Опыт применения splunk в cisco - volgablob.ru fileoperational intelligence splunk elk...
TRANSCRIPT
Руслан ИвановСтарший технический консультант[email protected]
Опыт применения Splunk в Cisco
13 октября 2017
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• Проблемы: имеющийся ранее SIEM не обеспечивал потребностей служб ИТ и ИБ Cisco
• Трудно индексировать журналы и данные не-ИБ или своих приложений
• Проблемы масштабирования и скорости поиска: 10Гб/день и поиск занимал > 6 минут
• Сложно было кастомизировать встроенные правила• Много ложных срабатываний
Замена SIEM в Cisco
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Сделали выбор в пользу Splunk
17
1000356
20
50
100
150
200
250
300
350
400
Avg Query Time (seconds) Data Indexed (GB/day)
Query Time vs. Indexed Data
Splunk
SIEM 1
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Splunk: Гибкий SIEM и богатые возможности анализа• Простота индексации любых данных из любых источников• Свыше 60 пользователей занимаются расследованиями, корреляцией, отчетностью и обнаружением атак
• Все данные + гибкие поиск и отчетность = продвинутые возможности• 2TБ/день и поиск занимает меньше минуты. 7 глобальных ЦОДов с 1ПБ+хранимых данных
• Стоимость Splunk составила 25% от стоимости традиционного SIEM
Какие выгоды Splunk принёс нам?
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
CSIRTLoggingDeploymentСбор событий от широкого спектра устройств
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Мы превысили петабайт данных в хранилище
6
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Дифференцированный сбор данных
7
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Длительность хранения (на примере NetFlow)
SJC4-18 месяцев
RCDN10 месяцев
RTP4 месяцев
LON26 месяцев
BGL5-9 месяцев
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Привязка к пользователю, а не к IP/MAC
9
Источник Предоставляемая информация
DHCP ServerНазначенный IP, MAC адрес
VPN HeadendIP, назначенный пользователю, WAN-адрес
NAT GatewayIP-трансляция в соответствии с RFC 1918, NAT-привязка
ISEIP назначение для пользователя, MAC адрес
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Incident Response – Big Data Analytics @Cisco
Data scale per day of operations:• 22TB of network traffic inspected• 1TB of data (average) logged and indexed• 8 Billion web objects proxied• 2.5 Billion DNS requests logged
10
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco WSA and Splunk @Cisco
11
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
C облаков мы также берем данные для анализа
Компонент Предпочитаемое решение Альтернатива
Облачный L3-шлюз Cisco CSR Нет данных
Intrusion Detection (IDS) Cisco Firepower NGIPS forAWS
Snort
Сбор NetFlow Stealthwatch Cloud License nfcapd/nfdump
Passive DNS Cisco’s PDNS Tool OpenDNSPDNS (Open Source Project)
Operational Intelligence Splunk ELK
Захват сетевых пакетов CSIRT’s PCAP Solution В процессе изучения
Прикладные данные CloudLock В процессе изучения
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Снижение на 33% времени, требуемого для проведения расследованийВсе данные ИБ доступны на едином, централизованном портале для быстрого и простого доступа
Возможность автоматизировать рутинные задачи и поиск в логах позволяет аналитикам CSIRT работать более эффективно
Значительно более простая корреляция позволяет проводить более тщательные расследования
Результаты применения Splunk в ИБ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Где получить информацию о совместных решениях Splunk и Cisco?Cisco + Splunk Community - https://developer.cisco.com/site/splunk/
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco + Splunk Community: