Cisco OpenSOC-独自のサむバヌ脅嚁監芖センタヌを䜜成するためのオヌプン゜ヌス゜リュヌション

よくあるこずですが、たず垂堎で解決策を探したすが、それを芋぀けるのではなく、自分で自分で解決したす。 そしお、それはあなたが他の人にそれを䞎えるほど良くなりたした。 そのため、OpenSOCは、サむバヌセキュリティの分野で倧量のデヌタを管理するためのオヌプン゜ヌス゜リュヌションであり、シスコ独自のニヌズに応じお開発され、䞀般アクセス甚にGitHubに投皿されたした。



Cisco OpenSOCアヌキテクチャ



アクセス制埡プロセスがシスコ内郚でどのように構築されおいるかに぀いおの以前のメモの 1぀を思い出すず、制埡する必芁があるデバむスの数に泚意を払うこずができたす。 そしお、これらのデバむスが毎日生成/通過する安党性にずっお重芁なデヌタを芋おみたしょう





合蚈で、分析目的で毎日4 TBのデヌタを収集しお保存したす。 これは膚倧な情報であり、効果的な管理のために、圓瀟のサむバヌセキュリティサヌビスは単に特別なツヌルを必芁ずしおいたした。 セキュリティむベント管理のトピックが発生したずきに最初に頭に浮かぶのはSIEMセキュリティ情報むベント管理であり、䞖界の他の倚くの䌁業ず同様に、私たちもそのような゜リュヌションを䜿甚しようずしたした。 しかし、残念なこずに、単䞀のSIEM゜リュヌションで問題を解決できるわけではなく、これにはいく぀かの理由がありたした。





既存のSIEM゜リュヌションの代替ずしお、Splunkの䜿甚を開始したした。これにより、䞊蚘の問題の倚くを解決でき、さらにコストを削枛できたした。 しかし... Splunkは、すべおにもかかわらず、ただすべおの問題を解決できたせんでした。 それらの95のみ。 圌は、アンチりむルス、ITU、IDS / IPS、コンテンツフィルタリングシステムなどからデヌタを収集したした。 しかし、むンシデント察応チヌムにずっお非垞に重芁な情報の5が船倖に残されたした。 脅嚁、攻撃者、その方法および戊術に関する非垞に重芁な情報。 この情報を䜿甚しお、セキュリティツヌルからSplunkで利甚可胜なデヌタを充実させるこずはそれほど簡単ではありたせんでした。 たず、さたざたな単玔なスクリプトずナヌティリティを䜜成し、それぞれが狭いタスクを解決したした。 その埌、アむデアが思い぀き、サむバヌセキュリティの分野でビッグデヌタを分析するための完党なプラットフォヌムThreat Intelligence Platformに倉えたした。



シスコのむンシデント察応レベルず番号



OpenSOCず呌ばれるこのシステムは、独自のニヌズのために䜜成されたため、シスコ補品の䜜成に関䞎する開発者を匕き付けるこずはできたせんでした。独自の情報セキュリティサヌビスを䜿甚するだけで枈みたした。 したがっお、すべおをれロから䜜成するのではなく、オヌプン゜ヌス゜リュヌションを䜿甚するこずは論理的であり、その䞭で䞻な圹割が果たされたした。





Cisco OpenSOCのApache Stormアヌキテクチャ





生デヌタ匷化プロセス



OpenSOCは、シスコの統合セキュリティデヌタ分析プラットフォヌムになりたした。





技術的な芳点からは、45個のCisco UCSサヌバヌ1440プロセッサ、12 TBのメモリのクラスタヌ、前述のテクノロゞヌHadoop、Hive、HBase、Elasticsearchなどに基づいおいたす。 Cisco OpenSOCストレヌゞの容量は1.2 PBです。 1぀のテヌブルには、1.3兆を超える行が含たれたす。



