Mentat, systém pro zpracování informací z bezpečnostních nástrojů. Jan Mach

Podobné dokumenty
Projekt SABU. Sdílení a analýza bezpečnostních událostí

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Strategie sdružení CESNET v oblasti bezpečnosti

Efektivní sdílení informací

SOC e-infrastruktury CESNET. Andrea Kropáčová CESNET, z. s. p. o.

Zpracování dat z bezpečnostních nástrojů

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Efektivní sdílení informací

CESNET Day. Bezpečnost

CESNET Day. Bezpečnost

SÍŤOVÁ INFRASTRUKTURA MONITORING

Projekty a služby sdružení CESNET v oblasti bezpečnosti

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

CESNET Day. Bezpečnost

Václav Bartoš. Meeting projektu SABU , Vranovská ves

CESNET Day AV ČR. bezpečnostní služby & infrastrukturní služby

Seminář o bezpečnosti sítí a služeb

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Monitorování datových sítí: Dnes

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Flow Monitoring & NBA. Pavel Minařík

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

FlowMon Monitoring IP provozu

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Koncept. Centrálního monitoringu a IP správy sítě

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Firewall, IDS a jak dále?

Systém detekce a pokročilé analýzy KBU napříč státní správou

Inteligentní analýza bezpečnostních událostí (iabu)

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Network Measurements Analysis (Nemea)

Firewall, IDS a jak dále?

Sledování provozu sítě

Služby e-infrastruktury CESNET

Bezpečnost aktivně. štěstí přeje připraveným

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Rozvoj IDS s podporou IPv6

Co vše přináší viditelnost do počítačové sítě?

Role forenzní analýzy

Zpracování dat v AVG backendech. Antonín Karásek Jarek Jarcec Čecho

Nástroje pro korelace a vyhodnocování bezpečnostních událostí

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Bezpečnost síťové části e-infrastruktury CESNET

CESNET & Bezpečnost. CESNET, z. s. p. o. Služby e-infrastruktury CESNET

FR CESNET Závěrečná zpráva

Kybernetické hrozby - existuje komplexní řešení?

Jiří Vařecha

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Koncept BYOD. Jak řešit systémově? Petr Špringl

Flow monitoring a NBA

FlowMon Vaše síť pod kontrolou

Aktivní bezpečnost sítě

Inteligentní NetFlow analyzátor

Jak využít NetFlow pro detekci incidentů?

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

SIEM a 6 let provozu Od požadavků ČNB přes Disaster Recovery až k Log Managementu. Peter Jankovský, Karel Šimeček, David Doležal AXENTA, PPF banka

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Sledování IP provozu sítě

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

PB169 Operační systémy a sítě

Koncept centrálního monitoringu a IP správy sítě

Kybernetické hrozby jak detekovat?

Nadpis 1 - Nadpis Security 2

Xirrus Zajímavé funkce. Jiří Zelenka

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

Projekt JetConf REST API pro vzdálenou správu

Jak se měří síťové toky? A k čemu to je? Martin Žádník

BEZPEČNOSTNÍ MONITORING SÍTĚ

Petr Velan. Monitorování sítě pomocí flow case studies

Datová úložiště CESNET

Úvod. Klíčové vlastnosti. Jednoduchá obsluha

Internet a technologie 09

Lehký úvod do I[DP]S. Ing. Daniel Studený CESNET,

FlowMon chytré české řešení pro bezpečnostní a provozní monitoring sítí. Jiří Tobola, Petr Špringl, INVEA-TECH

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Business Intelligence

CESNET, jeho e-infrastruktura a služby

Služby e-infrastruktury CESNET. Tomáš Košňar CESNET z. s. p. o.

Phishingové útoky v roce 2014

SAP PROCUREMENT DAY SAP CLM (Contract Lifecycle Management) Správa životního cyklu kontraktů. smooth business flow

Výzva k podání nabídky na veřejnou zakázku malého rozsahu na dodávku

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

DATOVÁ ÚLOŽIŠTĚ. David Antoš CESNET

JSEM ELEKTRONICKÁ IDENTITA. VĚŘÍTE MI? Jiří Bořík CESNET Olomouc

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

ZJEDNODUŠENÍ SÍŤOVÉ BEZPEČNOSTI UVNITŘ DATOVÉHO CENTRA. Jaroslav Sedláček network architect

Specifikace funkcionalit bezpečnostního softwaru Varonis

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

IPv6 v CESNETu a v prostředí akademických sítí

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Datová úložiště CESNET

Komunikační infrastruktura. síť CESNET2

Závěrečná zpráva projektu FR CESNET 468R1/2012. Optimalizace správy síťových aplikací a zařízení AMU

Historie, současnost a budoucnost sdružení CESNET. Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o Praha

Transkript:

Mentat, systém pro zpracování informací z bezpečnostních nástrojů Jan Mach mach@cesnet.cz LinuxDays 2016 9.10.2016

CESNET Založen v roce 1996 Členové 26 českých univerzit Akademie věd ČR (~ 50 organizací) Připojujeme ~300 menších organizací (školy, úřady,...) Odhadovaný počet uživatelů ~ 450 000 Hlavní cíle Provoz a rozvoj sítě národního výzkumu a vzdělávání CESNET2 Podpora vědy a výzkumu v oblasti pokročilých síťových technologií a aplikací Podpora a šíření vzdělanosti, kultury a poznání www.cesnet.cz

Bezpečnost CESNET-CERTS (csirt.cesnet.cz, certs@cesnet.cz) Snaha o centrální a důvěryhodný kontaktní bod Řešení a koordinace incidentů v síti CESNET2 Projekty pro podporu bezpečnosti Forenzní laboratoř Sledování provozu sítě IDS, Audit, Honeypoty Mentat, Warden Osvěta Spolupráce s dalšími projekty a týmy (CSIRT.CZ, WIRT ZČU, CSIRT-MU)

Zdroje dat - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..

Začátky Neuspořádaná sbírka nekooperujících nástrojů IDS, honeypoty, IPS, sondy, syslog,... Řadu z nich provozují sami správci (a získávají z nich data jen pro sebe ostatní většinou zahazují) Dat je hodně, co s daty, pro která nemám použití Sledování stavu sítě, zdraví sítě Hledání kompromitovaných zařízení Detekce útoků, anomálií provozu Zahodit? Reportovat? Brilantní nápad: Bude výhodnější sdílet! Méně brilantní detaily: Jak? Formát? Obsah? Protokol? Klasifikace? Politika?

Warden Systém pro efektivní automatizované sdílení informací o bezpečnostních incidentech Client/server architektura, transportní fronta (nikoliv skladiště) Komunitní přístup Tvá data jsou dostupná Warden komunitě Data celé komunity jsou dostupná Tobě BSD licence, https://warden.cesnet.cz/ Událost (event) IDEA formát

Poučení první nejsou lidi Připojené organizace nemají dostatek lidských zdrojů na využití otevřeného komunitního přístupu k systému Nedokáží data odebrat a zpracovat si je. Ale chtějí tato data získávat, data jsou užitečná Je nutné je správcům doručit zpracovaná.

Z hlediska architektury systému Warden je Mentat odebírající klient Framework a SIEM Podpora pro bezpečnostní tým CESNET CERTS Přístup k persistentnímu úložišti bezpečnostních událostí Jednotné zpracování bezpečnostních událostí, korelace, analýzy + Podpora pro správce v koncových sítích https://mentat.cesnet.cz

Mentat - Architektura Prototyp v jazyce Perl, ale postupně přecházíme na Python 3 Design inspirován projekty Prelude SIEM a Postfix Datový model IDEA controller pickup Persistentní úložiště: Distribuovaný hierarchický systém Práce rozdělena mezi více one-task démonů/procesů Fronta = FS storage enricher concentrator MongoDB (NoSQL) Více možností zpracování: Realtime Postprocessing Webové rozhraní Framework hawat hawat-cli statistician reporter-ng backup...

Mentat Reporter Učíme Mentat reportovat: Sebere všechny nové události za poslední 2 hodiny Události rozdělí podle příslušnosti ke koncovým sítím (vytvoří reporty) Kontaktní informace získáváme z RIPE DB (www.ripe.net) Reporty zasílá do koncových sítí (abuse@...) K reportům se přibalí surová data ve strojově zpracovatelné podobě (CSV)

Poučení druhé - kvalita dat Reakce příjemců: Dat je stále mnoho a jsou heterogenní Nedostatečné informace o incidentech Zahlcení množstvím/opakováním (někdy i po vyřešení) Nejasná závažnost incidentu (často závislá na lokální situaci) Problematická data třetích stran Mají různou kvalitu, a různou vypovídací hodnotu Poučení druhé: Nestačí je jen přebalit a rozeslat

Mentat Reporter NG (1) Klíčové vlastnosti nového reportéru vycházejí z nashromážděných připomínek: Pozdržení již nahlášených problémů na určitou dobu Možnost zasílání souhrnných reportů za větší časový interval (den, týden), rozdílné intervaly reportování Nutnost zavedení hodnocení událostí z hlediska závažnosti (velmi závažné události nelze nechat čekat týden) Nutný kompromis mezi co největší agregací a rozumným zpožděním při odeslání hlášení (týden stará data jsou již obvykle naprosto k ničemu)

Mentat Reporter NG (2) Zpracování zpráv s každou úrovní závažnosti zvlášť Algoritmus je konfigurovatelný trojicí period/threshold/relapse Period interval generování reportů Threshold doba, po kterou budou již hlášené události týkající se konkrétní IP adresy zamlčeny Relapse heuristika, která v případě nevyřešení problému zajistí odeslání zamlčených událostí

Mentat Reporter NG (3) Konfigurovatelné filtry pro úplné vyřazení určitých událostí z reportování Konfigurovatelné atributy PERIOD/THRESHOLD/RELAPSE pro každou úroveň závažnosti událostí (v rámci vymezených hranic) Nastavení zasílaných emailů: Přesměrování na jiné cílové emailové adresy Volba typu hlášení (summary, extra, obojí) Volba typu příloh (CSV, JSON, obojí) Volba zipování/nezipování příloh

Mentat Reporter NG (4) TEST: Zpětné zpracování dat za období 2015-05-14 00:00-2015-05-24 06:00 (~10 dní) Legacy # reportů 955 NG 255 Výsledek: Pokles počtu odeslaných emailů cca o 2/3 Beze ztráty informační hodnoty!

Mentat Webové rozhraní Hawat Podpůrný nástroj pro nejen bezpečnostní tým CESNET CERTS, ale i WWW rozhraní pro správce z koncových sítí Přístup k databázi událostí Přístup k databázi reportů, konfigurace reportů Globální dahsboardy Statistiky Autorizace a konfigurace na základě abuse skupin

Hawat Databáze událostí ~ 2 miliony událostí denně ~ 500GB databáze Retence dat Kompletní data za poslední 4 týdny Interní data za posledních 6 měsíců Smazaná data se uchovávají v agregované formě Možnost uložení často používaných dotazů

Hawat Group dashboard

Hawat databáze reportů

Hawat Provozní statistiky

Pro srovnání Události ~2,1 mil denně ~66 GB dat (TTL 30 dní) Události ~2,1 mil denně ~500 GB dat (TTL 4 týdny/6 měsíců) Reporty (Na ~300 institucí) ~100 denně

Co dál? Nové a další zdroje primárních dat v síti CESNET2 Nové a další zdroje primárních dat mimo síť CESNET2 Nové zdroje od tzv. třetích stran Obohacení dat Lepší validace a klasifikace dat Inteligentní analýzy, korelace Sdílení dat a informací na národní a mezinárodní úrovni Další projekty: SABU NERD PassiveDNS

Děkuji za pozornost GNU Terry Pratchett

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář