Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Inteligentní analýza bezpečnostních událostí (iABU) Jan Vykopal 20. 6. 2016.

ZveřejnilStanislav Hruška

Podobné prezentace

Prezentace na téma: "Inteligentní analýza bezpečnostních událostí (iABU) Jan Vykopal 20. 6. 2016."— Transkript prezentace:

1 Inteligentní analýza bezpečnostních událostí (iABU) Jan Vykopal 20. 6. 2016

2 Architektura

3 iABU Inteligentní analýza bezpečnostních událostí Čištění událostí Analýza Vizualizace Dashboard Obohacení NERD – jeden ze zdrojů, více v další prezentaci

4 Čistička událostí Umístěna mezi zdrojem dat (Wardenem) a úložištěm (Mentatem) Filtruje (deduplikuje) a upravuje (doplňuje) přicházející události Klíčová pro další komponenty, které už budou pracovat s tím, že každá událost je validní a uložena a analyzována právě jednou Odstraňuje chybné události, které by mohly negativně ovlivnit výsledky návazných analýz

5 Čistička – případy použití I Jemné síto na data z Wardenu Základní filtrace nevalidních událostí na vstupu Příklady: špatný formát dat (nesmyslný port, nevalidní adresa) klient nahlásí událost z adresního rozsahu, který mu nepřísluší neodpovídající čas detekce (příliš v minulosti nebo v budoucnosti) IP adresy nebo domény známých služeb (Google, Wikipedia, Facebook, ….) IP adresy týkající se lokální sítě (127.0.0.1, broadcast IP,...) jako zdroj útoku je označen NAT, proxy nebo jakákoliv jiná relay

6 Čistička – případy použití II Agregace dvou a více událostí stejného typu pocházejících ze stejného zdroje Jeden z více modulů čističky Příklad: 1.Detekce události horizontálního skenování portu 22 z IP adresy A v čase t 2.Detekce další události stejného typu v čase t+300 s 3.Detekce další události (poslední) v čase t+600 s

7 Obohacení událostí Události nesou v sobě identifikátory (typicky IP adresy), ke kterým mohou existovat dodatečné informace Pro komplexnější analýzu je výhodné přidat tyto informace k dané události (= obohatit ji) Příklady obohacení: Geolokační a administrativní informace Role stroje v síti NERD – Network Entity Reputation Database

8 Analyzátor událostí Součást Mentatu, která má přístup k datovému úložišti Spoléhá se na kvalitní data, která prošla čističkou Klíčová komponenta pro pokročilé analýzy událostí Souvislost mezi událostmi (korelace) Vyhledávání komplexních událostí Predikce útoků a hrozeb

9 Analyzátor – učení vzorů

10 Příklady vzorů I Souslednost událostí Skupina vzorů, ne pouze jeden Příklad: 1.Agregovaná a ukončená událost skenování SIP portu na IP adrese B z IP adresy A v čase t 2.Agregovaná a ukončená událost hádání hesla z IP adresy C na B v čase t + 1000 s 3.Agregovaná událost o podezřelých voláních z IP adresy B v čase t + 1010 s

11 Příklady vzorů II Souvislost mezi událostmi různého typu Příklad: 1.Směrovače organizace X zahodí velké množství paketů na základě reverse path filtering (RPF) v čase t a nahlásí tuto událost 2.Organizace Y detekuje amplifikační DoS na svou infrastrukturu v čase t - 10 s

12 Predikce útoků a hrozeb Na základě částečné shody se vzorem Může mít návaznost na mitigační konektory, události tohoto typu musí být jasně označeny Příklady: skenování portů – slovníkový útok – nahrání malware útočník již skenoval čtyři české sítě => pravděpodobně bude skenovat i ostatní české sítě útočník v jedné síti skenoval a pak spustil slovníkový útok + vidíme, že v jiné síti skenuje => čekáme slovníkový útok

13 Určování závažnosti Na základě korelace události s ostatními události a výstupy analýzy a obohacení. Závažnost je dána typem a rozsahem události a souvislosti s jinými událostmi (např. velký amplifikační DoS útok). Velkou roli také hraje důležitost/role cíle útoku (zařízení/služby). Jste ochotni poskytnout tuto informaci?

14 Vizualizace Vhodně zobrazuje výstupy analýz pro dashboard Uvažované typy pohledů: (Orientovaný) graf zachycující souvislosti mezi událostmi, agregované a komplexní události, síťové rozsahy, příslušnost k doméně, AS atp. Trendy - vývoj situace v čase – např. šíření botnetu Počty/typy událostí na podkladové mapě

15 Dashboard Kontrolní panel pro správu systému SABU Centrální místo poskytující informace o všech komponentách Výstup jednotlivých komponent Stav systému – běží vše jak má? Jaké typy vizualizací poskytují osvědčené nástroje, které používáte?

16 Shrnutí iABU je komplexní komponenta SABU Budeme rádi za váš jakýkoliv podnět k: Čističce – co čistit?, co teď prochází a nemělo by? Vzorům pro analyzátor – jakým útokům čelíte? Určování závažnosti – „ vhledem“ do vaší sítě? Způsobu obohacení – znáte další vhodný zdroj? Vizualizaci a její využitelnosti – co (ne)funguje? Obsahu dashboardu – co chybí, čeho je moc?

Stáhnout ppt "Inteligentní analýza bezpečnostních událostí (iABU) Jan Vykopal 20. 6. 2016."

Podobné prezentace

Tvorba panorámat Gymnázium a Jazyková škola s právem státní jazykové zkoušky Svitavy Ditta Kukaňová.

Tvorba panorámat Gymnázium a Jazyková škola s právem státní jazykové zkoušky Svitavy Ditta Kukaňová.
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví

Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Souřadnicová síť, určování zeměpisné polohy

Souřadnicová síť, určování zeměpisné polohy
Ekonomicko-matematické metody č. 11 Prof. RNDr. Jaroslav Ramík, CSc.

Ekonomicko-matematické metody č. 11 Prof. RNDr. Jaroslav Ramík, CSc.
PB169 – Operační systémy a sítě Zabezpečení počítačových sítí Marek Kumpošt, Zdeněk Říha.

PB169 – Operační systémy a sítě Zabezpečení počítačových sítí Marek Kumpošt, Zdeněk Říha.
ELEKTRONICKÉ ZABEZPEČOVACÍ SYSTÉMY. Název projektu: Nové ICT rozvíjí matematické a odborné kompetence Číslo projektu: CZ.1.07/1.5.00/34.0228 Název školy:

ELEKTRONICKÉ ZABEZPEČOVACÍ SYSTÉMY. Název projektu: Nové ICT rozvíjí matematické a odborné kompetence Číslo projektu: CZ.1.07/1.5.00/ Název školy:
Dítě jako majetek v rozvodovém řízení. Co dítě prožívá? Proč rozvod rodičů dítě tak bolí? Protože bylo zvyklé na jistotu, která najednou není. Čas rozvodu.

Dítě jako majetek v rozvodovém řízení. Co dítě prožívá? Proč rozvod rodičů dítě tak bolí? Protože bylo zvyklé na jistotu, která najednou není. Čas rozvodu.
Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Mgr. Ludmila Jakubcová. Dostupné z Metodického portálu ISSN: 1802-4785, financovaného.

Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Mgr. Ludmila Jakubcová. Dostupné z Metodického portálu ISSN: , financovaného.
MATURITNÍ OTÁZKA Č.6 ORIENTACE V PRINCIPECH, MOŽNOSTECH A PRAKTICKÉM VYUŽITÍ POČÍTAČOVÝCH SÍTÍ.

MATURITNÍ OTÁZKA Č.6 ORIENTACE V PRINCIPECH, MOŽNOSTECH A PRAKTICKÉM VYUŽITÍ POČÍTAČOVÝCH SÍTÍ.
ÚAPo Kladné příklady, nejčastější chyby. Postup hodnocení Každé ÚAPo vyhotoveny jinou metodou Zdůrazněny pozitivní příklady Shrnuty nejčastější chyby.

ÚAPo Kladné příklady, nejčastější chyby. Postup hodnocení Každé ÚAPo vyhotoveny jinou metodou Zdůrazněny pozitivní příklady Shrnuty nejčastější chyby.
Název materiálu: Internetová úložiště Anotace: Výklad nového učiva Autor: Iveta Pasterňáková, 2013 Ověření ve výuce 8.4. 2013, 5.třída Vyučovací předmět:

Název materiálu: Internetová úložiště Anotace: Výklad nového učiva Autor: Iveta Pasterňáková, 2013 Ověření ve výuce , 5.třída Vyučovací předmět:
Název projektu: Moderní škola Registrační číslo projektu: CZ.1.07/1.4.00/21.2511 Škola: Základní škola, Česká Lípa, Školní 2520, p.o. Číslo klíčové aktivity:

Název projektu: Moderní škola Registrační číslo projektu: CZ.1.07/1.4.00/ Škola: Základní škola, Česká Lípa, Školní 2520, p.o. Číslo klíčové aktivity:
Senzor mechanických vibrací s využitím optických vláken Hlavní řešitel: OPTOKON, a.s. Spoluřešitel: Vysoké učení technické v Brně Projekt:MPO FR-TI4/696.

Senzor mechanických vibrací s využitím optických vláken Hlavní řešitel: OPTOKON, a.s. Spoluřešitel: Vysoké učení technické v Brně Projekt:MPO FR-TI4/696.
IMYDŽ JE NA NIC! POSLOUCHEJ ŽÍZEŇ!. IMAGE FIRMY & ETIKETA Ing. Bc. Jan Kuba.

IMYDŽ JE NA NIC! POSLOUCHEJ ŽÍZEŇ!. IMAGE FIRMY & ETIKETA Ing. Bc. Jan Kuba.
Hodnocení finanční situace obce MKR SURO 2014. Finanční analýza Rozbor minulého hospodaření  odhalení pozitivních a negativních faktorů, které hospodaření.

Hodnocení finanční situace obce MKR SURO Finanční analýza Rozbor minulého hospodaření  odhalení pozitivních a negativních faktorů, které hospodaření.
Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Tomáš Jansa VY_32_INOVACE_OV16 CZ.1.07/1.5.00/34.1021 Moderní škola.

Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Tomáš Jansa VY_32_INOVACE_OV16 CZ.1.07/1.5.00/ Moderní škola.
Mobilní sítě Jakovljevič, Sklenář. obsah Protokol ICMP Ping Traceroute DNS 1G, 2G, 3G, 4G, LTE Virtuální mobilní operátor.

Mobilní sítě Jakovljevič, Sklenář. obsah Protokol ICMP Ping Traceroute DNS 1G, 2G, 3G, 4G, LTE Virtuální mobilní operátor.
Síťové operační systémy OB21-OP-EL-KON-DOL-M Orbis pictus 21. století.

Síťové operační systémy OB21-OP-EL-KON-DOL-M Orbis pictus 21. století.
Personální a mzdová agenda ve vybraném podniku Autorka bakalářské práce: Monika Deutschová Vedoucí bakalářské práce: Ing. Kristina Kabourková Vysoká škola.

Personální a mzdová agenda ve vybraném podniku Autorka bakalářské práce: Monika Deutschová Vedoucí bakalářské práce: Ing. Kristina Kabourková Vysoká škola.
Inf Vizualizace dat a tvorba grafů. Výukový materiál Číslo projektu: CZ.1.07/1.5.00/ Šablona: III/2 Inovace a zkvalitnění výuky prostřednictvím.

Inf Vizualizace dat a tvorba grafů. Výukový materiál Číslo projektu: CZ.1.07/1.5.00/ Šablona: III/2 Inovace a zkvalitnění výuky prostřednictvím.

Podobné prezentace

Reklamy Google