思科域名的分类
域名的分类 时间:2021-01-18 阅读:()
DavidLi李勇卫思科资深安全架构师Date201903思科助力企业安全可视化建设信息可视化监控检测分析定位网络主体用户终端系统服务行为软件网址应用文件流量位置时间哪年哪月几点几分哪个交换机哪个端口哪个楼层哪个座位社交媒体购物网站微博微信病毒广播风暴泛洪哪个部门的哪个人PCWindows7LinuxFTPDHCPJavaIE漏洞属性BashHeartbeat网络可视化的作用网络安全及稳定性问题通常来自于网络接入的主体为什么要网络安全可视化-工欲善其事,必先利其器层次覆盖协作开放呈现自动可视分析能力应用能力安全可视化建设六大要素不同产品配合、分享、决策执行获得更广的视角覆盖网内每个用户、每个端口、每次访问主机内每一个进程的每次操作解决方案跨越主机、接入、通讯、边界各个层次对外更多分享数据、更多的分享接口与应用系统的信息整合全面的、可分析、可衡量的态势呈现层次化、分级别的表现方式策略编排、处置自动、分析智能第一阶段第二阶段主机层面接入层面传输层面网络边界广深内外应用URL信誉分类黑名单邮件文件DNS监视到每一个端口每一个主机监视到每一此访问每一个数据包情景感知异常流量分析StealthWatch网络准入ISE邮件安全网关下一代防火墙Anyconnect信息采集AMP恶意软件检测安全能力内网安全可视化建设互联网威胁情报建设了解主机所有的属性信息可视化建设第一阶段-思科如何帮助客户实现安全可视化能力-层级分析、重点研究2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialCiscoAnyConnect思科安全能力之终端合规、进程流量可视化、客户端信息收集-Anyconnect统一终端软件终端合规与思科其他解决方案集成IdentityServicesEngine(ISE)ASR/CSRSwitchesandWirelessControllersCloudWebSecurityServices(CWS+WSA)ISRAdaptiveSecurityAppliance(ASA)VPNNetFlowCollectorsAdvancedMalwareProtectionUmbrellaServices网络可视化恶意软件检测云Web过滤网络接入准入云DNS保护客户端信息采集2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之EDR-AMP高级恶意软件防御-未知及已知病毒捕捉,零天病毒检测利器,勒索病毒防御Talos威胁情报45%的检测在我们检测到时,Virustotal还有没检测到进程行为分析及异常行为IOC集成沙箱功能–AMPThreatGrid19%的TG检测在我们检测到时,Virustotal还有没检测到低流行率可执行文件的自动分析10%转化为恶意软件漏洞软件分析检测技术与AV引擎结合下一代防病毒技术2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之IAM/NAC-网络接入情景感知可视及控制ISE策略平台ISE策略平台PLCADSAP你想要访问的资源TabletLaptopHMI你是个什么设备Mitsue(sales)Shree(IT)Santoso(Operator)你的身份JapanIndiaBuildingA从哪里接入19:3016:0016:00什么时间接入VPNWiFiWired连接网络的方式互联网881518815188151网络设备策略执行身份位置时间接入方式终端类型是否感染是否合规188152017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之NTA-Stealthwatch利用网络的力量达到最大安全覆盖-流量分析技术发现网内未知隐患内部威胁缺乏发现取证手段未知威胁行为IOC突破特征技术限制异常活动机器学习自动发现隐患黑盒子网络掌握每一次网络访问收集流量自动学习流量匹配异常行为IOC捕捉内部威胁交换机与路由器、防火墙:产生Netflow、sFlow、Netstream、IPFix等网络安全网络安全合规、安全审计、异常主机发现、数据窃取发现、蠕虫传播NaaSStealthwatch异常流量分析系统:收集Flow,分析流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之DPI-Firepower下一代防火墙/下一代入侵检测入侵文件网址应用IP源/目的IP源/目的端口协议安全域身份设备信息用户信息操作系统网内位置国家区域域名域名分类域名域名信誉DNS威胁情报网址分类网址信誉网址威胁情报应用分类应用信誉业务相关性SHA文件尺寸文件样本网址应用文件是否染毒文件轨迹客户端应用危险级别微软漏洞文件属性Snort规则平台相关分类入侵方式分类>35K规则Firepower漏洞列表定制规则IP威胁情报拦截警告日志加速允许限速属性2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential250+全职威胁情报研究员百万级遥感终端4全球数据中心1100威胁陷阱100+威胁情报合作伙伴思科