book

Monitoring i bezpieczeństwo sieci

by Chris Fry, Martin Nystrom

July 2012

Intermediate to advanced

224 pages

8h 11m

Polish

Helion

Read now

Unlock full access

Słabe wyniki programów antywirusowych
Łajdacka ekonomia i przestępczość zorganizowanaZagrożenia wewnętrzne

Obietnice producentówRzeczywistośćIlości danychPrywatność
Wymuszanie stosowania reguł
Reguły zgodności z regulacjamiPrzykład: monitorowanie kontroli konfiguracji COBITPrzykład: Monitorowanie SOX dotyczące finansowych aplikacji i baz danychPrzykład: Monitorowanie nieautoryzowanych działań aplikacji HIPAAPrzykład: Monitorowanie zgodne z ISO 17799Przykład: Monitorowanie PCI DSS (Payment Card Industry Data Security Standard)Reguły dotyczące pracownikówPrzykład: Unikalny login dla operacji uprzywilejowanychPrzykład: Urządzenia bezprzewodowePrzykład: Bezpośrednie połączenia z internetem inicjowane przez serwery produkcyjnePrzykład: tunelowanie ruchu sieciowego
RegułyReguła ochrony danychReguła zabezpieczeń serweraImplementowanie monitorowania na podstawie reguł
Klasyfikacja typów sieciSieci zewnętrzneSieci wewnętrzneDane systemu zarządzania adresami IP
NetFlowEksportowanie danych z systemu NetFlowWydajność w kontekście zbierania danych systemu NetFlowGdzie zbierać dane systemu NetFlow?Pakiet OSU flow-toolsIdentyfikowanie zainfekowanych komputerów, które stały się częścią botnetuZbieranie przepływówZaprzeczanie (ang. repudiation) i potwierdzanie (ang. nonrepudiation)Wybieranie elementu zbierającego dane systemu NetFlowProtokół SNMPMRTGPrzykład zastosowaniaTrasowanie i topologie sieci
Zarządzanie adresami IPZbieranie danych systemu NetFlowInformacje o trasowaniu
Analiza wpływu na firmęAnaliza wpływu na przychodyAnaliza wpływu na wydatkiWymagania prawneZgodność z regulacjamiPrzykład: Ustawa Gramm-Leach Blilely ActPrzykład: Standard PCI DSSPrzykład: standardy ochrony istotnej infrastrukturyZobowiązania kontraktoweProfil wrażliwościSystemy korzystające z informacji osobistychSystemy korzystające z informacji poufnychSystemy korzystające z informacji utajnionychProfil ryzykaOcena ryzykaProfil widoczności
Przykład: System ERPZbieranie danych o komponentach dla kanałów zdarzeńNazwy i adresy IP serwerów„Ogólne” identyfikatory użytkownikówIdentyfikatory użytkowników administracyjnychSzczegóły baz danychKontrola dostępu
Komponenty do monitorowaniaReguła ochrony danychReguła bezpieczeństwa serwera
Metody zbierania zdarzeńWpływ zbierania zdarzeńProtokoły komputerówSieciowe systemy IDSSystem NetFlowProtokoły aplikacjiProtokoły baz danychProtokoły sieciowych list ACL
Analiza pakietów i alarmowanieSieciowe systemy zapobiegania włamaniomSystem wykrywający czy zapobiegający?DostępnośćNiesprzętowe powody przestojówSystemy NIPS a przepustowość sieciZakres kontroli
AnalizaProjektProjekt sieci strefy zdemilitaryzowanejProjekt centrum przetwarzania danychProjekt ekstranetuWdrożenieDostosowywanie i konserwacjaDostosowywanie czujnikaDostosowywanie systemu SIMZmienne siecioweDostosowywanie za pomocą zmiennych lokalnychWłasne sygnatury
Kluczowe zdarzenia usługi syslogZdarzenia uwierzytelnianiaZdarzenia autoryzacjiZdarzenia stanu demonówZdarzenia aplikacji zabezpieczającychSzablony dla demona syslogKluczowe zdarzenia protokołów systemów WindowsUwierzytelnianie w systemach WindowsAutoryzacja w systemach WindowsZdarzenia stanu procesówZdarzenia kontrolerów domen WindowsZdarzenia bezpieczeństwa aplikacji systemów WindowsProtokoły aplikacjiProtokoły baz danychZbieranie danych z demona syslog
Filtrowanie danych za pomocą narzędzi OSU flow-toolsProgram flow-fanout
System NIDSProtokoły syslogProtokoły serwera ApacheProtokoły baz danychProtokoły programów antywirusowych i systemów HIDSProtokoły urządzeń sieciowychSystem NetFlow
Tworzenie umów świadczenia usługUprawomocnienie za pomocą regułCzęści umowy SLAZautomatyzowane zarządzanie konfiguracją
Monitorowanie stanu systemówMonitorowanie obciążenia systemuMonitorowanie pamięciMonitorowanie przestrzeni dyskowejMonitorowanie wydajności sieciMonitorowanie systemów NIDSMonitorowane kanałów ruchu sieciowegoMonitorowanie procesów czujnikówMonitorowanie alarmówMonitorowanie zbierania danych o przepływach w sieciMonitorowanie stanu systemuMonitorowanie kanałów danych z routerówMonitorowanie konfiguracji systemu zbierającegoMonitorowanie katalogów zbierającychMonitorowanie procesu zbierającegoKonserwacja przechowywania danychMonitorowanie systemów zbierających protokoły zdarzeńMonitorowanie stanu systemówMonitorowanie procesów zbierającychMonitorowanie katalogów zbierających protokołyMonitorowanie ruchu sieciowegoAudyt konfiguracjiKonserwacja przechowywania danych
Monitorowanie serwerów OracleKonserwacja systemowych ustawień audytu OracleMonitorowanie zdarzeń audytu serwera OracleKonserwacja ustawień audytu serwera Oracle wobec obiektówMonitorowanie uprawnień administracyjnychMonitorowanie serwerów MySQL
Tradycyjne systemy monitorowania i zarządzania sieciamiJak działa monitorowanie systemówJak monitorować systemy monitorująceMonitorowanie za pomocą systemu Nagios
Monitorowanie zbierania danych systemu NetFlowMonitorowanie stanu systemów zbierającychPrzestrzeń dyskowaUprawnieniaObciążeniePamięćPrzestrzeń wymianyMonitorowanie procesów zbierającychCiągłość przepływówProcesyMonitorowanie przepływów z routerów na bramachMonitorowanie zbierania protokołów zdarzeńMonitorowanie stanu systemów zbierającychKontrolowanie przestrzeni dyskowejKontrola uprawnieńMonitorowanie procesów zbierającychUtrzymywanie ciągłości protokołówMonitorowanie zbierania protokołów z serwerówMonitorowanie systemów NIDSMonitorowanie stanu urządzeniaMonitorowanie kanałówKontrola procesów czujnikaMonitorowanie generowania alarmówMonitorowanie protokołów serwera OracleMonitorowanie protokołów antywirusa i systemów HIDS
Tworzenie regułRadek monitoruje ryzykowne przedsięwzięciePatrycja wykrywa nadużycia prowadzone przez zewnętrznego partneraPoznaj swoją siećMichał monitoruje przejęcieHelena dodaje kontekst do systemu NIDSWybieranie celów do monitorowaniaPatrycja i nieudany pilotWybierz źródła zdarzeńDaniel monitoruje pracowników wysokiego ryzykaDostosuj źródła danychJanina i fałszywy alarmDarek przeciąża system zbierania zdarzeńTwórz zależne źródła zdarzeńJacek i uszkodzone systemy zbierania danych NetFlowMaria i poważna groźba
KPN-CERTRegułySiećCele monitorowaniaŹródła zdarzeńKonserwacjaRozwiązanie ochrony danych klientówNorthrop GrummanRegułyTopologia sieci, metadane i cele monitorowaniaŹródła zdarzeńKonserwacjaDynamiczny zespół ukierunkowany na zagrożenia
Skradziona własność intelektualnaAtak wymierzony w pracowników
RegułyReguła numer 1 — Dozwolone działania w sieciReguła numer 2 — Dozwolony dostępReguła numer 3 — Minimalne standardy dostępuPoznawanie sieciKrok 1 — Konfiguracja systemu IPAMKrok 2 — Dokumentacja podstawowych podziałów sieciWybieranie celów dla skutecznego monitorowaniaWybieranie źródeł zdarzeńAlarmy systemów NIDSDane o przepływachProtokoły serwerówDostosowywanieKonfigurowanie systemu SIMInstalowanie systemów NIDSPołączenie systemu NetFlow z systemem SIMKonfigurowanie protokołów serwerówUtrzymywanie solidnych źródeł zdarzeń
Postanowienia ogólneOpis usługiZakresZadania i odpowiedzialnośćZadania zespołu NetEngZadania zespołu InfoSecRealizowanie usługiŻądanie świadczenia usługiGodziny pracyCzasy reakcjiEskalacjaZmiany konserwacyjne i serwisoweCzas obowiązywania umowyRealizowane wzorce i regułyPrzeglądy i osoby upoważnioneOsoby upoważnioneOsoby upoważnione do zakończenia umowyRecenzenci

Overview

Książka Monitoring i bezpieczeństwo sieci zawiera zestaw wyjątkowych metod, służących do wykrywania incydentów w sieciach globalnych. Autorzy — eksperci do spraw bezpieczeństwa — najpierw podają elementy niezbędne do prowadzenia skutecznego monitorowania sieci, a następnie pokazują, jak stworzyć ukierunkowane strategie oraz wdrożyć pragmatyczne techniki ochrony.