Passus Ambience. Passus Ambience dokonuje ekstrakcji danych z ruchu sieciowego i strumieni informacji. Umożliwia ich przekształcenie,



Podobne dokumenty
Integrator specjalistycznych rozwiązań IT

11. Autoryzacja użytkowników

Wykaz zmian w programie SysLoger

Rozwiązanie Compuware Data Center - Real User Monitoring

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Win Admin Monitor Instrukcja Obsługi

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Problemy z bezpieczeństwem w sieci lokalnej

ActiveXperts SMS Messaging Server

Migracja XL Business Intelligence do wersji

Egzamin : administrowanie systemem Windows Server 2012 R2 / Charlie Russel. Warszawa, Spis treści

Instrukcja do panelu administracyjnego. do zarządzania kontem FTP WebAs.

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

Wykaz zmian w programie SysLoger

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

MASKI SIECIOWE W IPv4

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Monitorowanie aplikacji i rozwiązywanie problemów

Instrukcja konfiguracji funkcji skanowania

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

4. Podstawowa konfiguracja

Migracja Business Intelligence do wersji

Migracja Business Intelligence do wersji

CENNIK USŁUG TELEKOMUNIKACYJNYCH

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Splunk w akcji. Radosław Żak-Brodalko Solutions Architect Linux Polska Sp. z o.o.

PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ),

Szpieg 2.0 Instrukcja użytkownika

Migracja Business Intelligence do wersji

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

Rozwiązania HP Pull Print

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym

7. zainstalowane oprogramowanie zarządzane stacje robocze

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Instrukcja instalacji i obsługi programu Szpieg 3

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

7. Konfiguracja zapory (firewall)

INFRA. System Connector. Opis systemu

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Migracja Business Intelligence do wersji 11.0

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

Zdalne logowanie do serwerów

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

Panel administracyjny serwera: admin.itl.pl

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Dokumentacja SMS przez FTP

Liczba godzin 1,2 Organizacja zajęć Omówienie programu nauczania 2. Tematyka zajęć

Warsztaty KPRM-MF-MG-MPiPS MRR-MSWiA-MSZ 28 kwietnia 2011 r.

WYDRA BY CTI. WYSYŁANIE DOKUMENTÓW ROZLICZENIOWYCH I ARCHIWIZACJA Instrukcja do programu

DLP i monitorowanie ataków on-line

Opis Przedmiotu Zamówienia

Zmiany funkcjonalne i lista obsłużonych zgłoszeń Comarch DMS

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Bazy danych 2. Wykład 1

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bazy Danych i Usługi Sieciowe

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

Zagadnienia na egzamin dyplomowy

Bezpieczeństwo usług oraz informacje o certyfikatach

Profesjonalne Zarządzanie Drukiem

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Palo Alto firewall nowej generacji

Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl

Instrukcja obsługi xserver

Wykład 5: Najważniejsze usługi sieciowe: DNS, SSH, HTTP, . A. Kisiel,Protokoły DNS, SSH, HTTP,

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT

Krótka instrukcja instalacji

Audytowane obszary IT

WorkingDoc CostControl: Precyzyjna kontrola kosztów wydruku na urządzeniach Grupy Ricoh

Włącz autopilota w zabezpieczeniach IT

SMB protokół udostępniania plików i drukarek

System zarządzania i monitoringu

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

TOPIT Załącznik nr 3 Programowanie aplikacji internetowych

edziennik Ustaw Opis architektury

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Sieci komputerowe. Wstęp

Kielce, dnia roku. HB Technology Hubert Szczukiewicz. ul. Kujawska 26 / Kielce

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Opis Przedmiotu Zamówienia

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Polityka Prywatności i Bezpieczeństwa

Polityka prywatności. Definicje. Wprowadzenie. Dane osobowe. Administrator. Prawa

INSTRUKCJA OBSŁUGI DLA SIECI

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Pełna specyfikacja pakietów Mail Cloud

Opis przedmiotu zamówienia (zwany dalej OPZ )

POLITYKA PRYWATNOŚCI APLIKACJI MOBILNEJ SMARTBAG SŁOWNIK POJĘĆ:

