Чтобы просвещать кого-то куда-то надо разбираться самому. Отсутствие понимания и экспертности видно уже в комментариях про почтовые заголовки. Учить вас указывая на очевидные нелопости по тексту не вижу смысла.
SIEM — обрабатывает и анализирует ту информацию, которая в нее поступает, а какая это будет информация не имеет сексуально-оптического значения. Нет проблем, если у вас есть Drupal, который может решить эту задачу, вопрос в выборе инструментов очень часто исходит из того, что у вас есть под рукой. У нас нет Drupal'а. В идеале для этой задачи вообще использовать puppet или ansible, а в SIEM отправлять информацию о текущем статусе соответствия требованиям.
Немного здесь еще раскрою, мб недостаточно уточнил в статье. SIEM — удобно в части Complience, когда система настройки которой надо проверить имеет конфиг в виде файла, который можно пропарсить, если это Linux и слишком много конфигов, либо серверов, то удобнее использовать puppet, ansible, chef, а не скрипты Drupal.
Если системы управления конфигурациями нет, то гораздо проще парсить коннекторами SIEM конфиги проверяемого ПО и оборудования и сразу выгружать в SIEM.
Интерфейс не изменился :) Я не могу назвать его неудобным в сравнении с тем же IBM Qradar, да он объемный, но там есть практически все что нужно, но это вопрос вкуса и привычки. Начиная с 6 версии стало удобнее управлять дисковым пространством, которое выделено базе и в целом много очень удобных фишек появилось. Про особенности управления Арксайтом стараюсь не писать в своей статье, т.к. хочется рассказать про общие принципы, а не продукт. Про продукт пусть сейлы рассказывают:)
По ADHOC запросами, что подразумеваете? Формирование своих SQL запросов? Если да, то там можно написать (накликать через UI) запрос практически любой сложности (не могу сейчас придумать, что нельзя написать :)) с разным способом визуализации.
В части SQL-инъекций наиболее эффективно как раз анализировать посты и/или логи СУБД. Описанная вами задача решается проще и быстрее в части определения актуальности атаки.
1. Провели внутреннее сканирование веб-серверов сами и нашли уязвимости, которые есть на серверах
2. Заполнили списки уязвимостей для хостов
3. При срабатывании сигнатуры IDS/WAF смотрим актуален ли данный тип атаки для данного сервера.
Это в т.ч. хороший способ избавляться от ложных срабатываний. Вторую статью думаю на следующей неделе ждать. Я в меньшей степени хочу описывать реальные примеры, мне интереснее описать концепцию как делать хорошо, а как не делать.
Дальше исходя из правильного принципа, зная его можно лепить что угодно. Это как знать как управлять авто и самому выбирать куда и как ехать.
По инвентаризации. Тут нужно понимать, что в Арксайт можно засунуть и проанализировать любую информацию, как это сделать в вашей ситуации виднее вам. Из описанного вами сценария я бы использовал питон или баш скрипт, который по сислогу бы отправлял в SIEM нужную мне информацию и на SIEM я бы ее уже анализировал. По сути сделать complience check на siem не проблема, если отправлять на нее события с перечнем параметров, которые должны быть. У нас был реализован подобный кейс.
Да легко:) Затем и пишу, чтобы рассказать и подсказать.
Т.к. использовали Arcsight, то промежуточные сборщики — это коннекторы, функции у них те, которые я описал в статье (нормализация, фильтрация и т.п.), собственно все SIEM имеют либо отдельные сборщики, либо встроенные. Я считаю, что Arcsight в части сбора логов идеален, т.к. обладает очень гибкими механизмами. Если интересно будет, то могу написать отдельные статьи про арксайт и возможности его компонентов.
Коннектор стоит на отдельном физическом или виртуальном сервере, на который приходят логи, т.е. схема такая: источник > сборщик логов -> SIEM->СУБД -> SAN. Так же арксайт не лицензируется особо по EPS, т.е. ограничение как бы есть и как бы его нет, т.е. упираемся в основном в производительность самого сервера. Железо нужно нормальное с современными процессорами и кол-м оперативки не менее 96 Гб.
Я пришел в компанию, когда была куплена SIEM и лежала в разобранном виде, потому в подготовке инфры не участвовал, да и не было в этом смысла, т.к. она очень быстро менялась.
