………………………… 36 3.4 Cấu hình tường lửa……………………………………………………… .36 3.4.1 Cấu hình Telnet thiết bị tường lửa Cisco………………… 36 3.4.2 Cấu hình SSH thiết bị tường lửa Cisco…………………….… 37 3.4.3 Cấu hình SNMP thiết bị tường lửa Cisco………………… .37 3.4.4 Nhận thiết bị Firewall Cisco vào CSMARS ……….…… 37 3.5 Nhận thiết bị Cisco IPS vào CSMARS…………………………………… 39 CHƯƠNG II: THỰC HÀNH LAB I MƠ HÌNH VÀ CẤU HÌNH THIẾT BỊ…………………………………… … 42 Mơ hình……………………………………………………………………… 42 Cấu hình thiết bị……………………………………………………………… 43 Router………………………………………………………………… … 43 ASA………………………………………………………………… … .44 Switch……………………………………………………………….…… 45 IDS……………………………………………………………………… 46 Cấu hình IDS VLAN Pair…………………………………………… … 46 Xem File Log IDS……………………………………………………… 47 II NHẬN BIẾT THIẾT BỊ TRÊN CSMARS VÀ TÌNH TRẠNG HOẠT ĐỘNG CỦA HỆ THỐNG MẠNG TRÊN CSMARS……………………………… ……… .50 Nhận biết thiết bị……………………………………………………… …… 50 1.1 Nhận kết nối RouterGW với CSMars SNMP……………………50 1.2 Nhận kết nối firewallASA với CSMars TELNET………………….… 51 1.3 Kết nối IDSsensor………………………………………………………… 51 1.4 Cấu hình Netflow CSMars…………………………………………… 52 Tình trạng hoạt động hệ thống mạng CSMars………………………… 53 2.1 Summary……………………………………………………… ………… 53 2.2 Incident…………………………………………………………………… 61 2.3 Event……………………………………………………………………… 62 2.4 Queries……………………………………………………………… …… .63 2.5 Rule Report…………………………………………………….……… 64 KẾT LUẬN…………………………………………………………………………… 65 TÀI LIỆU THAM KHẢO .67 CHƯƠNG I: GIỚI THIỆU VỀ CSMARS I Giới thiệu CSMars Phần mở đầu Trong mạng lưới môi trường an ninh mạng ngày nay, có loại bệnh tồn Nhiều cơng ty hiểu họ cần thiết bị an ninh để bảo vệ chúng từ mạng lưới dựa cơng Vấn đề thiết bị an ninh triển khai, tập đoàn đặt niềm tin mù quáng vào mà họ làm cho mối đe dọa ngừng lại Đây sai lầm lớn mạng lưới an ninh giới ngày hôm Tin tặc, tất nhiên, biết điều thiết kế để công phá hoại dụng cụ bảo mật có cách sử dụng giao thức gói tin hợp lệ Doanh nghiệp tập đoàn nhận thấy để thực cung cấp cách hiệu việc bảo vệ mạng lưới họ, họ cần phải thực bước kiểm tra chặt chẽ mạng lưới sở hạ tầng, máy chủ, ứng dụng, kiện an ninh để xác định xem liệu có cơng khai thác thiết bị họ mạng Giám sát an ninh Cisco, phân tích, đáp ứng hệ thống (Cisco Security Monitoring, Analysis, and Response System-CSMARS) thiết bị mạng mà an ninh triển khai chặt chẽ cung cấp hệ thống tự động nhận biết giảm thiểu mối đe dọa đến an ninh có triển khai mạng lưới Trong gần tất trường hợp, doanh nghiệp nhận thức việc tiết kiệm chi phí đáng kể thay đổi mạnh mẽ hiệu an ninh việc triển khai CS-Mars Thuật ngữ: CSMARS phân biệt event, session and incident o Event: thơng điệp cịn sơ sài (ví dụ: IDS, firewalls logs) gửi đến thiết bị thiết bị báo cáo o Session: hàng loạt event mà chia sẻ thơng tin thơng thường end-to-end (IPđích, cổng đích, IP nguồn, cổng nguồn giao thức) o Incident: hàng loạt session mà phù hợp với rule xác định Cơng nghệ: có ba cơng nghệ chính: o Correlation: hiệu suất cao việc thống hai giai đoạn tương quan rule linh hoạt cho phân tích incident giảm thiểu: -Hồ sơ mạng lưới giao thông (lưu lượng net) phát bất thường -Tương quan event với session -Áp dụng tương quan rule vào session để xác định incident o Phân tích Vector: thực loại hình phân tích: -Phân tích incident để xác định mối đe dọa hợp lệ -Phân tích đường dẫn -Phân tích tính nguy hiểm cho máy bị nghi ngờ -Qt tương quan có tính chất nguy hiểm o Giảm thiểu: thực xây dựng chuyên môn để nhận đề nghị giảm thiểu cho cơng trước chúng phá hủy toàn mạng lưới: - Khám phá tối ưu "choke point" (ví dụ: gần lớp switchport).