Módulo 15_Monitoramento de rede e ferramentas Flashcards
Existem dois métodos comuns usados para capturar o tráfego e enviá-lo para dispositivos de monitoramento de rede (para determinar o comportamento normal da rede):
Torneiras de rede, algumas vezes conhecidas como pontos de acesso de teste (TAPs, test access points)
Espelhamento de tráfego usando o SPAN (Switch Port Analyzer) ou outro espelhamento de porta.
Uma torneira de rede é normalmente um dispositivo de divisão passiva implementado em linha entre um dispositivo de interesse e a rede. Uma torneira encaminha todo o tráfego, incluindo erros de camada física, para um dispositivo de análise, permitindo que o tráfego chegue ao destino pretendido.
VERDADEIRO OU FALSO
Verdadeiro
As torneiras também são normalmente à prova de falhas, o que significa que se uma torneira falhar ou perder energia, o tráfego entre o firewall e o roteador interno não é afetado.
As ferramentas comuns que são usadas para monitoramento de segurança de rede incluem:
Analisadores de protocolo de rede como Wireshark e Tcpdump;
NetFlow;
Sistemas de gerenciamento de eventos e informações de segurança (SIEM).
O que é o protocolo NetFlow?
O NetFlow é um protocolo desenvolvido pela Cisco para monitorar e analisar o tráfego de rede.
Como funciona o NetFlow?
Ele coleta informações detalhadas sobre os pacotes de dados que passam por um dispositivo de rede, como endereços IP de origem e destino, portas de origem e destino, protocolo, e tempo de início e término da conexão.
Embora o NetFlow armazene informações de fluxo em um cache local no dispositivo, ele deve sempre ser configurado para encaminhar dados para um coletor NetFlow que armazene os dados NetFlow. Há várias ferramentas de terceiros para análise de dados NetFlow.
Quais os benefícios do NetFlow?
Os principais benefícios do NetFlow incluem a capacidade de monitorar o tráfego de rede em tempo real, identificar gargalos de desempenho, detectar ataques de segurança e otimizar a utilização da largura de banda.
É bastante utilizado para melhorar a segurança e o desempenho de redes corporativas.
O que é SIEM (Security Information Event Management)?
É uma tecnologia usada em organizações empresariais para fornecer relatórios em tempo real e análise de longo prazo de eventos de segurança.
O software SIEM correlaciona milhões de eventos usando aprendizado de máquina e software de análise especial para identificar o tráfego que deve ser investigado.
Os sistemas SIEM incluem as seguintes funções essenciais:
Análise forense — A capacidade de pesquisar logs e registros de eventos de fontes em toda a organização. Ele fornece informações mais completas para análise forense.
Correlação — examina logs e eventos de diferentes sistemas ou aplicativos, acelerando a detecção e reação a ameaças de segurança.
Agregação - A agregação reduz o volume de dados de eventos consolidando registros de eventos duplicados.
Reporting - Reporting apresenta os dados de eventos correlacionados e agregados em monitoramento em tempo real e resumos de longo prazo.
O SIEM fornece detalhes sobre a origem da atividade suspeita:
Informações do usuário, como nome de usuário, status de autenticação, localização.
Informações do dispositivo, como fabricante, modelo, versão do sistema operacional, endereço MAC, método de conexão de rede e localização.
Informações de postura, como se o dispositivo é compatível com a política de segurança, tem arquivos antivírus atualizados e é atualizado com os patches de SO mais recentes.
O que é SOAR (Security orchestration, automation and response)?
É uma solução de software que ajuda as equipes de segurança a integrar e coordenar ferramentas de segurança separadas, automatizar tarefas repetitivas e otimizar os fluxos de trabalho de resposta a incidentes e ameaças.
Aqui estão os principais componentes do SOAR:
Orquestração de Segurança: Conecta e coordena ferramentas de hardware e software no sistema de segurança da empresa. Isso permite que as equipes de segurança trabalhem de maneira mais eficiente e integrada.
Automação de Segurança: Executa operações de segurança sem a necessidade de intervenção humana, especialmente para tarefas repetitivas e monótonas.
Resposta a Incidentes: Gerencia e responde a incidentes de segurança de forma rápida e eficiente, utilizando fluxos de trabalho pré-configurados e personalizados.
Opções de sistemas SIEM:
Prprietários: O SolarWinds Security Event Manager e o Splunk Enterprise Security são dois dos sistemas SIEM proprietários mais populares usados pelos SoCs.
Código aberto: Security Onion.
