Session Data mendokumentasikan semua percakapan individu yang dilihat oleh sistem monitoring: siapa yang berbicara dengan siapa dan kapan. IP 5-tuple (souce ip, source port, destination ip, destination port dan protocol) dengan stempel waktu menyediakan item penting yang terkait dengan event session. Data yang lebih canggih juga dapat dimasukkan dalam session data. Misalnya, jumlah byte total dan jumlah paket total dapat dihitung di kedua arah.
Security Onion menawarkan beberapa alat yang dapat menangkap session data, termasuk Bro, Argus, dan PRADS. Di NSM, umumnya merupakan praktik terbaik untuk membatasi redundansi. Meskipun ada pengecualian, tidak efisien memiliki banyak alat untuk mengumpulkan dan menyimpan data yang sebagian besar sama. Bro dapat menghasilkan lebih banyak session data. Analis dapat mengkonfigurasinya untuk menghasilkan data sesi, data transaksi, konten yang diekstrak, data statistik, metadata, dan data peringatan. Untuk alasan ini, administrator Onion Keamanan biasanya akan memilih untuk mengimplementasikan Bro tetapi tidak Argus atau PRADS.
Bro adalah framework analisis jaringan yang ditulis dalam bahasa scripting khusus yang juga diberi nama Bro. Instalasi Bro secara default menyediakan beberapa fungsi NSM. dengan memberikan catatan audit dari setiap sesi jaringan yang terlihat pada kabel. Ini juga menyediakan catatan audit di application layer. Misalnya, semua sesi HTTP dilacak dengan jenis URI yang diminta, MIME, dan respons server. Bahasa scripting Bro menyediakan analisa untuk banyak protokol yang umum digunakan yang dapat digunakan untuk analisis semantik pada application layer.
Session data sangat sederhana, dan dapat digunakan untuk menjawab banyak pertanyaan penting yang muncul di SOC. Threat intelegence report dapat memberikan daftar alamat IP eksternal yang mencurigakan. session data dapat digunakan untuk melihat apakah sistem internal telah berkomunikasi dengan salah satu alamat IP eksternal yang mencurigakan. Demikian pula, jika port TCP tertentu dikaitkan dengan perintah dan kontrol kampanye malware yang aktif, data sesi dapat digunakan untuk melihat apakah sistem internal berkomunikasi dengan menggunakan port TCP tsb. Jika host internal telah diidentifikasi telah dikompromikan, session data dapat mengidentifikasi sistem internal lain yang telah dikomunikasikan dengan (gerakan lateral potensial) dan setiap sistem eksternal yang telah dikomunikasikan dengan (potensi pencurian data).
No comments:
Post a Comment