Acheminement des assignations
Le service d'assignation utilise un modèle de mise à jour dynamique et achemine les assignations d'un point à l'autre, ce qui évite l'accumulation d'assignations statiques volumineuses dans la mémoire dynamique. Cette capacité d'acheminement s'avère particulièrement précieuse dans un système en temps réel critique tel que Sentinel, où doit exister un mouvement des données régulier, prédictif, flexible et indépendant des charges temporaires du système.
Détection d'exploitation (service d'assignation)
Sentinel permet d'effectuer des renvois entre les signatures de données d'événement et les données de scanners de vulnérabilité. Les utilisateurs sont notifiés automatiquement et immédiatement lorsqu'une attaque tente d'exploiter un système vulnérable. Ceci est réalisé au moyen des éléments suivants :
Données de flux Advisor
Détection d'intrusion
Analyse de la vulnérabilité
Pare-feu
Advisor fournit une référence croisée entre les signatures de données d'événement et les données de scanner de vulnérabilité. Les données de flux Advisor reçoivent des données relatives aux alertes et aux attaques. Les données de flux d'alerte contiennent des informa- tions sur les vulnérabilités et les menaces. Les données de flux d'attaque consistent en une normalisation des signatures d'événement et des plug-ins de vulnérabilité. Pour obtenir des informations sur l'installation d'Advisor, reportez-vous au Guide d'installation de Sentinel.
Les systèmes pris en charge sont les suivants :
Systèmes de détection d'intrusion
Cisco Secure IDS
Enterasys Dragon Host Sensor
Enterasys Dragon Network Sensor
Intrusion.com (SecureNet_Provider)
ISS BlackICE
ISS RealSecure Desktop
ISS RealSecure Network
ISS RealSecure Server
ISS RealSecure Guard
Snort
Symantec Network Security 4.0 (ManHunt)
Symantec Intruder Alert
McAfee IntruShield
Scanners de vulnérabilité
eEYE Retina
Foundstone Foundscan
ISS Database Scanner
ISS Internet Scanner
ISS System Scanner
ISS Wireless Scanner
Nessus
nCircle IP360
Qualys QualysGuard
Pare-feux
Cisco IOS Firewall
Vous devez disposer d'au moins un scanner de vulnérabilité et soit d'un système de détection d'intrusion, soit d'un pare-feu de chaque catégorie ci-dessus. Le nom de périphérique de l’IDS et du pare-feu (rv31) doit être mis en surbrillance en gris dans l'événement comme ci-dessus.
En outre, votre système de détection d'intrusion et votre pare-feu doivent renseigner correctement le champ DeviceAttackName (rt1) (par exemple, pour l'accès à Mambo uploadimage.php WEB-PHP).
Les données de flux Advisor sont envoyées à la base de données, puis au service de détection d'exploitation. Ce dernier génère un ou deux fichiers, en fonction du type des données qui ont
été mises à jour.
Présentation de Sentinel
1-7
Les fichiers d'assignation de détection d'exploitation sont utilisés par le service d'assignation pour associer les attaques aux exploitations de vulnérabilités.
Les scanners de vulnérabilité analysent le système (l'actif) pour en détecter les zones vulnérables.
Le système de détection d'intrusion détecte les attaques (s'il en existe) subies par ces zones vulnérables. Les pare-feu détectent si l'une de ces zones vulnérables fait l'objet de trafic.
Si une attaque est associée à une vulnérabilité, l'actif a été exploité.
Le service de détection d'exploitation génère deux fichiers situés dans :
$ESEC_HOME/sentinel/bin/map_data
Ces deux fichiers sont attackNormalization.csv et exploitDetection.csv.
Le fichier attackNormalization.csv est généré suite à :
la réception de données de flux Advisor,
le démarrage du service DAS (si activé dans le fichier das_query.xml ; désactivé par défaut).
Le fichier exploitDetection.csv est généré suite à l'une des opérations suivantes :
la réception de données de flux Advisor,
l'analyse de vulnérabilité,
Le démarrage de Sentinel Server (si activé dans le fichier das_query.xml ; désactivé par défaut).
Par défaut, deux colonnes d'événements configurés sont utilisées pour la détection d'exploitation, ces colonnes étant référencées à partir d'une assignation (toutes les balises assignées comportent une icône de défilement).
Vulnérabilité
AttackId
1-8
Guide de L'Utilisateur de Sentinel
Si la valeur du champ de vulnérabilité (vul) est égale à 1, l'actif ou le périphérique cible est exploité. Si elle est égale à 0, l'actif ou le périphérique cible n'est pas exploité.
Sentinel est fourni préconfiguré avec les noms d'assignation suivants associés
à attackNormalization.csv et exploitDetection.csv.
Nom de l'assignation
AttackSignatureNormalization
IsExploitWatchlist
Nom du fichier csv
attackNormalization.csv
exploitDetection.csv
Il existe deux types de sources de données :
Externe : extrait les informations du collecteur.
Référencé par l'assignation : extrait les informations d'un fichier d'assignation pour renseigner la balise.
Les colonnes Device (type du périphérique de sécurité, tel que - Snort) et AttackSignature sont définies comme clés pour la balise AttackId, qui utilise la colonne NormalizedAttackID dans le fichier attackNormalization.csv. Sur une ligne où la balise d'événement DeviceName
(un périphérique de détection d'intrusion, tel que Snort, les informations étant fournies par
Advisor et les informations de vulnérabilité provenant de la base de données Sentinel) est la même que Device et où la balise d'événement DeviceAttackName (les informations d'attaque
étant fournies pas Advisor dans la base de données Sentinel via le service de détection d'exploitation) est la même que AttackSignature, la valeur de AttackId est spécifiée à l'endroit où cette ligne croise la colonne NormalizedAttackID.
Key
Key AttackId entry
La balise Vulnerability comporte une colonne _EXIST_, ce qui signifie que la valeur résultante de l'assignation sera égale à 1 si la clé figure dans IsExploitWatchlist (fichier exploitDetection.csv) ou à 0 dans le cas contraire. Les colonnes clé de la balise
Vulnerability sont IP et NormalizedAttackId. Si une même ligne comprend un événement
Présentation de Sentinel
1-9
