Tích hợp giải pháp Log management Xplg với Palo Alto Networks

Tích hợp giải pháp Log management Xplg với Palo Alto Networks

July 10, 2019 | vietsunshine

Các doanh nghiệp sẽ thấy nhiều hơn các cuộc tấn công mạng chống lại họ. Dữ liệu mà họ hiện thu thập và lưu trữ đã khiến cơ sở hạ tầng của họ trở thành mục tiêu chính cho tin tặc.

Dữ liệu khách hàng và tài sản trí tuệ có thể được bán ở thị trường chợ đen để kiếm lợi nhuận và thông tin nhạy cảm cũng có thể được tin tặc sử dụng để tống tiền họ.

Các doanh nghiệp hiện đang tích cực chuyển workloads của họ sang cloud, mặc dù nó sẽ mang lại nhiều lợi ích, nhưng đi kèm với đó là sự mở rộng phạm vi phòng thủ và cũng khiến họ gặp rủi ro cao hơn.

Do đó các doanh nghiệp, tổ chức đang tích cực đầu tư vào các giải pháp bảo mật khác nhau để bảo vệ toàn diện các mạng của họ. Gartner dự kiến chi tiêu an ninh sẽ vượt quá $ 124 tỷ trong năm nay. Các giải pháp như tường lửa và các công cụ phòng chống mối đe dọa ngày càng trở nên cần thiết cho các doanh nghiệp.

Ví dụ, nhà cung cấp tường lửa hàng đầu Palo Alto Networks cung cấp cho các công ty nhiều biện pháp khác nhau để bảo vệ cơ sở hạ tầng của họ. Giải pháp của Palo Alto Networks hiện đang được sử dụng bởi hàng chục ngàn khách hàng doanh nghiệp.

Tuy nhiên, trong khi bảo vệ dịch vụ mang lại cho các quản trị viên nhiều sự quan tâm trước các mối lo ngại về bảo mật, các quản trị viên vẫn cần phải ‘stay on top’ về cơ sở hạ tầng của họ.

May mắn thay, người dùng cũng có thể khai thác các tích hợp có sẵn với các giải pháp bảo mật khác để có được các chức năng bổ sung. Chẳng hạn, giải pháp quản lý nhật ký Xplg có thể được tích hợp với các giải pháp như Palo Alto Networks.

Việc tích hợp này cho phép quản trị viên sử dụng Xplg để phân tích thông minh nhật ký của các dịch vụ bảo mật để tiết lộ các mẫu và khám phá sự bất thường tiềm ẩn trong các hoạt động mạng của họ.

Thông tin chi tiết từ các phân tích này có thể phơi bày các mối đe dọa và lỗ hổng để quản trị viên giải quyết. Thông qua tích hợp, Xplg cũng có thể tạo ra các bảng điều khiển sâu sắc khác nhau thể hiện hiệu quả trạng thái bảo mật của mạng.

Dưới đây là bảy bảng điều khiển Xplg mà các nhóm CNTT có thể dễ dàng kiểm tra để hiểu ý nghĩa của việc sử dụng dịch vụ của Palo Alto Networks.

  • Băng thông tổng (Total bandwidth)

Băng thông tổng (Total bandwidth)

Quản trị viên có thể sử dụng bảng điều khiển này để kiểm tra tổng băng thông được gửi và nhận qua mạng. Biết điều này giúp thiết lập đường cơ sở (baselines) về những gì có thể được coi là tiêu thụ băng thông bình thường.

Ví dụ, lưu lượng truy cập tăng trong giờ làm việc nên được dự kiến. Tuy nhiên, việc sử dụng băng thông quá mức, đặc biệt là trong giờ làm việc, có thể cần được điều tra thêm vì nó có thể chỉ ra các nỗ lực vi phạm tiềm ẩn hoặc các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

  • Phiên (Sessions)

Phiên (Sessions)

Bảng điều khiển phiên cung cấp thông tin về số lượng phiên mà mỗi người dùng đã tạo trong mạng và lý do chính tại sao các phiên này đã bị chấm dứt.

Theo dõi phiên về cơ bản chỉ ra cách dịch vụ giảm nhẹ một số hành động nhất định. Ví dụ: nó kiểm tra xem một phiên kết thúc vì nó phù hợp với chính sách bảo mật cụ thể hoặc do mối đe dọa đã được phát hiện.

  • Phân phối người dùng (User distribution)

Phân phối người dùng (User distribution)

Phân phối người dùng cho biết có bao nhiêu người dùng nguồn và mục tiêu có sẵn trong mạng và ai là người dùng tích cực nhất theo thời gian. Người dùng hoạt động bất thường so với những gì họ đang làm việc có thể cho thấy rằng tài khoản hoặc thiết bị của họ có thể bị xâm phạm.

  • Phân phối địa lý (Geo distribution)

Phân phối địa lý (Geo distribution)

Bảng điều khiển phân phối địa lý hiển thị các quốc gia nguồn và mục tiêu nổi bật liên quan đến việc gửi và nhận các yêu cầu mạng.

Nó cũng hiển thị quốc gia nào có số lượng người dùng lớn nhất và địa chỉ IP nào họ sử dụng. Yêu cầu mạng quá mức có thể chỉ ra các nỗ lực tấn công.

Bảng điều khiển thậm chí có thể khẳng định rằng một số quốc gia nhất định là nguồn gốc của các cuộc tấn công và quản trị viên có thể xem xét áp dụng các giới hạn địa lý, đặc biệt là nếu không có sự cho phép lưu lượng truy cập từ các quốc gia này.

  • Các mối đe doạ (Threats)

Các mối đe doạ (Threats)

Các cuộc tấn công đã biết trong mạng cũng có thể được hiển thị thông qua bảng điều khiển các mối đe dọa. Thông tin được phân chia theo các loại tấn công được nhóm thành các loại. Số lượng các trường hợp tấn công cũng được hiển thị cùng với số nạn nhân trong mỗi thể loại.

Biết các nguồn và mục tiêu của các cuộc tấn công cho phép quản trị viên sẵn sàng làm việc trên các máy hoặc thiết bị đầu cuối này để ngăn chặn các hoạt động độc hại lan rộng trên mạng.

  • Quản lý người dùng (User management)

Quản lý người dùng (User management)

Bảng điều khiển quản lý người dùng hiển thị thông tin về việc tạo và xóa tài khoản người dùng và quản trị viên trong bảng điều khiển. Điều quan trọng là phải quan sát các hoạt động như vậy vì tin tặc tìm cách truy cập quản trị vào mạng.

Thông thường, họ sử dụng lại thông tin tài khoản bị xâm phạm trước đó. Nếu họ có thể sử dụng tài khoản quản trị viên, họ sẽ có thể gây ra sự gián đoạn hơn nữa bằng cách xóa người dùng hợp pháp hoặc tạo các tài khoản giả khác.

  • Thống kê đăng nhập và đăng xuất (Login and logout statistics)

Thống kê đăng nhập và đăng xuất (Login and logout statistics)

Thống kê đăng nhập và đăng xuất hiển thị các lần thử đăng nhập thất bại, có bao nhiêu người dùng phải đối mặt với thất bại đăng nhập theo thời gian và lý do cho những lần thử thất bại đó.

Một nỗ lực thất bại có thể là một việc người dùng quên thông tin đăng nhập của họ – xuất hiện phổ biến trong các tổ chức. Do đó, các công ty có thể xem xét các chính sách xác thực tốt hơn hoặc thực hiện các biện pháp như đăng nhập một lần để đơn giản hóa các quy trình đăng nhập.

Nhiều lần thử thất bại trên một hoặc nhiều tài khoản có thể chỉ ra điều gì đó tồi tệ hơn, chẳng hạn như các cuộc tấn công brute force cố gắng giành quyền truy cập vào các tài khoản này.

Từ thông tin tới hành động

Điều tuyệt vời về các giải pháp như Palo Alto Networks là họ ghi nhật ký toàn diện các hoạt động trên các mạng được bảo vệ của họ. Tính hữu ích của thông tin đó có thể được tăng cường hơn nữa bằng cách tích hợp các giải pháp phân tích nhật ký.

Sử dụng các công cụ như vậy, quản trị viên có thể đi sâu hơn vào dữ liệu hoạt động và tìm kiếm các mẫu thường bị che khuất bởi sự thiếu cấu trúc của nhật ký. Các mẫu được phát hiện và phát hiện thông qua các phân tích như vậy có thể cho thấy sự bất thường quan trọng cần được chú ý ngay lập tức.

Cuối cùng, những hiểu biết mà các bảng điều khiển và phân tích này cung cấp là cực kỳ hữu ích cho các quản trị viên vì họ cho phép hành động kịp thời và chính xác được thực hiện khi giảm thiểu hoặc phản ứng với các cuộc tấn công mạng.

Nguồn: Dashboards to Use on Palo Alto Networks for Effective Management

Tags: ,