JSA-Ereignisse und -Flows

Ereignisse

JSA akzeptiert Ereignisprotokolle von Protokollquellen, die sich in Ihrem Netzwerk befinden. Eine Protokollquelle ist eine Datenquelle, z. B. eine Firewall oder ein IPS (Intrusion Protection System), die ein Ereignisprotokoll erstellt.

JSA akzeptiert Ereignisse aus Protokollquellen mithilfe von Protokollen wie syslog, syslog-tcp und SNMP. JSA kann auch ausgehende Verbindungen zum Abrufen von Ereignissen mithilfe von Protokollen wie SCP, SFTP, FTP, JDBC, Check Point OPSEC und SMB/CIFS einrichten.

Ereignis-Pipeline

Bevor Sie die Ereignisdaten in der JSA-Konsole anzeigen und verwenden können, werden Ereignisse aus Protokollquellen gesammelt und dann vom Ereignisprozessor verarbeitet. JSA Die All-in-One-Appliance fungiert zusätzlich zur JSA-Konsole als Ereignissammler und Ereignisprozessor.

JSA kann Ereignisse mithilfe einer dedizierten Event Collector-Appliance oder mithilfe einer All-in-One-Appliance erfassen, bei der der Ereigniserfassungsdienst und der Ereignisverarbeitungsdienst auf der All-in-One-Appliance ausgeführt werden.

Das folgende Diagramm zeigt die Ebenen der Ereignispipeline.

• Ereignissammlung: Die Ereignissammlerkomponente führt die folgenden Funktionen aus:

  • Protokoll

    Sammelt Daten aus Protokollquellprotokollen wie Syslog, JDBC, OPSEC, Log File und SNMP.

  • Lizenzdrosselung

    Überwacht die Anzahl der eingehenden Ereignisse im System, um Eingabewarteschlangen und die EPS-Lizenzierung zu verwalten.

  • Analyse

    Übernimmt die unformatierten Ereignisse vom Quellgerät und analysiert die Felder in ein JSA-verwendbares Format.

  • Analyse des Datenverkehrs von Protokollquellen und automatische Erkennung

    Wendet die analysierten und normalisierten Ereignisdaten auf die möglichen DSMs an, die die automatische Erkennung unterstützen.

  • Zusammenfügende

    Ereignisse werden analysiert und dann basierend auf gemeinsamen Attributen für alle Ereignisse zusammengeführt.

  • Weiterleitung von Ereignissen

    Wendet Routing-Regeln für das System an, um Daten an externe Ziele, externe Syslog-Systeme, JSON-Systeme und andere SIEMs weiterzuleiten.

  Wenn der Ereignissammler die Ereignisse von Protokollquellen wie Firewalls empfängt, werden die Ereignisse zur Verarbeitung in Eingabewarteschlangen gestellt.

  Die Warteschlangengrößen variieren je nach verwendetem Protokoll oder Methode, und aus diesen Warteschlangen werden die Ereignisse analysiert und normalisiert. Der Normalisierungsprozess umfasst das Umwandeln von Rohdaten in ein Format, das Felder wie die IP-Adresse enthält, die JSA verwenden kann.

  JSA erkennt bekannte Protokollquellen anhand der Quell-IP-Adresse oder des Hostnamens, der im Header enthalten ist.

  JSA analysiert und fasst Ereignisse aus bekannten Protokollquellen zu Datensätzen zusammen. Ereignisse aus neuen oder unbekannten Protokollquellen, die in der Vergangenheit nicht erkannt wurden, werden an die Datenverkehrsanalyse-Engine (automatische Erkennung) umgeleitet.

  Wenn neue Protokollquellen erkannt werden, wird eine Konfigurationsanforderungsnachricht zum Hinzufügen der Protokollquelle an die JSA-Konsole gesendet. Wenn die automatische Erkennung deaktiviert ist oder Sie den Lizenzgrenzwert für die Protokollquelle überschreiten, werden die neuen Protokollquellen nicht hinzugefügt.

• Ereignisverarbeitung: Die Ereignisprozessorkomponente führt die folgenden Funktionen aus:

  • Custom Rules Engine (CRE)

    Die Custom Rules Engine (CRE) ist für die Verarbeitung von Ereignissen, die bei JSA eingehen, und deren Vergleich mit definierten Regeln verantwortlich, verfolgt Systeme, die im Laufe der Zeit in Vorfälle verwickelt sind, und generiert Benachrichtigungen für Benutzer. Wenn Ereignisse mit einer Regel übereinstimmen, wird eine Benachrichtigung vom Ereignisprozessor an den Magistrat auf der JSA-Konsole gesendet, dass ein bestimmtes Ereignis eine Regel ausgelöst hat. Die Magistrate-Komponente auf der JSA-Konsole erstellt und verwaltet Verstöße. Wenn Regeln ausgelöst werden, werden Reaktionen oder Aktionen wie Benachrichtigungen, Syslog, SNMP, E-Mail-Nachrichten, neue Ereignisse und Verstöße generiert.

  • Streaming

    Sendet Echtzeit-Ereignisdaten an die JSA-Konsole , wenn ein Benutzer Ereignisse auf der Registerkarte " Protokollaktivität " mit "Echtzeit (Streaming)" anzeigt. Streamende Ereignisse werden nicht aus der Datenbank bereitgestellt.

  • Ereignisspeicher (Ariel)

    Eine Zeitreihendatenbank für Ereignisse, in der Daten minütlich gespeichert werden. Die Daten werden dort gespeichert, wo das Ereignis verarbeitet wird.

  Der Ereignissammler sendet normalisierte Ereignisdaten an den Ereignisprozessor , wo die Ereignisse von der benutzerdefinierten Regel-Engine (Custom Rules Engine, CRE) verarbeitet werden. Wenn Ereignisse mit den benutzerdefinierten CRE-Regeln abgeglichen werden, die in der JSA-Konsole vordefiniert sind, führt der Ereignisprozessor die Aktion aus, die für die Regelantwort definiert ist.

• Magistrate in der JSA-Konsole: Die Magistrate-Komponente führt die folgenden Funktionen aus:

  • Regeln für Verstöße

    Überwacht und reagiert auf Verstöße, wie z. B. das Generieren von E-Mail-Benachrichtigungen.

  • Offensives Management

    Aktualisiert aktive Verstöße, ändert den Status von Verstößen und gewährt Benutzern Zugriff auf Verstoßinformationen über die Registerkarte Verstöße .

  • Aufbewahrung von Straftaten

    Schreibt Angriffsdaten in eine Postgres-Datenbank.

  Der Magistrate Processing Core (MPC) ist dafür verantwortlich, Verstöße mit Ereignisbenachrichtigungen von mehreren Ereignisprozessorkomponenten zu korrelieren. Nur die JSA-Konsole oder All-in-One-Appliance verfügt über eine Magistrate-Komponente.

Fließt

JSA-Flows stellen Netzwerkaktivität dar, indem IP-Adressen, Ports, Byte- und Paketanzahl und andere Daten in Flow-Datensätze normalisiert werden, bei denen es sich im Grunde um Aufzeichnungen von Netzwerksitzungen zwischen zwei Hosts handelt. Die Komponente in JSA , die Flow-Informationen sammelt und erstellt, wird als Flow-Prozessor bezeichnet.

JSA Bei der Datenstromerfassung handelt es sich nicht um eine vollständige Paketerfassung. Bei Netzwerksitzungen, die sich über mehrere Zeitintervalle (Minuten) erstrecken, meldet die Datenflusspipeline am Ende jeder Minute einen Datensatz mit den aktuellen Daten für Metriken wie Bytes und Pakete. Möglicherweise sehen Sie in JSA mehrere Datensätze (pro Minute) mit derselben "Zeit für das erste Paket", aber die Werte für die "Zeit für das letzte Paket" werden im Laufe der Zeit erhöht.

Ein Datenfluss beginnt, wenn der Datenflussprozessor das erste Paket erkennt, das über eine eindeutige Quell-IP-Adresse, eine Ziel-IP-Adresse, einen Quellport, einen Zielport und andere spezifische Protokolloptionen, einschließlich 802.1q-VLAN-Feldern, verfügt.

Jedes neue Paket wird ausgewertet. Die Anzahl der Bytes und Pakete wird den statistischen Zählern im Datenstromdatensatz hinzugefügt. Am Ende eines Intervalls wird ein Statusdatensatz des Schemas an einen Schemaprozessor gesendet, und die statistischen Zähler für das Schema werden zurückgesetzt. Ein Flow endet, wenn innerhalb der konfigurierten Zeit keine Aktivität für den Flow erkannt wird.

Flow Processor kann Flows aus den folgenden internen oder externen Quellen verarbeiten:

• Externe Quellen sind Flow-Quellen wie netflow, sflow, jflow. Externe Quellen können an einen dedizierten Flow-Prozessor oder an eine Flow-Processor-Appliance gesendet werden. Externe Quellen benötigen nicht so viel CPU-Verarbeitung, da nicht jedes Paket verarbeitet wird, um Datenströme zu erstellen. In dieser Konfiguration verfügen Sie möglicherweise über einen dedizierten Flow-Prozessor und einen Flow-Prozessor, die sowohl Flow-Daten empfangen als auch erstellen. In kleineren Umgebungen (weniger als 50 Mbit/s) kann eine All-in-One-Appliance die gesamte Datenverarbeitung übernehmen.

• Der Datenflussprozessor sammelt interne Datenströme, indem er eine Verbindung zu einem SPAN-Port oder einem Netzwerk-TAP herstellt. Der JSA Flow Processor kann vollständige Pakete von seiner Capture-Karte an eine Packet Capture Appliance weiterleiten, aber er erfasst selbst keine vollständigen Pakete.

Das folgende Diagramm zeigt die Optionen zum Sammeln von Datenströmen in einem Netzwerk.

Flow-Pipeline

Der Flow-Prozessor generiert Flow-Daten aus Rohpaketen, die von Monitor-Ports wie SPANs, TAPs und Monitor-Sitzungen oder von externen Flow-Quellen wie netflow, sflow, jflow gesammelt werden. Diese Daten werden dann in das JSA-Flow-Format konvertiert und zur Verarbeitung an die Pipeline gesendet.

Der Flow Processor führt die folgenden Funktionen aus:

• Flow-Deduplizierung

  Flow-Deduplizierung ist ein Prozess, bei dem doppelte Flows entfernt werden, wenn mehrere Flow-Prozessoren Daten für Flow Processors-Appliances bereitstellen.

• Asymmetrische Rekombination

  Verantwortlich für die Kombination von zwei Seiten jedes Datenflusses, wenn Daten asymmetrisch bereitgestellt werden. Dieser Prozess kann Ströme von beiden Seiten erkennen und sie zu einem Datensatz kombinieren. Manchmal existiert jedoch nur eine Seite des Flusses.

• Lizenzdrosselung

  Überwacht die Anzahl der eingehenden Datenströme an das System, um Eingabewarteschlangen und Lizenzierung zu verwalten.

• Weiterleitung

  Wendet Routing-Regeln für das System an, z. B. das Senden von Datenflussdaten an externe Ziele, externe Syslog-Systeme, JSON-Systeme und andere SIEMs.

Datenströme durchlaufen die Custom Rules Engine (CRE) und werden mit den konfigurierten Regeln korreliert, und auf der Grundlage dieser Korrelation kann ein Verstoß generiert werden. Sie sehen Verstöße auf der Registerkarte Verstöße.