![](https://habrastorage.org/webt/6f/wm/7y/6fwm7yoycxvjunehadxvc-zw0yo.png)
Cisco и Splunk являются партнерами, причем как Cisco использует в своей работе Splunk, так и Splunk модернизирует свои решения для того, чтобы его клиенты могли легко работать с данными, генерируемыми устройствами Cisco.
В рамках партнерства Cisco и Splunk реализовано уже более пяти десятков решений, позволяющих оперативно получать ценную информацию из данных, генерируемых устройствами Cisco. В этой статье мы хотим рассказать о приложении Cisco Security Suite, с помощью которого можно проводить анализ событий ИБ в реальном времени, исходящих от различных устройств Cisco. Cisco Security Suite объединяет в себе панели мониторинга событий брандмауэров Cisco ASA, PIX и FWSM, прокси-сервера Cisco Web Security Appliance (WSA), IPS, Cisco Email Security Appliance (ESA), Cisco Identity Services Engine (ISE) и Cisco Advanced Malware Protection / Sourcefire.
Сбор данных
Для сбора данных, которые в дальнейшем будут обрабатываться в приложении Cisco Security Suite, необходимо установить специальные приложения – аддоны, которые отвечают за сбор данных определенного типа. Для того чтобы использовать все возможность приложения, необходимы следующие аддоны: Cisco ASA, ESA, Identity Services, IPS, WSA и eStreamer.
![](https://habrastorage.org/webt/9w/he/dt/9whedt75vbog7hlaodx29eo4imc.png)
Визуализация
Cisco Security Overview
Панель мониторинга Cisco Security Overview просматривает все надстройки Cisco, показывает события в реальном времени по мере их возникновения, а также предоставляет обзор источников и целевых IP-адресов.
![](https://habrastorage.org/webt/ml/6h/jw/ml6hjw_w62mx56yu3t3h8zfxq7u.png)
![](https://habrastorage.org/webt/cy/ho/dk/cyhodkydu37ogy0jujzxcm-vrgk.png)
Email Security
Панель Email Security строит аналитики по данным, генерируемым Cisco Email Security Appliance (ESA). Рассчитываются количественные характеристики входящих и исходящих сообщений, группируются по типам сообщений: спам, зараженное и обыкновенное сообщение, строятся графики по объему сообщений и др.
![](https://habrastorage.org/webt/cy/t3/q4/cyt3q4iutdmaeinqqckbeeskpe4.png)
![](https://habrastorage.org/webt/cs/c8/fk/csc8fk7aojeiurrw9vzu-wuunba.png)
![](https://habrastorage.org/webt/rf/hz/ly/rfhzlytiat9eoe77xpqnqpyauyy.png)
Web Security
Раздел Web Security работает на основе Cisco WSA, и позволяет получать информацию о характере трафика, основных угрозах и их источниках.
![](https://habrastorage.org/webt/al/bm/tb/albmtb5r3zi7-rzhjw7tdm1w7ik.png)
![](https://habrastorage.org/webt/ck/fb/27/ckfb27oaktzhmjf5lmagrxmbixi.png)
![](https://habrastorage.org/webt/ie/kx/fm/iekxfmgugplcefae_ahtyxsxt0a.png)
А также есть дашборды, анализирующие данные на предмет приемлемости трафика для разных целей использования.
![](https://habrastorage.org/webt/bc/0_/y8/bc0_y80thqcktwbib083qwe8lss.png)
Network Security
В данном разделе представлены дашборды с результатами работы файервола и службы eStreamer. На дашборде Firewall Overview показано количество заблокированных/пропущенных событий, указаны причины блокировки, источники и назначения событий.
![](https://habrastorage.org/webt/uh/rs/mu/uhrsmuocqd-lxveogyhkuxwvfk0.png)
Для службы eStreamer создано несколько дашбордов, в которых можно найти информацию по политикам, хостам, сенсорам, потокам и др.
![](https://habrastorage.org/webt/31/ow/js/31owjs7s6loqu4in-t29nwlxaeo.png)
![](https://habrastorage.org/webt/tq/2h/th/tq2hthggxlpdeb9jc53lkcphevu.png)
Identity Services
Cisco Identity Services является платформой для управления процессами идентификации и контроля доступа. Благодаря данным, полученным в режиме реального времени из сетей, от пользователей и устройств, возможно принимать упреждающие решения по предоставлению доступа. Все события предоставления доступа разделяются на соединения по проводным сегментам сети, беспроводным сегментам сети и подключениям удаленного доступа.
![](https://habrastorage.org/webt/uj/sw/z1/ujswz1wdwvwpywcd_cw5tyvdcro.png)
![](https://habrastorage.org/webt/6d/n1/ge/6dn1gebon1pe3eeginp2q65jolg.png)
Заключение
На самом деле, приложение (в полной «комплектации») включает в себя больше 50 дашбордов, поэтому мы привели скриншоты далеко не всех. Чтобы узнать больше об этом приложении, можно дополнительно посмотреть специальное демо-видео.
Спасибо за уделенное время!
Если вам интересна эта тема или Splunk в целом, то пишите комментарии, мы будем рады вам ответить. Также в нашем блоге есть множество других статей, которые касаются Splunk и могут помочь вам узнать много интересного про реализованные кейсы, функционал и многое другое. Подписывайтесь в нашу группу VK и канал Telegram, если хотите быть в курсе новых статей. Также можете написать нам запрос через форму на нашем сайте.
P.S.
Cisco Threat Hunting Workshop
21-го июня в Санкт-Петербурге пройдет семинар "Cisco Threat Hunting Workshop", который проведет инженер-консультант компании Cisco Василий Томилин. Почитать более подробно об этом мероприятии и зарегистрироваться можно здесь. Участие бесплатное. Количество мест ограничено.
Splunk Getting Started
А также, 28 июня в Москве будет проводиться обучение "Splunk Getting Started", на котором за 6 часов участники получат теоретическую базу и практические навыки по работе в Splunk. Узнать об обучении больше и зарегистрироваться можно по этой ссылке.