DOE AGORA Qualquer valor

O projeto Cyberprobe é uma arquitetura distribuída de código aberto para monitoramento em tempo real de redes contra ataques.


     O projeto Cyberprobe é uma arquitetura distribuída de código aberto para monitoramento em tempo real de redes contra ataques. O software consiste em dois componentes:
  • uma sonda, que coleta pacotes de dados e o encaminha através de uma rede em protocolos de transmissão padrão.
  • um monitor, que recebe os pacotes transmitidos, decodifica os protocolos e interpreta a informação.
     Esses componentes podem ser usados ​​em conjunto ou separadamente. Para uma configuração simples, eles podem ser executados no mesmo host, para ambientes mais complexos, uma série de sondas podem alimentar um único monitor.

Capturando, Analisando e Respondendo a ataques cibernéticos: ciberprobe

A sonda  cyberprobe possui os seguintes recursos:
  • A sonda pode ser encarregada de coletar pacotes de uma interface e encaminhar qualquer que corresponda a uma lista de endereços configurável.
  • A sonda pode ser configurada para receber alertas Snort. Nesta configuração, quando um alerta é recebido de Snort, o endereço de origem IP associado ao alerta é segmentado dinamicamente por um período de tempo. Em tal configuração, o sistema irá coletar dados de qualquer ator de rede que desencadeie uma regra snort e, portanto, é identificado como um potencial atacante.
  • A sonda pode opcionalmente executar uma interface de gerenciamento que permite a interrogação remota do estado e a alteração da configuração. Isso permite a alteração dinâmica do mapa de segmentação e a integração com outros sistemas.
  • A sonda pode ser configurada para entregar em um dos dois protocolos de fluxo padrão.

A ferramenta monitor,  cybermon possui as seguintes características:
  • Coleta pacotes entregues em protocolos de fluxo.
  • Decodifica protocolos de pacotes e aumenta eventos em tempo quase real.
  • As informações descodificadas são disponibilizadas para a lógica configurável pelo usuário para definir como os dados descodificados são tratados. É utilizado um idioma de configuração simples (LUA) e as configurações de exemplo são fornecidas para monitorar os volumes de dados, exibir dados hexdões ou armazenar os dados nos arquivos.
  • São incluídas técnicas de falsificação de pacotes, que permitem redefinir as conexões TCP e forjar respostas de DNS. Isso pode ser invocado a partir de seu LUA para lutar contra ataques em sua rede.
  • Tem um mecanismo de publicação / sub-entrega com assinantes para o ElasticSearch, o Google BigQuery e a loja gráfica Gaffer.
  • Suporta protocolos IP, TCP, UDP, ICMP, HTTP e DNS atualmente.

O  cybermon software inclui algum suporte para o STIX como uma especificação de indicador de ameaça e pode criar alertas sobre a presença de ameaças na rede.
O código é direcionado para a plataforma Linux, embora seja genérico o suficiente para ser aplicável a outras plataformas UN * X-like.

Capturando, Analisando e Respondendo a ataques cibernéticos: documentação do cyberprobe
Capturando, Analisando e Respondendo a ataques cibernéticos: cyberprobe Download

Comentários

Ebook

Postagens mais visitadas