Сбор и обработка журналов и NetFlow

Данные журналов, генерируемые каждым устройством и приложением в сети, а также данные NetFlow, которые отслеживают сетевой трафик, предоставляют информацию о сетевой активности, что делает их основными источниками входных данных для решений по управление информационной безопасностью и событиями безопасности (SIEM)

Решение SIEM собирает, хранит и анализирует эту информацию для получения более глубокого понимания поведения сети, обнаружения угроз и заблаговременного предотвращения атак. В этой статье будут рассмотрены некоторые методы, используемые для сбора и обработки этой информации.

Как собираются журналы?

Журналы собираются со всех устройств, таких как базы данных, маршрутизаторы, межсетевые экраны, серверы, устройства IDS/IPS, контроллеры доменов, рабочие станции и приложения.

Сбор журналов может осуществляться двумя способами:

• Сбор журналов без использования агента

  Сбор журналов без использования агента является основным методом, используемым решениями SIEM для сбора журналов. При использовании этого метода данные журнала, генерируемые устройствами, автоматически и безопасно отправляются на сервер SIEM. Нет необходимости в дополнительном агенте для сбора журналов, что снижает нагрузку на устройства.

• Сбор журналов с использованием агента

  Для сбора журналов таким способом необходимо развернуть агент на каждом устройстве, которое может генерировать журналы. Этот метод может помочь отфильтровать журналы при их сборе на основе определенных параметров. Агенты также потребляют меньше полосы пропускания и ресурсов и помогают предоставлять отфильтрованные и структурированные данные журналов. Этот метод применяется, когда устройства находятся в защищенной зоне, где связь ограничена, а отправка журналов на сервер SIEM затруднена.

Как собираются данные NetFlow?

Сбор данных NetFlow подразумевает сбор информации об IP-трафике, в основном следующие данные:

• Исходный IP-адрес
• IP-адрес назначения
• Доступ к портам
• Использованные службы
  И многое другое.

Сбор данных NetFlow осуществляется с помощью сборщика NetFlow, который также регистрирует временные метки, запрошенные пакеты, входные и выходные интерфейсы IP-трафика и многое другое. Процесс сбора данных NetFlow включает в себя сбор данных NetFlow и анализ данных с помощью сборщиков NetFlow на предмет скорости полосы пропускания, использования ресурсов, передачи и приема в сети. Основные функции сборщиков NetFlow включают сбор потоковых данных, передаваемых с использованием протокола пользовательских дейтаграмм (UDP) с устройств с поддержкой NetFlow, а также фильтрацию собранных данных для уменьшения их объема. Простой протокол управления сетью (SNMP) собирает информацию о трафике в каждой точке наблюдения в сети. Этот метод сбора данных доступен на всех устройствах, имеющих порт Ethernet, а данные отслеживаются и анализируются для выявления аномалий и предотвращения угроз.

Обработка журналов

Ниже перечислены различные методы, используемые для обработки журналов.

Анализ журналов

Анализатор может принимать неструктурированные необработанные данные журнала и форматировать их, группируя схожие данные по соответствующим атрибутам. Анализ упрощает извлечение и поиск журналов. Каждое решение SIEM включает в себя несколько анализаторов для обработки собранных данных журналов.

Нормализация журналов

Нормализация - это процесс сопоставления только необходимых данных журнала с соответствующими атрибутами, которые может настроить администратор ИТ-безопасности. Для отслеживания важных действий в сети журналы необходимо нормализовать. Нормализация журнала может помочь отличить регулярные и нерегулярные действия в сети.

Индексация журналов

Нормализованные данные журнала разделяются и хранятся в файлах, содержащих индексированную информацию журнала; администраторы могут применять запросы к индексированным данным для ускорения процесса поиска. Администратор сети может настроить решения SIEM для записи данных по определенному индексу для облегчения их поиска и интерпретации.

Анализ журналов

Сопоставление данных журналов помогает определить, соответствуют ли различные источники журналов одному конкретному событию, которое угрожает безопасности сети. Криминалистические отчеты помогают установить, где именно сеть была скомпрометирована и как была осуществлена атака. Аналитика журналов играет важную роль в понимании поведения пользователей и обнаружении угроз, а также помогает предотвратить атаку до ее совершения.