Исследования органических активовТрадиционно сетевые средства безопасности фокусируются на подозрительном поведении в конечных точках, компьютерах. За последние месяцы стало понятно, что надо сконцентрироваться на людях, сидящих за этими компьютерами. Недовольные сотрудники и «кроты» представляют реальную угрозу для безопасности организации. Необходимо серьезно взяться за отчеты о нарушениях корпоративных политик и исследования требуют наличие подходящих инструментов, чтобы проследить за этими признаками подозрительной активности. Метки данных о пользователей в потоках Компания Lancope уже давно является пионером в сборе сетевых метаданных для аналитических целей. В новой версии StealthWatch 6.4 эта функциональность еще расширена за счет передачи данных пользователей в StealthWatch Flow Objects. Внизу показан такой объект, показывающий доступность имени пользователя и MAC-адреса.
Сбор идентификационных данных StealthWatch 6.4 может собирать идентификационные данные из Cisco Identity Services Engine (ISE), устройства StealthWatch Identity, либо путем экспорта NetFlow из файервола Cisco ASA. Новый рабочий процессИмея в распоряжении данные пользователя, система может использовать рабочий процесс с акцентом на пользователя. Люси должна кое-что объяснить Рассмотрим сценарий, в рамках которого департамент кадров был проинформирован сотрудниками о том, что пользователь "Lucy" подозревается в продаже данных держателей кредитных карт мошенникам. Новая версия StealthWatch позволяет исследователям получить "снимок" активности (User Snapshot) этого пользователя. Закладка "Identification" на снимке пользователя предоставляет следующую информацию исследователям: • Компьютеры Lucy,аутентифицируемые в сети; • Физическое нахождение этих компьютеров, определяемое по коммутатору и порту коммутатора; • Тип устройства каждого хоста; • Временные метки в аутентификации сессии; • Сервисы и приложения, используемые каждым компьютером.
Закладка "Самые последние потоки" (Most Recent Flows) показывает коммуникации, которые в данный момент открыты у Lucy.
Закладка "Тревога" (Alarm) показывает все события нарушения безопасности или производительности, которые связаны с Lucy.
Один из указанных тревожных сигналов - это "Подозрение в утечке данных" (Suspect Data Loss), cвязанное с компьютером, на котором находятся данные держателей карт. Запустив таблицу потоков, связанную с этой тревогой, получаем следующий StealthWatch Flow Object.
StealthWatch Flow Object показывает, что Lucy начал передачу 2,33 Гб информации на FTP-сервер в Китае с машины, содержащей данные пользователей карт. Используя лишь несколько кликов, исследователи могут использовать подобранную информацию, чтобы соотнести эту подозрительную информацию с данными отдела кадров. Идентификаторы компрометации пользователя Идентификаторы компрометации (identifiers of compromise, IOC) могут быть применены к StealthWatch Flow Objects, чтобы ретроспективно посмотреть на возможные компрометации. В StealthWatch 6.4 пользовательский элемент добавляется как дополнительная точка данных. Это позволяет провести исторический анализ поведения, связанного с конкретным пользователем, например, попытки неавторизованного доступа.
Заключение В современных условиях исключительно важно иметь возможность проведения аналитического исследования на пользовательском уровне. StealthWatch позволяет это сделать, используя данные практически реального времени, а также провести анализ с помощью сохраненных исторических данных.
| 
Меню сайта
