Немаловажным компонентом инфраструктуры систем обнаружения и предотвращения вторжений является система управления IDS/IPS. От нее зависит скорость и качество выполнения многих задач информационной безопасности, связанных с человеческим фактором.
Сетевые сенсоры систем обнаружения вторжений сами по себе не рассчитаны на локальное хранение и обработку событий безопасности, на которые настроены реагировать. Хранение событий производится на выделенном сервере мониторинга, который организует полученную с систем обнаружения вторжений информацию в базу данных согласно правилам, установленным администратором либо определенным производителем. Типичные компоненты систем управления сетевыми сенсорами можно условно разделить на следующие модули:
- управления агентами;
- сбора событий;
- база данных;
- обработки и представления информации;
- интерфейс просмотра событий и управления агентами.
В зависимости от поставщика и реализации решения, система управления может также содержать в своем составе следующие условные модули:
- корреляции событий;
- архивации событий;
- оповещения посредством сторонних систем (почта, SNMP-trap, syslog);
- сервер обновлений.
Что немаловажно, от возможностей системы управления зависит ее стоимость. Важна не только комплектация модулей, но и возможности, которые они позволяют выполнять. Возможные функции компонентов системы управления IDS/IPS:
- модуль управления агентами: проверка доступности агентов для системы управления, сбор статистических данных с сенсоров о текущей нагрузке на интерфейсы, процессоры, количестве событий различного уровня критичности, наличие сбоев в работе агентов;
- модуль сбора событий: обеспечение целостности, криптографической защищенности и гарантированности получения событий с сенсоров;
- база данных: хранение событий в соответствии с правилами, установленными администратором;
- модуль обработки и предоставления информации: преобразование данных и обработка управляющей информации различных модулей;
- интерфейс просмотра событий и управления агентами: отображение событий в необходимом режиме (реального времени, выборка за период), удобном для восприятия виде, сортировка, наличие фильтров, возможность экспорта событий, создание настраиваемых отчетов согласно заданным параметрам, распределение уровней доступа к информации пользователей системы управления;
- модуль корреляции событий: анализ событий согласно встроенному алгоритму и/или указанным настройкам, подавление ложных срабатываний и несрабатываний;
- модуль архивации событий: возможность архивирования устаревших событий в соответствии с настройками, обеспечение доступности архивных событий;
- модуль оповещения посредством сторонних систем (почта, SNMP-trap, syslog): оповещение о срабатывании сигнатур, сбоях в работе сенсоров, настраиваемые параметры оповещений;
- сервер обновлений: регулярная проверка наличия обновлений с сайта поставщика, предоставление возможности обновления компонентов.
Исходя из вышеперечисленных требований, можно вывести базовый набор модулей и их функционала, без которого система управления IDS/IPS не будет полноценной:
- модуль управления агентами: проверка на доступность агентов для системы управления, проверка наличия сбоев в функционировании агентов;
- модуль сбора событий: обеспечение целостности, криптографической защищенности и гарантированности получения событий с сенсоров;
- база данных: хранение событий;
- модуль обработки и предоставления информации: преобразование данных и обработка управляющей информации различных модулей;
- интерфейс просмотра событий и управления агентами: отображение событий в необходимом режиме (реального времени, выборка за период), удобном для восприятия виде, сортировка, наличие фильтров, возможность экспорта событий, базовый набор отчетов.
Подобным набором параметров обладает каждая система управления IDS/IPS, даже нулевой либо очень невысокой стоимости (входящая в комплект поставки решения). Есть две принципиальные схемы управления системами обнаружения вторжений:
Рис. 1. Схема
с прямым доступом к агентам.
Рис. 2. Схема
с использованием выделенного сервера
управления.
На рис. 1 показана схема, в которой не принимает участия выделенный сервер управления. Программное обеспечение для управления сенсорами и мониторинга событий устанавливается на ПК оператора по работе с системами обнаружения вторжений. Как пример практической реализации данной схемы может выступать работа с системами обнаружения вторжений Cisco IDS/IPS при использовании ПО Cisco IPS Manager Express (IME). В данном примере взаимодействие одностороннее, IME инициирует соединение с сенсорами и получает с них события и другую информацию.
Примером реализации схемы, изображенной на рис. 2, являются системы с использованием ISS SiteProtector, McAfee NSM, Juniper NSM, Lancope StealthWatch.
Комментариев нет:
Отправить комментарий