Producent i integrator rozwiązań IT

POLITYKA PRYWATNOŚCI ORAZ POLITYKA PLIKÓW COOKIES W Sowa finanse

Instalacja SQL Server Express. Logowanie na stronie Microsoftu

Transkrypt:

Passus Ambience Passus Ambience dokonuje ekstrakcji danych z ruchu sieciowego i strumieni informacji. Umożliwia ich przekształcenie, w tym uzupełnienie o dane z zewnętrznych źródeł, a następnie przekazanie do dowolnego sytemu np. SIEM, Business Intel ligence, zbiorów BigData, systemów antyfraudowych lub compliance. Cały proces odbywa się w czasie rzeczywistym, a uzyskane i formacje mogą być wykorzystywane zarówno przez działy bezpieczeństwa IT, jak i działy biznesowe m in. do optymalizacji akcji marketingowych, treści serwisów www, jak również do poprawy wskaźników QoE (Quality of Experience). Wbudowane narzędzia do korelacji, filtrowania i agregacji pozwalają zredukować nadmiar danych do istotnych zdarzeń, a tym samym obniżyć koszty utrzymania systemów analitycznych. Kluczowe cechy rozwiązania Przechwytuje w czasie rzeczywistym ruch sieciowy, logi, alerty i dowolne zdarzenia generowane przez aplikacje sieciowe i użytkowników; Wbudowane sniffery dekodują protokoły i formaty zapisu danych m.in. HTTP, SMB, DNS, Kerberos, SSL, DICOM, HL7, SCADA, ruch do baz Oracle, MS SQL, PostgreSQL, MySQL; Gromadzi zarówno pojedyncze zdarzenia, jak i dowolne zdefiniowane przez użytkownika sekwencje w oparciu o numery IP, MAC, użytkownik itp.; Dostarcza zdefiniowane przez użytkownika zdarzenia i dane do właściwego systemu analitycznego (SIEM, BI, antyfraud, compliance) w formacie wymaganym przez ten system; Jest rozwiązaniem pasywnym pracującym na kopii ruchu nie wymaga rekonfiguracji sieci, instalacji agentów lub modyfikacji aplikacji; Granularny system uprawnień,szyfrowa nie i anonimizacja danych chronią poufne informacje; Jest systemem otwartym pozwala na tworzenie własnych analizatorów dowolnych protokołów lub dostosowanie formatów zapisu danych.

PASSUS AMBIENCE System Passus Ambience służy do analizy ruchu sieciowego do warstwy 7 w czasie rzeczywistym w celu wychwytywania różnego rodzaju zdarzeń zdefiniowanych przez użytkownika. Zdarzenia mogą być zdarzeniami czysto sieciowymi, zdarzeniami z dziedziny naruszeń bezpieczeństwa, jak również zdarzeniami interesującymi z punktu widzenia biznesowego, np. analizy zachowań użytkowników odwiedzających portal lub korzystających z aplikacji webowej. W skład rozwiązania Passus Ambience wchodzą Serwer Centralny oraz sondy. Serwer Centralny odpowiada za zarządzanie uprawnieniami i konfigurację sond. Sondy analizują ruch sieciowy zgodnie z konfiguracją przekazaną przez Serwer Centralny i przekazują zauważone w ruchu zdarzenia do systemu docelowego wskazanemu w konfiguracji. Przechwytywanie różnych strumieni danych w ruchu sieciowym Ambience analizuje w czasie rzeczywistym dowolne przepływy danych i informacji m.in.: ruch sieciowy, logi, zdarzenia oraz alerty z innych systemów: Szczegółowo interpretuje informacje w ruchu sieciowym lub strumieniach danych wyodrębniając pliki, treści i zawarte w nich metadane, rozpoznaje też realne typy MIME; Działa w formie pasywnej, co oznacza, że pracuje na kopii ruchu, nie wpływając tym samym bezpośrednio na działanie sieci i aplikacji; Umożliwia analizę zarówno całego ruchu lub strumienia danych jak i wybranych zakresów np. ograniczonych do konkretnych protokołów, portów, adresów IP, formatu logów, rodzaju alertów. Transformacja danych Pozyskane informacje mogą być w dowolny sposób modyfikowane (np. filtrowane, agregowane lub wzbogacane o dane z zewnętrznych systemów), a następnie zamieniane w zdarzenia opisane przez metadane {klucz:wartość}: Wbudowane operatory logiczne, funkcje statystyczne umożliwiają budowanie reguł filtrujących zdarzenia i ich sekwencje, typy danych, treści itd. Łączenie zapytań i odpowiedzi w ramach tego samego protokołu daje możliwość stosowania zawansowanych filtrów i agregacji następujących po sobie zdarzeń; Wiązanie zdarzeń po różnych wartościach (adres IP, MAC, login) pozwala definiować i analizować sekwencje zdarzeń wykorzystujących różne protokoły komunikacji;

Dowolna wartość pól zawartych w metadanych opisujących zdarzenie może zostać wyodrębniona, modyfikowana, a następnie przesłana do innego zdarzenia; Metadane opisujące zdarzenia wygenerowane przez Passus Ambience mogą zostać uzupełnione o dane z innych źródeł m.in.: Active Directory, DNS, plików CSV, baz danych. Przesyłanie zdarzeń wynikowych do zewnętrznych systemów analitycznych Przetworzone przez Passus Ambience dane mogą być eksportowane do właściwych systemów analitycznych SIEM, forensic, antyfraud, Business Intelligence lub dowolnych zbiorów Big Data: Użytkownik może określić typy zdarzeń, które mają być przekazane do konkretnych systemów analitycznych (jedna sonda może równocześnie dostarczać dane na potrzeby zarówno działów biznesowych jak i bezpieczeństwa IT); Nieprzydatne z punktu widzenia systemu docelowego informacje mogą zostać odrzucone bezpośrednio na sondzie; Elastyczne definiowanie formatu danych (np. klucz:wartość, xml, csv) i sposobu ich wysyłania/zapisu do systemu docelowego (plik, baza danych, smtp, api, etc.) Prawa dostępu i anonimizacja danych System wyposażono w szereg mechanizmów, dzięki którym możliwe jest prowadzenie analiz bez konieczności udostępniania poufnych danych osobom niepowołanym. Zarządzanie systemem, wdrażanie polityk oraz diagnostyka pracy sond odbywa się za pośrednictwem centralnego serwera Passus Ambience; Różne poziomy uprawnień mogą być definiowane niezależnie, zintegrowane z Active Directory lub usługą LDAP; Zaimplementowane w system algorytmy wykrywają typy danych wrażliwych - numery kart kredytowych, dowodu osobistego lub rachunków, hasła itd; Różne metody szyfrowania chroniące poufne informacje przed nieuprawnionym dostępem: 99szyfrowanie symetryczne, zmiany są odwracalne i jest możliwość analizowania danych; 99szyfrowanie asymetryczne, zmiany są nieodwracalne, dane mogą być analizowane; 99podmiana znaków, zmiany są nieodwracalne, a dane nie mogą być analizowane; Mechanizmy maskowania danych (wszystkie znaki jako gwiazdki, zostaw ostatnie 4 znaki itp.) pozwalają zarządzać dostępem do pozyskanych informacji. Definiowanie filtrów przechwytywania - selekcja źródeł danych i zakresu informacji do dalszej analizy. W tym przypadku zdefiniowano dwa filtry - dostarczaj tylko te zdarzenia, w których wystapiła odpowiedź określonego typu (html, plain, xml lub była pusta) i adres źródłowy był inny niż /domain/testr5.html. Wybór z predefiniowanej listy pól tych, które mają opisywać dane zdarzenie. Definiowanie nowych pól opisujących zdarzenie za pomocą skrypów stworzonych przy pomocy wbudowanego języka (w tym przypadku wykorzystano język MVEL). Filtry wejścia (prefilters) i definiowanie pól analizatora. Passus SA ul. Bzowa 21, 02-708 Warsaw phone (+48) 695 444 794 e-mail: passus@passus.com.pl www.passus.com.pl

