КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Модуль создания отчетов
|
|
|
|
МЭ сохраняет все события в журнале событий. Из-за большого количества событий, происходящих в МЭ, журнал событий очень быстро заполняется и содержит низкоуровневые данные (время, протокол, IP-адреса и порты отправителя и назначения, имя пользователя, действие МЭ и др.), которые сложно анализировать (особенно если они накоплены на большом промежутке времени или при интенсивной сетевой нагрузке). Задача модуля создания отчетов состоит в обработке этих данных и представлении на их основе результирующих данных (распределение временной загрузки, распределение используемых служб, IP-адреса, с которых предпринимались попытки несанкционированных подключений, статистика работы пользователей и т. п.). Если МЭ содержит много прикладных посредников, например HTTP, то в журнале событий может быть представлена информация о наиболее посещаемых узлах, выявлена информация о посещении узлов сомнительного содержания или развлекательного назначения.
Генераторы отчетов могут поддерживать следующие функциональные возможности:
• экспорт отчета в распространенные форматы файлов - MS
Word, MS Excel, HTML, RTF;
• автоматическая подготовка и отправка по электронной почте администратору МЭ, в файл, на принтер или приложение сформированных отчетов по расписанию;
• формирование отчетов в режиме online;
• создание шаблонов, позволяющих получать отчеты различной направленности;
• преобразование IP-адресов в доменные имена, извлечение дополнительной информации из БД Whois регистрационных центров Интернет (RIPE, RIPN, APNIC и др.);
• подсчет стоимости использования ресурсов на основе объема трафика (accounting).
Отчеты, предоставляемые МЭ, играют огромную роль при проведении периодического анализа безопасности и, в особенности, анализа произошедших инцидентов. Тем не менее анализ отчетов, не исключает анализа журналов в ручном режиме администратором безопасности. Дело в том, что большинство генераторов отчетов консолидируют большие объемы данных и предоставляют обобщенную отчетную информацию прежде всего для руководителей организаций и IT-служб. Разбор инцидентов безопасности, углубленный анализ состояния ИБ требуют работы с журналами событий непосредственно. В этом случае используются средства просмотра журналов с возможностью формирования произвольных
|
|
|
запросов.
На рис. 2.3 приведен пример отчета о блокированных МЭ пакетах, полученный генератором fwanalog. Отчет позволяет сделать следующие выводы:
• зарегистрировано 69 блокированных пакетов от одного источ-
ника212.17.85.31;
• нарушитель пытался получить доступ к службам FTP, MAP, PRINTER, TELNET, SWAT, POSTGRES, LINCONF, POPS, XWINDOW и службам TCP на портах 6001, 6002. Причем наибольшее внимание уделялось службам FTP, IMAP, PRINTER, TELNET, а для остальных, скорее всего, была предпринята попытка сканирования;
Рис. 2.3. Фрагмент отчета «Blocked Packet Report», созданного генератором отчетов fwanalog
Рис 2.4. Генератор отчетов сообщений МЭ WebTrends Firewall Suite
• попытки доступа осуществлялись с 31 марта по 7 апреля.
Для более глубокого анализа действий злоумышленника необходимо детально проанализировать все события безопасности, зарегистрированные для этого адреса. При этом может быть получена следующая информация:
• последовательность действий злоумышленника во времени;
• список сервисов, к которым получил доступ злоумышленник (на основе анализа разрешенных пакетов, журналов прикладных посредников и прикладных сервисов);
• предпринятые действия злоумышленника на предоставленных сервисах (на основе анализа журналов прикладных посредников и прикладных сервисов), а также аналогичные действия с других адресов источника;
|
|
|
• особенности блокированных пакетов -тип сканирования (TCP Connect, Stealth Scan и др.), атаки отказа в обслуживании;
• события ОС, связанные по времени с анализируемыми событиями.
Процедура создания отчета особенно за большой промежуток времени может потребовать значительных системных ресурсов, поэтому в ряде случаев целесообразно анализ событий безопасности выносить за переделы МЭ.
Как правило, МЭ не предоставляют развитых средств создания отчетов. Продукты третьих производителей заполняют этот пробел (см. «Средства мониторинга и создания отчетов МЭ»), Если в МЭ не предусмотрены средства генерации отчетов и отсутствуют генераторы, поддерживающие формат журнала событий МЭ, то в этом случае можно преобразовать сообщения в формат WELF и воспользоваться продуктом WebTrends Firewall Suite (рис. 2.4).
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 415; Нарушение авторских прав?; Мы поможем в написании вашей работы!