Coautores: Lou Norman y Erich Stokes
Comprender la telemetría de la crimson
En Parte 1 de esta serie de blogs “Definición de la telemetría de la crimson” Definimos la telemetría de la crimson y señalamos que es una herramienta transformadora para el sector público de los Estados Unidos, ya que proporciona información integral sobre el rendimiento de la crimson, la seguridad y los patrones de uso. Los datos de telemetría son como una pepita dorada para un buscador porque tiene un valor inmenso en descubrir concepts ocultas dentro de una crimson.
Al recopilar y analizar datos de telemetría, las organizaciones del sector público pueden obtener visibilidad en sus operaciones de crimson, lo cual es esencial para la gestión de redes eficientes y automatizadas. Esta visibilidad permite la detección de amenazas proactivas, la optimización del rendimiento y la toma de decisiones informadas sobre la asignación de recursos y la planificación de la crimson.
La telemetría de la crimson también puede reducir en gran medida el tiempo de respuesta al brindar información precisa sobre lo que un anfitrión infectado ha comunicado, tanto en las instalaciones como en Web. Esto permite a los respondedores saber qué fue comprometido y igual de importante, qué no se comprometió. La telemetría de la crimson juega un papel essential en la mejora de los tiempos de respuesta de seguridad al proporcionar información detallada sobre las actividades de la crimson. Así es como funciona:
- Monitoreo en tiempo actual: Los métodos tradicionales de monitoreo de crimson a menudo dependen de las encuestas periódicas, que pueden perder eventos críticos. En contraste, la telemetría proporciona datos en tiempo actual, lo que permite la detección inmediata de anomalías y posibles amenazas.
- Visibilidad integral: La telemetría ofrece una vista unificada de las actividades de crimson, que integran datos de varias fuentes, como dispositivos de crimson, servicios en la nube y aplicaciones. Esta visibilidad integral ayuda a identificar hosts comprometidos y comprender el alcance de un ataque.
- Detección de amenazas proactivas: Al transmitir continuamente datos, la telemetría permite la detección de amenazas proactivas y tiempos de respuesta más rápidos. Este enfoque scale back el tiempo medio de resolución de horas a segundos, ya que los operadores son notificados de problemas a medida que ocurren.
- Operaciones de seguridad mejoradas: Los datos de telemetría admiten operaciones automatizadas de gestión de redes y seguridad, lo que permite una detección y respuesta de amenazas eficientes. Esto incluye identificar lo que fue comprometido y garantizar que los sistemas no afectados sigan siendo seguros.
Ahora profundicemos para comprender mejor la telemetría de la crimson.
Buceo más profundo
NetFlow e IPFIX (exportación de información de flujo de protocolo de Web)
NetFlow e IPFIX son protocolos diseñados para proporcionar información detallada sobre los flujos de tráfico de crimson. Estos protocolos permiten a las organizaciones monitorear y analizar los datos que atraviesan sus redes, ofreciendo una visión integral de los patrones de comunicación y los volúmenes de intercambio de datos.
- Flujo de crimsondesarrollado por Cisco, agregue el tráfico en flujos basados en un conjunto de campos clave, como direcciones IP de origen y destino, números de puerto de origen y destino, y tipo de protocolo. Esta agregación permite la identificación de sesiones únicas entre dispositivos, proporcionando información valiosa sobre usuarios de la crimson, aplicaciones y enrutamiento de tráfico.
- IPFIXpor otro lado, es un estándar IETF que extiende las capacidades de Netflow al ofrecer un marco más versatile y extensible para exportar información de flujo. Admite una amplia gama de tipos de datos y se puede personalizar para satisfacer las necesidades de monitoreo específicas. Ambos protocolos son fundamentales en la gestión de redes, lo que permite a las organizaciones detectar anomalías, optimizar el rendimiento y garantizar la seguridad.
Al comprender quién se comunica con quién y el volumen de datos que se están intercambiando, las organizaciones pueden tomar decisiones informadas sobre la asignación de recursos, la planificación de la crimson y las medidas de seguridad. Estas concepts son cruciales para mantener operaciones de crimson eficientes y seguras.
Registro de eventos seguro de NetFlow (NSEL)
NSEL es un mecanismo especializado de registro de seguridad basado en la tecnología NetFlow Versión 9, específicamente diseñada para firewalls como la serie Cisco ASA.
NSEL proporciona un método de seguimiento de flujo IP con estado que exporta registros que indican eventos significativos en un flujo, como la creación de flujo, el desmontaje y la negación. Este seguimiento con estado permite un análisis detallado del ciclo de vida del flujo, capturando las transiciones y los cambios en el estado que ocurren durante su existencia. Esto incluye el seguimiento de las conexiones de traducción de direcciones de crimson (NAT) y traducciones de direcciones de puertos (PAT) a través del firewall para comprender las conexiones de extremo a extremo a través de un límite traducido.
Al centrarse en estos eventos significativos, NSEL ofrece un enfoque más eficiente y específico para el registro, reduciendo el volumen de datos al tiempo que proporciona información crítica sobre la actividad de la crimson.
NSEL es particularmente valioso para monitorear y analizar la actividad del firewall porque captura y exporta datos sobre los cambios en el estado del flujo, que a menudo son indicativos de eventos de seguridad. Por ejemplo, los eventos regulados por el flujo pueden resaltar posibles amenazas de seguridad o violaciones de políticas, mientras que los eventos de creación de flujo y de nivel de flujo pueden proporcionar información sobre los patrones de tráfico normales y anormales.
Además, NSEL admite la generación de eventos de actualización de flujo periódico, que proporcionan contadores de bytes durante la duración del flujo, ofreciendo una visión más completa del uso de la crimson. Esta capacidad de registro detallada permite a los administradores de crimson comprender y responder mejor a los incidentes de seguridad, optimizar el rendimiento del firewall y garantizar el cumplimiento de las políticas de seguridad. Integrando nsel con herramientas como Carga de trabajo segura de CiscoLas organizaciones pueden mejorar aún más su postura de seguridad a través de la aplicación automatizada de políticas y la detección avanzada de amenazas.
El análisis de tráfico cifrado de Cisco (ETA)
ETA es una tecnología innovadora diseñada para detectar amenazas en el tráfico cifrado sin la necesidad de descifrado, preservando así la privacidad y mantener la seguridad. Los métodos tradicionales de inspección de amenazas a menudo implican el descifrado, el análisis y la reencilación masivos, que pueden ser intensivos en recursos y comprometer la privacidad de los datos. ETA, sin embargo, evita estos desafíos utilizando técnicas avanzadas de telemetría y aprendizaje automático para analizar el tráfico cifrado.
ETA extrae cuatro elementos de datos principales del tráfico cifrado: la secuencia de longitudes y tiempos de paquetes (SPLT), el paquete de datos inicial (IDP), la distribución de bytes y las características específicas de TLS. Estos elementos proporcionan información sobre el comportamiento del tráfico sin revelar el contenido actual.
Al analizar estos puntos de datos, ETA puede identificar anomalías y amenazas potenciales, como el malware, dentro de las transmisiones encriptadas. Este enfoque no solo mejora la seguridad al detectar amenazas en tiempo actual, sino que también garantiza que se mantenga la integridad de los datos cifrados, ya que no es necesario descifrar el tráfico. Esta solución innovadora aprovecha la experiencia en la infraestructura de la crimson de Cisco, que proporciona a las organizaciones una mejor visibilidad y un cumplimiento criptográfico sin comprometer el rendimiento o la privacidad.
Motor de visibilidad cifrado (Eva)
Para construir sobre ETA, Cisco ha desarrollado EVE para sus firewalls de próxima generación (NGFW) para proporcionar seguridad y visibilidad adicionales para el tráfico cifrado. Al igual que ETA, EVE puede identificar artefactos en el tráfico cifrado, como la aplicación que se está ejecutando y determinar si este tráfico es benigno o malicioso sin descifrado. Los firewalls comúnmente toman decisiones basadas en la aplicación que se está ejecutando, y tener la visibilidad de ver esto en el tráfico cifrado hace que el firewall sea más eficiente y mucho más fácil de administrar.
Módulo de visibilidad de crimson (NVM)
NVM es un componente de Cliente seguro de Cisco Eso se centra en recopilar datos detallados de telemetría de dispositivos de punto last. Está diseñado para proporcionar información integral sobre el comportamiento de los puntos finales y las interacciones de crimson, que son cruciales para mantener posturas de seguridad sólidas.
NVM captura un contexto de flujo rico desde los puntos finales, ya sea que estén encendidos o fuera de las instalaciones, y proporciona visibilidad en dispositivos y comportamientos del usuario conectados a la crimson. Estos datos de telemetría incluyen información sobre la dirección y el volumen del tráfico del usuario, el destino de ese tráfico, procesos de software program y aplicaciones presentes en el punto last y detalles sobre el dispositivo en sí, como el tipo de dispositivo, el sistema operativo e interfaces de crimson. NVM permitirá que el investigador vincule el tráfico de Netflow no solo a la dirección IP del punto last, sino también al proceso específico y al proceso principal en el punto last. Esto permite al investigador utilizar el contexto de seguridad del usuario last en el que se ejecuta el proceso en el punto last que permite un análisis más granular.
NVM utiliza el protocolo IPFIX para capturar, formatear y transportar estos datos de telemetría a recolectores de flujo o sistemas de gestión de crimson para análisis y registro. Esto hace que Cisco Safe Shopper sea el único agente de seguridad para la movilidad que aprovecha IPFIX para la telemetría de seguridad de punto last.
Luego se analizan los datos recopilados por NVM para proporcionar visibilidad y conocimientos de seguridad, que pueden usarse para la planificación de capacidad y servicios, auditoría, cumplimiento y análisis de seguridad. Al integrarse con soluciones como Cisco Safe Community Analytics o plataformas de terceros proporcionadas por Splunk, NVM permite a las organizaciones monitorear el uso de aplicaciones, clasificar grupos lógicos de aplicaciones, usuarios o puntos finales e identificar posibles anomalías, mejorar la seguridad common y la gestión de su infraestructura de TI.
La ventaja única del {hardware} de Cisco
El {hardware} de crimson de Cisco se destaca en su capacidad para generar datos de telemetría integrales en varios componentes de la crimson. Por ejemplo, NetFlow/IPFIX está integrado en el {hardware} ASIC del plano de datos de acceso unificado de Cisco (UADP) Desde la introducción del CAT 3850 y todos los conmutadores CAT 9K (dado que esto es incrustado en el {hardware}, Cisco puede generar Netflow/IPFIX sin agregar carga de CPU en el dispositivo. Esto es un gran beneficio para el {hardware} CISCO). Estos ASIC son parte integral del rendimiento y la flexibilidad que permiten características avanzadas, como la seguridad mejorada de la generación de NetFlow/IPX a la velocidad de la línea. Ya sea enrutadores e interruptores que proporcionan datos de NetFlow y ETA, los firewalls que ofrecen información y víspera de NSEL, o puntos finales que entregan datos NVM, Cisco asegura que cada parte de su crimson contribuya a una visión holística de su entorno de crimson.
Conclusión
En conclusión, NetFlow e IPFIX son protocolos fundamentales que proporcionan información detallada sobre los flujos de tráfico de crimson, lo que permite a las organizaciones monitorear y analizar datos que atraviesan sus redes. Los datos de telemetría son como un pepita de oro para un buscador porque tiene un valor inmenso en descubrir concepts ocultas dentro de una crimson. Al aprovechar estos protocolos, las organizaciones pueden extraer información valiosa que ayuda a optimizar el rendimiento de la crimson y mejorar las medidas de seguridad.
Netflow, desarrollado por Cisco, agrega el tráfico en flujos basados en campos clave como direcciones IP y números de puerto, lo que permite la identificación de sesiones únicas entre dispositivos. Esto proporciona información valiosa sobre usuarios de la crimson, aplicaciones y enrutamiento de tráfico.
IPFIX, un estándar IETF, extiende las capacidades de Netflow al ofrecer un marco más versatile para exportar información de flujo, admitiendo una amplia gama de tipos de datos y personalización para necesidades de monitoreo específicas. Ambos protocolos son fundamentales en la gestión de redes, ayudan a las organizaciones a detectar anomalías, optimizar el rendimiento y garantizar la seguridad mediante la comprensión de los patrones de comunicación y los volúmenes de intercambio de datos.
Recursos
Guía de arquitectura de telemetría de Cisco
Cisco Safe Community Analytics + Splunk
Guía de programabilidad NX-OS de Cisco Nexus 9000, Versión 10.2 (x)
Compartir:
