2. О чем пойдет речь?
Зачем интегрировать Cisco MARS и системы
контроля защищенности?
Почему это непросто?
Как обойти «подводные камни» интеграции?
Пример решения
3. Что такое Cisco MARS?
Система сбора и анализа событий безопасности
Борьба с бесконечными журналами
безопасности
• Применимость данного типа атаки к конкретному
узлу;
• Оценка ущерба от атаки;
• Просмотр распространения атаки в режиме
реального времени;
• Идентификация источников распространения
атаки;
• Механизм реагирования на атаки через единый
централизованный комплекс.
9. Зачем интегрировать Cisco MARS и MaxPatrol?
Получение данных по топологии сети
Анализ актуальных уязвимостей в консоли
MARS
Корреляция событий с учетом типа
операционных систем
Анализ атак с учетом наличия уязвимостей
Автоматическое изменение степени риска и
приоритетов событий
10. Подход к интеграции CS MARS
Начиная с CS-MARS 6.0.1 анонсирована
поддержка Device Support Framework
Расширение набора типов событий (device event
type, DET), методов парсинга
Переопределение методов парсинга
Использование готовых DET и методов парсинга
Импорт и экспорт готовых правил парсинга,
отчетов, событий и т.д. в качестве одного парсинга
Устройства типа Vulnerability assessment (VA) не
поддерживаются в рамках DSF!
11. Подход к интеграции CS MARS
В рамках CS MARS существую готовые адаптеры
для систем VA
Доступ к базе данных системы VA
Получение XML-отчетов через Web
Был выбран подход с использованием готовых
XML-отчетов. В рамках этой задачи:
• Сформировать отчеты согласно XML-схеме
• Связать типы событий готовых VA (уязвимостей,
топологической информации) и событий MaxPatrol
• Опубликовать готовые отчеты на Web-сервере
12. Подход к интеграции CS MARS
Подготовка отчетов
Схема XML-документов открыта
Два типа документов:
– информация о сканированиях (список узлов)
– детальная информация по сканированию (ОС,
открытые порты, список уязвимостей)
Связь типов событий
• Составлена таблица соответствия идентификаторов
CVE и внутренних идентификаторов VA
• Подготовлен XSLT для преобразований
Публикация
• IIS + SSL + ASP
15. Резюме
Системы контроля защищенности VA являются
отдельным типом устройств в Cisco MARS (и в
других системах корреляции событий)
MARS не позволяет расширять типы VA-систем
штатными методами
Возможно использование готовых адаптеров,
путем адаптации системы под требуемую
отчетность