来自 网络 2021-07-13 23:27 的文章

cdn高防_cdn防御直播室_新用户优惠

cdn高防_cdn防御直播室_新用户优惠

去年,在一次概念验证过程中,一位未来的客户发现一个内部开发web服务器意外地被外部发布了。这个开发服务器的内容,ddos攻击和常用的防御,包括客户的个人识别信息(PII)已经公开,不需要认证,物理服务器防御ddos,而且PII已经被谷歌搜索引擎索引。显然不好。如果安全团队已经在使用LogRhym Network Monitor(NetMon),那么他们可能会在发现所有衣物都在晾晒并在谷歌上建立索引之前就已经学会了这一点。如何检测新的网络服务通过利用NetMon生成的网络数据,logrythym NextGen-SIEM平台可以将正常的网络行为白名单,并在检测到新的网络服务时生成警报。但是为了收集完整的图片,还需要用户和端点可见性。这让我们回到了整体分析的重要性。下面我将讨论一个真实世界的例子,一次ddos防御,展示整体分析如何帮助您检测新的网络服务,并有可能避免类似的事件。这是一个新的网络服务被发现的警报。图1:AIE规则:宿主变异这种类型的警报最适合于敏感环境,如DMZ、POS或高安全区域。在新的网络服务不常见的地区尤其如此。如果单击报警卡,LogRhym将显示inspector面板。您可以在这里找到许多报警详细信息,包括:警报的描述,以了解它为什么会触发。托管新网络服务的服务器。在这种情况下,家庭电脑防御ddos,受影响的主机=usbo1serv02新检测到的网络服务。在这种情况下,已知的应用程序=HTTP(注意:HTTP是一种不安全的纯文本协议,理想情况下不应使用)图2:AIE规则详细信息将鼠标悬停在受影响主机的信息图标上,可以收集更多的上下文信息。图3:受影响的主机信息在本例中,我们发现一个Linux服务器应该只运行HTTPS和SSH服务,而不是HTTP。深入到报警卡可以看到NetMon生成的更多元数据,ddos是否能防御,比如HTTP活动,甚至触发该活动的web浏览器(googlechrome)。图4:警报向下钻取统一的LogRhy平台允许一次点击下载原始数据包数据(即下载PCAP按钮),以供进一步的分析员检查,或附加到案例中。网络设备的日志通常不包括身份信息。但是logrymethy的身份推断可以节省分析员的时间来自动显示在相关主机上通过身份验证的用户,从而减少了您的总体响应时间。图5:对数律同一性推断在LogRhym Security Intelligence and Analytics Platform中,可以深入搜索任何元数据字段。因此,为了进一步了解和验证发生了什么,您可以在检测到新网络服务之前和之后的五分钟内深入到受影响的主机上。图6:主机字段此搜索的结果显示了此主机上所有活动的结构化视图。如果您查看"分类小部件",它会显示几个感兴趣的领域:身份验证成功启动和关闭访问成功图7:分类小部件在另一个小部件中,您可以看到在当前运行新网络服务的服务器上运行或启动的顶级进程。我们知道服务器正在运行一个新的网络服务,这要归功于logrymethy的端点代理进程监视。图8:Top Processes小部件其中一个突出的进程是apachehtp2进程,它是一个web服务器,可以监听TCP端口80(根据我们最初的警报)。利用Breadcrumb trail特性,您可以快速过滤结果。通过查看身份验证成功元数据,可以看到根用户帐户已被使用。图9:身份验证成功元数据如果为root用户应用其他筛选器,则可以查看由root用户启动(或停止)的所有进程。图10:更多认证成功元数据这很快就会显示ApacheHTTP2服务已经在这个时间窗口内被更改和启动。图11:ApacheHTTP2服务已更改进一步的过滤显示,apachehttp2web服务器也发生了配置更改。图12:ApacheHTTP2配置更改整体分析如何缩短检测和响应新网络服务的时间LogRhy安全智能和分析平台的几个组件有助于您快速检测和响应新网络服务。下面是一个快速列表:人工智能引擎:利用行为分析来学习正常的网络服务(白名单规则块)。NetMon:被动地监视所有流向北/南和/或东/西的流量,以检测新的网络服务。使用深度包检查,对检测到的真正的应用程序类型充满信心(没有像NetFlow那样的猜测)。端点分析:捕获端点级别的活动,如配置更改或正在更改的流程/服务。在本例中,通过使用LogRhy的endpoint agent进程监视。用户分析:识别和用户背后的动作,或当没有识别时,利用LogRthyment身份推断来节省进一步手动关联的时间。看看这个和其他关键的用例演示,了解NetMon的强大功能。查看NetMon的实际应用LinkedIn Twitter Facebook Reddit电子邮件