Network attacks. Come rilevarli.
Network attacks. Rilevarli e Gestirli.
Chiunque tenti di accedere alle risorse della rete deve interagire con vari dispositivi: firewall, router, switch e IDS/IPS. Ciascuno di questi genera syslog contenenti importanti informazioni sulla sicurezza e deve essere controllato per ottenere una visibilità completa delle attività che si verificano nella rete. La maggior parte delle soluzioni SIEM, incluso Log360, può raccogliere e analizzare i syslog in tempo reale e avvisare immediatamente i team di sicurezza in caso di eventi di sicurezza di interesse.
La correlazione degli eventi gioca un ruolo cruciale nella verifica dei log dei dispositivi di rete. Ad esempio, un utente che accede tramite VPN potrebbe continuare a fare qualcosa di malevolo come installare ed eseguire un servizio su un server. Per tenere traccia di questo tipo di attività, è necessario essere in grado di correlare i registri VPN con i log del server. La maggior parte delle soluzioni SIEM new-age offre anche feed di minacce integrati che aiutano a rilevare tutti gli IP dannosi noti che tentano di interagire con la rete prima che possano causare danni.
Ora che sai come controllare i tuoi registri, la vera domanda è quali registri dovresti controllare? Ecco quattro tipi specifici di attività di rete da monitorare.
Network attacks. Traffic Firewall.
Traffico firewall consentito e negato: è importante conoscere i dettagli sul traffico che passa attraverso la rete. Assicurati di eseguire (o pianificare) i report giornalieri per tenere traccia del traffico di rete in base all’origine, alla destinazione, al protocollo e alla porta e analizzare le tendenze nel traffico firewall. Quindi indagare su eventuali connessioni che sono state negate ripetutamente dal firewall.
Network attacks. Configuration Changes.
Le modifiche alle configurazioni dei dispositivi di rete, come una modifica al firewall, possono creare deviazioni potenzialmente pericolose dalla politica di sicurezza. Gli avvisi in tempo reale sono indispensabili per rilevare e ripristinare tali modifiche prima che sia troppo tardi.
Network attacks. Attack patterns.
Molti attacchi alla rete come spoofing, IP fragment attacks e SYN flood, seguono uno schema particolare che può essere rilevato analizzando i log di firewall e IDS/IPS.
Network attacks. Malicious Traffic.
In qualsiasi momento, è necessario assicurarsi che tutto il traffico che passa attraverso la rete sia sicuro e da fonti attendibili. È qui che l’integrazione con feed di minacce come STIX/TAXII garantisce la possibilità di rilevare immediatamente il traffico dannoso che entra nella rete e le connessioni in uscita verso domini dannosi e server di callback.
Se vuoi provare subito le funzionalità di Log360 puoi scaricare la versione demo gratuita al seguente link: https://www.manageengine.com/log-management/
Se invece vuoi maggiori informazioni di carattere tecnico o commerciale contattaci allo 0643230077 o invia una e-mail a sales@bludis.it
Redazione
Bludis è il distributore ufficiale in Italia delle soluzioni ManageEngine. Da oltre 25 anni si occupa della distribuzione di soluzioni ICT e della fornitura di una vasta gamma di servizi a valore aggiunto per consentire il massimo livello di soddisfazione possibile per Vendor, Reseller e End-User