Инвентаризация так же идет через SIEM, в качестве источников информации выступают логи с МСЭ, результаты сканирований с помощью сканеров уязвимостей и сетевых(nmap), самописные скрипты для Linux в части управления обновлениями, для Windows — AD, WSUS, что то велось в Sharepoint, для него писал приложение, которое выдергивало инфу о том какие есть сервера. В общем в этой части у нас был небольшой хаос в части инструментов :) Арксайт позволяет писать правила, которые будут заполнять инвентаризационные списки. Очень удобно.
Когда пришел в компанию изначально изучил схему сети и те ИС, которые есть, категоризация серверов бумажная и т.п… Собственно SIEM в итоге стал тем продуктом, над которым крутятся сейчас многие процессы ИБ.
Порядок цен не назову, но думаю сейчас около 500 000$ будет стоить. EPS — в пике до 10,000, средняя цифра — 3500 с учетом агрегации и фильтрации мусора. Думаю по цифрам понятно на сколько большая инфраструктура :) В основном средства защиты, сервера баз данных, вебы, сетевое оборудование (без коммутаторов, только МСЭ и маршрутизаторы), для коммутаторов слишком мало полезных сценариев можно написать, когда нет рабочих станций пользователей.
Проблема с парсингом решается с помощью сабагента. Узнать номер submessage используется для события 713228 можно в саппорте.
Вопрос по переменным в том, что непонятно зачем они там. Если бы было понятно, что это глобальные переменные, то можно было бы это понять, но без этого уточнения выглядит скриншот очень странным с точки зрения реализации.
Причем события 713228 достаточно, чтобы считать, что установлено успешное IPSEC соединение, понять откуда оно установлено и какой адрес назначен клиенту.
Так же странным выглядит брать в качестве переменных сорс адрес, имя пользователя и локационную инфу.
Как бы не зная меня лично (или не имея картотеки с именами, фамилиями и фото) охранник не сможет меня идентицировать как msamoylov. Потому мне нужен в моем примере паспорт, который является моим идентификатором, т.е. средством опознания (подтвреждения, что я msamoylov) в глазах охранника
Я утверждаю, что идентификация — процесс опознания субъекта с помощью идентификаторов. Чтобы установить личность субъекта охраннику требуется документ, в котором есть идентификаторы личности ФИО+Фото, таким документом является паспорт, потому если я сказал что я msamoylov и дал паспорт, то охранник проверит идентификаторы (ФИО в паспорте и фото), соответственно подтверждение в моем примере нужно, т.к. я ситуацию описываю, где охранник не знает как я выгляжу и как меня зовут, если охранник знает заранее, то он видит меня, узнает по лицу к примеру таким образом я прохожу у него идентификацию. Про подтверждение я писал исключительно в моем примере, для моего примера это обязатльный был атрибут. Если он будет проверять, что паспорт не поддельный (про это я не писал), отсутствие у меня грима, маски и т.п., то тогда будет проверка подлинности.
«Статья про ААА, если открыть тот же гайд по ссылке выше, то мы увидим, что настройка authentication обязательна, а authorization и accounting — опциональны.»
Автомобиль нужен, чтобы доехать из пункта А в пункт Б. Чтобы автомобиль заработал нужно его завести, по факту автомобиль работает, но хренли толку от просто заведенного автомобиля? Ведь, чтобы поехать нам надо выжать сцепление, выставить скорость, сняться с ручника, затем отпустить сцепление и добавить газку, хотя это вообще вещи опциональные, но мы без них из пункта А в пункт Б не доедем. Так и здесь. Использование механизма ААА( автомобиля) только для одной буквы А(только завести тачку и загрузить в нее себя) не решает задач, для которых создан сей механизм.
Причем тут, то что пришло Вам в голову и стандарты протокола?) RFC есть, значит есть совместимое оборудование и ПО. RADIUS вообще для учета просто технологически особого смысла нет использовать, т.к. есть TACACS, который выдает очень большое количество информации, просто вопрос целесообразности. RADIUS хорош для другого, к примеру для 802.1x, для SplitAccess туннелей при RemoteAccess VPN (client to site IPSEC VPN). Вообще должно идти по порядку, поиграться надо с deadtime. Посмотреть на других версиях IOS. Я про что и пишу, тему Вы не раскрыли, более того, когда пишете статьи по Cisco, то пишите оборудование на котором тестировалось с версией IOS.
«Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.»
= предъявил паспорт с фото и сказал пароль, знак равенства тут неверен. Чтобы подтвердить мне, что я msamoylov мне пароль не нужен, достаточно паспорта (идентификация), чтобы охранник проверил можно ли msamoylov сюда я называю пароль. Далее он проверяет в своей базе, есть ли msamoylov и правильность пароля. Если Вы не видите разницы по сравнению с тем, что написали, то печально.
«Пользователь вбивает команду enable и получает полный доступ. Что он делает не так?»
Суть ААА, в том, что введя логин и пароль я сразу попадаю на железку с теми правами, которые мне определены на tacacs-сервере (таким может быть ACS). Если есть только аутентификация, то это не ААА, а только одна буковка А(аутентификация). Ведь вы не автоматом enable ввели, а ручками. У вас в шапке статьи написано, что разговор про ААА. Хотя тема аутентификация, в общем у вас противоречит то о чем пишете, с названием статьи. Ну и нет зрелого зерна в статье, т.е. вы применяете ААА без авторизация и учета, что для реальной жизни бесполезно и не является концепцией ААА.
Для Вас может быть RADIUS аккаунтинг и не поддерживает, но для всего остального мира поддерживает (http://tools.ietf.org/html/rfc2866).
Мне не нужен стенд, чтобы посмотреть как работает то, с чем я работаю более 5 лет)
Ну имели ввиду одно, а написали другое :D Более того, смысл ААА именно в связке трех компонентов, а не в том, чтобы настраивать один из них. Далее, что здесь проверять? Проверить, что аутентификация пройдет?) Я не ставил под сомнение, что она пройдет, прав на железку не будет, если не будет авторизации, будете постоянно успешно логиниться ) Собирать стенд, чтобы научить человека, которому за туже задачу платят деньги мне неинтересно, но готов провести курс повышения квалификации.
У вас проблемы с терминологией и её пониманием в практическом плане.
Вы хотите попасть в защищаемое помещение. Вы говорите охраннику, что Вы Вася Пупкин и даете паспорт, где написано, что Вы Вася Пупкин и есть фото — это идентификация (Вы назвали это аутентификацией), далее Вы говорите охраннику пароль «безысходность» — охранник в своей базе проверяет, что для Васи Пупкина правильный пароль действительно «безысходность» (это вы прошли аутентификацию), далее охранник говорит Вам, что вы пройдя в комнату можете только прыгать вверх на 3 метра и все (это авторизация), а затем он снимает все что вы делаете на камеру (это учет).
Так вот. Настроив только аутентификацию Вы не сможете ничего сделать, т.к. не прошли авторизацию (вам не дали прав что-либо сделать), это два неразрывно связанных процесса. Соответственно, в Вашем примере нет настройки авторизации, а значит чуда не будет, конфиг нерабочий. Кстати, ещё можно керберос использовать в ааа)
А ну и забыл сказать, что работать ничего не будет в случае с аутентификацией, ибо авторизация не настроена. Да и использовать TACACS без учета глупо. В общем тема статьи не раскрыта.
Вообще для радуиса и такакса всегда надо задавать пароль примерно так, иначе никакой секурности:
tacacs-server host IP
tacacs-server key 0 Правильно я понял, что правила ААА в MaxPatrol касаются только аутентификации? Почему забыли про LDAP? MaxPatrol узнает информацию про LDAP аутентификацию в Cisco? www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_ldap/configuration/15-mt/sec_conf_ldap.html
Чтобы просвещать кого-то куда-то надо разбираться самому. Отсутствие понимания и экспертности видно уже в комментариях про почтовые заголовки. Учить вас указывая на очевидные нелопости по тексту не вижу смысла.
Ваше представление о инфобезе поверхностно. На уровне разговоров доярок о политике.
Не пишите больше ничего инфобезе, пожалуйста.
Немного здесь еще раскрою, мб недостаточно уточнил в статье. SIEM — удобно в части Complience, когда система настройки которой надо проверить имеет конфиг в виде файла, который можно пропарсить, если это Linux и слишком много конфигов, либо серверов, то удобнее использовать puppet, ansible, chef, а не скрипты Drupal.
Если системы управления конфигурациями нет, то гораздо проще парсить коннекторами SIEM конфиги проверяемого ПО и оборудования и сразу выгружать в SIEM.
По ADHOC запросами, что подразумеваете? Формирование своих SQL запросов? Если да, то там можно написать (накликать через UI) запрос практически любой сложности (не могу сейчас придумать, что нельзя написать :)) с разным способом визуализации.
1. Провели внутреннее сканирование веб-серверов сами и нашли уязвимости, которые есть на серверах
2. Заполнили списки уязвимостей для хостов
3. При срабатывании сигнатуры IDS/WAF смотрим актуален ли данный тип атаки для данного сервера.
Это в т.ч. хороший способ избавляться от ложных срабатываний. Вторую статью думаю на следующей неделе ждать. Я в меньшей степени хочу описывать реальные примеры, мне интереснее описать концепцию как делать хорошо, а как не делать.
Дальше исходя из правильного принципа, зная его можно лепить что угодно. Это как знать как управлять авто и самому выбирать куда и как ехать.
По инвентаризации. Тут нужно понимать, что в Арксайт можно засунуть и проанализировать любую информацию, как это сделать в вашей ситуации виднее вам. Из описанного вами сценария я бы использовал питон или баш скрипт, который по сислогу бы отправлял в SIEM нужную мне информацию и на SIEM я бы ее уже анализировал. По сути сделать complience check на siem не проблема, если отправлять на нее события с перечнем параметров, которые должны быть. У нас был реализован подобный кейс.
Т.к. использовали Arcsight, то промежуточные сборщики — это коннекторы, функции у них те, которые я описал в статье (нормализация, фильтрация и т.п.), собственно все SIEM имеют либо отдельные сборщики, либо встроенные. Я считаю, что Arcsight в части сбора логов идеален, т.к. обладает очень гибкими механизмами. Если интересно будет, то могу написать отдельные статьи про арксайт и возможности его компонентов.
Коннектор стоит на отдельном физическом или виртуальном сервере, на который приходят логи, т.е. схема такая: источник > сборщик логов -> SIEM->СУБД -> SAN. Так же арксайт не лицензируется особо по EPS, т.е. ограничение как бы есть и как бы его нет, т.е. упираемся в основном в производительность самого сервера. Железо нужно нормальное с современными процессорами и кол-м оперативки не менее 96 Гб.
Я пришел в компанию, когда была куплена SIEM и лежала в разобранном виде, потому в подготовке инфры не участвовал, да и не было в этом смысла, т.к. она очень быстро менялась.
Инвентаризация так же идет через SIEM, в качестве источников информации выступают логи с МСЭ, результаты сканирований с помощью сканеров уязвимостей и сетевых(nmap), самописные скрипты для Linux в части управления обновлениями, для Windows — AD, WSUS, что то велось в Sharepoint, для него писал приложение, которое выдергивало инфу о том какие есть сервера. В общем в этой части у нас был небольшой хаос в части инструментов :) Арксайт позволяет писать правила, которые будут заполнять инвентаризационные списки. Очень удобно.
Когда пришел в компанию изначально изучил схему сети и те ИС, которые есть, категоризация серверов бумажная и т.п… Собственно SIEM в итоге стал тем продуктом, над которым крутятся сейчас многие процессы ИБ.
Порядок цен не назову, но думаю сейчас около 500 000$ будет стоить. EPS — в пике до 10,000, средняя цифра — 3500 с учетом агрегации и фильтрации мусора. Думаю по цифрам понятно на сколько большая инфраструктура :) В основном средства защиты, сервера баз данных, вебы, сетевое оборудование (без коммутаторов, только МСЭ и маршрутизаторы), для коммутаторов слишком мало полезных сценариев можно написать, когда нет рабочих станций пользователей.
Вопрос по переменным в том, что непонятно зачем они там. Если бы было понятно, что это глобальные переменные, то можно было бы это понять, но без этого уточнения выглядит скриншот очень странным с точки зрения реализации.
www.cisco.com/c/en/us/td/docs/security/asa/syslog-guide/syslogs/logmsgs.html
Причем события 713228 достаточно, чтобы считать, что установлено успешное IPSEC соединение, понять откуда оно установлено и какой адрес назначен клиенту.
Так же странным выглядит брать в качестве переменных сорс адрес, имя пользователя и локационную инфу.
Я утверждаю, что идентификация — процесс опознания субъекта с помощью идентификаторов. Чтобы установить личность субъекта охраннику требуется документ, в котором есть идентификаторы личности ФИО+Фото, таким документом является паспорт, потому если я сказал что я msamoylov и дал паспорт, то охранник проверит идентификаторы (ФИО в паспорте и фото), соответственно подтверждение в моем примере нужно, т.к. я ситуацию описываю, где охранник не знает как я выгляжу и как меня зовут, если охранник знает заранее, то он видит меня, узнает по лицу к примеру таким образом я прохожу у него идентификацию. Про подтверждение я писал исключительно в моем примере, для моего примера это обязатльный был атрибут. Если он будет проверять, что паспорт не поддельный (про это я не писал), отсутствие у меня грима, маски и т.п., то тогда будет проверка подлинности.
«Статья про ААА, если открыть тот же гайд по ссылке выше, то мы увидим, что настройка authentication обязательна, а authorization и accounting — опциональны.»
Автомобиль нужен, чтобы доехать из пункта А в пункт Б. Чтобы автомобиль заработал нужно его завести, по факту автомобиль работает, но хренли толку от просто заведенного автомобиля? Ведь, чтобы поехать нам надо выжать сцепление, выставить скорость, сняться с ручника, затем отпустить сцепление и добавить газку, хотя это вообще вещи опциональные, но мы без них из пункта А в пункт Б не доедем. Так и здесь. Использование механизма ААА( автомобиля) только для одной буквы А(только завести тачку и загрузить в нее себя) не решает задач, для которых создан сей механизм.
«Правильно я понял, что правила ААА в MaxPatrol касаются только аутентификации? Почему забыли про LDAP? MaxPatrol узнает информацию про LDAP аутентификацию в Cisco?
www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_ldap/configuration/15-mt/sec_conf_ldap.html»
«Аутентификация — пользователь подтверждает, что он тот, за кого себя выдаёт.»
= предъявил паспорт с фото и сказал пароль, знак равенства тут неверен. Чтобы подтвердить мне, что я msamoylov мне пароль не нужен, достаточно паспорта (идентификация), чтобы охранник проверил можно ли msamoylov сюда я называю пароль. Далее он проверяет в своей базе, есть ли msamoylov и правильность пароля. Если Вы не видите разницы по сравнению с тем, что написали, то печально.
«Пользователь вбивает команду enable и получает полный доступ. Что он делает не так?»
Суть ААА, в том, что введя логин и пароль я сразу попадаю на железку с теми правами, которые мне определены на tacacs-сервере (таким может быть ACS). Если есть только аутентификация, то это не ААА, а только одна буковка А(аутентификация). Ведь вы не автоматом enable ввели, а ручками. У вас в шапке статьи написано, что разговор про ААА. Хотя тема аутентификация, в общем у вас противоречит то о чем пишете, с названием статьи. Ну и нет зрелого зерна в статье, т.е. вы применяете ААА без авторизация и учета, что для реальной жизни бесполезно и не является концепцией ААА.
Для Вас может быть RADIUS аккаунтинг и не поддерживает, но для всего остального мира поддерживает (http://tools.ietf.org/html/rfc2866).
Мне не нужен стенд, чтобы посмотреть как работает то, с чем я работаю более 5 лет)
Вы хотите попасть в защищаемое помещение. Вы говорите охраннику, что Вы Вася Пупкин и даете паспорт, где написано, что Вы Вася Пупкин и есть фото — это идентификация (Вы назвали это аутентификацией), далее Вы говорите охраннику пароль «безысходность» — охранник в своей базе проверяет, что для Васи Пупкина правильный пароль действительно «безысходность» (это вы прошли аутентификацию), далее охранник говорит Вам, что вы пройдя в комнату можете только прыгать вверх на 3 метра и все (это авторизация), а затем он снимает все что вы делаете на камеру (это учет).
Так вот. Настроив только аутентификацию Вы не сможете ничего сделать, т.к. не прошли авторизацию (вам не дали прав что-либо сделать), это два неразрывно связанных процесса. Соответственно, в Вашем примере нет настройки авторизации, а значит чуда не будет, конфиг нерабочий. Кстати, ещё можно керберос использовать в ааа)
tacacs-server host IP
tacacs-server key 0 Правильно я понял, что правила ААА в MaxPatrol касаются только аутентификации? Почему забыли про LDAP? MaxPatrol узнает информацию про LDAP аутентификацию в Cisco?
www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_ldap/configuration/15-mt/sec_conf_ldap.html
В общем не зачет.