威胁情报150万每天恶意软件样本6000亿每天电子邮件消息160亿次每天Web请求全球蜜罐网网络开源社区SpamcopOpenDNSSenderbase漏洞挖掘(内部)34亿恶意软件遥感数据ThreatGrid沙箱社区情报共享AspisCreteAEGIS第三方共享(MAPP)ISACs思科安全能力之威胁情报-Talos威胁情报互联网的可视化2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential如何获得思科威胁情报安全能力Talos为所有的Cisco安全产品提供智能情报,为用户提供自动的防护NetworkEndpointCloudFirePower/ASASnortsubscriptionrulesetNGFWNGIPSMerakiAMPforNetworksAMPforEndpointsAMPforGatewaysCloudEmailSecurityCloudWebSecurityWebSecurityApplianceEmailSecurityApplianceCiscoUmbrella2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力通过产品协作提供丰富数据及检测分析一支训练有素的顶级球队Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统未知威胁防御ESA邮件安全网关ISE网络准入解决方案终端信息采集终端合规信息Anyconnect统一客户端2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential可视化建设第二阶段-当我们拥有了安全数据,我们如何使用他们-借助思科解决方案实现态势感知建设FWIPSNTADPIEDRVulnerabilityContextDataPostureDataStoreDataSourceAPIeStreamerSyslogODBCEventCollectionTechnologyThreatIntelLogDataAnalysisDataCollectionDataAnalysisIAMVPNNACMalwareFileAPPOSServiceIP-TupleUserDomainNameURLIntrusionTopLevelAnalysisUseCaseCategoryPriorityCorrelationMeasureDataExpressionDashboardReportThreatResearcherSOCAnalystThreatHunterAlertSearchCasePanelDataPortalIncidentResponseSecuritySituationAwarenessDataOperationForensicsAnalysisSecurityAuditConsumerEmailSPAM安全运营与分析平台架构SandboxShortterm-datalakeLongterm-datalake展现安全态势快速响应及处置解析安全事件数据解析监听裸数据萃取元数据收取分析日志自动化事件梳理2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全可视化态势展现安全分析员–针对事件标识和响应的调查窗口技术经理–重点突出风险和事件状态的运营仪表盘安全运营官–基于合规的报告CIO–风险状态和安全趋势的概况安全审计–审计需要的安全指标建设安全态势感知常见痛点-缺乏优先级"告警疲劳什么是告警疲劳"缺乏需要的数据源"对不起,我们没有能力检测到这种信息.
.
.
"缺乏数据的理解"这个数据到底表示什么含义"缺乏检测和响应的关联"我们发现它们了,下面呢"2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件那么多,请告诉我们哪些需要处理-安全事件优先级评定单一事件SLE评分系统风险值=R(A,T,V)脆弱性资产威胁处置SLERO定量+定性综合评定是不是这些事件我们都需要处理我需要告诉你我们没有那么安全技术人员请不要告诉我,让我来说我们需要看哪些事件如何评价我们现在的安全状态2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件降噪举例-思科Firepower入侵事件降噪及安全风险度量脆弱性威胁Priority高中低HostProfileImpactLevel01234ServiceOSVulnerabilityMatchSignature资产ValueRanking10203040Reference2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential通过持续的安全事件建设完成态势感知系统的进化ObjectiveThreatStakeholdersDataReqs.
LogicTestingPriorityOutput"Failuretoprepareispreparingtofail"BenjaminFranklin处置流程的目的和目标需要标识的威胁与处置流程相关责任人检测信息源.
