Настройка EtherSensor Analyser

<< Кликните, чтобы показать Содержание >>

Руководство Администратора | CHM EPUB PDF A4/Letter   

Настройка EtherSensor Analyser

Анализ извлечённых из сетевого трафика объектов, выполняемый службой EtherSensor Analyser, состоит из следующих этапов:

1. Предварительная фильтрация объектов/событий.

Предварительная фильтрация перехваченных объектов применяется в основном для снижения нагрузки на EtherSensor. На этом этапе предполагается использование следующих метаданных объектов, полученных на этапе перехвата трафика службой EtherSensor EtherCAP:

Сетевые адреса участников коммуникации

Типы протоколов

Метаданные перехваченных объектов конкретных протоколов

Анализ HTTP-объектов (методы запросов, URL, заголовки запроса/ответа)

Размеры и типы RAW-данных перехвата.

Также на этапе предварительной фильтрации EtherSensor может логировать события и их контент в различных форматах, основанных на SYSLOG: ArcSight CEF, QRadar LEEF, ICSA/CISCO SDEE, DMTF CIM, CEE и т.п.

2. Детектирование и нормализация объектов/событий.

На этом этапе объекты/события, полученные из различных источников, трансформируются с помощью скриптов Lua в нормализованные события уровня приложения с одинаковой структурой и кодировкой (UTF-8 по умолчанию).

При нормализации перехваченных объектов доступны следующие функции:

Анализ URL-encoded объектов

Анализ содержимого MIME частей

Анализ объектов JSON/XML/HTML

Анализ объектов WebSocket: custom binary, json, xml, xmpp

Распаковка объектов base64, gzip, brotli

Анализ объектов с помощью hyperscan и pcre-2

Реконструкция файлов, передаваемых по частям

Анализ бинарных объектов, например:

DNS over HTTPS

Protobuf.

Накопление и хранение метаданных, например:

Формирование и хранение профилей пользователей/устройств для дальнейшей привязки событий

Хранение Cookie

Хранение User Account Information.

3. Завершающая фильтрация.

Объекты/события, полученные на этапе детектирования и нормализации, могут проходить этап завершающей фильтрации. На этапе завершающей фильтрации проверяются следующие параметры объекта/события:

Сетевые адреса участников коммуникации

Доменные адреса участников коммуникации

Метаданные объекта/события (атрибуты и заголовки)

Email-адреса участников коммуникации (from, to, cc, bcc)

Идентификаторы пользователей клиентов мгновенных сообщений (ICQ, MRA, MSN, IRC, SKYPE, XMPP)

Идентификаторы пользователей социальных сетей

Содержимое текстовых полей сообщений (subject, body)

Имена и типы аттачментов

Размеры файлов и сообщений.

Объекты/события на данном этапе обработки могут быть обогащены дополнительными метаданными/атрибутами:

Типы файлов, детектированные с помощью libmagic

Хэши файлов и различных сегментов объектов/событий (crc32, md5, sha1, sha256)

Метаданные, накапливаемые службой EtherSensor Identity (пользователи сети, устройства и т.п.)

Информация о доставке объекта/события системе-потребителю (DLP,  SIEM, UEBA, eDiscovery, Enterprise Search, другие архивы и т.п.).

На каждом этапе обработки данных можно задать произвольный набор и порядок вызова Lua-скриптов для обработки перехваченного объекта/события.

Это означает, что пользователь EtherSensor может полностью контролировать порядок действий и логику обработки перехваченных объектов.

Каждый Lua-скрипт может:

Прекратить обработку текущего объекта/события, после чего он и его данные будут удалены

Продолжить обработку объекта/события. В этом случае объект будет передан следующему скрипту для дальнейшей обработки

Создать новый объект/событие и передать его на этап завершающей фильтрации.