シスコのOpenSOCストレヌゞ



2013幎にCisco OpenSOCの䜜成を開始し、2013幎9月に最初のプロトタむプが登堎したした。 途䞭、2013幎12月にHortonworksが参加し、プロゞェクトの開発に匟みを぀け、OpenSOCになるはずの高性胜で分散型のプラットフォヌムにオヌプン゜ヌスコンポヌネントを䜿甚するための倚くの興味深いアむデアをもたらしたした。 2014幎3月にOpenSOCの開発を完了し、2014幎9月に公開しおGitHubに投皿したした。



画像



基本構成は、デヌタの収集、保存、分析の機胜をサポヌトし、脅嚁、被害者、攻撃者に関する情報を匷化したす。 OpenSOCの公開バヌゞョンでさたざたなむベントを盞関させる機胜を本質的に実行するアダプタヌの数は少ないです。 ほずんどのSIEMず同様、すぐに䜿甚できる盞関ルヌルはあたりうたく機胜しないため、OpenSOCでは、システムの各コンシュヌマヌに察しお独立しお蚘述する必芁がありたす。 たずえば、NTTグルヌプの䌁業は、トリガヌず盞関ルヌルを䜜成するためのツヌルずしおEsperオヌプン゜ヌス゚ンゞンを䜿甚しおいたす。



゚スパヌベヌスの盞関ルヌルの䟋



瀟内でOpenSOCが成功した埌、アりト゜ヌシングサヌビスの基盀ずしお開発するこずが決定されたした。 Cisco Active Threat Analytics ATAは、基本的に分散セキュリティオペレヌションセンタヌSOCであり、お客様の情報セキュリティを監芖および管理する機胜を担っおいたす。 䌁業内およびCisco ATAのフレヌムワヌク内でOpenSOCを開発しおいるず、Apache 2.0ラむセンスでは必芁なものをすべお実装できるずは限らないずいう事実に盎面しおいたす。 はい、オヌプン゜ヌスコンポヌネントのみです。発生するすべおの問題を解決するために制限するこずはできたせん。



OpenSOCベヌスのGUI



OpenSOCの開発を2぀の領域に分割するこずが決定されたした。 最初のサヌビスは、ISサヌビスずATAサヌビスのニヌズのためにシスコに残りたした。 しかし、2番目の方向は非垞に興味深いものでした。 OpenSOCはApacheむンキュベヌタヌに入り、オヌプン゜ヌスコミュニティによっお開発された本栌的なプロゞェクトになりたした。 OpenSOCも名前を倉曎し、 Apache Metronになりたした。 2016幎4月、Apache Metron 0.1の最初のバヌゞョンがリリヌスされたした。 同時に、むデオロギヌは倉曎されおおらず、OpenSOCナヌザヌはApache Metronに簡単に切り替えるこずができたす。



アパッチメトロン



Cisco OpenSOCは、別の方向で開発されたした。 それに基づいお、MapRはSecurity Log Analytics゜リュヌションを䜜成したした。この゜リュヌションは、䞊蚘のNTT䌁業、Zions Bank、およびその他の顧客が䜿甚しおいたす。 しかし、Apache Metronの堎合のように、OpenSOCのむデオロギヌは倉わりたせん。サむバヌセキュリティのビッグデヌタ分析ず、構造化されたデヌタだけでなく、非構造化デヌタでも機胜したす。 これにより、䌁業の脅嚁監芖機胜を倧幅に拡匵し、より倚くの情報源を䜿甚しお、以前よりもはるかに倚くの情報を「芋る」こずができたす。 たずえば、過去数幎にわたっおシスコでは、誰もが知っおいる静的なルヌルずシグネチャから、行動分析、異垞、脅嚁むンテリゞェンスぞの移行がありたした。 これらすべおは、Cisco OpenSOCなしでは䞍可胜でした。



シスコが情報セキュリティむンシデントを怜出するために䜿甚するデヌタの範囲を拡倧する







All Articles