日志、数据包、主机配置等.
处理数据和标识威胁所需要规则及条件确认风险的校验方法逻辑基于影响和紧急状况来分类和归类不同级别的威胁响应威胁的工作流及报表、仪表盘Source:SANS-用来标识出组织和技术的要求,针对特定威胁如何进行检测和响应-安全态势感知针对特定条件标识出的安全事件安全事例框架2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例Use-Case设计模板UseCaseIDThreat-001Objective保护服务器免受外来侵入Threat检测到针对服务器的暴力破解行为ThreatCategory异常访问/账号安全/RECONStakholdersSec管理部门,Server管理部门,APP业务部门DataReqs.
Firepower-EstreamerDataLogics在Firepower开启针对SSH/FTP/HTTPBruteForce特征规则PriorityMiddleOutput服务器安全告警、事件调查仪表盘Response设定阈值自动拦截,报知业务部门提醒业务部门,重新审视业务需求,关闭不必要的管理端口,必要时将攻击源加入黑名单.
2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential标识安全事例Use-Case备选项ThreatOrientedControlOrientedUseriskandthreatassessmentresultsIndustryReportsStrategicthreatintelligenceresourcesRedteamexercisesCorporatePoliciesRegulatory&ComplianceAttackChainModelmaptocapabilitiesCandidateVector2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialTARGETBREACHCOMPROMISEDNSDNS-LayerSecurityWebSecurityEmailSecurityIPSDeliverHostAnti-MalwareINSTALLIPSFWNetworkAnti-MalwareEXPLOITDNSDNS-LayerSecurityWebSecurityIPSCommandIPSFWRECONFlowAnalyticsActThreatIntelligenceWeaptonize针对CyberKillChain建设安全能力FileTrajectoryATTACKERINFRASTRUCTUREUSEDBYATTACKERFILES/PAYLOADSUSEDBYATTACKERSource:Gartner(2016)45586UseCaseCapability2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件调查及关联分析数据展示DeliverINSTALLEXPLOITCommandRECONActWeaptonize位置身份安全态势分析行为态势分析行为审计日志安全事件情景信息资产属性身份关联攻击链映射事件出发情景信息展现2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例管理框架按照需求方要求收集需求填写Use-Case模板标识可用的及可实现的内容标识备选UseCase实现后重新审视环境变化后重新审视UseCases命中后定期重审定期刷新情景数据重审UseCase按照重要性按照可行性建立UseCases优先级列表备案不可实现的UseCasesUseCase优先级评定复查和优化描述与需求确认实现需求的安全能力决定需求的数据源决定满足需求的情景数据标识新的或者被影响的流程以及运营方案开发、测试和提交内容至产品UseCase实现方针修改内容修改事件修改记录添加或修改情景数据修改输出内容(Output)修改运营流程优化UseCase与Owner或者提交需求方确认更新文档通知相关责任人删除内容更新废除UseCases列表废除UseCase收集独立UseCase指标收集UseCase管理指标提供反馈给战略与计划开发衡量流程性能Source:Gartner(2018)开始2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例UseCase分类汇总ThreatKillChain威胁类型场景分类RECONWeaptonizeDeliverExploitInstallCommandActOther异常访问账号安全1高危访问4安全合规2入侵事件高频事件5新发事件1网络流量资源滥用1异常流量112蠕虫传播1恶意软件异常行为21高危感染2病毒爆发1威胁情报恶意攻击1远程控制3恶意软件分发22017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential1小时内100次重复单一事件攻击-Firepower单一源IP持续入侵攻击行为-Firepower某服务器被持续攻击-Firepower高风险值的攻击行为-Firepower未被阻止的高风险入侵事件-Firepower30天内出现的新型入侵事件-Firepower举例-风险分类:入侵事件实现内容:接收来自Firepower入侵检测/入侵防御系统产生的日志.
规格化所有来自这些设备的日志.
关联分析所有防火墙和入侵检测/入侵防御系统的事件,产生调查分析报表和告警UseCase事例2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential高带宽占用客户端-Stealthwatch单一主机外发大量邮件-Stealthwatch源主机发送大量异常流量(Scan/Flood)-Stealthwatch源主机通过SMB访问互联网行为-Stealthwatch服务器受到DDOS攻击-Stealthwatch主机发生蠕虫传播行为-Stealthwatch实现内容:通过Netflow和端口镜像,收集网络所有的流量数据.
自动学习流量,分析报警异常流量UseCase示例:举例-风险分类:网络流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科提供更加开放的接口帮助客户实现定制化需求Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统ESA邮件安全网关ISE网络准入解决方案Anyconnect统一客户端ODBCRestfulAPIHostInputAPIEstreamerAPISouthboundAPIRestfulAPISDKERSAPIPxGridPassive-IDRestfulAPIRestfulAPIRestfulAPI2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科态势感知平台技术实现方式异常流量分析系统网络准入系统下一代防火墙文件沙箱系统恶意软件防御安全能力层数据采集处理安全运营分析安全事件响应威胁情报监控网络安全分析日志关联分析安全态势感知事件监控中心SOAPA安全报告安全知识培训用户行为审计威胁情报监控-威胁研究和建模-恶意软件分析-沟通和协调-报告和简报安全事件响应-网络安全监控-网络安全调查和升级报告-网络威胁搜索-网络安全事故补救-事后分析网络安全分析-安全数据管理-安全分析-事件分类-事件定级2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialThreatswillincrease.
Volumeandsophistication.
威胁与日俱增更多种类更加复杂欢迎选择思科帮你完成可视化建设希望有机会分享我们的经验
Allrightsreserved.
CiscoConfidentialCiscoAnyConnect思科安全能力之终端合规、进程流量可视化、客户端信息收集-Anyconnect统一终端软件终端合规与思科其他解决方案集成IdentityServicesEngine(ISE)ASR/CSRSwitchesandWirelessControllersCloudWebSecurityServices(CWS+WSA)ISRAdaptiveSecurityAppliance(ASA)VPNNetFlowCollectorsAdvancedMalwareProtectionUmbrellaServices网络可视化恶意软件检测云Web过滤网络接入准入云DNS保护客户端信息采集2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之EDR-AMP高级恶意软件防御-未知及已知病毒捕捉,零天病毒检测利器,勒索病毒防御Talos威胁情报45%的检测在我们检测到时,Virustotal还有没检测到进程行为分析及异常行为IOC集成沙箱功能–AMPThreatGrid19%的TG检测在我们检测到时,Virustotal还有没检测到低流行率可执行文件的自动分析10%转化为恶意软件漏洞软件分析检测技术与AV引擎结合下一代防病毒技术2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之IAM/NAC-网络接入情景感知可视及控制ISE策略平台ISE策略平台PLCADSAP你想要访问的资源TabletLaptopHMI你是个什么设备Mitsue(sales)Shree(IT)Santoso(Operator)你的身份JapanIndiaBuildingA从哪里接入19:3016:0016:00什么时间接入VPNWiFiWired连接网络的方式互联网881518815188151网络设备策略执行身份位置时间接入方式终端类型是否感染是否合规188152017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之NTA-Stealthwatch利用网络的力量达到最大安全覆盖-流量分析技术发现网内未知隐患内部威胁缺乏发现取证手段未知威胁行为IOC突破特征技术限制异常活动机器学习自动发现隐患黑盒子网络掌握每一次网络访问收集流量自动学习流量匹配异常行为IOC捕捉内部威胁交换机与路由器、防火墙:产生Netflow、sFlow、Netstream、IPFix等网络安全网络安全合规、安全审计、异常主机发现、数据窃取发现、蠕虫传播NaaSStealthwatch异常流量分析系统:收集Flow,分析流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之DPI-Firepower下一代防火墙/下一代入侵检测入侵文件网址应用IP源/目的IP源/目的端口协议安全域身份设备信息用户信息操作系统网内位置国家区域域名域名分类域名域名信誉DNS威胁情报网址分类网址信誉网址威胁情报应用分类应用信誉业务相关性SHA文件尺寸文件样本网址应用文件是否染毒文件轨迹客户端应用危险级