Protos
@Protos
Спрашивай - отвечу

Каким образом реализовать хранение копии трафика организации?

Прочитал СТО БР ИББС-1.3-2016, в стандарте указывается необходимость сбора сетевого трафика для дальйнейшего анализа в случае выявления инцидентов.
Какими средствами такое возможно реализовать (как понимаю временное хранение трафика, например, за неделю)?
  • Вопрос задан
  • 690 просмотров
Решения вопроса 2
mace-ftl
@mace-ftl
Олд-скульный метод, это

1) Зеркалирование на свитче (может быть из нескольких точек, тогда задумайтесь о нескольких сетевых на получателе, а то в пики будут дропы и странности в сети)
2) tcpdump + пара простых скриптов (новый файл должен начинать писаться чуть раньше чем старый закончился, чтобы небыло "дропов")
- сохранение
- удаление старейшего файла когда больше ...% диска занято
3) Последние добавления были - алерты, если файл дампа последний меньше\больше ... мегабайт, дабы отследить момент начала каких-то проблем
Ответ написан
Комментировать
@cssman
SIEM систему из коробки, там предусмотрено хранилище.
Ну а трафик само собой собираете спаном.

Если денег на SIEM нету - то костыли из скриптов, но как будете инциденты выявлять?
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
1. Межсетевой экран -> NetFlow -> nfdump + nfsen
www.natalink.ru/articles/analiz_statistiki_netflow...

2. Межсетевой экран/свитч -> зеркалирование трафика через SPAN-порт -> IDS Suricata
https://xakep.ru/2015/06/28/suricata-ids-ips-197/
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы