Introducere
Prezentare generală CYBERQUEST
CYBERQUEST este o platformă inovatoare de analiză a securității Big Data, concepută pentru a oferi capabilități complete de audit și securitate pentru rețelele de dimensiuni mici, medii și de întreprindere. Soluția a fost concepută pentru a funcționa ca o platformă de afaceri agilă și scalabilă care colectează și corelează în mod inteligent datele din infrastructura IT a organizației și lucrează cu acestea pentru a aborda orice tip de amenințare prezentă sau viitoare cu care s-ar putea confrunta o afacere.
CYBERQUEST este extrem de scalabil și poate fi configurat pentru a se potrivi multor dimensiuni și cazuri de utilizare ale organizațiilor și se integrează cu ușurință cu toate soluțiile de securitate de pe piață, indiferent de clasificarea acestora. Soluția CYBERQUEST este un adevărat agregator de date de securitate provenind fie din software de gestionare a informațiilor și evenimentelor de securitate (SIEM), fie din firewall-uri, platforme de prevenire și detectare a intruziunilor sau soluții de securitate a e-mailurilor și a punctelor finale. În plus, CYBERQUEST poate colecta, corela și oferi informații utile despre datele eterogene generate de echipamentele de rețea, serverele, bazele de date și aplicațiile, ceea ce face din această soluție un instrument de management operațional de neprețuit pentru echipele dumneavoastră de securitate și administrative.
Capacități de bază
-
Colectare: adunați toate sursele de securitate și de date relevante din infrastructura dumneavoastră IT;
-
Corelați: adăugați date de securitate de informații despre amenințări pentru corelarea offline sau online;
-
Detectarea: identificați rapid cele mai importante amenințări la adresa rețelei dvs;
-
Vizualizați: monitorizați cu acuratețe dintr-un singur punct de acces și obțineți alerte specifice;
-
Răspundeți: Capacitățile de orchestrare, automatizare și răspuns în materie de securitate (caracteristici SOAR) sunt încorporate în soluție;
-
Evaluarea vulnerabilităților: cu integrarea OpenVAS.
CYBERQUEST reunește și monitorizează toate activitățile din infrastructura dumneavoastră și, cu ajutorul alertelor în timp real, al funcțiilor SOAR și al capacităților de evaluare a vulnerabilităților, oferă informații detaliate și un răspuns la focuri pentru schimbări și activități vitale - pe măsură ce acestea au loc. Aflați instantaneu cine, ce, când, unde și de ce a făcut o schimbare, apoi transformați aceste informații în analize criminalistice inteligente și aprofundate, îmbunătățite cu date suplimentare din întregul mediu, puneți aceste informații la dispoziția auditorilor și a ofițerilor de securitate și generați acțiuni automate ca răspuns la riscurile asociate cu modificările zilnice.
Concept și disponibilitate
CYBERQUEST poate fi integrat fără probleme în infrastructura IT existentă și oferă monitorizare în timp real a comportamentului utilizatorilor și a datelor, detectarea amenințărilor, analiza și corelarea datelor, gestionarea informațiilor și evenimentelor de securitate, într-o singură platformă, permițându-vă să:
-
Să dispuneți de o vizibilitate unificată și sporită a infrastructurii pentru gestionarea securității;
-
Să asigurați și să urmăriți conformitatea cu reglementările, auditurile de securitate și politicile;
-
Să reduceți rapid și precis suprafața amenințărilor organizației;
-
Să optimizați și să generați rapoarte predefinite, gata de utilizare;
-
Îmbunătățiți capacitățile de răspuns la incidente ale soluției dvs. existente de securitate și gestionare a evenimentelor.
CYBERQUEST este un produs de tip appliance (hardware și software) care suportă topologii multi-redundante și care poate fi extins pe orizontală prin instalarea oricărui număr de noduri de procesare sau pe verticală prin adăugarea de resurse de procesare. Având în vedere flexibilitatea implementării sale, soluția poate fi ușor de arhitecturat pentru a face față provocărilor de implementare multi-site. Soluția este, de asemenea, disponibilă prin oferta Software-as-a-Service.
Principalele sale funcționalități, oferite de mai multe module, sunt:
- Normalizarea informațiilor disponibile din diferite sisteme în formatul propriu prin intermediul unor conectori special dedicați;
- modulul Tablouri de bord: oferă o reprezentare vizuală a evenimentelor, agregate în funcție de diferite criterii;
- Modulul Browser: asigură accesul la toate evenimentele și vizualizarea detaliilor;
- Modul de raportare: rapoarte predefinite pentru - GDPR, ISO 27001, COBIT, FISMA, HIPPA, PCI/DSS, SOX, rapoarte tehnologice;
- Modulul de alertă: oferă alerte în timp real pentru situații configurabile cu acțiuni de răspuns configurabile (caracteristici SOAR);
- Modulul de investigare: o modalitate vizuală de căutare a evenimentelor și de investigare a situațiilor;
- Modul de gestionare a cazurilor: o funcție de gestionare a cazurilor pentru activitățile de investigare în colaborare;
- modulul administrativ: asigură funcții de configurare și gestionare a aplicației;
- Modulul Sistem de transformare a datelor: un modul proprietar care este responsabil cu diferite funcționalități ale CYBERQUEST, cum ar fi îmbogățirea evenimentelor, anonimizarea datelor etc.
- Modulul de evaluare a vulnerabilităților: asigurat prin integrarea OpenVAS (https://www.openvas.org/).
Arhitectura
Descriere de nivel înalt a fluxului de date
CYBERQUEST este o platformă dedicată de analiză a securității Big Data destinată a fi utilizată de către ofițerii de securitate IT. Prin urmare, CYBERQUEST ajută companiile să fie mai sigure și, de asemenea, conforme cu reglementările interne și cu cele din industrie, făcând colectarea unor volume mari de date disparate de la infrastructura și de la soluțiile de securitate ale terților, agregând și îmbunătățind datele colectate și prezentând personalului de securitate informații utile privind posibilele amenințări și riscuri - totul în timp real.
Datele sunt colectate din diverse surse folosind agentul de colectare al CYBERQUEST (WMI, ODBC sau colectare la nivel de fișier etc.), sau primind fluxuri de date (syslog, NetFlow etc.). Datele sunt organizate în cozi de așteptare, trimise către un serviciu de achiziție a datelor (DAS), care aplică reguli de achiziție și apoi trimite datele brute către un serviciu de transformare a datelor (DTS). DTS este responsabil de analiza datelor și de generarea alertelor în timp real.
După aplicarea regulilor de parsing, datele transformate sunt aplicate cu reguli de retenție. Regulile de reținere vor spune dacă datele sunt stocate în stocare online sau în stocarea datelor de arhivă. Diferența majoră dintre cele două tipuri de stocare este viteza de acces. Stocarea online aplică indexarea pe datele necomprimate, ceea ce face ca orice informație să fie disponibilă în termen de câteva secunde, cu costul spațiului. Archive DataStorage este conceput pentru păstrarea pe termen lung a datelor, fără a impune o limită a volumului maxim al acestora. Arhiva stochează datele în fișiere comprimate și criptate; raportul de compresie normal este de aproximativ 1:20.
Din arhivă, datele sunt extrase și importate în nodurile Elasticsearch pentru nevoile de investigare și raportare. Corelarea este realizată de un server CYBERQUEST, iar informațiile rezultate sunt prezentate în tablouri de bord și rapoarte.
Interfața web CYBERQUEST este modulul central utilizat atât pentru gestionarea, cât și pentru utilizarea platformei. Interfața web utilizează un frontend web care permite administratorilor și operatorilor să interacționeze cu CYBERQUEST. În funcție de nivelul de acces permis, un utilizator va putea accesa modulele Rapoarte, Tablouri de bord, Investigații, Browser și Alerte și va putea beneficia de întregul set de analize de securitate.
Servicii și componente
Colectarea datelor
CYBERQUEST primește date de la o gamă largă de dispozitive. Datele colectate sunt de diferite formate, dar în principal sunt separate în secțiuni, după cum urmează: colectarea datelor de eveniment, a datelor de flux, a informațiilor de evaluare a vulnerabilității (VAI) și a altor tipuri de date relevante pentru analiza de securitate.
Colectarea datelor de eveniment: evenimentele sunt colectate din surse de date care înregistrează evenimente bazate pe securitate, cum ar fi: routere, servere, firewall-uri, sisteme de detectare a intruziunilor (IDS) sau sisteme de prevenire a intruziunilor (IPS), comutatoare de rețea, active directory și alte echipamente de rețea.
Colectarea datelor de flux: informațiile privind traficul de rețea sunt colectate din protocolul de rețea IPFIX și Netflow (versiunile 5, 9 și 10).
Evaluarea vulnerabilității (VAI): stări de securitate relevante.
Colectarea datelor este un serviciu distribuit, angajat cu mai multe componente care pot fi localizate în cadrul dispozitivului principal sau independent, pentru a se adapta la arhitecturi de tip stea sau cloud. Odată colectate, datele sunt criptate și comprimate, apoi sunt transportate de către dispozitivul de coadă de mesaje către serviciul de achiziție de date.
În cazul în care datele nu pot fi livrate către serviciul de coadă de mesaje, unul dintre următorii agenți va efectua o memorare locală pentru o livrare ulterioară:
-
Agent Windows, capabil să stocheze până la 1 milion de evenimente.
-
Serverul de date realizează un comportament de stocare în cache atunci când este necesar, prin crearea de fișiere pe stația de găzduire pentru a capta toate evenimentele, fără ca vreun eveniment să se piardă în timpul procesului.
Agent Windows
Windows Agent este o componentă de colectare a datelor, care interacționează direct cu sursele de evenimente. Poate fi instalată pe stații de lucru și servere. Versiunea minimă a sistemului de operare este Windows 7 (pe stațiile de lucru) și Windows Server 2008 (pe servere) și are o dependență software listată pe Microsoft .NET Framework 4.8.
Agentul utilizează șabloane de configurare care pot fi asociate la una sau mai multe surse de date. Șabloanele conțin setări specifice surselor de date: acreditări, maparea câmpurilor, filtrarea evenimentelor, scripturi de procesare a datelor, interogări ale bazei de date și multe altele.
Agentul se adresează în mod implicit următoarelor surse de date:
-
Colecția WMI (Windows Management Instrumentation) locală și la distanță:
-
Jurnalele de securitate Windows;
-
jurnalele aplicațiilor Windows;
-
jurnale de sistem Windows;
-
Alte jurnale de aplicații și servicii în format standard Windows.
-
-
Colecția MS SQL locală și la distanță:
-
Interogări pentru colectarea incrementală a datelor din tabelele bazelor de date; care conțin jurnale de aplicații (versiunea minimă acceptată este MSSQL Server 2005);
-
auditul SQL Server (versiunea minimă acceptată este MS SQL Server 2008) în mod implicit.
-
-
Colectare Oracle locală și/sau la distanță:
-
Interogări pentru colectarea incrementală a datelor din tabelele bazei de date care conțin jurnalele aplicațiilor (versiunea minimă acceptată este Oracle 9i);
-
Audit nativ al instanțelor Oracle; în mod implicit, soluția oferă șabloane pentru Oracle 9i, 10g, 11g și 12c.
-
-
Colectarea de date personalizate (care necesită configurarea parametrilor și mapărilor în fiecare șablon personalizat):
-
Colectare locală și/sau la distanță pentru surse ODBC (conectivitate deschisă a bazelor de date) care acceptă drivere ODBC pe 64 de biți;
-
colectare locală și/sau la distanță pentru surse MySQL, MariaDB, PostgresSQL, MS-SQL, inclusiv interogări pentru colectarea incrementală a datelor din tabelele bazelor de date care conțin jurnalele aplicațiilor și auditul nativ al platformei;
-
Colectarea locală a fișierelor cu marcaj temporal în format CSV/TSV;
-
Colectarea locală de fișiere personalizate analizabile de orice tip de fișier, pentru care agentul utilizează un script de preprocesare;
-
date bazate pe API HTTPS;
-
Altele.
-
Data Server
Serverul de date este un serviciu distribuit angajat cu mai multe componente care pot să locuiască în cadrul dispozitivului principal sau independent pentru a se adapta la arhitecturi în stea sau în cloud. Serviciul este utilizat pentru a efectua date preparare pe formatul nativ syslog compatibil cu standardele RFC 5424 și RFC 3164. Sistemul poate, de asemenea, să primească și să proceseze date NetFlow (versiunile NetFlow 5, 9, 10 și ipfix) și să efectueze stiching NetFlow numit Biflow.
De asemenea, Data Server acționează ca un agent pasiv pentru mesajele syslog și NetFlow primite de CYBERQUEST. În mod implicit, serviciul este configurat să asculte pe portul UDP/TCP 5140 pentru evenimentele syslog și UDP 2055 pentru pachetele NetFlow.