Metadata應用案例Metadata進行以資料導向的決策.pdfVIP

白皮書 九個 Metadata應用案例 : 如何運用 Metadata進行以資料導向的決策 隨著網路基礎建設不斷擴展，亦即網路上充斥著多不勝數的資料 –數量龐大、 我們相信一定有、而且實際上也真的有更好的方法來取得這些不同種類的結 種類繁多、成長快速 –要識別流量的種類是善意或惡意之任務不僅所費不貲， 構化資料，並且 : 更因為訊號傳輸的訊號雜訊比甚高，以致於絕大多數資安工具都無法勝任，駭 • 帶著特定問題找出這些資料 客們意識到這點，他們非常瞭解要在這樣的環境下從事滲透而不被發覺，會是 • 萃取出和問題有關係的資料 多麼輕鬆愜意。 • 不必耗費任何運算週期就建立摘要記錄 • 把數千筆整理過的摘要記錄傳送到SIEM 不幸的是，如今我們面臨的情勢極為艱困，我們擁有的時間和運算資源都太 • 之後 –而且一定得在最後 –執行運算週期來分析這些記錄 少，很難迅速釐清所有必要的資訊以掌握來龍去脈，從而精準預測潛在的資安 威脅。這方面的任務不光只是抵禦來自網路外部的攻擊，在如此混淆不明的情 它們名為 Metadata 。目前Gigamon為SIEM以及新一代使用者行為分析 勢下，資安團隊也很容易忽略潛伏在於內部的駭客。 (UBA)工具提供了寶貴的元素 –也就是 Metadata –不光是在找出關連性之 前，甚至在還沒分析之前就提供Metadata 。 毫無疑問的，現今各種先進資安訊息與事件管理系統 (SIEM)確實能派上用 場，這類實用的關連引擎能幫忙處理種類眾多的流量。然而在面臨巨量資料的 Gigamon 解決方案 : 衝擊之下，SIEM也難以匯集足夠的運算資源來處理所有必要且類型迥異的資 GigaSECURE 資安訊息派送平台 料集，從而判斷所記錄或觀察到的系統事件是好或壞。 GigaSECURE®資安訊息派送平台能連結到實體與虛擬網路，其讓使用者能 100%看到每個傳送與接收到的流量數據封包，並設定系統傳送相關的網路流 要釐清事件的來龍去脈，首先必須掌握某些資訊。舉例來說，對於有資安疑慮 量 –以未取樣 IPFIX記錄、 URL/URI資訊、SIP要求資訊、 HTTP回應代碼、 的設備，掌握其IP網址是相當重要的；哪些使用者正登入到系統中?以及知道 DNS查詢、或SSL憑證資訊等形式 –送到SIEM (進行即時的狀況感測以及異 哪些使用者曾經登入過？曾經瀏覽過哪些網站？曾使用過哪些內容傳遞網路 常狀況偵測) 或收集設備( 在事件之後進行快速的取證分析)。 (CDN) ？SSL傳輸開始後曾發出何種憑證？以及哪個單位簽發憑證等等各類資 訊，這些都是在進行干預之前必須完成的工作。 這些元素通常來自不同的來源，格式也各異，若能收集到這些訊息，通常也 必須在匯聚到如Splunk或 Hadoop堆疊等安全匯流點之後重新組合。與其他 SIEM必須花費寶貴的週期時間逐一拼湊與串起這類基本資訊，才能匯整出少 系統必須在每個點浪費運算週期來整理這些資料所不同的是，GigaSECURE 量且還不太有價值的資訊。當然長時間累積下來，終究還是能釐清這些訊息之 能將網路對話的特定