漏洞扫描的加入增强了CS-MARS已经相当可观的分辨真实攻击序列和假-正攻击序列的能力。
NetFlow配置
简单地说,NetFlow是许多思科路由器内建的一项核心技术,它根据每个端口、每个ip地址(源和目的地)报告流的数量。Cisco对NetFlow的定义如下:
高效地为IP应用程序提供一组关键服务,包括网络流量核算、基于使用的网络计费、网络规划、安全性、拒绝服务监控能力和网络监控。NetFlow提供有关网络用户和应用程序、峰值使用时间和流量路由的有价值的信息。思科发明了NetFlow,是IP流量技术的领导者。
注意:要使NetFlow的深入讨论,去http://www.cisco.com/go/netflow在思科网站上。
大多数安全专家同意NetFlow在CS-MARS环境中增加了实质性的价值,因为它的误报率非常低,而且它识别以前未知攻击的能力非常高。第4章讨论NetFlow以及它是如何与CS-MARS结合使用的。
在CS-MARS设备上启用NetFlow是一项简单的任务。
步骤1首先,你必须导航到管理员>系统设置>设备配置和发现信息> NetFlow的配置信息面板。
步骤2输入监听NetFlow数据的端口。缺省值是UDP 2055,但是NetFlow在路由器上是用户可配置的,因此您可能需要与网络工程师验证NetFlow使用的是哪个端口。
步骤3下一个选项在CS-MARS设备上启用或禁用NetFlow。NetFlow数据的收集和处理是默认启用的。如果您的网络没有启用NetFlow,请选择No。
步骤4下一个选项为您提供了一个存储NetFlow记录的选项。如果选择Yes,这将告诉CS-MARS您希望存储每个NetFlow记录。这可能会降低您的CS-MARS系统的速度,因为与选择No相比,它必须编写更多的事件。如果选择No,则是告诉CS-MARS只希望存储表示异常或触发步骤4规则的会话的一部分的NetFlow流量。一般来说,除非受行业或政府规定的支配,你可以选择没有对于这个选择。如果选择是存储NetFlow数据,你的CS-MARS计算每个流作为一个事件,从而影响你的CS-MARS设备EPS率。
步骤5最后一个选项是定义要评估NetFlow数据哪个网络。由于流异常可以说可能会无意中运行恶意软件或可能配置错误的任何设备上显示出来,最好的做法是定义遍布其中CS-MARS将报告网络。如果这个表是空白,CS-MARS将处理它得知所有子网流量。
步骤6输入所有数据后,选择提交使NetFlow。这将使您的CS-MARS设备准备侦听NetFlow数据。在设置的这一点上,您还没有配置任何发送NetFlow的设备,所以在您按照第6章所述配置路由器之前,这不会对您的CS-MARS报告产生影响。
图5-12显示完成的NetFlow配置面板。
步骤7请点击激活在CS-MARS页面的右上方。
CS-MARS的NetFlow配置面板
动态漏洞扫描配置
漏洞扫描是一项功能,极大地提高了CS-MARS威胁报告的准确性。
当漏洞扫描你的CS-MARS设备上启用,CS-MARS不会扫描,直到规则被触发为事件或会议的结果进行漏洞。
配置CS-MARS进行动态漏洞扫描是一个非常简单的过程(参见图5-13):
步骤1浏览到管理员>系统设置> CS-MARS安装并点击网络的动态漏洞扫描(可选)。
步骤2选择要用于输入要启用扫描的系统的网络或IP范围的方法的单选按钮。
步骤3使用下拉框选择您所选择的网络,手动输入网络和口罩,或手动输入一个IP地址范围。
步骤4点击加按钮,选择添加到面板。如果要删除您的选择单击删除按钮。
步骤5重复步骤2到4,直到您输入了您想要扫描的所有网络或IP范围。
步骤6点击提交按钮以提交更改。
步骤7点击激活在网页的右上角按钮来激活您的配置。当表示激活一个新的弹出寡妇出现完成后,点击关闭按钮关闭新窗口。
注意:点击此页面上的信息按钮打开与漏洞扫描对CS-MARS的简短说明一个新的窗口。
有关漏洞扫描的详细描述,请参阅第4章。
动态漏洞扫描配置GUI
配置CS-MARS系统维护
在您的配置过程中,CS-MARS已经配置为可以收集syslog消息和事件、准确地关联数据并响应威胁。您仍然需要配置网络设备和应用程序,但这将在第6章中介绍。
本章的这一部分不要求您对CS-MARS设备进行任何更改;只是信息。您将了解CS-MARS中的全局系统变量。除非需要存档或检索数据,否则应该将所有参数设置为默认值。
要为CS-MARS配置或查看维修参数,您必须导航到管理员>系统维护面板。在此面板中,您可以选择配置以下内容:
许可证密钥
升级
证书
运行时日志级别
查看归档或当前日志文件
查看审计跟踪
检索原始消息
数据归档
许可证密钥如果需要在CS-MARS设备上配置许可密钥,则此面板非常有用。您只需输入密钥并单击即可提交。如果你必须做apnreset在您的CS-MARS盒子上,您将丢失许可证密钥。在运行pnreset之前,您应该到这个面板并写下密钥。然后,当pnreset完成后,返回到这个面板并输入许可密钥。
升级此面板用于升级CS-MARS系统软件。您必须首先将升级包放在FTP或HTTPS服务器上。然后输入服务器的IP地址、用户名、密码、路径、CS-MARS升级文件的包名和服务器类型。
证书此面板用于导入全局控制器证书和导出本地控制器证书以供输入到全局控制器。更多信息请参见MARS 4.1本地控制器用户指南。
运行时日志级别此面板用于设置CS-MARS内部系统日志的日志级别。这些级别应设置为默认值,除非思科TAC或思科工程部出于故障排除的目的提出请求。您在这个面板上看到的每个条目都是在CS-MARS操作系统中运行的软件进程;所有条目的默认日志记录级别设置为trace。
查看设备的日志文件使用此面板,可以查看CS-MARS系统进程的日志。这些日志显示启动和停止进程和进程线程。在正常情况下,这些日志只能通过思科TAC和思科工程团队使用。
查看审计跟踪此面板可以做一个查询,看看是由用户CS-MARS设备上执行什么操作。该日志示出是否有新用户添加或任何设备数据库中的信息被改变。本次审计日志为满足行业或联邦法规规定的许多要求。
检索原始消息这个面板可以被用于选择性地检索原始日志数据CS-MARS已经从一个装置接收在其数据库中或归档的文件。您可以指定一个时间范围,其数据需要查看该设备的名称。由此产生的数据的文本文件是压缩,并给您提供一个选项,将其下载到您的工作站进行进一步的分析。此操作可以从你的CS-MARS本地控制器数据库或已被定义为存档位置的设备来完成。这也配备满足由行业或联邦法规规定的许多要求。
数据归档此面板允许您定义NFS服务器和服务器上存档CS-MARS数据的位置。这个面板上还有一个选项,用于定义要在归档服务器上存储CS-MARS数据的时间长度。您需要仔细检查的一个考虑事项是规划远程存储容量和设置存储在归档位置上的数据的天数。在您对存档服务器上存储的时间长度和数据量之间的平衡感到满意之前,可能需要进行一些持续的更改。
配置系统参数
系统参数定义各种全局变量,比如轮询间隔和身份验证提示。但本节将重点介绍系统参数中的一个新特性,即分布式威胁管理。
这些参数可以在管理>系统参数面板中配置或查看。
Windows事件日志中引入时间间隔
TACACS / AAA服务器提示
甲骨文事件日志中引入时间间隔
分布式威胁缓解设置
代理设置
Windows事件日志中引入时间间隔此参数定义CS-MARS多久会拉事件日志从运行Windows操作系统的设备。这些事件日志可以在发现的Microsoft Windows的攻击,例如强力密码攻击有价值。CS-MARS通过识别密码尝试失败几个微软事件相关说明这一点。CS-MARS产生的事件,以反映生成失败的登录尝试的源IP地址和提出建议把访问列表中的路由器,以防止那些失败尝试到达他们的目的地。由于源被识别,威胁响应者可以评估和采取行动的系统或正在采购的攻击系统上。默认的轮询间隔为300秒,或5分钟。如果你想降低这个参数,请记住,这是可能的,这取决于主机你,那网络流量会大大增加的数量。大多数客户发现默认的是足够的。
在轮询Microsoft服务器和工作站的安全事件日志时,最佳实践是从网络中的域控制器获取日志数据。这大大降低了事件日志数据使网络饱和的风险。为此,必须配置服务器和工作站,使其将日志数据发送到各自的域控制器。
TACACS / AAA服务器提示当网络设备使用TACACS/AAA服务器进行用户管理和访问控制时,网络管理员通常会选择修改远程设备上的登录提示。如果登录提示符是从原始设备默认值修改的,那么CS-MARS需要知道新的提示符。此设置允许CS-MARS使用更改后的提示访问您的网络设备,获取所需的数据和缓解。
甲骨文事件日志中引入时间间隔此设置行为基本上相同,一个用于Windows轮询,除了它是适用于Oracle数据库日志拉动。
分布式威胁缓解(DTM)设置DTM是CS-MARS 4.1中的一个新功能,它对思科IPS设备进行调查,以找出最频繁发生的事件。当CS-MARS确定此信息时,它计算顶部签名并将签名定义文件推到能够运行全功能IPS代码的IOS路由器。
代理设置该设置将CS-MARS配置为通过代理服务器与设备通信。例如,如果您的组织使用代理服务器进行Internet控制和安全性,并且在DMZ上有DNS服务器和IDS设备,那么就需要这样做。CS-MARS需要使用DNS服务器进行DNS解析,并与DMZ上的IDS设备通信。因此,CS-MARS需要代理设置和访问帐户。
总结
本章介绍了安装和配置CS-MARS设备的基本功能。
您了解到关键的第一步是确定CS-MARS在您的网络中的位置。基本前提是,根据安全指导原则是,在可能的情况下,CS-MARS应该放在带外网络中。如果不能将CS-MARS置于带外,则需要确保对CS-MARS及其管理设备和报告设备之间的通信进行加密,以防止网络嗅探。
除了部署方面的考虑之外,本章还描述了初始配置和高级系统参数设置所需的步骤,这些参数将使CS-MARS成为STM系统。
在第6章中,您将学习如何配置您的网络设备和主机来与您的CS-MARS设备通信。与这些设备进行通信将使你的CS-MARS设备成为一个功能齐全的威胁响应系统。
培生教育版权所有保留所有权利。