Upload
qqlan
View
1.713
Download
3
Embed Size (px)
DESCRIPTION
MaxPatrol Cisco Mars Intergration
Citation preview
Интеграция системы контроля защищенности MaxPatrol с Cisco MARS
Сергей Гордейчик
Positive Technologies
О чем пойдет речь?
Зачем интегрировать Cisco MARS и системы контроля защищенности?
Почему это непросто?
Как обойти «подводные камни» интеграции?
Пример решения
Что такое Cisco MARS?
Система сбора и анализа событий безопасности
Борьба с бесконечными журналами безопасности
• Применимость данного типа атаки к конкретному узлу;
• Оценка ущерба от атаки;
• Просмотр распространения атаки в режиме реального времени;
• Идентификация источников распространения атаки;
• Механизм реагирования на атаки через единый централизованный комплекс.
Что такое MaxPatrol?
Что такое MaxPatrol?
Сетевая топология
Инвентаризация узлов (ОС, открытые порты, приложения)
Уязвимости узлов и систем
Что такое MaxPatrol?
Что такое MaxPatrol?
Что такое MaxPatrol?
Зачем интегрировать Cisco MARS и MaxPatrol?
Получение данных по топологии сети
Анализ актуальных уязвимостей в консоли MARS
Корреляция событий с учетом типа операционных систем
Анализ атак с учетом наличия уязвимостей
Автоматическое изменение степени риска и приоритетов событий
Подход к интеграции CS MARS
Начиная с CS-MARS 6.0.1 анонсирована поддержка Device Support Framework
Расширение набора типов событий (device event type, DET), методов парсинга
Переопределение методов парсинга
Использование готовых DET и методов парсинга
Импорт и экспорт готовых правил парсинга, отчетов, событий и т.д. в качестве одного парсинга
Устройства типа Vulnerability assessment (VA) не поддерживаются в рамках DSF!
Подход к интеграции CS MARS
В рамках CS MARS существую готовые адаптеры для систем VA
Доступ к базе данных системы VA
Получение XML-отчетов через Web
Был выбран подход с использованием готовых XML-отчетов. В рамках этой задачи:
• Сформировать отчеты согласно XML-схеме
• Связать типы событий готовых VA (уязвимостей, топологической информации) и событий MaxPatrol
• Опубликовать готовые отчеты на Web-сервере
Подход к интеграции CS MARS
Подготовка отчетов
Схема XML-документов открыта
Два типа документов:
– информация о сканированиях (список узлов)
– детальная информация по сканированию (ОС, открытые порты, список уязвимостей)
Связь типов событий
• Составлена таблица соответствия идентификаторов CVE и внутренних идентификаторов VA
• Подготовлен XSLT для преобразований
Публикация
• IIS + SSL + ASP
Результаты – настройки MaxPatrol
Результаты – Cisco MARS
Резюме
Системы контроля защищенности VA являются отдельным типом устройств в Cisco MARS (и в других системах корреляции событий)
MARS не позволяет расширять типы VA-систем штатными методами
Возможно использование готовых адаптеров, путем адаптации системы под требуемую отчетность
Спасибо за внимание!
Сергей Гордейчикhttp://sgordey.blogspot.com