10 стратегий первоклассного SOC (перевод гайда MITRE)

Стратегия 6. Часть 5. Мониторинг и защита узлов. Практика и рекомендации

Мониторинг и реагирование на хостах заказчика – незаменимый инструмент при условии эффективного использования. Есть ряд моментов, которые важно учитывать при рассмотрении вопроса о развертывании и использовании различных хостовых инструментов, о которых шла речь в разделе 8.3. Для достижения наилучших результатов стоит учесть следующее:

Мониторинг и защита на базе хоста – не панацея

Некоторые SOC для получения необходимого финансирования или полномочий вынуждены расхваливать возможности перед высшим руководством. Когда речь заходит о каком-либо защитном инструменте, управление ожиданиями ИТ-руководителей является сложной задачей. И для хостовой системы предотвращения второжений эта проблема кажется особенно острой. У многих руководителей создается впечатление, что с развертыванием средства под названием «хостовая СОВ» узлы становятся полностью «защищены» и «все хорошо».

More

Стратегия 6. Часть 4. Мониторинг и защита узлов

8.3 Мониторинг и защита узлов

У сетевых датчиков множество достоинств – один датчик может дать информацию о ситуации и сообщить о потенциальных инцидентах в тысячах систем. Но они дают информацию только на уровне сетевого трафика. Чтобы расширить обзор и охват, полезно оборудовать конечные узлы различными инструментами обнаружения и блокировки.

Данные, предполагающие, подтверждающие и уточняющие присутствие и проникновение злоумышленника, лучше всего обнаруживаются посредством мониторинга и анализа контента конечных хостов. Более того, реагирование на инциденты часто включает в себя непосредственную работу на конечных узлах и этот процесс может занимать часы, дни, недели или даже больше. Рассмотрим организацию с хорошо оборудованными компьютерами и серверами, которые не только сообщают о признаках и предоставляют исчерпывающий контекст вторжения, но и обеспечивают автоматические ответные действия.

More

Стратегия 6. Часть 3. Анализ трафика, данные и метаданные.

8.2.3 Данные NetFlow

IDS просматривает весь контент сетевого трафика, однако нужна возможность просуммировать весь сетевой трафик, не оказывая большого воздействия на производительность. Дополнением к оповещениям IDS служат записи NetFlow (часто упоминаются как потоки). В отличие от записи или анализа всего содержимого соединений, запись потока содержит краткий обзор каждого сетевого соединения. Исходно стандарт NetFlow был разработан компанией Cisco, но теперь используется в различных сетевых устройствах и ПО и является стандартом Internet Engineering Task Force.

Устройство, генерирующее данные NetFlow, можно сравнить с регистратором телефонных звонков. Регистратор — это устройство, которое фиксирует все входящие и исходящие телефонные звонки по определенной линии, включая время, продолжительность, номера телефонов абонентов.

More

Стратегия 6. Часть 2. Мониторинг сетей

8.2 Мониторинг сетей

В большинстве SOC система обнаружения инцидентов и сбора данных по ним опирается на набор сетевых сенсоров, размещенных в инфраструктуре заказчика. Для осуществления качественного сетевого мониторинга аналитику необходимы три элемента:

  1. Начальное срабатывание сигнатурной или поведенческой системы обнаружения вторжений (СОВ, IDS). Сюда же входит возможность использования пользовательских сигнатур и доступ к полному описанию той сигнатуры или поведения, которое сработало (например, синтаксис сигнатуры).
  2. Данные NetFlow, отражающие сводку по взаимодействиям узлов, перечисленных в срабатывании, за несколько дней или недель до и после срабатывания.
  3. Захват пакетов, которые спровоцировали срабатывание, желательно полной сессии в формате libpcap (PCAP).

More

Стратегия 6. Часть 1: Максимизировать пользу от закупленных технологий

Первые SOC, появившиеся в 1990-х, работали с относительно небольшим количеством не очень сложных инструментов, в основном это были сетевые и хостовые IDS. Со временем рынок средств защиты сильно расширился так же, как и тактика, техника и процедуры (TTP) противника, его ресурсы и мотивация. Сегодня SOC должен использовать широкий спектр возможностей для выполнения своей миссии, что делает защиту сети гораздо более дорогостоящей, чем ранее. Нет ни одного инструмента, который делал бы все. Каждый имеет свои ограничения, и при этом должен взаимодействовать с другими инструментами в сложной архитектуре, поддерживающей комплексный мониторинг и расширенную аналитику.

Далее речь пойдет об инструментах, которые должны быть знакомы даже специалистам с небольшим опытом в защите сетей.

More