事件关联日誌分析 掌握虚拟环境安全大小事

来源:本站原创 服务器技术 超过967 views围观 0条评论

IBM Security QRadar SIEM加入深度封包检验

洪羿涟
為了因应现代企业大多有建置虚拟化伺服器,资安相关解决方案不管是专属硬体设备,或是纯软体式提供,皆有额外再推出虚拟化版本,可直接整合在虚拟平台上运行。针对VMware技术环境推出的IBM Security Virtual Server Protection,即是由纯软体式的安全解决方案所演进,提供防火墙、入侵侦测防御等机制。
IBM软体事业处业务专案经理金天威说明,Virtual Server Protection是透过VMsafe来执行侦测与防御,并非如同其他厂商是把安全机制建构在虚拟主机之上,再透过代理程式来执行,相较之下,Virtual Server Protection架构在Hypervisor层,直接监看各个虚拟主机的流量,会有较好的效能。

当客户把应用系统渐渐转移到虚拟平台后,就会又开始担心随之而生的存取控制安全方面的疑虑,对此,就需要利用工具协助监看虚拟主机之间的沟通状态。「其实这可说是近年来企业端较在意的部份,因為虚拟环境太抽象,必须透明化检视,因此需要藉由监看日誌来察觉运行的状态与行為。」

▲资安防护机制皆有因应虚拟化而推出新版本,但IBM软体事业处业务专案经理金天威观察到,实际建置时会採用虚拟化版本的其实不多,考量的重点在於执行运作效能,以及架构是否够成熟稳定。
IBM Security QRadar SIEM即是用来蒐集、关联分析各个虚拟主机所產生的日誌资料。金天威说明提到,QRadar的技术是由2011年收购Q1 Labs而来,其技术核心有两种,一种是日誌的关联分析,也就是安全资讯与事件管理(Security Information and Event Management,SIEM)平台;另一种技术是网路封包的流动。

「Workflow是一种Flow,网路也是一种Flow。只是网路的Flow跟资料的Flow不同,Workflow日誌是属於静态的,以文字档案格式存在;网路封包的Flow则是动态。所谓的网路Flow就是在解析封包,像是网路设备都会有既定的网路封包格式规范,以前会由不同的解决方案来提供,现在的趋势已是必须要同时拥有可蒐集这两种资料能力,整合资料作归纳、分析、整理,才能让视野变得更广。」金天威进一步说明,因為日誌这类静态资料的特性是有可能会被删除、修改,往往不够周全,但是网路封包几乎不大会中断,当资料流通过时,也可以从中取得资讯,再跟日誌资料做关联,即可得到更明确的追踪举证效果。

他指出,QRadar最初就是专攻前述两种技术的原生產品,相较於市场上透过產品组合而成的解决方案,较不致会遇到整合上的问题。此外,亦有提供可整合於虚拟环境设计的QRadar VFlow Collector,利用深度封包检验(Deep Packet Inspection)技术,蒐集汇整、比对分析Layer7所產生的封包资料,藉此及时发现恶意程式攻击行為、病毒等资安事件,提出告警或供日后稽核。

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文链接:http://www.jdccie.com/?p=3316转载请注明转自CCIE那点事
如果喜欢:点此订阅本站
  • 相关文章
  • 为您推荐
  • 各种观点

暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!