Cisco и Splunk являются партнерами, причем как Cisco использует в своей работе Splunk, так и Splunk модернизирует свои решения для того, чтобы его клиенты могли легко работать с данными, генерируемыми устройствами Cisco.
В рамках партнерства Cisco и Splunk реализовано уже более пяти десятков решений, позволяющих оперативно получать ценную информацию из данных, генерируемых устройствами Cisco. В этой статье мы хотим рассказать о приложении Cisco Security Suite, с помощью которого можно проводить анализ событий ИБ в реальном времени, исходящих от различных устройств Cisco. Cisco Security Suite объединяет в себе панели мониторинга событий брандмауэров Cisco ASA, PIX и FWSM, прокси-сервера Cisco Web Security Appliance (WSA), IPS, Cisco Email Security Appliance (ESA), Cisco Identity Services Engine (ISE) и Cisco Advanced Malware Protection / Sourcefire.
Сбор данных
Для сбора данных, которые в дальнейшем будут обрабатываться в приложении Cisco Security Suite, необходимо установить специальные приложения – аддоны, которые отвечают за сбор данных определенного типа. Для того чтобы использовать все возможность приложения, необходимы следующие аддоны: Cisco ASA, ESA, Identity Services, IPS, WSA и eStreamer.
Визуализация
Cisco Security Overview
Панель мониторинга Cisco Security Overview просматривает все надстройки Cisco, показывает события в реальном времени по мере их возникновения, а также предоставляет обзор источников и целевых IP-адресов.
Email Security
Панель Email Security строит аналитики по данным, генерируемым Cisco Email Security Appliance (ESA). Рассчитываются количественные характеристики входящих и исходящих сообщений, группируются по типам сообщений: спам, зараженное и обыкновенное сообщение, строятся графики по объему сообщений и др.
Web Security
Раздел Web Security работает на основе Cisco WSA, и позволяет получать информацию о характере трафика, основных угрозах и их источниках.
А также есть дашборды, анализирующие данные на предмет приемлемости трафика для разных целей использования.
Network Security
В данном разделе представлены дашборды с результатами работы файервола и службы eStreamer. На дашборде Firewall Overview показано количество заблокированных/пропущенных событий, указаны причины блокировки, источники и назначения событий.
Для службы eStreamer создано несколько дашбордов, в которых можно найти информацию по политикам, хостам, сенсорам, потокам и др.
Identity Services
Cisco Identity Services является платформой для управления процессами идентификации и контроля доступа. Благодаря данным, полученным в режиме реального времени из сетей, от пользователей и устройств, возможно принимать упреждающие решения по предоставлению доступа. Все события предоставления доступа разделяются на соединения по проводным сегментам сети, беспроводным сегментам сети и подключениям удаленного доступа.
Заключение
На самом деле, приложение (в полной «комплектации») включает в себя больше 50 дашбордов, поэтому мы привели скриншоты далеко не всех. Чтобы узнать больше об этом приложении, можно дополнительно посмотреть специальное демо-видео.
Спасибо за уделенное время!
Если вам интересна эта тема или Splunk в целом, то пишите комментарии, мы будем рады вам ответить. Также в нашем блоге есть множество других статей, которые касаются Splunk и могут помочь вам узнать много интересного про реализованные кейсы, функционал и многое другое. Подписывайтесь в нашу группу VK и канал Telegram, если хотите быть в курсе новых статей. Также можете написать нам запрос через форму на нашем сайте.
P.S.
Cisco Threat Hunting Workshop
21-го июня в Санкт-Петербурге пройдет семинар "Cisco Threat Hunting Workshop", который проведет инженер-консультант компании Cisco Василий Томилин. Почитать более подробно об этом мероприятии и зарегистрироваться можно здесь. Участие бесплатное. Количество мест ограничено.
Splunk Getting Started
А также, 28 июня в Москве будет проводиться обучение "Splunk Getting Started", на котором за 6 часов участники получат теоретическую базу и практические навыки по работе в Splunk. Узнать об обучении больше и зарегистрироваться можно по этой ссылке.