Niezwykle mocno doceniamy SIEM, przy dobrej konfiguracji z innymi systemami zabezpieczeń może stanowić (i najczęściej tak jest) serce całej infrastruktury obronnej. Jednak ochrona nie będzie pełna jeśli nie wykorzystamy nowości funkcjonalnej, jaką daje analiza pakietów. W tym artykule przedstawimy, jak to wygląd w przypadku SIEM Splunk.

Na początek jednak warto wskazać, gdzie umiejscowiony jest moduł analizy pakietów. W laboratorium Mediarecovery preferujemy rozwiązanie RSA NetWitness. Dlaczego? Bo jest bezkonkurencyjne na rynku. Powstało wiele lat temu, jeszcze jako samodzielne rozwiązanie wyspecjalizowane w analizie pakietów, a po pewnym czasie cała firma została kupiona i włączona do arsenału RSA.

SIEM Splunk - przedstawienie architektura IT SEC

Jak wdać na powyższej grafice analiza pakietów ma precyzyjnie określone miejsce w infrastrukturze rozwiązań bezpieczeństwa IT. Gdybyśmy usunęli ją ze schematu łatwo dostrzeżemy „dziurę” w całym systemie i przekonamy się, że bez RSA NetWitness jesteśmy narażeni na przeoczenie istotnych danych mających znaczenie jeśli chcemy w swojej organizacji zachować wyższy poziom bezpieczeństwa.

Oczywiście, grafika przedstawia optymalną konfigurację najważniejszych systemów zabezpieczeń i zdajemy sobie sprawę, że w nie każdej organizacji wygląda to w ten sposób. Dla uproszczenia załóżmy, że jeśli masz SIEM Splunk to miejsce i potrzeba dla RSA NetWitness jest. Zresztą RSA Netwintess integruje się nie tylko ze Splunk. O tym jak to wygląda w przypadku MicroFocus/HPE ArcSight pisaliśmy tutaj, a jak wygląda to w przypadku QRadar przeczytasz w tym artykule.

Czy widzisz wszystko co trzeba w swojej sieci?

Prawdopodobnie nie. Jak wynika z badania „RSA Threat Detection Effectiveness Global Benchmarks 2016” jedynie 24% organizacji jest zadowolonych z obecnych możliwości wykrywania i badania zagrożeń z użyciem danych i narzędzi, jakie mają do dyspozycji. Ale jak pozostałe 76% może być zadowolone jeśli do dyspozycji mają co najwyżej analizę logów? To zdecydowanie za mało żeby wiedzieć co w sieci piszczy.

Dlatego tak optujemy za poszerzeniem możliwości wykrywania zagrożeń poprzez analizę pakietów. Zapewni to natychmiastową widoczność, wykrywanie, a także przyspiesza czas reakcji na incydent. Dodatkowy plus stojący za RSA Netwintess Network to tzw. analityka behawioralna w czasie rzeczywistym. Technologia jest opatentowana przez RSA zatem nie znajdziemy jej w żadnym innym rozwiązaniu. Włączając analizę pakietów w swoim SIEM uzyskasz pełną widoczność zagrożeń dla ruchu lokalnego, w chmurze i środowiskach wirtualnych.

Integracja RSA NetWitness z SIEM Splunk

No dobrze, a jak to wygląda w praktyce? Czy wiązać się będzie dużym nakładem sił, czasu i środków? Nie. Zresztą zobacz sam.

Integracja SIEM Splunk z RSA NetWitness Network możliwa jest w rozszerzonym zakresie. Wykorzystanie Context Menu Action po stronie RSA NetWitness pozwala na przełączanie się do konsoli Splunk na podstawie mapy pól. Wybór akcji po stronie RSA NetWitness np. na polu „źródłowy adres IP” przeniesie nas do konsoli Splunk:

Okno dialogowe integracja RSA Netwitness z SIEM Splunk

Podobną akcję ale w drugą stronę, czyli z konsoli Suplnk’a do RSA NetWitness Network także jesteśmy w stanie przygotować instalując i konfigurując aplikację:

Okno dialogowe integracja Suplnk’a do RSA Netwitness Network

Jest również możliwa integracja na poziomie przekazywania alertów z silnika korelacyjnego i raportowego RSA NetWintess. Pisaliśmy o tym na przykładzie IBM QRadar i HPE ArcSight więc nie będziemy się powtarzać.

Niezbędne będzie również przygotowanie szablonów powiadamiania dla silników korelacyjnego i raportowania, a także zbudowanie odpowiednich akcji po stronie RSA NetWitness w Context Menu Action i zainstalowanie oraz konfiguracji aplikacji po stronie Splunk’a.

Dwa sposoby integracji do wyboru

Jak już wspomnieliśmy integrację możemy wykonać na dwa sposoby. Pierwszy z nich poprzez RSA NetWitness Contex Menu Action. Umożliwia ona przełączanie się z widoku metadanych w RSA NetWitness do ekranu wyszukiwania w Splunk bazując na konkretnym polu w RSA NetWitness i mapowaniu na pole w Splunk. Możemy zbudować kilka akcji osadzonych w menu kontekstowym w zależności od typów pól. Wyszukiwanie w Splunk może odbywać się także na całym zbiorze danych bez szczegółowego zapytania o wartość w polu.

Drugi sposób to przełączenie z konsoli Splunk do RSA NetWitness. Pozwoli to wyszukać konkretne szczegóły ruchu sieciowego dla podanych parametrów. Integracja jest bardzo podobna jak wykorzystanie Context Menu Action w RSA NW. W przypadku Splunk bazujemy na dostarczonej aplikacji, która wcześniej została odpowiednio skonfigurowana i zdefiniowaliśmy akcje:

Pokazanie okna dialogowego w którym możemy zobaczyć sposób przełączenia konsoli Splunk do RSA Netwitness poprzez dostarczoną aplikację

Alerty również możliwe w dwóch układach

Mechanizm integracji pozwala nam na zbudowanie reguł korelacyjnych komponencie ESA systemu RSA NetWitness bazujących na ruchu sieciowym. W przypadku wykrycia podejrzanego ruchu sieciowego generowany jest alert który przekazywany jest do Splunk. W drugą stronę działa to o tyle inaczej, że komponentem wzbogacającym o alerty nie jest silnik korelacyjny, a silnik raportowy. Informacje także przekazywane są w formacie CEF.

Okno dialogowe przedstawiające alerty Splunk SIEM

Podsumowanie

Jak widać integracja RSA NetWitness Network z SIEM Splunk jest prosta. Sprowadza się jedynie do przygotowania odpowiedniej konfiguracji, ewentualnie doinstalowania niezbędnych aplikacji lub zbudowania menu kontekstowego. Nie wiąże się z przebudową architektury, zmianą funkcjonalności systemu czy innymi ograniczeniami.

Integracja systemu SIEM z dodatkowym komponentem jakim jest RSA NetWitness Network daje nam dodatkowe możliwości pozwalające na dokładną analizę incydentu, alertu, potencjalnego zagrożenia lub analizy powłamaniowej raz z otworzeniem całego ataku. Dane zbierane, parsowane i normalizowane w postaci kopii ruchu sieciowego pozwalają nam na wykonanie analizy śledczej w przypadku incydentu lub alertu. Jesteśmy w stanie prześledzić na osi czasu pakiet po pakiecie cały ruch sieciowy jaki był związany z anomalią. Uzyskać informację co do wartości w polach w nagłówkach. Poznać nie tylko adresy IP, porty, protokoły, wielkość payloadu, ale także w przypadku rozszyfrowywania danych jego zawartość. Wszystkie te informację są jednoznaczne i zgodne z tym co rzeczywiście miało miejsce w oryginalnym ruchu sieciowym. Z logów tego typu informacji nie uzyskasz. Natomiast system klasy SIEM z którego obecnie korzystasz może być miejscem od którego rozpoczniesz inwestygację.

Chcesz być w gronie 24% zadowolonych?

Jeśli tematyka wydaje Ci się interesująca i chciałbym dowiedzieć się więcej to daj znać. Chętnie o tym pogadamy. Być może wspólnie zrobimy tak, że znajdziesz się w grupie 24% ukontentowanych ze swoich narzędzi.

Analiza pakietów, jako rozszerzenie funkcjonalności SIEM Splunk
5 (100%) 1 oceny