PRZYKŁADY ZASTOSOWANIA Business intelligence and web analytics Passus Ambience przekształca zdarzenia i informacje z ruchu sieciowego, logów i źródeł zewnętrznych w ustrukturalizowaną informację biznesową i dostarcza ją w czasie rzeczywistym do systemów analitycznych. Pojedyncze zapytania lub odpowiedzi mogą być łączone w jedno zdarzenie zawierające istotne informacje takie jak: rodzaj aktywności, jakie dane były przesyłane, kto i kiedy je wysyłał; Sekwencje zdarzeń mogą być automatycznie uzupełniane o informacje z poprzedzających je zdarzeń lub o dane z innych źródeł (AD, LDAP, plików csv, systemów ERP itd.); Filtrowanie i korelacja istotnych danych oraz łączenie sekwencji zdarzeń w jedno zdarzenie już na poziomie sondy ogranicza obciążenie systemów analitycznych; Liczba zapytań, otwieranych lub pobieranych plików pozwala ocenić poziom wykorzystania określonych zasobów; Analiza VoIP pod kątem liczby prób połączeń, połączeń oczekujących lub przekierowanych, nienagranych itp. wzbogaca wiedzę o poziomie świadczonych usług oraz o wydajności pracowników i infrastruktury. Forensic, Fraud, bezpieczeństwo IT Passus Ambience wykrywa oraz dokumentuje anomalie oraz aktywności noszące symptomy nadużycia lub oszustwa w tym m.in.: Niestandardowe zachowania podczas logowania do sieci lub aplikacji: 99Próby odgadnięcia haseł i/lub loginów 99Nietypowy proces autoryzacji np. ze względu na lokalizację użytkownika Wykorzystanie uprawnień administracyjnych do odczyt poufnych danych np. poczty pracowników, danych medycznych korzystających ze standardów DICOM lub HL7; Podejrzane operacje na plikach, np. kopiowanie katalogów zawierających poufne dokumenty na komputery osobiste lub dyski wirtualne; Nagły wzrost liczby zapytań do bazy danych np. w nietypowych porach dnia, przez określoną osobę lub za pośrednictwem określonego formularza; Nieautoryzowane tunelowanie ruchu, przesyłanie danych za pośrednictwem zmodyfikowanych adresów url, pakietów diagnostycznych, usług DNS lub http; Wykorzystanie zewnętrznych formularzy i aplikacji webowych do nieautoryzowanego transferu danych. Anonimizacja danych pozwala ukryć poufne dane np. dane logowania.

INTERNET FIREWALL LOAD BALANCER TAP SWITCH APPLICATION SERVERS AMBIENCE SNIFFERS BUSINESS INTELIGENCE SIEM FRAUD Zarządzanie ryzykiem, compliance, zapewnienie ciągłości działania Passus Ambience pozwala zweryfikować stopień przestrzegania standardów i procedur bezpieczeństwa oraz ocenić efektywność systemów zabezpieczeń dzięki temu, że: Wykrywa nowe urządzenia sieciowe (hosty), urządzenia mobilne i usługi oraz rodzaj ruchu sieciowego wskazując niezgodności z polityką bezpieczeństwa; Identyfikuje zmiany w topologii sieci, w tym m.in. zmiany adresacji hostów, pojawienie się nowych bram, serwerów DHCP lub proxy; Wykrywa słabe metody uwierzytelniania, niewłaściwie zabezpieczone protokoły, źle skonfigurowane usługi sieciowe, brak szyfrowania ruchu; Ujawnia niezablokowane lub niewłaściwie zdefiniowane konta pracowników np. wskutek wadliwie działających procedur lub pomyłek; Wykrywa dostęp przez nieupoważnione grupy użytkowników do poufnych zasobów lub danych np. wskutek źle zdefiniowanych lub nie zaktualizowanych uprawnień; Informuje o dużej ilości bardzo długich / bardzo krótkich połączeń VoIP lub połączeń na niestandardowe numery. Zbiera metryki związane z komunikacją do aplikacji i baz danych, które pomagają rozwiązać problemy związane z długim czasem odpowiedzi tych aplikacji. Przykładowe zastosowanie analizatorów specjalistycznych 99Analizator protokołu Kerberos, uwie rzy telnienia; 99Analizator protokołu SMB - uwierzytelnienie, żądania dostępu do zasobów, otwieranie, zapisywanie, zmiana nazwy, usuwanie plików, tworzenie i usuwanie katalogów, zliczanie ilości przesyłanych/otwieranych plików/bajtów; 99Analizator ruchu do baz, np. Oracle, MSSQL, MySQL, PostgreSQL - uwierzytelnianie, zapytania bazodanowe; 99Analizator ruchu drukarkowego, np. MS SPOOL, PJL - żądania wydruku; 99Analizator DNS wykrywanie ruchu do serwerów, analiza zapytań i odpowiedzi, analiza aktywności, wykrywanie tunelowania; 99Analizator protokołu HTTP/HTTPS uwierzytelnianie, zapytania, wykrywanie serwerów proxy, wykrywanie ruchu do proxy, wykrywanie tunelowania, wykrywanie długich sesji, wykrywanie ruchu do sieci TOR, wykrywanie certyfikatów self-signed; 99Analizator protokołu SSH nawiązywanie połączenia, wykrywanie tunelowania ruchu; 99Analizator protokołu SIP/H.323 próby połączeń, nawiązane połączenia, rozłączanie, syg nały zajętości; 99Analizator protokołu DHCP żądania przydziału adresu, zmian w konfiguracji, kolizji konfiguracji; 99Analizator protokołu FTP uwierzytelnianie, czytanie pliku, zapisywanie pliku, usuwanie pliku; 99Analizator protokołu Telnet uwierzytelnianie, połączenia. 99Analizatotor DICOM - wykrywanie transferu plików i danych w formacie DICOM przesyłanych za pośrednictwem protokołów sieciowych włączając w to załączniki poczty elektronicznej, pliki zapisywane na serwerach lub udostępnianie plików za pośrednictwem internetu. Passus SA ul. Bzowa 21, 02-708 Warsaw phone (+48) 695 444 794 e-mail: passus@passus.com.pl www.passus.com.pl

