2. Quy trình lưu lượng của CSMARS


Thiết bị CSMARS dùng để giảm thiểu việc tràn ngập các sự kiện còn sơ xài,từ đó giảm thiểu được sự tấn công.Quy trình có thể được mô tả như sau:
-Bước 1:Thiết bị này này phải bắt đầu với nhận thức đầy đủ về mô hình của mạng lưới. Nó dùng thông tin cấu hình đã hoàn tất từ router và switch, máy chủ và các máy vi tính khác, cùng với các thông tin từ các thiết bị an ninh để xây dựng một hình ảnh đầy đủ của mạng lưới.

-Bước 2: Không chỉ các thiết bị an ninh (tường lửa và IDS) mà các thiết bị mạng (router và switch) và hệ thống cuối (server) gửi logging và mạng lưới thông tin. Thiết bị MARS cũng có thể thu thập dữ liệu của Cisco IOS NetFlow từ router và switch, làm cho hiệu suất mạng và tính toán các dữ liệu sẵn có để hội nhập với các sự kiện dữ liệu. Dữ liệu NetFlow có thể xác định các mạng lưới giao thông bất thường - đột ngột thay đổi trong mức độ lưu lượng.

-Bước 3: Sessionization dùng các nhận thức về mô hình của mạng lưới để kết hợp nhiều sự kiện vào end to end session.

-Bước 4: Session-Based Active Correlation, sử dụng bằng cách gắn liền các rule do người sử dụng xác định, tương quan thông tin những session với dữ liệu NetFlow để xác định các ứng viên có tiềm năng cho việc hoàn thành mạng lưới tấn công, gọi tắt là incident

-Bước 5: CSMARS appliance performs automatic vulnerability assessment, which uses information about end system to identify false positive, building rules to reduce future analysis and processing of candidate incidents. Thiết bị CSMARS tự động thực hiện các hành động được đánh giá mang tính chất nguy hiểm, nó sử dụng các thông tin về kết thúc hệ thống để xác định false-positive, xây dựng các rule để giảm bớt quá trình phân tích trong tương lai các ứng viên của incident.

-Bước 6: Thông báo cho các nhà điều hành về những incident thực tế và các hướng dẫn để giảm thiểu.

-Bước 7: Xác định xem chúng có thực sự là incident hay là false-positive. Với một quyết định, người dùng có thể phân loại false-positive và nhanh chóng giảm số lượng các báo cáo incident.

-------------------------------------------------------------------------------------------------------------------Còn tiếp

bài viết hay quá anh Tuấn ơi. Em đang tìm hiểu nè, anh Post tiếp nha.

Thanks anh.

3. Lựa chọn các thiết bị để giám sát

Tất cả các chiến lược giám sát bao hàm việc lựa chọn các loại thiết bị theo dõi giám sát và có bao nhiêu dữ liệu để cung cấp thiết bị MARS. Tất cả các thiết bị trên mạng lưới của bạn là máy, gateway, thiết bị an ninh, hoặc máy chủ, cung cấp một số cấp độ dữ liệu mà Mars có thể sử dụng để nâng cao tính chính xác của nhận dạng an ninh về incident. Tuy nhiên, cân nhắc cẩn thận về những dữ liệu để cung cấp có thể cải thiện việc xác định thời gian phản hồi của sự tấn công bằng cách đảm bảo rằng Mars không thực hiện việc phân tích tương quan sự kiện là cần thiết hay dư thừa. Đăng nhập không cần thiết và báo cáo bởi thiết bị báo cáo cũng có thể làm giảm hiệu quả của mạng lưới.

Bảng xác nhận thiết bị loại, mô tả những thông tin nào chúng có thể cung cấp, và đề xuất cấu hình như thế nào cho các thiết bị trong mạng của bạn.




---------------------------------------------------------------------------------------------------------------------Còn tiếp

4. Thông tin liên lạc CSMARS

Thiết bị Mars là một thiết bị thụ động trừ việc nhận biết, giảm thiểu hoặc các hoạt động điều tra được kiểm soát hoặc một thiết bị yêu cầu phải đăng nhập để nhận được các thông số tương ứng. Nó dùng một loạt các phương tiện để nhận được các log, khám phá mô hình mạng, và giảm thiểu mối đe dọa và cảnh báo các quản trị viên.

v CSMARS nhận log bằng cách sử dụng các giao thức: syslog, SNMP traps HTTP hay HTTPS và SDEE (cho IPS).

v CSMARS khám phá mô hình mạng thực hiện các công việc bằng cách sử dụng những giao thức này: SNMPv1 (read only access được yêu cầu), telnet, SSH hoặc FTP và SDEE, vv.

v CSMARS thực hiện giảm thiểu bằng cách sử dụng những giao thức này: telnet, SSH, SNMPv1 (write access được yêu cầu).

v CSMARS cảnh báo các quản trị viên bằng cách sử dụng những giao thức: E-mail, SNMP trap, syslog, pager, SMS

5. Các tính năng và lợi ích của CSMARS

-Mạng thông minh tập hợp sự kiện: có được mạng lưới trí tuệ bởi sự hiểu biết các mô hình và cấu hình thiết bị router,switch và tường lửa trong hồ sơ mạng lưới giao thông

-Hiệu suất xử lý với tương quan tình huống: Chuỗi tương quan tình huống bằng cách đó đã làm giảm đáng kể dữ kiệu sự kiện sơ sài, tạo điều kiện ưu tiên việc đáp ứng, và tối đa các kết quả từ triển khai biện pháp đối phó

-Tập hợp hiệu suất cao và củng cố: Mars, giải pháp lấy được hàng ngàn nguyên sự kiện, sắp xếp các incident một cách hiệu quả với việc giảm thiểu những dữ liệu chưa từng có, và cô đọng lại thông tin này. Quản lý khối lượng sự kiện an ninh cao, đòi hỏi một sự an toàn và ổn định về nền tảng logging.

-Xác định Incident: CsMars giúp đẩy nhanh và đơn giản hóa quá trình xác định mối đe dọa, điều tra, xác nhận và giảm thiểu

-Tác dụng của đòn bẩy giảm thiểu với tự động giảm thiểu: có khả năng xác định điểm cốt lõi thiết bị tấn công theo đường dẫn và tự động cung cấp các thiết bị thích hợp lệnh mà người sử dụng có thể sử dụng để giảm thiểu các mối đe dọa

-Điều tra thời gian thực và theo đúng báo cáo

-Triển khai nhanh chóng: Mars được đặt trên một TCP / IP nework, nơi nó có thể gửi và nhận các syslog, SNMP traps, và thiết lập bảo mật các session và triển khai với mạng lưới và an ninh thông qua các thiết bị đạt tiêu chuẩn an toàn hoặc các nhà cung cấp giao thức cụ thể:

-Mở rộng quản lý: cung cấp một cái nhìn toàn bộ doanh nghiệp, phổ biến các quyền truy cập, cấu hình, cập nhật, điều chỉnh rule, và các mẫu báo cáo, điều tra và phối hợp phức tạp với việc làm tăng nhanh các query and report.
---------------------------------------------------------------------------------------------------------------------Còn tiếp

nữa đi bác ơi heheheh bài viết đang hay mà ...

oChế độ Standalone: Đây là trung tâm quản lý thông qua một trang web an toàn dựa trên giao diện hỗ trợ rule theo quản trị viên. Quản lý của các thiết bị báo cáo, query, rule và report được thực hiện trên thiết bị này. Khi CSMARS trong chế độ standalone liên lạc với các CSMARS Global Controller, các chế độ thiết bị thay đổi thành CSMARS Local Controller

oCSMARS Local Controller: CSMARS Local Controller triển khai tương tự như với standalone được mở rộng khả năng giao tiếp với các CSMARS Global Controller.

oCSMARS Global Controller: Đây là một thiết bị giao tiếp với một hoặc nhiều LC,cho phép hoạt động ở trung tâm và quản lý của LC trong CS-Mars được phân phối triển khai. Điều quan trọng cần lưu ý rằng các GC hiện không tiến hành trên toàn cầu của tất cả các dữ liệu LC tương quan.
Giao tiếp giữa LC và GC xảy ra thông qua HTTPS.CS- Mars LC gửi tổng kết snapshots của các dữ liệu vào GC. Vì vậy, tất cả các dữ liệu vẫn còn nguyên trên LC. Khi bạn bấm vào các dữ liệu trong GC, một session HTTPS mới được mở cho LC, sau đó bạn sẽ xem các dữ liệu trên LC. Tất cả quản lý hoặc lệnh của quản trị viên gửi từ GC cho LC được thực hiện thông qua các thông tin liên lạc HTTPS.

Phần sau "Rules"

Hay wa'''. Tiếp đi anh uiiii

1.Khái niệm

Rules là các quy định phải được đáp ứng chính xác để CSMARS có một hành động. Các hành động khác nhau từ việc tạo Incident và False-positive để tạo ra e-mail thông báo Theo mặc định, khi tất cả các điều kiện của Rule được đáp ứng, một Incident được tạo ra, tùy thuộc vào từng loại Rules, ta có thể biết thêm chi tiết các hành động. Rules có thể là những cái cơ bản, như các sự kiện báo cáo của Firewall hoặc IDS, hoặc phức tạp hơn là đặc điểm các hành động chẳng hạn như một máy Server kết nối với máy Client thông qua các Port và sau đó gửi đến những hành động đó trên mạng lưới.

2.Các lại Rules

Trong CS-Mars, Rules và Reports về cơ bản là cùng một cấu trúc, sự khác biệt là chúng có mục đích và kết quả khác nhau. Queries là nền tảng cho Rules và Reports. Queries được sử dụng để lọc các tiêu chuẩn cho việc xác định những dữ liệu của một Report hoặc cho phù hợp với một Rule để có những hành động thiết thực. Một hành động mặc định sẽ tự động thực hiện khi một điều kiện của Rule được đáp ứng. Để kích hoạt các hành động này, những hành động phải được xác định trong tiêu chuẩn có sẵn của Rules.


Inspection rules
Drop rules

2.1 Inspection Rules:
Inspection Rules là điều kiện mà dữ liệu đang được nhận bởi CSMARS đáp ứng cho một Incident được tạo ra và xử lý chúng. Hành động mặc định cho một Inspection Rule là tạo ra một Incident ID, mỗi ID là một số duy nhất để định dạng các dữ liệu mà cụ thể ở đây là kích hoạt các Rules. Việc tạo ra các Incident ID này dẫn đến việc đẩy mạnh sự hình thành của sự kiện. Inspection Rules có 2 dạng: System Rules và User DefinedRules. Để xem các Inspection Rules: Tab Rules > Inspection Rules

2.1.1 System Rule:
Những Rules đã được xác định trước trong CS-Mars. System rules dễ dàng được nhận ra bởi một quy ước đặt tên duy nhất. Tên của System Rules bắt đầu bằng chữ "System Rule:" và sau đó sẽ được nối với tên Rule. Hơn 120 System Rules được xây dựng sẵn vào CS-Mars. Những Rules này có thể được sửa đổi chút ít bằng cách thay đổi các thuộc tính sau:
v Action
v IP Source
v IP Destination
v Thiết bị
Không có thuộc tính System Rules khác có thể được sửa đổi. Nếu muốn thay đổi các thuộc tính khác, có thể vào Tab Duplicate, System Rules và sửa đổi tất cả các thuộc tính trong những Rules mới được sao chép.

2.1.2 User Defined Rules:
Rules do người dùng tạo ra trên CSMARS. Những Rules này được gán với tên chính xác và xuất hiện theo thứ tự chữ cái trên trang Inspection Rules

2.2 Drop Rules
Drop Rules là điều kiện phải được đáp ứng cho một hành động sẽ được thực hiện. Những hành động có thể làm như bỏ dữ liệu hoàn toàn từ DataBase hoặc chặn dữ liệu đến DataBase nhưng không cho phép sử dụng dữ liệu trong một Incident. False-Possitive( cảnh báo sai) điều chỉnh cho phép chỉnh các Rules cho việc xác định False-Possitive. Hành động mặc định cho Rule này là tạo ra một hệ thống xác định False Possitive. Để xem các Drop Rules, để xem các Drop Rules có thể vào Tab Rules > Drop Rules.
Có thể điều chỉnh tùy theo những lý do khác nhau. Một số phương pháp chỉnh:

v Thông qua các liên kết False Possitive
v Thủ công

2.2.1. Liên kết False Positive
Khi xem các sự kiện thông qua các công cụ Queries hay Incident thông qua Incident/Session ID, bình thường hóa các dữ liệu đưa ra những kết thúc trong một liên kết False Positive . Khi bấm vào, liên kết này sẽ mở ra một cửa sổ mới với False Positive Tuning Wizard.

2.2.2. Thủ công


Tạo ra một drop rule từ trang Drop Rules, tại Rules > Drop Rules. Khi điều hướng đến trang này cho lần đầu tiên, nó là trống.

Như một ví dụ thực tế về cách rule này có thể được sử dụng, hãy xem xét các sự kiện Built/Teardown/Permitted IP Connection, tạo ra bởi tường lửa Pix thiết bị ASA mỗi lần một session được mở thông qua các tường lửa

Bước 1: Nhấp vào nút Add trên trang Drop Rules.
Bước 2: Nhập một tên Drop Rule và mô tả.
Bước 3: Chọn Any như địa chỉ IP Source.
Bước 4: Chọn Any như địa chỉ IP Destiantion.
Bước 5: Chọn Any như là Port dịch vụ và giao thức.
Bước 6: Chọn All Event Types từ menu drop-down ở hộp bên phải
Bước 7: Gõ Built/teardown trong hộp Search và nhấp vào Search.
Bước 8: Đánh dấu vào Built/Teardown/Permitted IP Connection và nhấp <<== nút Add. Built/Teardown/Permitted IP Connection bây giờ xuất hiện ở hộp bên trái. Bấm Next.



Bước 9: Chọn loại thiết bị: Cisco Pix.
Bước 10: Kiểm tra Pix <<== nút (Add) . Lựa chọn bây giờ xuất hiện trong hộp bên trái. Bấm Next.
Bước 11: Để lại Any nào vào trong các trình đơn Severity drop-down. Bấm Next.
Bước 12: Chọn nút Drop radio. Bấm Next.
Bước 13: Chọn Time Range nút Any. Bấm Next.
Bước 14: Nhấp vào Submit.
Bước 15: Nhấp vào nút Activate để kích hoạt.



Phần tiếp theo "Active và Inactive Rules"

Anh tuấn cho em hỏi đã có công ty nào đã triển khai HT CS-MARS chưa vậy, em thấy HT này khá hay mà chưa thấy triển khai ???

Chào bạn,
Việc triển khai CSMARS trong doanh nghiệp hiện tại là chưa nhiều, những doanh nghiệp đã sử dụng giải pháp này phần lớn là ngân hàng, những công ty chứng khoán, dầu khí.

Hi logmeinvietnam,
Hiên tại mình đang gặp vấn đề triển khai Csmars khi add thiết bị không nằm trong list support của Csmars như Fortigate.
Mình đã làm theo link sau http://firewallguru.blogspot.com/200...tegration.html , nhưng khi add thiết bị vào rồi thì nó đứng 1 mình, không liên kết gì đến các mạng hiện tại. Vậy có cách nào cho nó join vào mạng hiện tại không bạn?

Tks,
Vo Khoa.

3. Active và Inactive Rules


Tất cả các Rules trong CS-Mars có hai tình trạng: hoạt động và không hoạt động. Active Rule là những rule đang được sử dụng. Inactive rule là những Rule không hoạt động có nghĩa là không được sử dụng.
Tạo Custom System Inspection Rules


Tạo ra một Custom System Inspection Rulethì tương tự như trong quá trình tạo Drop Rule bằng thủ công, nhưng với nhiều chi tiết hơn, bao gồm cả khả năng để thêm vào các Rule tính phức tạp với các biểu thức Boolean.

Ví dụ: Để tạo các Rules này là của người dùng, các quản trị viên, muốn có một Incident được tạo ra, và muốn được thông báo qua e-mail khi một máy chủ nội bộ hay bên ngoài làm cho 20 kết nối vào bất kỳ máy chủ của bạn thông qua các tường lửa Net trong 10 giây theo các bước sau:
- Bước 1: Từ Rules > Inspection Rules, bấm vào nút Add.
- Bước 2: Nhập các tên Rule và mô tả. Bấm Next.
- Bước 3: Xác định cụ thể kết nối cho các kết nối máy chủ, xác định nó như là một mục tiêu để cho CS-Mars biết các kết nối này phải được từ cùng một máy chủ duy nhất. Trong hộp bên phải, đánh dấu vào $ Target01 và nhấn vào nút <<== để thêm nó vào hộp bên trái. Bấm Next.
- Bước 4: Xác định đó là mục tiêu đánh dấu vào $ Target02 và nhấn vào nút <<== để thêm nó vào hộp bên trái. Bấm Next.
- Bước 5: Trong hộp bên phải, đánh dấu vào Any và nhấn vào nút <<== để thêm nó vào hộp bên trái.
- Bước 6: Trong hộp bên phải, hãy đánh dấu vào Any và nhấn vào nút <<== để thêm nó vào hộp bên trái.
- Bước 7: Bạn xác định tường lửa đang giám sát các kết nối.
- Bước 8: Đánh dấu vào Any và nhấn vào nút <<== để thêm nó vào hộp bên trái
- Bước 9: Không định nghĩa bất kỳ từ khoá nào trong văn bản, do đó, nó vẫn còn đặt vào Any
- Bước 10: tùy chọn, nhưng truy cập bắt buộc phải được xác định. Các Rules được viết cho 20 kết nối, do vậy cần phải nhập vào vùng Counts là 20


- Bước 11: Nhấp vào Yes.
- Bước 12: Một hành động của quản trị e-mail đã được xác định trước.
- Bước 13: Các tiêu chí cho Rules này là tất cả các điều kiện phải được đáp ứng trong một khoảng thời gian 10 giây.
- Bước 14: Submit và active.


4. Complex và Behavioral Rule Creation

Complex Rules là những Rulse sử dụng nhiều offsets gắn liền với nhau bởi các bểu thức Boolean. Ba biểu thức Boolean có sẵn để sử dụng trong CS-Mars:
vAnd: điều kiện của các offset phải được đáp ứng, nhưng không cần phải theo thứ tự
vOr: chỉ có một trong các điều kiện của những offsets phải được đáp ứng
v Followed-By:một điều kiện của offset phải thực hiện theo các điều kiện trước


Các offset có thể được nhóm lại bằng cách đặt chúng giữa ngoặc để duy trì trật tự của hoạt động.



Hình: Inspection Rule Panel: Complex Rule System Rule

Phần tiếp theo "Incident"

Một Incident là một chuỗi các sự kiện tương quan ứng với mỗi Rule khi có tín hiệu một cuộc tấn công vào hệ thống mạng. CSMARS sẽ phát hiện, giảm thiểu, báo cáo, và phân tích các sự cố đó. Dựa trên bảng điều khiển mạng và các trang Incident sẽ giúp chúng ta phát hiện và hiển thị các sự cố trên hệ thống mạng và giúp đưa ra các quy tắc và các sự kiện để phòng chống lại. Phòng chống lại các tấn công là đề cập đến khả năng của CSMars để cô lập các hành vi tấn công không gây hại đến các thiết bị và hệ thống mạng

Queries và Report thu thập dữ liệu và phân tích các dạng tấn công. Tất cả các thông tin này có thể được thu thập lại ở dạng báo cáo.

1. Khái quát Incident



Hình: Trang Incident

vĐịnh nghĩa: Một Incident là một chuỗi các sự kiện mô tả một cách chi tiết các thông tin liên quan để các tấn công và hệ thống mạng. Ví dụ: quét Port, tràn dữ liệu…

vChức năng: thu thập các sự kiện quan trọng, mô tả chi tiết cuộc tấn công có sẵn trong dữ liệu và có thể tạo ra các Rule riêng để phân loại các dạng tấn công


vBản chất: Incident được chia thành tưng phần (mỗi phần riêng biệt là một cuộc tấn công đã có sẵn) để dễ dàng hơn trong quá trình phân tích và phát hiện ra các dạng tấn công có sẵn.

Có thể truy cập vào các trang Incident bằng cách nhấp vào nút Tab Incident, Tab thứ hai ở góc bên phải từ trái sang

Trang Incident có 3 tab các chức năng:
oIncidents
oFalse Positives
oCases
vTab Incident:

Tab Incident thể hiện trực tiếp một loạt các sự cố gần đây nhất nó sẽ thể hiện qua sơ đồ ở trang Summary. Sự khác biệt chính giữa các trang này là sẽ hiển thị tất cả các sự cố báo cáo trong vòng 24 giờ và thể hiện cùng một lúc 25 sự cố (Increment). Increment này có thể được điều chỉnh để để quan sát các sự cố trên mỗi trang (có thể lên tới 10.000)




Hình: Tab Incident

vTab False Positive:

Tab này cho phép người dùng xem các báo cáo sai của CS-Mars hoặc drop rule mà người dụng cấu hình


Hình: Tab False Positive

vTab Case

Tab này được truy cập vào trong các trường hợp sử dụng CS-Mars như một công cụ quản lý. Mặc dù bạn có thể truy cập cụ thể vào từng vùng trong CS-Mars bằng cách chọn từng loại trong Select Case nhưng có sự đặc biệt ở đây là Tab này có thể quản lý tất cả các vùng trong tất cả các trường hợp nếu bạn chọn No Case Select





Hình: Tab Incident Case

2. Sử dụng Incident ID để quan sát dữ liệu

Trong ví dụ này, một báo cáo sử dụng dưới mỗi dạng ID duy nhất gọi là Incident ID



Hình: Chi tiết các dữ liệu của Incident

Phần tiếp theo “Queries”