Cisco и Splunk являются партнерами, причем как Cisco использует в своей работе Splunk, так и Splunk модернизирует свои решения для того, чтобы его клиенты могли легко работать с данными, генерируемыми устройствами Cisco.

В рамках партнерства Cisco и Splunk реализовано уже более пяти десятков решений, позволяющих оперативно получать ценную информацию из данных, генерируемых устройствами Cisco. В этой статье мы хотим рассказать о приложении Cisco Security Suite, с помощью которого можно проводить анализ событий ИБ в реальном времени, исходящих от различных устройств Cisco. Cisco Security Suite объединяет в себе панели мониторинга событий брандмауэров Cisco ASA, PIX и FWSM, прокси-сервера Cisco Web Security Appliance (WSA), IPS, Cisco Email Security Appliance (ESA), Cisco Identity Services Engine (ISE) и Cisco Advanced Malware Protection / Sourcefire.

Сбор данных


Для сбора данных, которые в дальнейшем будут обрабатываться в приложении Cisco Security Suite, необходимо установить специальные приложения – аддоны, которые отвечают за сбор данных определенного типа. Для того чтобы использовать все возможность приложения, необходимы следующие аддоны: Cisco ASA, ESA, Identity Services, IPS, WSA и eStreamer.



Визуализация


Cisco Security Overview

Панель мониторинга Cisco Security Overview просматривает все надстройки Cisco, показывает события в реальном времени по мере их возникновения, а также предоставляет обзор источников и целевых IP-адресов.





Email Security

Панель Email Security строит аналитики по данным, генерируемым Cisco Email Security Appliance (ESA). Рассчитываются количественные характеристики входящих и исходящих сообщений, группируются по типам сообщений: спам, зараженное и обыкновенное сообщение, строятся графики по объему сообщений и др.








Web Security

Раздел Web Security работает на основе Cisco WSA, и позволяет получать информацию о характере трафика, основных угрозах и их источниках.







А также есть дашборды, анализирующие данные на предмет приемлемости трафика для разных целей использования.




Network Security

В данном разделе представлены дашборды с результатами работы файервола и службы eStreamer. На дашборде Firewall Overview показано количество заблокированных/пропущенных событий, указаны причины блокировки, источники и назначения событий.



Для службы eStreamer создано несколько дашбордов, в которых можно найти информацию по политикам, хостам, сенсорам, потокам и др.





Identity Services

Cisco Identity Services является платформой для управления процессами идентификации и контроля доступа. Благодаря данным, полученным в режиме реального времени из сетей, от пользователей и устройств, возможно принимать упреждающие решения по предоставлению доступа. Все события предоставления доступа разделяются на соединения по проводным сегментам сети, беспроводным сегментам сети и подключениям удаленного доступа.





Заключение


На самом деле, приложение (в полной «комплектации») включает в себя больше 50 дашбордов, поэтому мы привели скриншоты далеко не всех. Чтобы узнать больше об этом приложении, можно дополнительно посмотреть специальное демо-видео.

Спасибо за уделенное время!

Если вам интересна эта тема или Splunk в целом, то пишите комментарии, мы будем рады вам ответить. Также в нашем блоге есть множество других статей, которые касаются Splunk и могут помочь вам узнать много интересного про реализованные кейсы, функционал и многое другое. Подписывайтесь в нашу группу VK и канал Telegram, если хотите быть в курсе новых статей. Также можете написать нам запрос через форму на нашем сайте.

P.S.


Cisco Threat Hunting Workshop

21-го июня в Санкт-Петербурге пройдет семинар "Cisco Threat Hunting Workshop", который проведет инженер-консультант компании Cisco Василий Томилин. Почитать более подробно об этом мероприятии и зарегистрироваться можно здесь. Участие бесплатное. Количество мест ограничено.

Splunk Getting Started

А также, 28 июня в Москве будет проводиться обучение "Splunk Getting Started", на котором за 6 часов участники получат теоретическую базу и практические навыки по работе в Splunk. Узнать об обучении больше и зарегистрироваться можно по этой ссылке.

Комментарии (0)