云服务器价格_云数据库_云主机【优惠】最新活动-搜集站云资讯

网站空间_如何登录企业邮箱_排行榜

小七 141 0

网站空间_如何登录企业邮箱_排行榜

Hewlett-Packard Enterprise(HPE)ArcSight被许多客户广泛部署,并用于安全操作中心(SOC)。存在许多连接器来收集来自网络设备、防火墙、(主机)入侵预防系统、操作系统、防病毒解决方案、Web服务器、数据库、漏洞扫描程序和许多其他设备的事件。

但SAP监控功能目前有限。安全审核文件只有一个连接器。信息表,即业务事务或更改文档日志丢失。

另一方面,SAP Enterprise Threat Detection(ETD)对SAP事件源有非常深入的了解,但目前在网络设备等其他领域的能力非常有限。

因此,SAP和HPE决定将这两种解决方案集成到为包括SAP系统在内的组织的完整IT环境提供整体监控功能。

由于许多公司和组织已经将其事件管理流程与ArcSight安装相关联,我们决定将ETD集成到ArcSight中。这样可以在ArcSight中看到来自ETD的警报,并触发相应的响应过程。

上图显示了SAP事件进入ArcSight的信息流。这些事件在SAP环境中生成,并由ETD收集。在那里,它们与SAP系统中可用的其他事件和上下文信息相关联。一旦发现可疑的东西,就会发出警报。ArcSight FlexConnector通过ETD的REST API收集这些警报,并将其解析为公共事件格式(CEF),这是ArcSight的标准格式。RESTAPI在ETD中的设置下激活,如下面的屏幕截图所示。更多细节见第8.8章的SAP ETD实施指南。

在SAP和HPE的密切合作下,开发了ETD字段到CEF字段的映射,以便尽可能保留语义。然后,规范化的警报被转发到ArcSight Enterprise Security Monitor(ESM),它是ArcSight安装的中心服务器,淘客吧,所有事件都在这里存储和关联。最后,ETD警报与所有其他事件一起在ArcSight控制台中显示给安全分析师。

通过使用ArcSight FlexConnector框架,我们非常灵活,可以快速适应ETD端的API更改。

下图显示了源系统的详细信息流通过ETD和ArcSight连接器连接到演示设置中的ArcSight ESM。目前正在执行直线,并计划在不久的将来使用虚线。DC是域控制器,EH6和EC6是两个ABAP系统。在不久的将来,更多的系统将连接到ETD,这将使我们能够看到Java日志等

可以看到SAP日志被发送到ETD,FlexConnector只收集结果警报。另一方面,Windows事件日志和数据库日志(例如Oracle)由ArcSight连接器直接收集。由于这是一个演示环境,我们在同一台机器上安装了所有这些连接器。同样由于演示环境的原因,我们没有看到任何网络层日志。中期计划为展厅安装防火墙,以便我们从那里获取日志。

非常典型的设置是所有连接器都在本地,ArcSight ESM安装在我们的一个安全操作中心(SOC)中,安全分析师也通过ArcSight控制台监控所有警报。这样的介绍如下图所示。它是一个仪表盘,概述了演示环境中当前的安全状况。

左侧显示了图形视图,其中红色方框是源,白色方框是目标,蓝色圆圈是事件或ETD警报。分析师可以很容易地在这里发现高度活跃的用户和系统。例如,可以很快看到,用户FF\u SAPETD在带有客户端020的EC6上非常活跃。主要的问题是他使用了很多被监控的事务。因此,在此进行进一步的调查是合适的。

在右上角,事件的数量按过去几个小时的严重程度显示。我们可以看到没有严重的尖峰,所以这不是正常情况,或者时间范围太小,无法将其视为最大值。

右下角首先显示了前10个目标系统。EC6/020在这里是第一位的,它对应于图表视图中的发现。然后显示警报的分布。超过一半的警报是由于未经授权的消防员使用。在生产环境中,这可能暗示消防员流程存在问题。

根据SAP ETD与HPE ArcSight在当前演示环境中集成的附加信息,我们开发了两个示例性用例。第一个演示了来自ETD的业务相关警报如何帮助确定事件响应的优先级。第二种方法使您能够几乎实时地检测到与DSAG Prüfleitfaden的偏差。

想象一下以下情况:一个攻击者欺骗了您的一些SAP管理员打开了一封包含木马程序的钓鱼邮件,该木马程序允许您完全控制受害者的电脑。不幸的是,其中一个管理员是在业务关键点登录的系统。攻击者现在使用此会话通过创建新的管理员用户在系统中建立后门。

上图显示了此类攻击期间的数据流。下半部分显示了操作层,在该层中,受损终端访问一些SAP系统。该系统将活动报告给ETD,ETD随后发出警报,并转发给ArcSight。另一方面,操作系统日志直接发送到ArcSight。

仅从操作系统日志(即Windows事件日志)中,上云,ArcSight可以检测到系统上存在特洛伊木马活动,并且无论如何都会发出警报。但如果不仅有一个系统受损,还有50个呢?先装哪一个?通过ETD提供的附加信息,安全分析师可以立即看到,在一个系统上,感染被积极用于进一步攻击业务关键型SAP系统。因此,决定先解决哪一个问题现在很容易。

本文地址: /shujuku/88956.html
版权声明:本文发布于收集站云 内容均来源于互联网 如有侵权联系删除

上一篇:天翼云_企业申请qq企业邮箱_超低折扣

下一篇:网站服务器_linux服务器登录_测评

相关文章