SCHEMAT LOGICZNY DZIAŁANIA SONDY PASSUS AMBIENCE Podstawą rozwiązania jest system przetwarzania zdarzeń oraz analizatory protokołów sieciowych. Definiowanie reguł i polityk odbywa się za pomocą serwera centralnego, a konfiguracja przekazywana do sond, które odpowiadają za analizę i przetwarzanie strumieni danych. Sondy nie ingerują w sieć i aplikacje - analizowana jest kopia ruchu przekierowanego za pomocą urządzeń typu TAP lub mirroringu portów. Analizatory typu Stream (ruch sieciowy, alerty, logi itp.) i typu Events, wielopoziomowy zestaw filtrów oraz szyna danych umożliwiają analizę i przekształcanie informacji, ich uzupełnianie o dane z zewnętrznych systemów np. plików csv, GeoIP, Active Directory. Przetworzone zdarzenia są konwertowane na format zrozumiały przez system docelowy i przekazywane do wskazanych aplikacji lub baz danych. Schemat logiczny sondy Passus Ambience z przykładowymi analizatorami. Każda sonda może obsłużyć dowolną ilość różnego typu źródeł, analizatorów, filtrów i obiektów docelowych. Użytkownik ma możliwość zdefiniowania źródeł danych i filtrów przechwytywania, dzięki czemu może precyzyjnie wskazać monitorowane urządzenia i aplikacje, porty, adresy IP, określony typ logów, itp. Strumienie danych są przekazywane do analizatorów typu Stream (predefiniowanych i pisanych na zamówienie). Odpowiadają one za interpretację protokołów i wyodrębnianie dowolnych, wskazanych przez użytkownika informacji, a następnie zapisanie w formie zdarzenia. W kolejnym kroku następuje selekcja zdarzeń, które zostaną przekazane do dalszej analizy. Szyna danych oraz analizatory Custom Event umożliwiają wykonywanie operacji na zdarzeniach. Mogą być one agregowane, wzbogacane o dane z zewnętrznych systemów, możliwe jest też wykonywanie różnych operacji logicznych oraz przekształcanie sekwencji zdarzeń pochodzących z różnych protokołów w pojedyncze zdarzenie. Użytkownik może wskazać, do których obiektów docelowych mają trafiać określone zdarzenia, a także wybrać odpowiedni format zapisu danych i sposób wysłania do miejsca docelowego. Istnieje też możliwość stworzenia definicji nowego typu obiektu docelowego.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres