FutureIntense-3rdriewiew.

分析:智能下一代安全运营平台– Stellar Cyber

I’LL首先作出一个大胆的声明: 恒星大乐透走势图500期图 是一个野兽。对于可能思考的人,“he’即将拆除本产品”, I’很抱歉让你失望。
今天’S企业是野兽。集中,分布式私有云和公共云大乐透走势图500期图的组合,以及攻击它们的大乐透走势图500期图犯罪分子甚至是更大的野兽,它需要一个来管理一个。多年来我看过很多类似的产品,甚至已经使用了一些,我可以明确地说,如果我必须在大大乐透走势图500期图上管理安全性,我会在我的治疗中挖掘,直到管理层资助本产品。作为数字调查专家和大乐透走势图500期图法医科学家,我无法要求更完整的安全管理平台。我需要的一切都在那里。也就是说,让我们挖掘沿着每天安全分析师面临的欧洲潜在挑战。
一切都以命令中心开始(见图1)。这是一个重要的声明,因为命令中心提供了对您企业正在发生的事情的详细说明。我从未见过更好的UI,大约95%的人更糟糕。

图1–恒星大乐透走势图500期图指挥中心
It’也有点不寻常的方式开始分析。所以让’备份一点并弄清楚这个命令中心真的告诉我们什么。首先,主仪表板精美布局。核心是一种纺纱地球,展示了世界各地的地理活动。它被基于大乐透走势图500期图杀戮链的事件显示所包围。单击任何杀链条步骤访问具有大量子菜单的第二级菜单以获取其他详细信息。 (见图2)。
我已经看到了一些非常戏剧性和未来派的仪表板着陆页,但没有这一点是未来派的展示和真正的实用程序所拥有的。此外,这个不会遭受我所谓的“纽约市酒店综合征”。这就是大堂用金,水晶和大理石滴水,但房间很小,宜居。该工具的房间每一位充满了载入仪表板的有用性。
该系统真正是企业安全工程师’完整的工具箱。它’S如此善良,你可以完全到达你需要的东西,因为它几乎没有困难’s intuitive.

图2–从杀链链的exfiltration元素钻取
The landing page – dashboard – has four major drop-downs: Collect, Detect, Investigate and Respond. When you select one of the steps for the kill chain for drill-down you are taken to the correct drop-down.  In the case of the example above we were taken to Detect. Examining the resulting menu, we see that there have已有63次SYN洪水尝试– none successful – and 1 cryptojackng attempt that was successful.  Let’s get a closer look at that one.
在页面顶部,该工具为我们提供了我们的事件的定义,在这种情况下加密jacking:
未经授权使用计算机到挖掘加密货币。
现在我们需要一些细节。图3显示了此事件的图形显示。

图3.–CryptoJacking事件的图形显示
这给了我们一个非常好的事件的一般图片,但我们可以做更多的事情。这是检测菜单。我们有两大下降:调查和回应。调查有一些额外的下降,我最喜欢的是威胁狩猎。其中一个威胁狩猎下降将打开大量的威胁狩猎工具,以其威胁狩猎图书馆(见图4)。

图4.–威胁狩猎图书馆
选择库中的菜单只是看到一个菜单,显示显示活动并单击它(此视图中没有任何内容)。这将打开第二个菜单,该菜单具有解决问题所需的所有信息。您可以从响应下拉以及在那里解决问题,您将找到一个大量的响应,从而清除通知问题。简而言之–我一直保持这么短,以便我们有时间挖掘配置和部署–如果您需要它追踪问题–甚至一个复杂的形容–您的工具内置于恒星大乐透走势图500期图平台中,便于您的成功分辨率。

部署野兽

这并不难以部署,但有几个小“gotchas”。首先,我们需要一个数据处理器。这件作品是在分析数据的地方,数据湖的生活以及传感器报告的地方。它可以是您的企业中或AWS云中的虚拟机。我在我的一个VMware主机上安装了它。在那里,我击中了我的第一个障碍。这是指出恒星大乐透走势图500期图的支持的好时机。它们是知识渊博并响应我的主机是VMware的旧版本,并且您从Stellar下载的OVF不支持。没问题。我只使用zip打开了OVF并编辑了VirtualSystemType:

CloudImg-20201106</ vssd:VirtualSystemidentifier>
<VSSD:VirtualSystemType.>vmx-10</VSSD:VirtualSystemType.>

我更改了VMX-10以匹配我的VMware版本。轮到你了’LL发现OVF的哈希没有’匹配清单。所以你需要采取.mf文件并运行一个节目,将给你一个新的哈希。我使用了sha1sum.exe,在我更新的OVF文件中运行它,并用新的文件替换清单文件中的哈希。

063F1C42DFE7A0139CCF060117971FA3170110117 Ubuntu-Xenial-16.04-CloudImg.ovf

那’它。 OVF完全跑得很好,我为我的Aella-dataprocessor(DP)有一个新的VM。
现在,我们需要使用我们的传感器可以达到的IP地址设置VM。因为我在实验室中测试了这一点’我设置了DP的地方。我给了它一个内部IP地址,即我的内部机器–身体和虚拟–可以达到。现在我们需要在我们要监视的计算机上安装传感器。这是在公园散步。我挑选了Windows的代理传感器,将其上传到我想要监视和运行它的所有Windows机器。安装几乎是自动的。最后它问了几个问题–如DP的IP– and you’re done.
传感器开始与DP和您的通信’LL在收集/传感器概述菜单中看到它。你’LL请注意,授权列中的传感器是绿色或红色。如果它是红色的,你’LL需要授权它–在公园里散步。见图5。

图5.–传感器概述下拉显示授权
一旦您的传感器沟通并授权您’ll开始收集数据。请注意,您只收集数据收集的数据。传感器读取日志,如果它看到它的反应。如果没有,它只是继续观看。但是,它正在收集,并且有很多菜单包含有用的信息,其中许多是调查下拉目。
还有其他传感器可以部署如大乐透走势图500期图和欺骗。请记住,这是一种机器学习系统,因此它不断收集新数据并从中学习。当我们部署防火墙外部的传感器时,DP在内部,我们需要以端口转发的形式执行一些防火墙配置。
简而言之,这可能是野兽,但驯服它非常简单。它的“beastliness”来自不仅仅是内置的大量工具,而且紧密集成。简而言之,这是一个企业安全工程师的一站式商店。如果它’不是在这里,作为一个分析师,你可能不会’需要它。在这个主题上,有多个仪表板视图,每个仪表板都有不同的重点–首页,公司趋势,运营观及分析师视图。例如,分析师视图是一个冗长的活动概述,并为跟踪问题的良好起点。

观点

正如你可能期望的那样,我很喜欢这个。我非常喜欢它,即我可以在我的实验室部署它以进行未来的研究和分析。但是,我的实验室很小。你真的可以了解它对更大的企业的力量。但是不要’如果您的企业是中等而不是巨大的,这就会认为这几乎没有使用。坏人使用中小企业作为枢轴要点来到其他地方未被发现,因为这是较小的企业不受欢迎。惊喜!与恒星大乐透走势图500期图有震撼。他们可能认为他们是野兽,但这个系统是“beastier”.
恒星大乐透走势图500期图 强烈推荐。

________________________________

P.S.只有几个澄清的额外票据…我希望这些将帮助您解释我在此分析中讨论的事情。

首先,让我们’S占据了SYN洪水发现。我写。“…已有63次SYN洪水尝试– none successful”。你应该解释这意味着有63个异常的SYN洪水,没有成功。它并不一定意味着攻击者试图损害您的系统与SYN洪水。这也不意味着你应该’T仔细的雄鹅只是为了确保你不是目标。虽然你可以相信恒星,那就没有’t mean that “anomalous” is not “directed”。这样的事情作为源IPS的一致性,随着时间的推移和几个其他典型的威胁狩猎技术,都是阿森纳的一部分,并且所有这些工具都可以使用。

此外,我并不意味着暗示恒星只能安装在内部VM上。实际上,您可以在一块物理硬件上安装,软件数据中心或AWS云上的VM。刚刚发生在我的测试实验室中的VMware主机上安装了我的副本。

我感谢那些评论这两点的尖锐读者… much appreciated!

 


P. R. Stephenson,PHD,CISSP(RET)
未来激烈的出版商
独家at

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请