安全运营中心之全流量系统创立
发布时间:2022-05-26 09:31:42 所属栏目:安全 来源:互联网
导读:企业安全建设一般伴随着安全业务需求而生,安全运营中心建设过程中,应急响应处置流程,在清除阶段,需要查找安全事件产生的根本原因并且提出和实施根治方案,这就对网络层数据的回溯提出个更高的要求。那么如何在公有云上和专有云建设一套行之有效的全流量
企业安全建设一般伴随着安全业务需求而生,安全运营中心建设过程中,应急响应处置流程,在清除阶段,需要查找安全事件产生的根本原因并且提出和实施根治方案,这就对网络层数据的回溯提出个更高的要求。那么如何在公有云上和专有云建设一套行之有效的全流量分析系统呢?下面提出一些方法和大家探讨。 1、针对网络层数据,我们到底要存储什么? 全流量安全建设一般分以下几个阶段: 第一阶段:Network flow,只存储五元组数据统计信息,大致对网络流量有一个概况了解。 第二阶段:Network IDS,通过基于内容的规则匹配,例如:使用ET Pro规则,存储安全告警事件,有基于规则安全引擎,可以发现简单的入侵事件。 第三阶段:Network Metadata,存储高保真的元数据统计数据,为安全事件调查回溯做准备。 第四阶段:PCAP,全量存储网络流量数据,在调查某些细微流量的时候,提供证据支持。 针对公有云环境,面对海量数据交换,如何更有效的存储元数据。 第一阶段,通过IDS / IPS引擎采集netflow->kafka->ElasticSearch(近期热数据)->hbase(长期冷数据) 第二阶段:通过IDS / IPS引擎采集规则匹配数据->kafka->ElasticSearch(近期热数据) 第三阶段:个人理解需要对可疑流量做行为分析,对攻击链分析(reconnaissance、 lateral movement、Command&Control 、Data exfiltration), 第四阶段:使用packetbeat进行解析(DNS、HTTP)->kafka->spark(过一遍攻击发现、信息泄露、内部威胁源等算法)->hbase(长期冷数据),攻击回放的时候,通过自研的程序把数据从hbase中读取出来,进入到ElasticSearch中,通过kibana做查询。 2、异常流量分析,我们需要AI么? 作为IDS签名的补充,异常网络流量分析是需要结合使用机器学习的,这里调研了Darktrace: Darktrace: 机器学习的难点: 1.没有任何两个网络是一样的,要求机器学习算法要在每一个网络中工作。 2.需要客户极少的配置和调整模型 3.需要团队人员有较高安全能力和数学技能 4.必须立刻体现价值,伴随着环境的变化,需要持续学习和适应 5.必须具有线性可伸缩性。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