别微软漏洞文件属性Snort规则平台相关分类入侵方式分类>35K规则Firepower漏洞列表定制规则IP威胁情报拦截警告日志加速允许限速属性2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential250+全职威胁情报研究员百万级遥感终端4全球数据中心1100威胁陷阱100+威胁情报合作伙伴思科威胁情报150万每天恶意软件样本6000亿每天电子邮件消息160亿次每天Web请求全球蜜罐网网络开源社区SpamcopOpenDNSSenderbase漏洞挖掘(内部)34亿恶意软件遥感数据ThreatGrid沙箱社区情报共享AspisCreteAEGIS第三方共享(MAPP)ISACs思科安全能力之威胁情报-Talos威胁情报互联网的可视化2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential如何获得思科威胁情报安全能力Talos为所有的Cisco安全产品提供智能情报,为用户提供自动的防护NetworkEndpointCloudFirePower/ASASnortsubscriptionrulesetNGFWNGIPSMerakiAMPforNetworksAMPforEndpointsAMPforGatewaysCloudEmailSecurityCloudWebSecurityWebSecurityApplianceEmailSecurityApplianceCiscoUmbrella2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力通过产品协作提供丰富数据及检测分析一支训练有素的顶级球队Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统未知威胁防御ESA邮件安全网关ISE网络准入解决方案终端信息采集终端合规信息Anyconnect统一客户端2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential可视化建设第二阶段-当我们拥有了安全数据,我们如何使用他们-借助思科解决方案实现态势感知建设FWIPSNTADPIEDRVulnerabilityContextDataPostureDataStoreDataSourceAPIeStreamerSyslogODBCEventCollectionTechnologyThreatIntelLogDataAnalysisDataCollectionDataAnalysisIAMVPNNACMalwareFileAPPOSServiceIP-TupleUserDomainNameURLIntrusionTopLevelAnalysisUseCaseCategoryPriorityCorrelationMeasureDataExpressionDashboardReportThreatResearcherSOCAnalystThreatHunterAlertSearchCasePanelDataPortalIncidentResponseSecuritySituationAwarenessDataOperationForensicsAnalysisSecurityAuditConsumerEmailSPAM安全运营与分析平台架构SandboxShortterm-datalakeLongterm-datalake展现安全态势快速响应及处置解析安全事件数据解析监听裸数据萃取元数据收取分析日志自动化事件梳理2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全可视化态势展现安全分析员–针对事件标识和响应的调查窗口技术经理–重点突出风险和事件状态的运营仪表盘安全运营官–基于合规的报告CIO–风险状态和安全趋势的概况安全审计–审计需要的安全指标建设安全态势感知常见痛点-缺乏优先级"告警疲劳什么是告警疲劳"缺乏需要的数据源"对不起,我们没有能力检测到这种信息.
.
.
"缺乏数据的理解"这个数据到底表示什么含义"缺乏检测和响应的关联"我们发现它们了,下面呢"2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件那么多,请告诉我们哪些需要处理-安全事件优先级评定单一事件SLE评分系统风险值=R(A,T,V)脆弱性资产威胁处置SLERO定量+定性综合评定是不是这些事件我们都需要处理我需要告诉你我们没有那么安全技术人员请不要告诉我,让我来说我们需要看哪些事件如何评价我们现在的安全状态2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件降噪举例-思科Firepower入侵事件降噪及安全风险度量脆弱性威胁Priority高中低HostProfileImpactLevel01234ServiceOSVulnerabilityMatchSignature资产ValueRanking10203040Reference2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential通过持续的安全事件建设完成态势感知系统的进化ObjectiveThreatStakeholdersDataReqs.
LogicTestingPriorityOutput"Failuretoprepareispreparingtofail"BenjaminFranklin处置流程的目的和目标需要标识的威胁与处置流程相关责任人检测信息源.
日志、数据包、主机配置等.
处理数据和标识威胁所需要规则及条件确认风险的校验方法逻辑基于影响和紧急状况来分类和归类不同级别的威胁响应威胁的工作流及报表、仪表盘Source:SANS-用来标识出组织和技术的要求,针对特定威胁如何进行检测和响应-安全态势感知针对特定条件标识出的安全事件安全事例框架2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例Use-Case设计模板UseCaseIDThreat-001Objective保护服务器免受外来侵入Threat检测到针对服务器的暴力破解行为ThreatCategory异常访问/账号安全/RECONStakholdersSec管理部门,Server管理部门,APP业务部门DataReqs.
Firepower-EstreamerDataLogics在Firepower开启针对SSH/FTP/HTTPBruteForce特征规则PriorityMiddleOutput服务器安全告警、事件调查仪表盘Response设定阈值自动拦截,报知业务部门提醒业务部门,重新审视业务需求,关闭不必要的管理端口,必要时将攻击源加入黑名单.
2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential标识安全事例Use-Case备选项ThreatOrientedControlOrientedUseriskandthreatassessmentresultsIndustryReportsStrategicthreatintelligenceresourcesRedteamexercisesCorporatePoliciesRegulatory&ComplianceAttackChainModelmaptocapabilitiesCandidateVector2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialTARGETBREACHCOMPROMISEDNSDNS-LayerSecurityWebSecurityEmailSecurityIPSDeliverHostAnti-MalwareINSTALLIPSFWNetworkAnti-MalwareEXPLOITDNSDNS-LayerSecurityWebSecurityIPSCommandIPSFWRECONFlowAnalyticsActThreatIntelligenceWeaptonize针对CyberKillChain建设安全能力FileTrajectoryATTACKERINFRASTRUCTUREUSEDBYATTACKERFILES/PAYLOADSUSEDBYATTACKERSource:Gartner(2016)45586UseCaseCapability2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件调查及关联分析数据展示DeliverINSTALLEXPLOITCommandRECONActWeaptonize位置身份安全态势分析行为态势分析行为审计日志安全事件情景信息资产属性身份关联攻击链映射事件出发情景信息展现2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例管理框架按照需求方要求收集需求填写Use-Case模板标识可用的及可实现的内容标识备选UseCase实现后重新审视环境变化后重新审视UseCases命中后定期重审定期刷新情景数据重审UseCase按照重要性按照可行性建立UseCases优先级列表备案不可实现的UseCasesUseCase优先级评定复查和优化描述与需求确认实现需求的安全能力决定需求的数据源决定满足需求的情景数据标识新的或者被影响的流程以及运营方案开发、测试和提交内容至产品UseCase实现方针修改内容修改事件修改记录添加或修改情景数据修改输出内容(Output)修改运营流程优化UseCase与Owner或者提交需求方确认更新文档通知相关责任人删除内容更新废除UseCases列表废除UseCase收集独立UseCase指标收集UseCase管理指标提供反馈给战略与计划开发衡量流程性能Source:Gartner(2018)开始2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例UseCase分类汇总ThreatKillChain威胁类型场景分类RECONWeaptonizeDeliverExploitInstallCommandActOther异常访问账号安全1高危访问4安全合规2入侵事件高频事件5新发事件1网络流量资源滥用1异常流量112蠕虫传播1恶意软件异常行为21高危感染2病毒爆发1威胁情报恶意攻击1远程控制3恶意软件分发22017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential1小时内100次重复单一事件攻击-Firepower单一源IP持续入侵攻击行为-Firepower某服务器被持续攻击-Firepower高风险值的攻击行为-Firepower未被阻止的高风险入侵事件-Firepower30天内出现的新型入侵事件-Firepower举例-风险分类:入侵事件实现内容:接收来自Firepower入侵检测/入侵防御系统产生的日志.
规格化所有来自这些设备的日志.
关联分析所有防火墙和入侵检测/入侵防御系统的事件,产生调查分析报表和告警UseCase事例2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential高带宽占用客户端-Stealthwatch单一主机外发大量邮件-Stealthwatch源主机发送大量异常流量(Scan/Flood)-Stealthwatch源主机通过SMB访问互联网行为-Stealthwatch服务器受到DDOS攻击-Stealthwatch主机发生蠕虫传播行为-Stealthwatch实现内容:通过Netflow和端口镜像,收集网络所有的流量数据.
自动学习流量,分析报警异常流量UseCase示例:举例-风险分类:网络流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科提供更加开放的接口帮助客户实现定制化需求Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统ESA邮件安全网关ISE网络准入解决方案Anyconnect统一客户端ODBCRestfulAPIHostInputAPIEstreamerAPISouthboundAPIRestfulAPISDKERSAPIPxGridPassive-IDRestfulAPIRestfulAPIRestfulAPI2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科态势感知平台技术实现方式异常流量分析系统网络准入系统下一代防火墙文件沙箱系统恶意软件防御安全能力层数据采集处理安全运营分析安全事件响应威胁情报监控网络安全分析日志关联分析安全态势感知事件监控中心SOAPA安全报告安全知识培训用户行为审计威胁情报监控-威胁研究和建模-恶意软件分析-沟通和协调-报告和简报安全事件响应-网络安全监控-网络安全调查和升级报告-网络威胁搜索-网络安全事故补救-事后分析网络安全分析-安全数据管理-安全分析-事件分类-事件定级2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialThreatswillincrease.
Volumeandsophistication.
威胁与日俱增更多种类更加复杂欢迎选择思科帮你完成可视化建设希望有机会分享我们的经验
Gcore(gcorelabs)俄罗斯海参崴VPS简单测试
有一段时间没有分享Gcore(gcorelabs)的信息了,这是一家成立于2011年的国外主机商,总部位于卢森堡,主要提供VPS主机和独立服务器租用等,数据中心包括俄罗斯、美国、日本、韩国、新加坡、荷兰、中国(香港)等多个国家和地区的十几个机房,商家针对不同系列的产品分为不同管理系统,比如VPS(Hosting)、Cloud等都是独立的用户中心体系,部落分享的主要是商家的Hosting(Virtu...
水墨云历史黑名单IDC,斟酌选购
水墨云怎么样?本站黑名单idc,有被删除账号风险,建议转出及数据备份!水墨云ink cloud Service是成立于2017年的商家,自2020起开始从事香港、日本、韩国、美国等地区CN2 GIA线路的虚拟服务器租赁,同时还有台湾、国内nat vps相关业务,也有iplc专线产品,相对来说主打的是大带宽服务器产品。注意:本站黑名单IDC,有被删除账号风险,请尽量避免,如果已经购买建议转出及数据备...
BlueHost主机商年中618活动全场低至五折
BlueHost 主机商在以前做外贸网站的时候还是经常会用到的,想必那时候有做外贸网站或者是选择海外主机的时候还是较多会用BlueHost主机商的。只不过这些年云服务器流行且性价比较高,于是大家可选择商家变多,但是BlueHost在外贸主机用户群中可选的还是比较多的。这次年中618活动大促来袭,毕竟BLUEHOST商家目前中文公司设立在上海,等后面有机会也过去看看。他们也会根据我们的国内年中促销发...
域名的分类为你推荐
-
域名域名是什么意思国际域名常用的国际顶级域名有哪些?美国虚拟空间请问租用美国虚拟空间,需不需要遵守美国的法律?网站服务器租用哪些网站适合独立服务器租用?价格方面怎么样?国外主机空间2个国外主机空间,都放了BLOG,看看哪个更快?香港虚拟空间最稳定香港虚拟主机空间在哪里?网站空间申请网站空间申请虚拟主机管理系统我也想和你学虚拟主机管理系统的操作虚拟主机评测浅谈建站新手如何挑选虚拟主机虚拟主机提供商那个提供商的虚拟主机比较便宜,不要小牌子,服务要好