来自 资讯 2021-07-13 04:12 的文章

高防御cdn_防cc攻击好用的cdn_打不死

Jim Lee是来自Seismic Software Inc.的信息安全分析师和博客客。他是小型企业网络安全教育和授权大使。Jim配置易于使用的工具,为小型企业网络安全程序开发直观的解决方案。他为一位前雇主配置logrythrome NetMon Freemium仪表盘的工作帮助该组织赢得了2017年logrythym"规则你的网络挑战"中的最佳安全搜索仪表盘为网络安全分析师提供的免费网络监控工具当我在Totem工作时,这是一个软件即服务(SaaS)解决方案,提供网络安全评估、合规性监控和楼宇控制系统的资产管理,公司一直致力于帮助企业找到方法,用低成本或免费的网络监控解决方案补充现有的网络安全工具套件。当我和我的团队听说logrythm提供了一个免费的网络安全监控产品logrythymnetmonfreemium时,我和我的团队都很兴奋。我们想看看netmonfreemium如何帮助小型企业的网络安全分析师(我们称之为"猎手")快速确定网络流量的基线,ddos防御windows厨,识别异常,并进行进一步调查。2017年7月,我们获得一家小型企业客户的许可,在其内部网络上制作NetMon Freemium原型,并调查其功能。1建立目标网络测试netmonfreemium如何帮助我们的客户机实时检测其网络上的威胁的第一步是确定网络的范围。我们客户的目标网络只有不到20名员工和工作站,流量小于25 Mbps。它的网络承载着典型的办公设备,包括电话、工作站、打印机、内部应用程序和数据库服务器以及本地物理安全系统。我们建立了netmonfreemium的可见性范围,如图1所示。图1:LogRhym NetMon Freemium可见的网络流量2集成和测试netmonfreemium提供开箱即用、基于浏览器的界面,java防御ddos,其中包含了大量的网络流量数据。它还允许猎人调整前端接口以满足其需要。例如,"分析"用户界面允许以下配置:能够按分钟、小时、天、周和月配置显示的数据周期Lucene查询可用的检测到的Elasticsearch字段来过滤捕获的流量IP地址和应用程序的MAC地址,神盾的高防cdn,包括网络地址流为分析的流量打开数据包捕获的选项能够以PCAP格式下载捕获的文件和数据包流使用PCAP格式的网络重播功能仅凭自动格式化和下载pcap的能力,NetMon Freemium就成了猎人的一个有价值的工具;其他免费(不是免费的)工具就缺乏这种现成的能力。对于时间资源有限的企业来说,减少hunter在取证任务上的分析时间(例如从TCP流中提取文件)是必不可少的。三。使用可视化和仪表板基线化网络流量接下来,我们研究了netmonfreemium中集成的可视化和仪表板对网络流量基线化的有效性,以便于识别异常。我们使用SANS研究所的SANS-DFIR网络取证和分析海报作为一个实用指南和一个特别的检查表来基线化网络流量。海报,DFIR-Network U v1_4-17,可在此处通过SAN帐户下载。海报的"网络流量异常"(NTA)部分概述了分析方法的解释,阐明了我们需要在Kibana可视化中显示哪些数据和信息。下面,图2显示了一个基于NTA的Kibana仪表板示例。此仪表板包含可视化,以满足NTA海报中显示的"HTTP GET vs POST比率"和"HTTP返回代码比率"异常。图2:Kibana仪表板可视化网络流量异常4使用Kibana NTA仪表板进行调查下表概述了猎人如何使用Kibana NTA仪表板。左边的一列描述基线化的活动,右边的一列描述可能触发猎人调查可疑网络活动的异常情况。图3:使用Kibana NTA仪表板调查网络活动的说明5分析评估结果我们的团队使用图4所示的矩阵来评估LogRhym的NetMon Freemium如何帮助hunter针对小型企业的每个NTA分析网络流量。我们采用了三个评估标准:1易于实现:实现可视化有多困难?简单:可视化是现成的,只需要简单的重新配置中等:需要一些开发和重新配置挑战性:无法从"可视化"环境中创建,或需要大量开发(例如,高防dns和高防cdn区别,工具中的Lua脚本)2异常检测的容易程度:猎人在建立基线后能多快发现异常?一目了然:在可视化过程中,偏差是很明显的深入观察:偏差需要与其他有组织的信息进行交叉引用,或者对可视化和相关捕获表进行更深入的检查,以识别异常;例如,可能需要滚动图表图例来发现偏差三。是否需要其他工具?:是否需要其他软件或网络工具来完成分析?是:分析至少需要一个其他工具(Nmap、Wireshark、SIEM、防火墙日志等)否:现成的接口和深入分析工具足以完成分析图4:用于评估LogRhym的NetMon Freemium的矩阵正如您在矩阵中看到的,我们对NetMon Freemium作为一个小企业猎手的网络安全工具包的有效补充感到满意。对于典型的小企业来说,必要硬件的成本也是合理的。将产品安装并集成到企业网络环境中的过程非常简单。LogRhythm甚至有一个有用的常见问题解答表,其中提供了有关使用netmonfreemium获得最佳结果所需的硬件的信息。NetMon Freemium的好处netmonfreemium中的用户界面和体验是直观的,并且对于我们判断该工具的大多数nta来说很容易配置。我们成功地为SAN海报中显示的11个NTA中的10个创建了仪表板。NetMon Freemium在开箱即用的情况下遇到了一些NTA,在很短的时间内,我们能够创建新颖的仪表板,千兆带宽ddos防御,帮助威胁猎人识别其他异常。在识别异常后几秒钟内深入到数据包、流或PCAP的能力有助于猎人快速有效地调查(如果需要的话)流量的自动数据包捕获将NetMon Freemium与其他工具区分开来。netmonfreemium可能是猎人唯一需要的工具来识别异常并确定几个NTA的根本原因。一旦为给定的业务环境安装并配置了该工具,我们预测威胁猎人每天将花半小时到一小时使用仪表板来建立正常网络流量的基线。一旦猎人对基线感到满意,他或她应该能够在同样的半小时内快速发现异常,然后使用该工具来计划和执行进一步的调查。开始使用LogRhym NetMon Freemiumlogrythyright NetMon Freemium是一个有价值的工具,有人在企业网络中寻找网络流量异常,特别是因为软件是免费的。尽管它有一些前端/后端限制,但它满足许多网络流量分析的行业最佳实践。它当然可以帮助hunter基线网络流量,识别异常,并进行进一步的调查。您可以在NetMon Freemium上找到更多信息并在此处下载。为了获得更多的支持,我们发现logrymethy社区在部署和配置方面非常有帮助。打猎不错!LinkedIn Twitter Facebook Reddit电子邮件