Đề nghị lệnh giảm thiểu đẩy mạnh việc xác nhận người sử dụng -Thông báo cho người sử dụng việc thay đổi cấu hình Quy trình lưu lượng CSMARS Thiết bị CSMARS dùng để giảm thiểu việc tràn ngập kiện cịn sơ sài,từ giảm thiểu cơng.Quy trình mô tả sau: - Bước 1: Thiết bị này phải bắt đầu với nhận thức đầy đủ mơ hình mạng lưới Nó dùng thơng tin cấu hình hồn tất từ router switch, máy chủ máy vi tính khác, với thông tin từ thiết bị an ninh để xây dựng hình ảnh đầy đủ mạng lưới - Bước 2: Không thiết bị an ninh (tường lửa IDS) mà thiết bị mạng (router switch) hệ thống cuối (server) gửi logging mạng lưới thơng tin Thiết bị MARS thu thập liệu Cisco IOS NetFlow từ router switch, làm cho hiệu suất mạng tính tốn liệu sẵn có để hội nhập với kiện liệu Dữ liệu NetFlow xác định mạng lưới giao thông bất thường - đột ngột thay đổi mức độ lưu lượng - Bước 3: Sessionization dùng nhận thức mơ hình mạng lưới để kết hợp nhiều kiện vào end to end session - Bước 4: Session-Based Active Correlation, sử dụng cách gắn liền rule người sử dụng xác định, tương quan thông tin session với liệu NetFlow để xác định ứng viên có tiềm cho việc hồn thành mạng lưới cơng, gọi tắt incident - Bước 5: CSMARS appliance performs automatic vulnerability assessment, which uses information about end system to identify false positive, building rules to reduce future analysis and processing of candidate incidents Thiết bị CSMARS tự động thực hành động đánh giá mang tính chất nguy hiểm, sử dụng thơng tin kết thúc hệ thống để xác định false-positive, xây dựng rule để giảm bớt q trình phân tích tương lai ứng viên incident - Bước 6: Thông báo cho nhà điều hành incident thực tế hướng dẫn để giảm thiểu - Bước 7: Xác định xem chúng có thực incident false-positive Với định, người dùng phân loại false-positive nhanh chóng giảm số lượng báo cáo incident Lựa chọn thiết bị để giám sát Tất chiến lược giám sát bao hàm việc lựa chọn loại thiết bị theo dõi giám sát có liệu để cung cấp thiết bị MARS Tất thiết bị mạng lưới bạn máy, gateway, thiết bị an ninh, máy chủ, cung cấp số cấp độ liệu mà Mars sử dụng để nâng cao tính xác nhận dạng an ninh incident Tuy nhiên, cân nhắc cẩn thận liệu để cung cấp cải thiện việc xác định thời gian phản hồi công cách đảm bảo Mars không thực việc phân tích tương quan kiện cần thiết hay dư thừa Đăng nhập không cần thiết báo cáo thiết bị báo cáo làm giảm hiệu mạng lưới Bảng xác nhận thiết bị loại, mơ tả thơng tin chúng cung cấp, đề xuất cấu cho thiết bị mạng bạn Loại thiết bị Router Switch Dữ liệu sẵn có Các thiết bị khám phá giao thức dùng cho việc truy cập quản trị viên/giảm Những liệu sau lấy từ router: • hostname • static routes • ACL rules • static NAT rules • traffic flows • SNMP RO Community strings • NetFlow data • Tình trạng thiết bị nguồn sử dụng, nhớ, CPU, giao diện/cổng số liệu thống kê • Bảng ARP cache Được dùng để xếp địa IP với địa MAC SNMP RO Community strings Bảng forwarding, dùng để xếp địa IP với địa MAC Tình trạng thiết bị nguồn sử dụng, nhớ, CPU, giao diện/cổng số liệu thống kê NetFlow data Cấu hình khun dùng Khởi động: • SNMP RO community strings • Syslog traffic • Nhận thiết bị qua SSH hay Telnet access Khởi động: • SNMP RO community strings • Syslog traffic • Nhận thiết bị qua SSH hay Telnet access • Khởi động NetFlow data • Quyền truy cập cho quản trị viên cho việc đẩy mạnh giảm thiểu Firewall Network IDS/IPS Cấu hình giao diện Được sử dụng để xem mơ hình xác định tuyến đường dự kiến, giúp lọc lưu lượng truy cập qua tường lửa NAT PAT mappings Được sử dụng để xác định nguồn gốc bên công mục tiêu theo dõi chúng Điều khoản Firewall Khi nhận ASA, PIX, FWSM, MARS phân tích ACLs cáp điện (chỉ dùng với PIX) Firewall logs Nhận từ chối sessions logs sử dụng để xác định false positive xác định xem tiềm công chặn trước đến mục tiêu Tình trạng thiết bị việc sử dụng nguồn thông tin Được sử dụng để xác định hoạt động mạng bất thường dựa nhớ, CPU, cổng giao diện số liệu thống kê Thông báo Fired signature Identifies attacks and threats, which helps determine mitigation response, identify potential false positive information, and target vulnerability assessment probes conducted by MARS Fired chữ ký thông báo Xác định công đe dọa, giúp xác định việc giảm thiểu phản ứng, xác định tiềm thông tin false positive, mục tiêu mang tính nguy hiểm khảo sát đánh giá Mars Khởi động: • SNMP RO community strings • Syslog messages • Nhận thiết bị Kích hoạt gói thơng tin Cung cấp Payload gói tin mà gây fired signature Xác định xem liệu công bị chặn thiết bị cụ thể Tình trạng thiết bị thơng tin Thơng tin liên lạc CSMARS Thiết bị Mars thiết bị thụ động trừ việc nhận biết, giảm thiểu hoạt động điều tra kiểm soát thiết bị yêu cầu phải đăng nhập để nhận thơng số tương ứng Nó dùng loạt phương tiện để nhận log, khám phá mô hình mạng, giảm thiểu mối đe dọa cảnh báo quản trị viên CSMARS nhận log cách sử dụng giao thức: syslog, SNMP traps HTTP hay HTTPS SDEE (cho IPS) CSMARS khám phá mơ hình mạng thực cơng việc cách sử dụng giao thức này: SNMPv1 (read only access yêu cầu), telnet, SSH FTP SDEE, vv CSMARS thực giảm thiểu cách sử dụng giao thức này: telnet, SSH, SNMPv1 (write access yêu cầu) CSMARS cảnh báo quản trị viên cách sử dụng giao thức: E-mail, SNMP trap, syslog, pager, SMS Các tính lợi ích CSMARS - Mạng thông minh tập hợp kiện: có mạng lưới trí tuệ hiểu biết mơ hình cấu hình thiết bị router,switch tường lửa hồ sơ mạng lưới giao thông - Hiệu suất xử lý với tương quan tình huống: Chuỗi tương quan tình cách làm giảm đáng kể kiệu kiện sơ sài, tạo điều kiện ưu tiên việc đáp ứng, tối đa kết từ triển khai biện pháp đối phó - Tập hợp hiệu suất cao củng cố: Mars, giải pháp lấy hàng ngàn nguyên kiện, xếp incident cách hiệu với việc giảm thiểu liệu chưa có, đọng lại thông tin Quản lý khối lượng kiện an ninh cao, địi hỏi an tồn ổn định tảng logging - Xác định Incident: CsMars giúp đẩy nhanh đơn giản hóa q trình xác định mối đe dọa, điều tra, xác nhận giảm thiểu - Tác dụng đòn bẩy giảm thiểu với tự động giảm thiểu: có khả xác định điểm cốt lõi thiết bị công theo đường dẫn tự động cung cấp thiết bị thích hợp lệnh mà người sử dụng sử dụng để giảm thiểu mối đe dọa - Điều tra thời gian thực theo báo cáo - Triển khai nhanh chóng: Mars đặt TCP / IP nework, nơi gửi nhận syslog, SNMP traps, thiết lập bảo mật session triển khai với mạng lưới an ninh thông qua thiết bị đạt tiêu chuẩn an toàn nhà cung cấp giao thức cụ thể: - Mở rộng quản lý: cung cấp nhìn tồn doanh nghiệp, phổ biến quyền truy cập, cấu hình, cập nhật, điều chỉnh rule, mẫu báo cáo, điều tra phối hợp phức tạp với việc làm tăng nhanh query and report CSMARS triển khai tùy chọn CSMARS phân phối kiến trúc phụ thuộc vào kích thước yêu cầu mạng lưới Các thiết bị triển khai sau o Chế độ Standalone: Đây trung tâm quản lý thơng qua trang web an tồn dựa giao diện hỗ trợ rule theo quản trị viên Quản lý thiết bị báo cáo, query, rule report thực thiết bị Khi CSMARS chế độ standalone liên lạc với CSMARS Global Controller, chế độ thiết bị thay đổi thành CSMARS Local Controller o CSMARS Local Controller: CSMARS Local Controller triển khai tương tự với standalone mở rộng khả giao tiếp với CSMARS Global Controller o CSMARS Global Controller: Đây thiết bị giao tiếp với nhiều LC,cho phép hoạt động trung tâm quản lý LC CSMars phân phối triển khai Điều quan trọng cần lưu ý GC khơng tiến hành tồn cầu tất liệu LC tương quan Giao tiếp LC GC xảy thông qua HTTPS.CS- Mars LC gửi tổng kết snapshots liệu vào GC Vì vậy, tất liệu nguyên LC Khi bạn bấm vào liệu GC, session HTTPS mở cho LC, sau bạn xem liệu LC Tất quản lý lệnh quản trị viên gửi từ GC cho LC thực thông qua thông tin liên lạc HTTPS II Rules Khái niệm Rules quy định phải đáp ứng xác để CSMARS có hành động Các hành động khác từ việc tạo Incident False-positive để tạo e-mail thông báo Theo mặc định, tất điều kiện Rule đáp ứng, Incident tạo ra, tùy thuộc vào loại Rules, ta biết thêm chi tiết hành động Rules bản, kiện báo cáo Firewall IDS, phức tạp đặc điểm hành động chẳng hạn máy Server kết nối với máy Client thông qua Port sau gửi đến hành động mạng lưới Các lại Rules Trong CS-Mars, Rules Reports cấu trúc, khác biệt chúng có mục đích kết khác Queries tảng cho Rules Reports Queries sử dụng để lọc tiêu chuẩn cho việc xác định liệu Tab Case Tab truy cập vào trường hợp sử dụng CS-Mars công cụ quản lý Mặc dù bạn truy cập cụ thể vào vùng CS-Mars cách chọn loại Select Case có đặc biệt Tab quản lý tất vùng tất trường hợp bạn chọn No Case Select Hình: Tab Incident Case Sử dụng Incident ID để quan sát liệu Trong ví dụ này, báo cáo sử dụng dạng ID gọi Incident ID Hình: Chi tiết liệu Incident 17 IV QUERIES Khái niệm: Truy vấn liệu CS-Mars đơn giản chọn Query xác định trước gửi nó, phức tạp định nghĩa biến hành động để kéo liệu từ nhiều nguồn Ba loại truy vấn tồn cho CS-Mars, hai ba yêu cầu thay đổi cách thức mà bạn muốn xem liệu truy vấn Query type Instant queries On-demand queries manual queries Các loại Query 2.1 Query type Để truy cập vào công cụ cấu hình Query type, bấm vào nút Edit phần cuối vùng Query Type trang Query 18 Hình: CS-MARS Query Type cơng cụ cấu hình vùng Query Type Cơng cụ cấu hình Query type có năm thuộc tính phải cấu hình để có kết Result Format Order/Rank By Filter by Time Use Only Firing Events Maximum Rank Returned Khi hồn thành việc chuyển liệu cơng cụ cấu hình Query type, bấm vào nút Apply bên phải cơng cụ Query Hình: CS-MARS Query Type thay đổi 2.2 Instant Queries Tất biểu tượng q sau cụ thể giá trị hiển thị CSMars Biểu tượng gọi Instant Query Tại thời điểm xem liệu, nhấp vào biểu tượng yêu cầu tìm kiếm liệu có liên quan đến giá trị biểu tượng bên cạnh 19 Hình : Biểu tượng CS-MARS Instant Query Nhấp vào biểu tượng q để chuyển hướng vào trang Query,với giá trị q lọc thích hợp 20 Hình: Trang CS-MARS Query Populated Filter 21 2.3 On-Demand Queries Manual Queries Hai chủ đề thảo luận để điều chỉnh kỹ truy vấn CS-Mars: On-demand queries: query dựa tất báo cáo lưu nhà phân tích an ninh quản trị viên cung cấp "canned" với dụng cụ điện Manual queries: Query từ đầu hồn thành Manual Queries lưu lại báo cáo để chúng tái sử dụng tương lai để tránh lặp lại kết Hình: CS-MARS Manual Query IV REPORTS Khái niệm Bằng cách sử dụng CS-Mars cung cấp có giá trị minh sát, tích hợp, kiểm sốt mạng thông qua việc tương quan liệu, giảm sai tích cực, giảm thiểu, miêu tả hình ảnh lớp lớp hạ tầng mạng Sử dụng thông tin cho việc điều tra 22 giảm thiểu lý có ích, nhiên thiếu cốt lõi khơng có nghĩa báo cáo liệu từ nhiều nguồn khác Những nhà quản lý mạng muốn nhìn thấy báo cáo mà dễ dàng đọc, dịng mà nhà quản lý mạng muốn xem liệu hành động chi tiết, liệu ban đầu Việc phân tích dạng bảo mật cách chi tiết bình thường hóa liệu, thêm vào mơ hình đồ thị giúp dễ hiểu xảy hướng giải vấn đề CS-Mars tổ chức cao việc báo cáo thơng tin sử dụng phổ biến hữu ích cho nhiều nguồn Các loại Report 2.1 Sử dụng Reports định sẵn Reports xác định sẵn thường gọi Reports đóng hộp có sẵn liệu CS-MARS chứa khoản 175 Reports loại Con số tăng lên ứng vói mã CS-MARS Cisco cung cấp Reports cách tạo dựa kiến phản hồi khác hàng, người sử dụng Bởi có đến 175 Reports có sẵn, danh sách CS-MARS xếp thành nhóm để dễ dàng tìm kiếm quản lý Có vài nhóm mặc định sẵn tạo nhóm riêng cho người sử dụng Nhớ mà tạo nhóm riêng có vài Reports nằm tất nhóm Một vài nhóm tạo nên cách xác định Reports có sẵn ứng với u cầu Một Report có sẵn dễ dàng để điều chỉnh để phù hợp với yêu cầu sử dụng Để xem Reports có sẵn, Chọn Query/Reports > Report Hình: Trang CS-MARS Report 23 Có thể xem Report xác định sẵn theo cách: Sử dụng tab Report Lấy reports theo yêu cầu truy vấn 2.1.1 Sử dụng Tab Report Ở trang Report, có list reports mặc định 25 Có thể điều chỉnh để xem tất dạng Report cách sử dụng cuộn góc trái trang Report, cách nhấn nút Next, thấy dòng Report Hình: Điều chỉnh Report trang CS-MARS Report 2.2.1 Lấy Report theo yêu cầu Theo bước trình tự sau: Bước 1: Chọn dạng report muốn xem Bước 2: Sủ dụng cuối trang, chọn nút sau: - View HTML - View CSV Bước 3: Nhấn nút View Report 2.2 Tạo riêng Reports CS-MARS cho phép tạo Report sử dụng công cụ Report Creation Hầu hết CS-MARS cung cấp cho khách hàng thông tin họ muốn sử dụng công cụ Query để tạo lưu Report; nhiên, việc thuận lợi làm xem kết Report/query trước cấu hình Report Mục đính mục thảo luận phương 24 pháp sử dụng nút Add Tab Reports Việc lưu Report trang Query xem giống công cụ Report Creation Để tạo Report, theo bước sau: Bước 1: Tại trang Query/Reports, nhấn nút Report Bước 2: Nhấn nút Add Bước 3: Đưa tên mô tả dạng Report, nhấn Next Bước 4: Đưa thời gian sử dụng Report hồn thành hình Hình: Tạo Report Bước 5: Thêm người nhận cho Report 25 Bước 6: Sử dụng công cụ Query muốn nhập nội dung Bước7: Nhấp Submit để lưu lại 2.3 Cách nhận Report Khi mà Report cấu hình xem CS-MARS, xem Report dạng HTML thơng qua trình duyệt chọn xem dạng CSV 26 Hình: CS-MARS Report dạng HTML( View Activity: All Top Destinations) Nếu chọn xem dạng CSV, hình xuất cung cấp đường dẫn để lưu máy Sau lưu file máy tính mở ứng dụng Microsoft Excel Hình: CS-MARS Report dạng file CSV 27 VI NETFLOW Khái niệm Netflow công nghệ mạng lưới giám sát lượng truy cập Cisco Dựa giao thức UDP, báo cáo tìm thấy Router Switch Mỗi luồng (flow) gói nhỏ gói tin chứa đựng thiết lập, chuyển liệu thông tin Teardown Các ứng dụng Netflow cung cấp cách hiệu nhiều dịch vụ cho ứng dụng IP bao gồm hệ thống mạng lưới kế toán, mạng lưới toán, an ninh, hệ thống, khả giám sát thiết lập công DoS Netflow cung cấp thông tin giá trị mạng lưới người sử dụng, ứng dụng, lưu lượng người truy cập gói tin định tuyến Netflow Cisco phát minh đầu cơng nghệ lưu lượng dịng chảy IP Sau cấu hình thiết bị IOS CATOS cho Netflow, thơng tin dịng chảy thơng số liên quan đóng gói gói UDP gửi tới điểm thu xác định Bởi nhiều dịng chảy đóng gói thành gói UDP, Netflow trở thành hệ thống giám sát hiệu tiện ích Syslog SNMP Netflow Csmars CSMars sử dụng Netflow phiên để xác định mạng lưới sử dụng, phát hiên hành vi người sử dụng, lưu lượng băng thông liên quan đến hành động công, kiện báo cáo thiết bị NIDS tường lửa Mặc dù Netflow có vài khác biệt thơng tin hai phiên 7, CSMars sử dụng hai thông tin hai phiên 7, khơng có phân biệt hai phiên Do phát triển cao với sở liệu nhiều nên CSMars không lưu trữ thông tin Netflow sở liệu, nhiên cấu hình dung lượng cần thiết Sau phát hành vi công, Csmars bắt đầu lưu tự động đầy đủ hồ sơ Netflow cho hoạt động công, q trình thơng minh hệ thống cung cấp tất thơng tin mà hệ thống phân tích cần Bởi CSMars theo dõi, giám sát, lưu trữ mạng lưới liên quan đến hoạt động, có khả báo cáo sai hành vi hoạt động từ máy chủ Ví dụ tưởng tượng CSMars biết hầu hết kết nối đến máy chủ qua cổng 137, 138,139 sau nhiều máy trạm làm 25 cổng kết nối khác qua cổng mặc định, Csmars kích hoạt cảnh báo sâu mail, cố để thông báo việc thay đổi thiết bị, Ngoài ra, CSMars sử dụng thông tin Netflow để đua cấp độ hoạt động hệ thống mạng cách đưa đồ thị kết nối theo thời gian 28 Hình: Biểu đồ thể kiện Netflow Tải FULL (70 trang): https://bit.ly/3j22dtQ Dự phịng: fb.com/TaiHo123doc.net Chúng ta thấy qua biểu đồ, CSMars báo cáo sai hoạt động cổng 80 445, ví dụ trạng thái hoạt động cổng Đây khả phát hiển sâu virus hệ thống mạng Thơng thường chương trình độc hại khơng có, chưa tên khơng có thơng tin chữ ký tổ chức, bạn phát phòng chống cách sử dụng CSMars Dữ liệu tường lửa thông tin Netflow giúp làm Cấu hình Netflow Xác minh thơng báo thực qt nơi mang tính nguy hiểm Tiếp nhận phiên dịch log liệu bạn nhận hàng ngàn kiện giây chịu đựng khó chống cự Q trình lấy log kiện cách hợp pháp tương quan thủ cơng chúng so sánh để tìm kiếm haystack cho needle CS-Mars giống hệ thống Sự thông minh xây dựng vào hệ thống cách hiệu làm giảm liệu incident thông qua xây dựng công 29 cụ xác nhận Điều cho phép người phân tích tập trung nỗ lực họ thực tế,những incident đáng Sự am hiểu False Positive Việc giảm thiểu false positives chủ đề mà IDS nhà sản xuất SIM( security information management) phải nỗ lực liên tục Hệ thống log IDS phải xem xét phân tích để xác định giá trị chúng giải pháp SIM để báo cáo liệu event hay incident chúng nhận liệu báo động, tường lửa ACLs từ chối lưu lượng Dù cách nào, điều chỉnh khó khăn, tổn hại, thường xảy q trình khơng thực nhiều CS-Mars phân loại false positive thành hai loại: o Hệ thống xác định o Không xác nhận Tải FULL (70 trang): https://bit.ly/3j22dtQ Dự phòng: fb.com/TaiHo123doc.net Hệ thống xác định CS-Mars xác định incident khơng thành cơng Điều thiết bị ngăn ngừa incident từ kiện liệu cung cấp nói với CS-Mars hệ thống đích khơng phải dễ bị nguy hiểm đến loại hình cơng Khơng xác nhận CS-Mars xác định incident không thành công, liệu thực, nhiên, có hiểu nhầm việc đánh giá liệu mang tính nguy hiểm Trên trang Summary, điều hiển thị " To be confirmed," đơn giản có nghĩa nhà phân tích xác nhận từ chối đánh giá CS-Mars Trong CS-MARS,việc điều chỉnh false positive bao gồm việc tạo drop rule.Drop rule có loại: o o Chặn kiện hồn tất, xóa bỏ kiện từ sở liệu ngừng việc log kiện Đăng nhập vào sở liệu không tạo incident mà lưu giữ kiện vào sở liệu CSMARS Có thể tạo drop rule (hoặc điều chỉnh false positive) Rules > Drop Rules > Add nhấp vào đường dẫn False Positive cột Tune session Cả hai phương pháp cho kết o tab Drop Rule 30 Hình: Đường dẫn CS-MARS False Positive Sự hiểu biết phân tích mang tính nguy hiểm Các thơng tin đánh giá mang tính chất nguy hiểm chứng quan trọng mà nhà phân tích an ninh sử dụng để xác định xem liệu cơng có thành cơng hay khơng CS-Mars sử dụng liệu phân tích mang tính nguy hiểm để giúp hiểu rủi ro tồn cho thiết bị mạng để cân nhắc họ chống lại mục tiêu liệu event session cho hệ thống cụ thể Quá trình cho phép CS-Mars giảm thiểu kiện false positive mở rộng incident Điều quan trọng cần đề cập liệu phân tích mang tính nguy hiểm khơng xem CS-Mars CS-MARS thu thơng tin phân tích tính chất mang tính nguy hiểm từ hai nguồn: Built-in Nessus utility Third-party VA tool Hiểu biết Access IP, Reporting IP Khi xác định thiết bị báo cáo giảm thiểu thiết bị giao diện web, Mars cho phép (và yêu cầu) bạn để xác định số địa IP Sự hiểu biết mục đích địa khác quan trọng để xác định cách hiệu thiết bị mà bạn muốn theo dõi quản lý Đó điều quan trọng để hiểu mối quan hệ chúng với thiết lập khác mà bạn nhận Nếu thiết bị có giao diện địa IP liên kết với giao diện, access reporting IP có địa giống gán cho giao diện Mars thu thập thông tin cách riêng biệt để hỗ trợ cho thiết bị có nhiều giao diện, nhiều địa IP liên kết với giao diện, hai o Access IP Mars sử dụng access IP để vừa kết nối với thiết bị dành cho mạng dựa session quản trị viên vừa kết nối với máy chủ từ xa mà có chứa tập tin lưu giữ cấu hình thiết bị Những giá trị xác định cách truy cập loại mà bạn chọn Hầu hết thiết bị yêu cầu bạn phải xác định rõ ràng địa IP máy cho phép quản lý chúng o Reporting IP Reporting IP địa IP nguồn văn kiện, log, thông báo, traps mà bắt nguồn từ thiết bị Mars sử dụng địa để nhận văn kết 31 3133081 ... 6: Thông báo cho nhà điều hành incident thực tế hướng dẫn để giảm thiểu - Bước 7: Xác định xem chúng có thực incident false-positive Với định, người dùng phân loại false-positive nhanh chóng giảm... định liệu Report cho phù hợp với Rule để có hành động thiết thực Một hành động mặc định tự động thực điều kiện Rule đáp ứng Để kích hoạt hành động này, hành động phải xác định tiêu chuẩn có sẵn... cho LC thực thông qua thông tin liên lạc HTTPS II Rules Khái niệm Rules quy định phải đáp ứng xác để CSMARS có hành động Các hành động khác từ việc tạo Incident False-positive để tạo e-mail thông