结合Splunk与Gigamon构建安全监控分析响应系统

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
简介: Splunk Enterprise Security (ES) 是一款基于数据分析平台Splunk Enterprise,高度定制开发的SIEM系统 。可提供由网络、端点、访问权限、恶意软件、漏洞和身份信息等信息安全技术生成的机器数据见解。

Splunk Enterprise Security (ES) 是一款基于数据分析平台Splunk Enterprise,高度定制开发的SIEM系统 。可提供由网络、端点、访问权限、恶意软件、漏洞和身份信息等信息安全技术生成的机器数据见解。该解决方案可使信息安全团队快速检测并响应内部和外部攻击,以在最小化风险并保护企业的同时简化威胁管理。Splunk Enterprise Security 可简化信息安全操作的所有方面,并适合各种规模的组织和专家。

不论是为连续实时监控、快速事件响应和信息安全操作中心 (SOC) 部署,或为需要了解企业风险的高管,Splunk ES 均可灵活自定义关联搜索、警报、报表和仪表板,从而满足特定需求。Splunk ES从2011年起已经连续6年进入Gartner SIEM领域魔力象限,并在2016年成为了领导者象限里前瞻性排名第一的解决方案。

Splunk ES通过实时采集、存储、处理企业内部所有安全相关的数据,结合有效的外部安全数据(如威胁情报等),并使用丰富的内置安全关联规则来识别高级威胁,以帮助用户快速的发现安全问题,确认影响范围,以及采取适当的响应措施。

Splunk ES通常在企业整体安全部署中充当大脑的角色,为了让这个大脑可以更好的控制四肢,Splunk ES提供了一个自适应响应框架(Adaptive Response)用以与工作在一线的各类网络安全基础设施联动。

自适应响应框架(Adaptive Response)使得Splunk用户可以使用自己或者三方开发的响应行动插件,当Splunk ES的安全规则探测的特定的安全事件时候,直接与安全设备联动,做出即时有效的响应。

目前框架内已经原生支持了大量的响应功能,比如当发现特定安全事件时,ES可以发送指令给特定服务器上安装的Symantec SEP,让Agent扫描/隔离该机器;发送指令为PaloAlto防火墙,让其自动化添加规则阻断特定链接;自动打开、关闭ServiceNOW的事件;自动将某个IP地址或者域名上报至威胁情报源;自动启用Splunk Stream插件,短时的捕获某个节点上流经的所有数据包等等。

如果你的企业里正好也部署了用于网络流量采集、分流,为性能监控或者安全解决方案提供网络数据的Gigamon,那么请注意,Splunk ES与Gigamon,也是可以集成和联动的。

在这里https://splunkbase.splunk.com/apps/#/search/gigamon/   可以在找到Gigamon Inc.官方发布的几个免费应用,

其中Gigamon IPFIX Metadata Application For Splunk可以帮助Splunk解析Gigamon生成的IPFIX条目。Gigamon Visillity App For Splunk提供了一些预置的报表,帮助分析Gigamon产生的流量计数据。Gigamon Adaptive Response Application for Splunk则提供了与Splunk ES自适应响应框架兼容的响应行动插件,使得Splunk ES在发现特定安全事件时,可以通过RESTful

API与GigaVUE Fabric Manager联动,执行一些简单的操作。

比如让Inline部署的Gigamon设备基于源目的IP地址、端口号等条件丢弃或者镜像经过的网络流量。

此时你应该已经开始思索了,这两者的结合,能为我们带来些什么呢?

下面介绍一个典型的应用场景,以抛砖引玉。

来自企业内部的攻击者通常使用的一种攻击手段是DNS劫持,他们通过特定的方法将用户的DNS请求引导到自己搭建的伪装DNS服务器上,当用户执行DNS请求时,就可以将恶意/仿冒站点的IP地址,任意的植入到DNS响应中,让用户访问到恶意事先准备好的恶意站点上去。

如果网络中部署了Gigamon设备,他生成的流量统计数据中包含了所有网络流的元数据,这些数据可以实时的传送至Splunk ES,其中,DNS流量的元数据里就包含了发送域名查询响应的DNS服务器IP地址信息,我们只需要事先将企业中所有合法的DNS服务器IP地址录入到Splunk ES,并实时的将合法DNS服务器IP地址库与网络中发现的所有的DNS元数据做比对,一旦发现有未知的DNS服务器在网络中响应查询请求,即产生Rogue DNS告警,同时触发对应的事件响应行为,通过API发送指令到Inline Gigamon设备,让其将来自非法DNS服务器的流量即刻隔离。

Splunk ES为我们在构建企业级SIEM时提供了良好的基础,自适应响应框架让我们的SIEM可以更好的与各类安全设备协同工作。这套整体解决方案的灵活性可能还是需要你亲自来试一试才会有比较深刻的感受。

目录
相关文章
|
存储 域名解析 数据安全/隐私保护
离线云监测系统OCMS软件
OCMS 是什么? OCMS ( Offline Cloud Monitoring System)是利用人们熟知的稳定可靠的第三方电子邮件、FTP 服务商提供的数据永久存储服务作为中间环节,监测设备向服务器发送数据,监测软件从服务器获取数据的以非实时在线的方式工作的无线监测预警系统。 具有数据可靠、部署快捷、操作简单、无需在线等主要优势和特点。
离线云监测系统OCMS软件
|
1月前
|
监控 数据可视化 安全
系统业务监控软件
【10月更文挑战第17天】
37 6
|
4月前
|
存储 监控 Devops
|
数据采集 人工智能 监控
SCADA系统应用案例分析
SCADA系统应用案例分析
|
安全 关系型数据库 Docker
漏洞管理平台『洞察』部署指南
『洞察』使用了Python语言进行开发,利用Flask框架+MySQL+Docker部署实现。
|
数据采集 大数据 索引
分布式数据采集软件较常规大数据采集软件的优势是什么?
为什么分布式数据采集软件能够收到互联网发展的青睐呢?大数据时代的发展,大数据在目前的企业发展,政府决策以及社会动态分析等等方面都发挥着重要的作用,如何在目前的互联网大平台下,实现大规模、快速采集数据成为焦点。
2247 0