Анализ логов Cisco устройств c помощью Splunk Cisco Security Suite
Cisco и Splunk являются партнерами, причем как Cisco использует в своей работе Splunk [1], так и Splunk модернизирует свои решения для того, чтобы его клиенты могли легко работать с данными, генерируемыми устройствами Cisco.
В рамках партнерства Cisco и Splunk реализовано уже более пяти десятков решений [2], позволяющих оперативно получать ценную информацию из данных, генерируемых устройствами Cisco. В этой статье мы хотим рассказать о приложении Cisco Security Suite [3], с помощью которого можно проводить анализ событий ИБ в реальном времени, исходящих от различных устройств Cisco. Cisco Security Suite объединяет в себе панели мониторинга событий брандмауэров Cisco ASA, PIX и FWSM, прокси-сервера Cisco Web Security Appliance (WSA), IPS, Cisco Email Security Appliance (ESA), Cisco Identity Services Engine (ISE) и Cisco Advanced Malware Protection / Sourcefire.
Сбор данных
Для сбора данных, которые в дальнейшем будут обрабатываться в приложении Cisco Security Suite, необходимо установить специальные приложения – аддоны, которые отвечают за сбор данных определенного типа. Для того чтобы использовать все возможность приложения, необходимы следующие аддоны: Cisco ASA [4], ESA [5], Identity Services [6], IPS [7], WSA [8] и eStreamer [9].
Визуализация
Cisco Security Overview
Панель мониторинга Cisco Security Overview просматривает все надстройки Cisco, показывает события в реальном времени по мере их возникновения, а также предоставляет обзор источников и целевых IP-адресов.
Email Security
Панель Email Security строит аналитики по данным, генерируемым Cisco Email Security Appliance (ESA). Рассчитываются количественные характеристики входящих и исходящих сообщений, группируются по типам сообщений: спам, зараженное и обыкновенное сообщение, строятся графики по объему сообщений и др.
Web Security
Раздел Web Security работает на основе Cisco WSA, и позволяет получать информацию о характере трафика, основных угрозах и их источниках.
А также есть дашборды, анализирующие данные на предмет приемлемости трафика для разных целей использования.
Network Security
В данном разделе представлены дашборды с результатами работы файервола и службы eStreamer. На дашборде Firewall Overview показано количество заблокированных/пропущенных событий, указаны причины блокировки, источники и назначения событий.
Для службы eStreamer создано несколько дашбордов, в которых можно найти информацию по политикам, хостам, сенсорам, потокам и др.
Identity Services
Cisco Identity Services является платформой для управления процессами идентификации и контроля доступа. Благодаря данным, полученным в режиме реального времени из сетей, от пользователей и устройств, возможно принимать упреждающие решения по предоставлению доступа. Все события предоставления доступа разделяются на соединения по проводным сегментам сети, беспроводным сегментам сети и подключениям удаленного доступа.
Заключение
На самом деле, приложение (в полной «комплектации») включает в себя больше 50 дашбордов, поэтому мы привели скриншоты далеко не всех. Чтобы узнать больше об этом приложении, можно дополнительно посмотреть специальное демо-видео [10].
Спасибо за уделенное время!
Если вам интересна эта тема или Splunk в целом, то пишите комментарии, мы будем рады вам ответить. Также в нашем блоге [11] есть множество других статей, которые касаются Splunk и могут помочь вам узнать много интересного про реализованные кейсы, функционал и многое другое. Подписывайтесь в нашу группу VK [12] и канал Telegram [13], если хотите быть в курсе новых статей. Также можете написать нам запрос через форму на нашем сайте [14].
P.S.
Cisco Threat Hunting Workshop
21-го июня в Санкт-Петербурге пройдет семинар "Cisco Threat Hunting Workshop [15]", который проведет инженер-консультант компании Cisco Василий Томилин. Почитать более подробно об этом мероприятии и зарегистрироваться можно здесь [15]. Участие бесплатное. Количество мест ограничено.
Splunk Getting Started
А также, 28 июня в Москве будет проводиться обучение "Splunk Getting Started [16]", на котором за 6 часов участники получат теоретическую базу и практические навыки по работе в Splunk. Узнать об обучении больше и зарегистрироваться можно по этой ссылке [16].
Автор: JuliaKoroleva
Источник [17]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/283370
Ссылки в тексте:
[1] Cisco использует в своей работе Splunk: https://www.youtube.com/watch?v=FEAv1OIW_Gw
[2] пяти десятков решений: https://splunkbase.splunk.com/apps/#/search/Cisco/
[3] Cisco Security Suite: https://splunkbase.splunk.com/app/525/
[4] Cisco ASA: https://splunkbase.splunk.com/app/1620/
[5] ESA: https://splunkbase.splunk.com/app/1761/
[6] Identity Services: https://splunkbase.splunk.com/app/1915/
[7] IPS: https://splunkbase.splunk.com/app/1903/
[8] WSA: https://splunkbase.splunk.com/app/1747/
[9] eStreamer: https://splunkbase.splunk.com/app/1629/
[10] демо-видео: https://www.youtube.com/watch?v=2L_CqZmrPrk
[11] в нашем блоге: https://habr.com/company/tssolution/
[12] VK: https://vk.com/ts_solution
[13] Telegram: https://t.me/tssolution
[14] сайте: https://tssolution.ru/splunk/
[15] Cisco Threat Hunting Workshop: http://tssolution.tilda.ws/cisco_workshop_obuchenie
[16] Splunk Getting Started: http://tssolution.tilda.ws/study-splunk
[17] Источник: https://habr.com/post/414389/?utm_campaign=414389
Нажмите здесь для печати.