Analiza pakietów: jak robić to w SIEM MicroFocus/HPE ArcSight?

SIEM to świetne rozwiązanie i stało się z czasem ważnym narzędziem w arsenale bezpieczeństwa IT. Jednak najwyższa pora pomyśleć o zwiększeniu podstawowych funkcjonalności. Dlaczego? Bo obecnie wiodącym trendem jest analiza pakietów, która daje większą wiedzę, więcej danych i pozwala bardziej efektywnie rozpoznawać zagrożenia. W tekście pokażemy jak analizować pakiety w SIEM MicroFocus/HPE ArcSight.

Rozbudowa, czy też rozszerzenie funkcjonalności SIEM MicroFocus/HPE Arcsight jest możliwa dzięki integracji tego rozwiązania z RSA Netwitness Network. Wbrew pozorom oba rozwiązania świetnie się ze sobą „dogadują” i doskonale się uzupełniają.

Analiza pakietów w SIEM MicroFocus/HPE ArcSight

Integracja MicroFocus/HPE ArcSight’a z RSA Netwitness Network jest możliwa w bardzo zbliżonym zakresie jak z IBM QRadar. Rozwiązanie RSA Netwitness Network wzbogaca SIEM MicroFocus/HPE ArcSight m.in. o:

  • alerty pojawiające się w oparciu o reguły stworzone w silniku ESA,
  • alerty w oparciu o silnik raportowania
  • potężne możliwości inwestygacyjne z poziomu ArcSight.

Przekłada się to na znaczący wzrost ilości i rodzajów zapytań dzięki kombinacji RSA Netwitness i ArcSight pogłębiając i wyostrzając obraz, jaki widzimy w naszej infrstrukturze

Na poniższym screenie drobna próbka możliwości obszarów zapytań po połączeniu obu rozwiązań.

Analiza pakietów w SIEM MicroFocus HPE ArcSight


Jak wygląda integracja?

Sposoby integracji SIEM MicroFocus/HPE ArcSight z RSA Netwitness Network:

  1. Przekazanie alertów z RSA Netwitness Network ESA do MicroFocus/HPE ArcSight

Na poziomie RSA Netwitness Network, a dokładnie w samym silniku korelacyjnym ESA (Event Stream Analysis) budujemy reguły korelacyjne bazujące na ruchu sieciowym. Alerty wyzwolone przez reguły przekazywane są do ArcSight’a, gdzie odbywa się obsługa incydentu lub alertu. Alert wysyłany jest poprzez notyfikacje w formacie CEF do konektora ArcSight Syslog SmartConnector.

 

  1. Przekazanie alertów z RSA Netwitness Network Reporting Engine do MicroFocus/HPE ArcSight

Integracja RSA Netwitness SIEM MicroFocus HPE ArcSight
Bardzo podobny do opisanego wyżej, jednak w tym przypadku komponentem wzbogacającym o alerty nie jest silnik korelacyjny, a silnik raportowy. Informacje także przekazywane są do konektora ArcSight Syslog SmartConnector w formacie CEF.

 

  1. Prawy przycisk myszy do RSA Netwitness Network

Prawy przycisk myszy – z poziomu ArcSight’a pozwala na przełączenie się podczas przeprowadzania analizy z konsoli ArcSight’a do konsoli platformy RSA Netwitness. Zapytania, jakie możemy wykonać mogą bazować na rozbudowanej liście pól:

  1. Filename
  2. SessionID
  3. Source Address (IP)
  4. Destination Address (IP)
  5. Source Address (IP) and Destination Address (IP) Combination
  6. Source Address (IP) and Destination Hostname Combination
  7. Source Address (IP) and Destination TCP/UDP Port Combination
  8. ESA Alert originating event callback (using Decoder ID, RID & SessionID)

Prawy przycisk myszy Integracja RSA Netwitness SIEM MicroFocus HPE ArcSight

Funkcjonalność Right-Click Lookup w przypadku integracji MicroFocus/HPE ArcSight jest całkiem dobrze przygotowana i bazuje na wartościach pól najczęściej wykorzystywanych przy wykonywania inwestygacji.

Right-Click Lookup integracja RSA NEtwitness i MicroFocus HPE ArcSight

Analiza pakietów – po co to robić?

Zacznijmy od procentów. Wg. Verizon Breach Report 99% skutecznych cyberataków przechodzi niezauważone w logach. Przekłada się to na to, że 83% cyberataków odkrywa się po tygodniach od ich przeprowadzenia, 67% po miesiącach, a około 5% pozostaje niewykrytych przez lata. Dlatego nasuwa się oczywisty wniosek, że trzeba odejść od log-centrycznych SIEM.

To odejście od log-centryczności jest proste bo i integracja RSA Netwitness Network z MicroFocus/HPE Arcsight jest prosta. Sprowadza się jedynie do przygotowania odpowiedniej konfiguracji, ewentualnie doinstalowania niezbędnych aplikacji lub zbudowania menu kontekstowego. Nie wiąże się z przebudową architektury, zmianą funkcjonalności systemu czy innymi ograniczeniami.

System klasy SIEM może dalej pełnić swoje funkcje w pełnym zakresie, a integracja z RSA Netwitness Network zwiększy obszary i możliwości inwestygacji i analizy incydentów, jak opisaliśmy to wyżej. W każdym przypadku jesteśmy w stanie zintegrować oba systemy o alerty generowane przez reguły analizujące ruch sieciowy, a także o informację płynące z silnika raportowania wzbogacając o te informacje system SIEM. Dodatkowo odpowiednia integracja pozwoli analitykowi na szybkie przełączanie się miedzy konsolami z automatycznym przeniesieniem zakresów wyszukiwania.

W efekcie będziemy w tym 1% organizacji, które nie przeoczą cyberataku bo będą widzieć więcej niż tylko to co można znaleźć w logach. Korelacja zdarzeń pomiędzy logami, pakietami, endpointami daje pogłębiony obraz rzeczywistości. Wyższy poziom wiedzy co w sieci piszczy to wyższy poziom bezpieczeństwa.

Analiza pakietów, w Twoim SIEM MicroFocus/HPE ArcSight?

Jeśli jesteś użytkownikiem MicroFocus/HPE Arcsight i choć trochę zainteresowaliśmy Cię tym tekstem skontaktuj się z nami. Na spotkaniu opowiemy więcej zarówno o analizie pakietów i korzyściach z nią związanych, jak i samej integracji MicroFocus/HPE Arcsight z RSA Netwitness Network.

 

2018-11-27T10:41:29+00:002018/11/27|
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <