Обзор продукта Juniper Secure Analytics

Junos Secure Analyticsобзор решения NG SIEM

Апрель 2015

Павел Живов

Senior Systems Engineer

Copyright © 2015 Juniper Networks, Inc.


Проблемы при сборе статистики

Переизбыток IT-информации

• Количество событий

• Разнообразие событий

• Количество и разнообразие источников

событий

Анализ данных

• Категоризация событий

• Поиск по событиям и их подробности

• Детектирование аномалий


Решение: Анализ событий безопасности

«Вот все Ваши события.

Изучите их и сообщите если

найдете что-нибудь

подозрительное»

Обычный Log server Secure Analytics

«Из миллиона поступивших сообщений, в первую очередь стоит

уделить внимание этому»


Обычный Log Server и JSA

Log Server Secure Analytics (JSA)

Устройство

безопасностиWebserver

• Веб-сервер уязвим

• Веб-сервер прислал сообщение о сбое

• Подозрительный трафик от Веб-сервера

• Атака с IP-адреса с плохой репутацией

• Атака из подозрительный страны

• События получены от других устройств

безопасности

• …

«APACHE-STRUTS-URI-CMDEXE»

Устройство


«APACHE-STRUTS-URI-CMDEXE»

Функциональная архитектура

OS

КоммутаторыМаршрутизаторы

Сканеры

уязвимостей

Устройства

IPS/IDP Межсетевые

экраныПриложения

КОНТЕКСТ СЕТИ, АКТИВА и УЧЕТНОЙ ЗАПИСИ

КАТЕГОРИИ

НОРМАЛИЗАЦИЯ & КАТЕГОРИЗАЦИЯ

СОБЫТИЯ, ЛОГИ и FLOW

Шаблоны

соответствияОтчетность

Поиск для

расследования

НАРУШЕНИЯ


Что JSA умеет собирать:Сетевые события

– NetFlow v.5/8/9, IPFIX, Jflow, sFlow, Packeteer, Cisco Network Security Event Logging (NSEL), PCAP Syslog

Combination, непосредственный захват пакетов (PCAP)

Журналы безопасности:

– Syslog, WELF (WebTrends Enhanced Log file Format) Syslog, Log Extended Event Format (LEEF),

OPSEC/LEA, Security Device Event Exchange (SDEE), SNMPv2/3, Sourcefire Defense Center Estreamer,

Microsoft Security Event Log, TLS Syslog, Juniper Security Binary Log Collector Protocol, UDP Multiline Syslog,

TCP Multiline Syslog

Журналы ОС, хостов и приложений

– Java Database Connectivity (JDBC), SiteProtector protocol (IBM Proventia), Sophos Enterprise Console JDBC,

Juniper Networks NSM, Microsoft Windows Management Instrumentation (WMI), Microsoft DHCP protocol,

Microsoft Exchange Protocol, Microsoft IIS protocol, SMB Tail, EMC VMWare protocol, Oracle Database

Listener, VMware vCloud Director Protocol, IBM Tivoli Endpoint Manager SOAP,

Интеграция со сканерами уязвимостей

– Automated Vulnerability Detection System (AVDS), eEye REM, eEye Retina CS, Axis, IBM Infosphere Guardium,

SiteProtector, Security AppScan, Tivoli Endpoint Manager, McAfee Foundstone, Vulnerability Manager, nCircle

ip360, Nessus, netVigilance SecureScout, NMap, Qualys QualysGuard, Rapid7 NeXpose, Saint Corporation

SAINT, Tenable SecurityCenter, Microsoft SCCM Scanner, Juniper Profiler NSM Scanner, Positive Technologies

MaxPatrol Copyright © 2015 Juniper Networks, Inc.

Преимущества JSA NG SIEM

Категория

Доверие

Значимость

SIEM первого поколения: Правила & Сопоставление

Статисти-

ческая

корреляция

Корреляция

на основе

правил

Журналы

пользова-

телей

Подозрительные

инциденты

Хосты &

серверы

Системы


Активы

Пассивный

мониторинг

Активный

мониторинг

уязвимостей

Профиль

атакующего

IP по

расположению

Внешние

угрозы

Сетевая

активность

Активность

VM

Активность

пользователейАктивность

приложений

Поведение

сети

Поведение

приложений

История

актива

SIEM следующего поколения: Поведение & Контекст


Сбор логовВнутри системы отображаются как «События»

– Сообщения от различных источников

– Как правило это Syslog сообщения

Device Support Module (DSM)

– Выполняют «разбор» поступивших сообщений

– Конвертируют в стандартный формат JSA

– Исходное сообщение также сохраняется

После категоризации, данные анализируются и сохраняются


Сбор данных о сетевой активностиПотоки

– Netflow, Jflow, sFlow и т.д.

– Захват пакетов

– Обновляет профайлы активов

– Обнаруживает нарушение политик безопасности

– Внутри системы отображаются как «Сетевые события»

Потоки являются записями

– Коллектор поддерживает захват пакетов реального трафика

– Коллектор получает сообщения о потоках от устройств (коммутаторы и т.п.)

– Записи обрабатываются и конвертируются в «Сетевые события»


АктивыПрофайлы активов

– JSA создает профайл каждой системы в сети

– Получение данных для профиля путем пассивного анализа трафика (пакеты, данные xFlow)

– Получение данных для профиля путем активного сканирования узлов сканерами уязвимостей

– Отображение детального информации о сетевой узле (адреса, порты, уязвимости и прочее)

– Привязывает активность пользователей к активам


Поиск уязвимостей (VA)Интеграция со сканерами узлов и уязвимостей

– Сканирование по расписанию и сбор информации об узлах сети и найденных

уязвимостях

– Собранные данные обновляют профайлы активов списком найденных уязвимостей

– Правила корреляции сопоставляют информацию с данными от IDP & IPS


Информация об учетной записиЧто является «информацией об учетной записи»?

– Информация о хосте или пользователей, полученная из журналов (логов)

– Используется для идентификации нарушителей в случае инцидента

– Информация содержится и обновляется в профайле актива


ОтчетностьОтчеты

– Тысячи шаблонов отчетов «из коробки»

– Полностью настраиваемые отчеты:

создание, стили, время, данные

– Выполнение однократное или по

расписанию: ежедневно, еженедельно и

т.д.

– Шаблоны отчетов на соответствие

стандартам PCI, SOX, FISMA, GLBA &

HIPAA

– Отчеты на основе структур управления:

NIST, ISO & CoBIT

– Экспорт в PDF, HTML, RTF, XML,

Excel XLS

– Отчеты можно открывать из консоли и

отправлять по эл.почтеCopyright © 2015 Juniper Networks, Inc.

Правила корреляции– Более 150 правил «из коробки»

– Широкие возможности по созданию собственных правил


Правила корреляцииПравила детектирования аномалий

– Аномалии (детектирование нетипичной

активности)

– Пороговые (проверяет нахождение значения в заданных пределах)

– Поведенческие (тестирует изменение объемов событий и трафика)

Пользовательские правила

– Параметров События

– Параметров Flow

– Общее

– Параметров Нарушения (Offence)

Строительные блоки (Building Blocks)

– Правила, которые используются как

переменные в других правилах,

не генерируют никакой реакцииCopyright © 2015 Juniper Networks, Inc.

Правила корреляцииРеакции JSA в случае срабатывания правила

– Создать Нарушение

– Отправить письмо по электронной почте

– Отправить SNMP Trap*

– Отправить сообщение Syslog

– Отправить событие во внешнюю систему

– Опубликовать на внешнем IF-MAP сервере*

– Создать системное уведомление с

отображением на Главной панели

– Добавить данные в Набор Данных

– Добавить данные в Коллекцию Данных

– Изменения значений Severity, Credibility,

Relevance

– Изменение категории события

– Изменение подкатегории события

*-доступны если сделаны соответствующие системные настройки Copyright © 2015 Juniper Networks, Inc.

АвтоматизацияАвтоматизация

– Работает из коробки: более 150 правил,

900+ распознаваемых приложений

– Источники сообщений обнаруживаются автоматически

как только они начинают отправлять сообщения в

адрес JSA

– Тип источника сообщений (производитель, продукт,

протокол) определяется автоматически

– Если тип определить не удалось применяется общая

схема DSM

Обновления

– JSA автоматически обновляет схемы DSM, добавляет

новые DSM, обновляет и добавляет правила

– В случае отсутствия прямого подключения к Интернету

(или если это запрещено политикой безопасности)

обновления могут производится с внутреннего

сервера, который настраивается как AutoUpdate-

сервер


Приоритезация и удаление лишнего24 часа сетевой активности

2.7МБ логов

После корреляции источников данных

отображается 129 инцидентов

STRM

Инцидент – история атаки или

нарушения с полным контекстом о

сопутствующих событиях в сети,

информации об активах и

пользователях

Нарушения приоритезируются по степени

воздействия на деловые процессы

компании


Пример: Детектирование сложных атак

Звучит пугающе…Как узнать истинную причину?

Ответ можно получить после

пары кликов мышкой

Переполнение буфераПопытка Эксплоита обнаружена Snort

Сканирование узловОбнаружено модулем QFlow

Уязвимый узелОбнаружен сканером Nessus

Интеллектуальность информационной безопасностиКонвергенция данных о Сети, Событиях и Уязвимостях


Пример: Мониторинг действий пользователей

Неудачные попытки аутентификации

Возможно, пользователь просто забыл

свой пароль?

Попытка подбора пароля (Brute Force)

Множественные неудачные попытки входа

из под нескольких учетных записей

Получен доступ к узлу

Последующее получение доступа к узлу

Автоматически обнаружено JSA без какой-

либо настройки со стороны администратораCopyright © 2015 Juniper Networks, Inc.

Пример: Кастомизация поискаИспользование любого атрибута сообщений в правилах, отчетах

– Выбираем интересующий тип сообщений

Пример: Кастомизация поиска Использование любого атрибута

сообщений в правилах, отчетах

– Извлекаем свойство (Extract Property)

Пример: Кастомизация поиска Использование любого атрибута сообщений

в правилах, отчетах

– Задаем имя для свойства

– Задаем выражение поиска regexp

– Проверяем, что в сообщении Syslog

выражение regexp находит нужное значение

– Сохраняем

Пример: Кастомизация поискаИспользование любого атрибута сообщений в правилах, отчетах

– Выполняем поиск в сообщениях Syslog с группировкой по сохраненному новому свойству

Пример: Интеграция с Juniper SecIntelПоддержка RESTful API позволяет интегрироваться с внешними системами

– Подозрительная активность от хоста в недоверенной сети


JSAJuniper Firewall

Недовереннаясеть

Junos Space

Security Director & Spotlight Connector

Juniper IDS


– IDS обнаруживает подозрительную активность и извещает JSA


JSAJuniper Firewall


Junos Space


Juniper IDS


– JSA извлекает данные о Source IP и передает в Junos Space Spotlight Connector


JSAJuniper Firewall


Junos Space


Juniper IDS


– Junos Space Spotlight Connector извещает межсетевые экраны об адресе, который необходимо

заблокировать


JSAJuniper Firewall


Junos Space


Juniper IDS

Варианты развертывания«Все-в-одном»

JSA 5000 EP or FP

EX Series Virtual Chassis

Устройства SRX

JSA3800

Flow Data и System LogSystem Log


Одно устройство или виртуальная машина обеспечивают сбор логов и потоков

Весь функционал обеспечивается одним устройством или виртуальной машиной

Варианты развертыванияРаспределенное


JSA3800

Локальный EP/FPJSA VM

Локальная

обработка событий

JSA VM

Локальная

обработка потоков

Консоль JSA

Коллекторы событий и/или потоков размещаются в требуемых точках

Распределенный сбор информации разгружает каналы

Выделенная консоль получает агрегированную информацию от локальных коллекторов

Консоль обеспечивает единый интерфейс JSA

Данные между коллектором и консолью сжимаются. Происходит передача только мета-данных.

