Najczęściej zadawane pytania
- What is SOCaaP Sensor?
- Which Services are Running on SOCaaP Sensor?
- Which configurations must be done at first install?
- Which Network Interfaces are Active on a Hardware Sensor?
- Which Rule-set do IDS Services Use?
- What is the Log Forward Feature?
- Which External IPs or Domains does SOCaaP Sensor Need to Access?
Co to SOCaaP Sensor?
SOCaaP Sensor jest obrazem pasywnego czujnika sieciowego, który służy do zbierania i analizowania ruchu sieciowego w celu identyfikacji podejrzanych zdarzeń. SOCaaP Sensor jest dystrybuowany w postaci obrazu ISO, dzięki czemu może być łatwo zainstalowany zarówno na fizycznych urządzeniach serwerowych, jak i w dowolnym środowisku wirtualizacyjnym. Sensor posiada wbudowaną obsługę PF_RING jako akceleratora przechwytywania pakietów w celu zwiększenia wydajności przechwytywania pakietów i zmniejszenia strat pakietów.
Podstawowym zadaniem sensora SOCaaP jest zbieranie nieprzetworzonego ruchu sieciowego poprzez konfigurację portów lustrzanych (mirror port) lub wykorzystanie urządzeń typu hub lub tap. Nasz sensor łączy w sobie IDS oparty na sygnaturach i heurystykach, co zapewnia silny mechanizm dla zespołów SOC do przeprowadzania analizy sieci i monitorowania bezpieczeństwa. SOCaaP Sensor dostarcza również usługę log forwarder, która zbiera logi obsługiwanych urządzeń sieciowych firm trzecich, normalizuje je i przekazuje do naszych serwerów SOCaaP NDR przy użyciu naszego wspólnego modelu zdarzeń.
SOCaaP Sensor zapewnia możliwość integracji z zewnętrzną inteligencją zagrożeń. Dodatkowo, posiada integrację z Valkyrie dla zaawansowanej analizy wyodrębnionych plików.
SOCaaP Sensor zapewnia również pasywne fingerprinting OS i usług. Wszystkie zebrane informacje o sieci są wysyłane do serwerów SOCaaP i prezentowane użytkownikom poprzez portal SOCaaP. Zespół Comodo SOC regularnie przeprowadza operacje związane z dostrajaniem i utrzymaniem SOCaaP Sensor, takie jak zarządzanie nowymi sygnaturami, dostrajanie zestawów sygnatur w celu utrzymania wolumenu zdarzeń na akceptowalnym poziomie, minimalizowanie liczby fałszywych alarmów, utrzymywanie czujników w dobrej kondycji oraz zarządzanie strumieniami danych.
Jakie usługi są uruchomione na SOCaaP Sensor?
Oprócz domyślnych usług CentOS 7, dostępne jest również wsparcie PF_RING dla BRO IDS i Suricata IDS. Istnieją również niestandardowe usługi Comodo do integracji, zarządzania i aktualizacji.
Poniższa tabela pokazuje otwarte porty i powiązane z nimi programy oraz to, czy firewall sensora blokuje połączenie, czy nie:
Port | Program | Status blokady firewall |
22 | sshd | Dozwolone |
68 | dhclient | Dozwolone |
80 | httpd | Dozwolone |
514 | rsyslogd | Dozwolone |
Jakie konfiguracje muszą być wykonane podczas pierwszej instalacji?
W pierwszym kroku instalacji czujnika SOCaaP konieczne jest ustawienie adresu IP, bramy i tokena sieciowego.
Które interfejsy sieciowe są aktywne na czujniku sprzętowym?
Interfejs “eth0” jest aktywny i jest używany do zarządzania i komunikacji z serwerami SOCaaP.
Interfejs “eth1” jest odpowiedzialny za nasłuchiwanie ruchu sieciowego pochodzącego z interfejsu lustrzanego. Dlatego też pracuje on w trybie promiscuous.
Jakich zestawów reguł używają usługi IDS?
Usługi IDS korzystają głównie z zestawu reguł Emerging Threats Pro Ruleset, który jest dostosowywany i udoskonalany przez zespół Comodo SOCaaP.
Co to jest funkcja Log Forward?
Oprócz zbierania informacji o bezpieczeństwie sieci, czujnik SOCaaP zbiera i przekazuje dalej logi z innych produktów w sieci.
Do jakich zewnętrznych adresów IP lub domen musi mieć dostęp SOCaaP Sensor?
Do zdalnego zarządzania:
Domena: sensor.mssp.comodo.com
Adres: 35.169.33.2
Do aktualizacji reguł:
Domena: rules.emergingthreatspro.com
Adres: 204.12.217.18, 96.43.137.98
Dla Amazon Kinesis:
Domena: kinesis.us-east-1.amazonaws.com
Adres: 52.119.196.103
Domena: monitoring.us-east-1.amazonaws.com
Adres: 52.94.238.171
Adres DNS:
Domyślny DNS jest ustawiony jako 8.8.8.8. Jeśli klient chce używać tego DNS, powinno to być dozwolone. Jeśli klient chce używać własnego DNS, powinno to być dozwolone tylko wtedy, gdy jesteśmy pewni, że powyższe hosty są poprawnie rozwiązywane przez ten DNS.