Задать вопрос
Protos
@Protos
Спрашивай - отвечу
информационная-безопасность

Каким образом реализовать хранение копии трафика организации?

Прочитал СТО БР ИББС-1.3-2016, в стандарте указывается необходимость сбора сетевого трафика для дальйнейшего анализа в случае выявления инцидентов.
Какими средствами такое возможно реализовать (как понимаю временное хранение трафика, например, за неделю)?
  • Вопрос задан
  • 676 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Решения вопроса 2
mace-ftl
@mace-ftl
Олд-скульный метод, это

1) Зеркалирование на свитче (может быть из нескольких точек, тогда задумайтесь о нескольких сетевых на получателе, а то в пики будут дропы и странности в сети)
2) tcpdump + пара простых скриптов (новый файл должен начинать писаться чуть раньше чем старый закончился, чтобы небыло "дропов")
- сохранение
- удаление старейшего файла когда больше ...% диска занято
3) Последние добавления были - алерты, если файл дампа последний меньше\больше ... мегабайт, дабы отследить момент начала каких-то проблем
Ответ написан
Комментировать
Комментировать
@cssman
SIEM систему из коробки, там предусмотрено хранилище.
Ну а трафик само собой собираете спаном.

Если денег на SIEM нету - то костыли из скриптов, но как будете инциденты выявлять?
Ответ написан
4 комментария
4 комментария
Пригласить эксперта
Ответы на вопрос 1
i_maltsev
@i_maltsev
1. Межсетевой экран -> NetFlow -> nfdump + nfsen
www.natalink.ru/articles/analiz_statistiki_netflow...

2. Межсетевой экран/свитч -> зеркалирование трафика через SPAN-порт -> IDS Suricata
https://xakep.ru/2015/06/28/suricata-ids-ips-197/
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист по информационной безопасности
Данафлекс Казань
от 90 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Доработать клиентское приложение для GTA 5 на C#
20 апр. 2024, в 00:51
1000 руб./за проект
Верстка и логика формы выбора билетов в зале для покупки
20 апр. 2024, в 00:43
10000 руб./за проект
Разработать формирование УПД на Java
20 апр. 2024, в 00:28
20000 руб./за проект
Ещё заказы