Коллектор продолжает сбор информации при потере связи с консолью

К консоли можно подключить 250 Event Processors

Поиск и Отчеты производятся на основе данных от всех коллекторов

Настраиваемые политики хранения позволяют хранить ценные данные (логи, потоки) дольше, чем стандартные

Все-в-одном

Макс. Events Per

Second (EPS) при

распределенном

развертывании

Макс. Flows Per

Minute (FPM)

при



Макс. комбо (EPS

+ FPM) при



Как консоль при



JSA

виртуальная

машина

Combo: Max 1K EPS &

50K F/min

Event: Max 1K EPS 20K 600K Нет Да

JSA3800-

BSE

Combo: Max 2.5k EPS &

50k F/min

Event: Max 5k EPS 5K 100k

2.5k EPS + 50k

FP Нет

JSA5800-

BSE

Combo: Max 5k EPS &

200k F/min

Event: Max 10k EPS 20K 600K Нет Да

JSA7500-

BSE Нет 30K 1.2M Нет Да

JSA Series Secure Analytics:производительность и масштабируемость


Продукты серии JSA

JSA3800

JSA5800

JSA7500

10,000 EPS

600,000

Малые и

средние

предприятия

События:

Потоки:

5000 EPS

100,000

30,000 EPS

1.2 Млн.

JSA VM

1,000 EPS

50,000

20,000 EPS

600,000

JSA EC JSA FC

JSA5800

JSA EC

JSA FC

Большие

предприятия

и

провайдеры

20,000 EPS

600,000

JSA VM

JSA VM EC

JSA VM FC


Высокая доступность– Возможность резервирования каждого устройства JSA (консоль,

EP, FP)

– Резервный узел синхронизирует базу данных Основного узла

– Резервное устройство кластера осуществляет мониторинг

Основного устройства и/или других узлов инсталляции


Juniper SRX

Основной узел

Резервный узел

Консоль JSA

VIP

данные

синхронизация

Высокая доступностьПереключение на Резервный узел в случае:

– Пропадания отклика от Основного узла

– Основной узел теряет связность с другими сетевыми узлами о чем сообщает

Резервному (Резервный узел проверяет связность и при ее наличии

переключает VIP на себя)

– Отказа интерфейса управления Основного узла

– Отказа RAID-массива Основного узла

– Отказа блока питания Основного узла


Основной узел Резервный узел

Неуспешные

Ping

Успешные

Ping

1 24

3Запрос Ping

Управляемый

узел


узел


узел

Высокая доступностьВарианты хранения данных:

– Использование локального RAID – данные синхронизируются

между Основным и Резервным узлами

– Использование внешнего хранилища iSCSI или NFS


Juniper SRX

Основной EP

Резервный EP

Консоль JSA

VIP

данные

синхронизация

iSCSI или NFS

Ключевые преимущества JSA

Уменьшение стоимости владения OPEX– Централизованный сбор событий и данных о потоках

– Работает «из коробки»

– Поддержка «из коробки» большинства производителей

Соответствие требованиям стандартов– Поставляется с предустановленными отчетами COBIT, FISMA, GLBA,

GSX-Memo22, HIPAA, NERC, PCI и SOX.

Визуализация– Поддержка графиков, панелей инструментов, отчетов для любого события

– Сбор данных о потоках позволяет действовать проактивно

Детектирование угроз– Модуль аналитики обнаруживает нарушения и аномалии

– Встроенная поддержка GeoIP и источников данных о репутации

Масштабируемость– До 7 000 000 EPS на одну консоль

– Распределенный сбор данных о событиях и потоках


СПАСИБО!

Education

Обзор продукта Juniper Secure Analytics