+48 22 625 39 40 it@emca.pl
IT EMCAIT EMCA
IT EMCA
Lider w dziedzinie monitoringu systemów IT
  • Produkty
    • IT Monitoring
      • Energy Monitor
      • PRTG
      • Nagios XI
    • Network security
      • Flowmon
      • Labyrinth
      • Scrutinizer
      • Vectra Cognito
    • Endpoint Detection and Response
      • CrowdStrike
      • SentinelOne
    • SIEM
      • Energy Logserver
      • LogRhythm
    • SOAR
      • Energy SOAR
      • TheHive + Cortex
    • Application Performance Management
      • Flowmon APM
    • NAC Solutions
      • ForeScout CounterACT
      • NACVIEW
    • Network configuration backup
      • BACKBOX
    • Vulnerability detection
      • Ridgebot
      • Skaner podatności Nessus Professional
      • Tenable.ad
      • Tenable.sc
    • OT Security
      • Waterfall
      • Tenable OT Security
    • Application security management
      • Snyk – lider bezpieczeństwa aplikacji
    • Threat intelligence
      • Maltego
  • Elasticsearch
    • Doradztwo Projektowe
    • Architektura
    • Wdrożenia
    • Development
    • Audyt
    • Monitoring
    • Rozwój
    • Splunk 2 Elastic
  • Szkolenia
    • Warsztaty Energy SOAR
  • SOC
  • DYREKTYWA NIS 2
  • Kontakt
  • Produkty
    • IT Monitoring
      • Energy Monitor
      • PRTG
      • Nagios XI
    • Network security
      • Flowmon
      • Labyrinth
      • Scrutinizer
      • Vectra Cognito
    • Endpoint Detection and Response
      • CrowdStrike
      • SentinelOne
    • SIEM
      • Energy Logserver
      • LogRhythm
    • SOAR
      • Energy SOAR
      • TheHive + Cortex
    • Application Performance Management
      • Flowmon APM
    • NAC Solutions
      • ForeScout CounterACT
      • NACVIEW
    • Network configuration backup
      • BACKBOX
    • Vulnerability detection
      • Ridgebot
      • Skaner podatności Nessus Professional
      • Tenable.ad
      • Tenable.sc
    • OT Security
      • Waterfall
      • Tenable OT Security
    • Application security management
      • Snyk – lider bezpieczeństwa aplikacji
    • Threat intelligence
      • Maltego
  • Elasticsearch
    • Doradztwo Projektowe
    • Architektura
    • Wdrożenia
    • Development
    • Audyt
    • Monitoring
    • Rozwój
    • Splunk 2 Elastic
  • Szkolenia
    • Warsztaty Energy SOAR
  • SOC
  • DYREKTYWA NIS 2
  • Kontakt
29 09 2016Aktualności

Integracja platformy Flowmon z systemem Splunk

Bardzo często w organizacjach za obszar bezpieczeństwa odpowiada wiele zespołów. Każdy z nich zarządza wybranym fragmentem infrastruktury. Część administratorów zajmuje się tylko siecią, część tylko serwerami. Brakuje globalnego poglądu na całe środowisko. Aby rozwiązać ten problem powstała koncepcja Security Operations Center (SOC), która zakłada łączenie informacji bezpieczeństwa z wielu źródeł w jednym centralnym miejscu.

Bazując na założeniach SOC firma EMCA SA przygotowała autorską aplikację Security and Informational Events. Oferowane rozwiązanie integruje platformę Flowmon z systemem Splunk.

 

Integracja technologii

Splunk Enterprise to platforma dla danych maszynowych, zgromadzonych w bazach danych, aplikacjach biznesowych czy operacyjnym sprzęcie IT. Jest to proste, szybkie i elastyczne narzędzie do gromadzenia, analizy i zabezpieczania strumieni danych maszynowych generowanych przez wszystkie systemy i infrastrukturę IT. Splunk to rozwiązywanie problemów i badanie incydentów bezpieczeństwa w ciągu kilku minut. Nadrzędnym zadaniem Splunk jest praca na 100% danych pochodzących z IT i ich analiza pod kątem wymagań biznesowych, bezpieczeństwa oraz wydajnościowych.

Flowmon jest liderem rynku w obszarze analizy ruchu sieciowego. Produkt pozwala na wydajny przegląd ruchu sieciowego wskazując trendy wykorzystania sieci, naruszenia polityki bezpieczeństwa lub ponadnormatywną utylizację pasm. Flowmon wyposażony w licencję analizy bezpieczeństwa (ADS – Anomally Detection System) przejmuje ciężar z operatora dotyczący konieczności nieustannej kontroli bezpieczeństwa ruchu sieciowego.

Security and Informational Events (S&IE) to stworzona przez zespół EMCA aplikacja środowiska Splunk pozwalająca na uzyskanie wspólnego widoku analizy logów oraz ruchu sieciowego w kontekście bezpieczeństwa.

 

Zastosowanie

Dane z obszaru zarządzania logami trafiają bezpośrednio do platformy Splunk. Utworzona aplikacja S&IE w pierwszym kroku realizuje korelację logów zgromadzonych w Splunk tworząc automatyczne incydenty z obszaru IT. Widok obszaru sieci uzupełniany jest w wyniku integracji z platformą Flowmon. Flowmon zbiera i przetwarza dane dotyczące transmisji sieciowych w postaci ruchu SPAN port, NetFlow, JFlow oraz pochodnych. Pracujący moduł bezpieczeństwa Anomally Detection System prowadzi nieustanną detekcję niepoprawnych zachowań sieci. Wykorzystuje on wbudowane metody analityczne, które pozwalają na wykrycie zagrożenia sieciowego na podstawie analizy zachowania sieci. Używana algorytmika ma mechanizmy uczące się zachowania badanej infrastruktury i pozwala uniknąć ataków typu Zero-Day. Uruchomione reguły detekcji anomalii dynamicznie reagują na pojawiającą się transmisję i dokonują oceny ryzyka nadając tworzonym alarmom odpowiedni poziom krytyczności.[/vc_column_text][/vc_column][/vc_row]

Flowmon ADS – konsola operatora

Flowmon ADS – konsola operatora

Zagrożenia wykryte przez ADS są przekazywane do wcześniej przygotowanych przez aplikację S&IE indeksów Splunk. Użytkownik z poziomu aplikacji S&IE może w trybie rzeczywistym obserwować 100% aspektów bezpieczeństwa.

Incydenty podzielono na trzy kategorie:

  • Audyt – analiza logów systemów operacyjnych,
  • Network ADS – indcydenty sieciowe,
  • Threat – podatności z systemów AV/IPS/IDS.

Poszczególne wykresy przedstawiają typy zdarzeń, które występowały w badanym okresie.

Na wykresie kołowym widzimy udziały każdej kategorii w całym wolumenie zdarzeń.

Security and Informational Events – konsola bezpieczeństwa

Security and Informational Events – konsola bezpieczeństwa

Stworzona przez EMCA aplikacja Security and Informational Events pozwala sięgnąć operatorowi w szczegóły każdego zdarzenia przesłanego przez środowisko Flowmon. Incydenty ADS zostały pogrupowane według hostów źródłowych i docelowych oraz poddane dodatkowym analizom statystycznym. Efekt ten prezentowany jest osobnym oknie omawianej aplikacji o nazwie ADS.

Security and Informational Events – dedykowana konsola ADS

Security and Informational Events – dedykowana konsola ADS

Zaprezentowane podejście pozwala na budowę analitycznego środowiska, które pracując na tych samych danych będzie udostępniało je osobnym grupom zainteresowanych użytkowników.

 

EMCA SA

Flowmon Networks Gold Partner

Splunk Premier Partner

About the author

Agnieszka

Inne wpisy
Labirynth i EMCA wspólnie dla siły ochrony cyberprzestrzeni
19 03 2024
uberAgent 6.1.2 jest dostępny
21 09 2021
EMCA S.A. – Dział Wdrożeń IT
ul. Wiejska 20,
00-490 Warszawa

Telefon:
+48 22 625 39 40

Email:
it@emca.pl

Polityka prywatności

Menu
  • Strona główna
  • O nas
  • Klienci
  • News
  • Events
  • Program partnerski
  • Kontakt