2. О канале
- круглосуточное вещание более чем в 100 странах мира
- 35 миллионов ежедневных зрителей
- новостной телеканал №1 на YouTube
- онлайн-аудитория приблизилась к отметке в 50 миллионов зрителей
- 5 миллиардов просмотров на всех аккаунтах
4. Сбор, выделение полей, обогащение и хранение
SPLUNK Аналитик
From
From
From
Выходные данные:
#отчеты для аналитика;
#визуализация;
#сырые данные.
Сбор>Получение событий:
#по формату источника;
#нагрузка на источник при получении не допустима;
#RealTime.
Обогащение>Дополнение недостающих полей
#app и/или addon;
#получение информации из других источников.
Выделение полей:
#должны быть доступны все поля;
предусмотренные документацией источникa;
#значение поля в отчете для аналитика = значению в GUI.
5. Сбор, выделение полей, обогащение и хранение
|подключение источников
#контроллеры домена;
#доменные и не доменные станции
(windows, macos, *nix);
#dhcp;
#dns (resolve);
#гипервизоры;
#средства антивирусной защиты;
#ids;
#сетевые экраны, коммутаторы, wlc;
#телефония (cucm, callrec, cdr);
#erp.
|время поступления логов в систему
#RealTime:Для не ротируемых журналов событий, без метки года.
Splunk> :
>распознавание существующего timestamp;
>добавление в качестве года текущего;
>получение полного timestamp для каждой записи;
>добавление в индекс только новых событий
#данный функционал реализован по умолчанию.
7. Сбор, выделение полей, обогащение и хранение
|проверка событий на источнике
#только Splunk выполнил задачу на 100%
|проверка корректности отчета
#только Splunk выполнил задачу на 100%
8. Проверка возможности написания правил корреляции
|Уменьшение числа ложных срабатываний|Достоверное определение событий |Оперативное оповещение
9. Проверка возможности написания правил корреляции
|Уменьшение числа ложных срабатываний|Достоверное определение событий |Оперативное оповещение
10. Проверка возможности написания правил корреляции
|Уменьшение числа ложных срабатываний|Достоверное определение событий |Оперативное оповещение
Firewall-события
- Построение NAT
- Для TCP сессии (302013)
- Для UDP сессии (302015)
- Запрет прохождения
сессии (106023)
IDS-событие Firewall-событие
Source-IP Inside-address
Source-Port Inside-port
Destination-IP Outside-address
Destination-Port Outside-port
11. Проверка возможности написания правил корреляции
|Уменьшение числа ложных срабатываний|Достоверное определение событий |Оперативное оповещение
12. Выделяем
индексы
IDS
•Из IDS выделяем события с индексом App=Bittorrent
•Фиксируем timestamp
Выделяем
индексы
Cisco ASA
•IDS: Source IP, Source Port, Destination IP, Destination Port, APP, Bytes, Bytes Sent, Bytes Received, Packets
Взаимно-
однозначное
соответствие
•Cisco ASA: inside_port, inside_address, global_address(inside), global_port(inside), Outside_address, Outside_port, message_number,
timestamp
Выделяем
message
numbers
•IDS: Cisco ASA:
Source IP ~ inside_port
Source Port ~ inside_address
Destination IP ~ Outside_address
Destination Port ~ Outside_port
timestamp ~ timestamp (∆)
END
•302013– слот TCP-подключения между двумя хостами был создан
•302015– слот UDP-подключения между двумя хостами был создан
•106023–запрет на проход пакета, определяемый ACL
13. Анализируем
машинные
данные с
конечной
рабочей
станции.
•Анализ данных за период 7 дней, так как станции в соответствии с политикой
безопасности могут не перезагружаться и не обновлять аренду на протяжении 7 дней
Анализ
журнала
событий типа
Security
•Выделяем следующие уникальные идентификаторы:
•4624 – вход пользователя на станцию;
•4800 – блокировка станции;
•4674 с сигнатурой «user initiated logoff» и типом «audit access» – выход пользователя со
станции;
•4779 c объектом a «session was disconnected» - при установлении со станцией RDP
сессии, соединение пользователя прерывается при разрыве семой RDP сессии.
Определяем,
какой
пользователь
был на
станции в
момент
возникновени
я инцидента
•Устанавливаем имя станции через DHCP сервер
End
•Выявляем пользователя, у которого произошло событие 4624 раньше возникновения
инцидента, но при этом еще не наступили события 4800, 4674 и 4779
14. Подмена?
Данные с IDS о dest_ip
и dest_port процесса
на конечной станции
Аудит выдает
Запускаем на станции
аудит процессов
SysMon
имя процесса,src_ip
процесса, src_port
процесса, dest_ip
процесса, dest_port
процесса.
Данные с IDS
совпадают с
результатом
аудита
Нет
Данные с IDS не
совпадают с
результатом
аудита
Да
25. М
Дополнительные плюшки Splunk
#SVM удалось снизить с 42 до 1 при 447 сессиях
#С логистической регрессией удалось снизить с 42 до 20 при 447 сессиях
27. М
Если есть новостная сенсация, то в
независимости от того есть DDoS или нет,
расширяем канал
Если присутствуют заголовки: sensation,
breaking news, то повышенный интерес к
ресурсам сайта
Анализ логов сайта
Прогноз типичного поведения трафика
для компании с использованием
фильтра Калмана
Каждая точка отклонения вводится в
модель корреляционного анализа с
данными о загрузке ресурсов
Установление допустимой области
Прогноз типичного поведения трафика
для компании с использованием
фильтра Калмана
Системы анализа машинных
данных
Есть нарушения границ
допустимой области
Данные о загрузке CPU, RAM и
канала
Есть загрузка физических
ресурсов
сайт
Новостная сенсация
Расширение канала
Нет новостной сенсации
Центр очистки
Нет загрузки физических
ресурсов
Ресурсы устойчивы к
всплеску
Нет нарушения границ
допустимой области
Нет действий