넷위트니스는 또 다른 글로벌 이벤트에 다시 NOC의 일원으로 참여하게 되어 기쁘게 생각합니다. 블랙 햇 싱가포르에서. 싱가포르의 Black Hat 네트워크 운영 센터(NOC) 는 세계에서 가장 까다로운 환경에서도 안전하고 안정적인 네트워크를 제공합니다. 이는 최고 수준의 솔루션 제공업체와 Black Hat의 '존경받는 NOC 팀 리더'가 이끄는 숙련된 보안 및 엔지니어링 팀의 지원으로 이루어집니다. 이 팀은 세계적 수준의 엔터프라이즈 네트워크의 보안, 성능 및 가시성을 보장합니다. NOC 팀은 항상 놀랍고 함께 일하게 되어 영광입니다. 팀에는 다음과 같은 사람들이 함께합니다. Arista, Cisco, 코어라이트, MyRepublic 그리고 팔로알토 네트웍스.
넷위트니스 플랫폼
3월에 출시된 최신 버전으로 업그레이드했습니다. 최신 버전의 NetWitness 에서 사용하는 블랙 햇 는 12.4입니다. 최신 버전을 설치하기로 선택한 이유는 다음과 같은 작업에 유용한 새로운 기능이 포함되어 있기 때문입니다. 블랙 햇. 새로운 Mitre Attack 프레임워크 매핑, 새로운 빠른 대응 조치, 마지막으로 새로운 OS를 강조할 수 있습니다. 버전 12.4부터 NetWitness는 CentOS 사용을 중단했습니다.
이러한 새로운 기능은 안정성을 보장하고 이벤트에 대한 탐지 및 대응을 위해 NOC의 일상 활동에 매우 중요합니다.
설치된 구성 요소
구현된 NetWitness 아키텍처는 간단하지만 포괄적인 아키텍처입니다.
패킷 디코더를 사용하여 모든 트래픽을 캡처합니다. 블랙 햇 네트워크. 로그 디코더는 네트워크의 모든 장치와 서버에서 로그를 수집합니다. 블랙 햇 네트워크 및 엔드포인트 서버를 사용하여 이벤트의 중요한 자산인 등록 서버를 모니터링합니다.
아키텍처의 높은 수준을 분석하면 가장 중요한 부분을 파악할 수 있습니다.
가시성
플랫폼의 첫 번째 핵심 요소이자 블랙햇 NOC 는 가시성입니다. 가시성을 통해 분석가는 이벤트의 전체 범위를 볼 수 있습니다. 이상 징후나 인시던트와 관련이 있는지 여부는 중요하지 않습니다. 모든 원시 이벤트가 있는 그대로 수집됩니다. 블랙 햇 기간 동안 세 가지 소스가 있습니다:
넷위트니스 로그 디코더
(로그 수집기와 함께)는 수집 및 파싱하는 장치입니다. 로그 데이터 방화벽, 서버, 애플리케이션, 엔드포인트 등 Black Hat 네트워크의 다양한 소스에서 수집합니다. 로그 디코더는 로그 데이터를 공통 형식으로 정규화하고 지리적 위치, 위협 인텔리전스, 사용자 행동과 같은 메타데이터로 보강합니다. 로그 디코더 를 사용하면 NOC 팀이 활동을 모니터링 및 조사하고 시스템 로그를 확인하여 이벤트 중에 발생할 수 있는 이상 징후, 위협 또는 인시던트를 식별할 수 있습니다. 시스템 로그는 이상 징후를 감지하고 모니터링 안정성을 유지하는 데도 유용합니다.
다른 관련 로그 소스 중 하나는 코어라이트네트워크 트래픽과 알려진 보안 이벤트에 대한 추가적인 가시성을 제공합니다.
넷위트니스 패킷 디코더
는 Black Hat 네트워크의 모든 네트워크 트래픽을 캡처하고 분석하는 장치입니다. 패킷 디코더는 네트워크 세션을 재구성하고 프로토콜, 애플리케이션, 콘텐츠 유형 및 위협 지표와 같은 관련 정보를 추출합니다. 또한 패킷 디코더는 전체 패킷 캡처 및 포렌식을 위해 원시 패킷 데이터를 압축하고 저장합니다. 패킷 디코더를 사용하면 NOC 팀을 통해 네트워크 활동을 완벽하게 파악하고 이벤트 중에 발생할 수 있는 의심스럽거나 악의적인 이벤트에 대한 심층 분석을 수행할 수 있습니다.
Black Hat 기간 동안 네트워크 미러링은 플랫폼에 두 트래픽을 모두 제공할 수 있는 Arista에서 보장합니다. 쇼의 전체 트래픽과 레그 서버를 오가는 해독된 트래픽을 모두 제공합니다. 이는 전체 상황을 파악하고 분석하여 자산을 계속 모니터링하는 데 중요합니다.
NetWitness 엔드포인트 서버
는 엔드포인트에서 데이터를 수집하고 분석하는 장치입니다. 엔드포인트 서버는 엔드포인트에 에이전트를 배포하여 프로세스, 파일, 네트워크 연결 및 사용자 활동을 모니터링합니다. 엔드포인트 서버는 행동 분석을 사용하여 멀웨어, 랜섬웨어, 피싱 또는 측면 이동과 같은 엔드포인트의 이상 징후 또는 손상 지표를 탐지합니다. 또한 엔드포인트 서버는 NOC 팀에 등록 서버를 지속적으로 모니터링할 수 있는 기능을 제공합니다. 사용자 등록을 담당하는 가장 중요한 Black Hat 서버입니다.
데이터 수집 강화 프로세스 는 수집된 데이터의 가치를 향상시킵니다. Black Hat 네트워크의 다양한 소스에서 가져온 원시 데이터에 더 많은 의미와 컨텍스트를 추가합니다. 이러한 보강은 NOC 팀은 데이터와 네트워크 이벤트를 더 잘 이해할 수 있습니다. 예를 들어, 강화는 교육실, 쇼룸, 무기고 등과 같은 네트워크 범위로 모든 이벤트에 태그를 지정합니다.
이는 분석가에게 매우 유용한데, 실제 이벤트에 집중하고 정상적인 이벤트는 무시할 수 있기 때문입니다. 그리고 NetWitness 플랫폼 는 또한 위협 환경을 지속적으로 주시하고 플랫폼에 인텔리전스 피드를 제공하는 보안 전문가 그룹인 NetWitness Firstwatch의 지원을 받습니다. 이러한 피드에는 네트워크에서 악의적인 행동이나 행위자를 탐지하는 데 도움이 될 수 있는 정보인 침해 지표(IOC)가 포함되어 있습니다. 이러한 IOC를 데이터에 추가하면 NetWitness 플랫폼 에 경고할 수 있습니다. NOC 팀에 블랙햇 네트워크에서 발생할 수 있는 공격이나 침해에 대해 알려주고 신속하고 효과적으로 대응할 수 있도록 지원합니다.
분석 및 인사이트
분석 및 인사이트 는 넷위트니스 플랫폼 활용의 중요한 기능입니다. NOC 분석가 활동. 플랫폼은 수집된 이벤트와 추출된 데이터를 분석하여 악의적이거나 일반적이지 않은 행동 또는 패턴을 감지하거나, 블랙햇 행동 강령을 준수하지 않는 행동 또는 패턴을 감지할 수 있습니다.
디코더는 로직을 사용하여 다음을 수행합니다. 정적 분석를 사용하여 원시 이벤트를 분석하고 데이터를 추출할 수 있습니다. 이 단계에서는 디코더의 이벤트 프로세서 로직이 관련 패턴이나 이상 징후를 감지할 수 있습니다. 또한, 더 많은 정적 로직이 설계 및 맞춤화되어 NOC 활동.
다양한 이벤트 이벤트의 상관관계로서 특정 패턴, 는 상관관계 서버에서 식별됩니다. 넷위트니스 이벤트 스트림 분석(ESA) 서버는 로그 디코더, 패킷 디코더, 엔드포인트 서버와 같은 Black Hat 네트워크의 여러 소스에서 데이터를 상호 연관시키고 분석하는 장치입니다. ESA 서버는 특정 규칙과 모델을 사용하여 기존의 탐지 방법을 회피할 수 있는 복잡하고 은밀한 위협을 탐지합니다. 또한 ESA 서버는 가장 중요한 인시던트의 우선순위를 정하고 대응할 수 있도록 NOC 팀에 경고 및 알림을 생성합니다.
네트워크 패킷 디코더에서 캡처한 파일에 대한 특정 분석 는 멀웨어 분석. 넷위트니스 멀웨어 분석 서버는 블랙햇 네트워크에서 수집한 의심스러운 파일과 개체에 대한 동적 및 정적 분석을 수행하는 장치입니다. 멀웨어 분석 서버는 샌드박스 환경(NOC의 경우 Cisco 위협 그리드)에서 파일을 실행하고 레지스트리 변경, 네트워크 연결, 파일 작업 및 시스템 호출과 같은 동작을 관찰합니다.
또한 멀웨어 분석 서버는 파일에서 메타데이터, 서명 및 침해 지표를 추출하여 위협 인텔리전스 소스와 비교합니다. 멀웨어 분석 서버는 파일 및 개체에 대한 자세한 보고서와 위험 점수는 물론 해결 및 예방을 위한 권장 사항을 NOC 팀에 제공합니다. 멀웨어 분석의 중요한 역할은 Cisco 위협 그리드 샌드박스와의 통합입니다. 정적 멀웨어 분석에서 알 수 없고 의심스러운 것으로 보이는 모든 샘플은 Cisco TG로 직접 전송되어 동적 분석을 위해 제출됩니다. 이는 샌드박스에 중요합니다. 이렇게 하면 제출 횟수를 대폭 줄여 성능을 최적화하고 멀웨어 분석 프로세스의 속도를 높일 수 있습니다.
액션
체인의 마지막에는 NOC 분석가와의 모든 상호 작용이 있습니다. 수집되고 제기된 모든 데이터는 자동화 및 오케스트레이션 시스템에서 관리되고 마지막으로 분석가로부터 분석됩니다. NetWitness 측에서는 중요도 자동 설정이 NW를 사용하여 구현됩니다. 오케스트레이터.
그리고 NetWitness 오케스트레이터 는 Black Hat 네트워크 전반에서 보안 이벤트에 대한 대응을 자동화하고 조율하는 플랫폼입니다. 넷위트니스 멀웨어 분석 및 패킷 디코더를 Cisco 보안 멀웨어 분석과 통합하여 수집 및 분석된 샘플에서 추가적인 개요와 보강 정보를 제공합니다. 또한 12.4에 포함된 새로운 빠른 대응 조치 통합을 활용하여 NetWitness 오케스트레이터 를 통해 NOC 팀은 플레이북을 신속하게 실행하고 샘플을 분석하여 멀웨어를 식별할 수 있습니다.
NOC 팀은 다음과 같은 이점도 누릴 수 있습니다. 대시보드 네트워크 보안 이벤트에 대한 포괄적이고 사용자 지정 가능한 보기를 제공하는 NetWitness의 기능입니다. 대시보드에는 NetWitness에서 수집하고 분석한 데이터의 메트릭, 차트, 표, 지도 및 기타 시각화를 보여주는 다양한 위젯을 표시할 수 있습니다. 대시보드는 NOC 팀이 네트워크 활동을 모니터링하고, 트렌드와 이상 징후를 식별하고, 인시던트의 우선순위를 정하고, 보안 운영의 성과를 추적하는 데 도움이 될 수 있습니다. 대시보드는 각 분석가 또는 역할의 특정 요구 사항과 선호도에 맞게 사용자 지정할 수도 있습니다. 대시보드는 NOC 팀이 네트워크 보안 상태에 대한 가시성과 인사이트를 확보하고 위협에 효과적으로 대응할 수 있는 중요한 도구입니다.
마지막으로 사냥 활동을 언급하지 않을 수 없습니다. 또 다른 주요 기능인 NetWitness 는 NOC 팀이 네트워크에서 위협과 악성 활동을 사전에 검색할 수 있는 보안 헌팅 기능입니다. 보안 헌팅은 NetWitness 플랫폼 는 분석가가 다양한 필터, 연산자, 논리 표현식을 사용해 쿼리를 실행할 수 있는 사용자 친화적인 인터페이스를 제공합니다. 쿼리는 IP 주소, 프로토콜, 포트, 도메인, 파일, 사용자, 프로세스, 서비스 등과 같은 네트워크 트래픽의 메타데이터, 콘텐츠 또는 행동 속성을 기반으로 합니다. 쿼리의 NetWitness Hunter는 또한 피벗, 드릴다운, 집계와 같은 고급 기술을 지원하여 분석가가 쿼리 결과를 탐색하고 구체화할 수 있도록 도와줍니다. 이 NetWitness 기능을 사용하면 NetWitness NOC 팀은 숨겨져 있거나 알려지지 않은 위협을 식별하고, 가설을 검증하고, 경고를 검증하고, 새로운 패턴과 침해 지표를 발견합니다.
그리고 NetWitness 헌터 팀은 전문 분석가 그룹입니다. NetWitness 플랫폼 의 나머지 팀과 함께 사전 예방적 및 사후 대응적 위협 헌팅 활동을 수행합니다. 블랙햇 NOC 팀. 등록 서버와 Black Hat 네트워크 등 Black Hat의 중요한 자산을 보호하고, NOC 팀과 협력하여 네트워크 및 시스템 안정성을 보장하는 것이 목표입니다. The NetWitness 헌터 팀을 위한 블랙햇 NOC 침해 징후를 검색하고, 사고를 조사하고, 네트워크에서 새로운 위협을 발견하고, 정보, 인사이트 및 모범 사례를 공유하세요. 전체 패킷 캡처 및 가시성을 제공합니다. NetWitness 이러한 활동에는 NOC에서 사용할 수 있는 다른 모든 도구를 아우르는 플랫폼이 중요합니다. 네트워크에 대한 완전한 가시성을 통해 사용자는 탐지된 행동을 더 잘 파악하고 특정 알림에서 식별되지 않은 숨겨진 활동을 파악할 수 있습니다.
마지막으로 통합입니다. 이 플랫폼은 API를 통해 나머지 NOC 플랫폼과 완전히 통합됩니다. 이는 중요하고 관련성이 높은 기능입니다. 이미 Cisco 보안 맬웨어 분석과의 통합에 대해 설명했습니다. 또 다른 관련 통합은 다음과 같습니다. 팔로알토 xSOAR를 통해 NOC 작업 이면의 다양한 활동을 자동화하고 일상적인 활동을 간소화할 수 있습니다.
이 글에서는 첫날 글에서 사용의 주요 기능과 이점에 대해 설명했습니다. NetWitness 플랫폼 에 설치하여 블랙햇 NOC 아키텍처에 대한 몇 가지 세부 사항을 설명합니다. 특히 NetWitness 플랫폼 는 네트워크 트래픽에 대한 포괄적인 가시성, 분석 및 탐지 기능을 제공할 뿐만 아니라 보안 헌팅 및 사고 대응 활동을 지원할 수 있습니다. 또한 NetWitness 플랫폼 는 API를 통해 NOC의 나머지 도구와 완전히 통합되어 원활하고 효율적인 워크플로우를 지원합니다. NetWitness 플랫폼다른 공급업체와 함께 블랙햇 NOC 팀에 참여하고 있는 기업들을 위한 강력하고 다양한 솔루션을 제공합니다. 블랙햇 NOC 팀은 자산을 보호하고, 위협을 식별 및 대응하며, 보안 및 네트워크 안정성을 개선합니다.