top of page
Foto do escritorInternational IT

Flowmon ADS e Check Point: Detecção e Resposta Automáticas a Incidentes

Atualizado: 30 de nov. de 2023

A integração do Flowmon ADS (Anomaly Detection System) com um firewall Check Point é possível através de uma API, permitindo que assim que o Flowmon ADS detectar uma ameaça o firewall seja avisado.




Simulação da defesa automatizada contra ataques



Para que esse processo ocorra sem problemas, é necessário que o script seja configurado adequadamente.


Portanto, os parâmetros de entrada corretos do script são necessários para que a conexão seja bem-sucedida. Isso garante detecção e resposta automatizadas a ameaças onde os invasores são impedidos de acessar os recursos da rede e causar ainda mais danos.


Janela de configuração de script no Flowmon ADS
Janela de configuração de script no Flowmon ADS

O recurso Perspectives é utilizado para definir as condições de quando o ADS deve acionar um script. As perspectivas são projetadas para priorizar eventos detectados e controlar ações subsequentes, como notificações de usuários, captura de pacotes acionados ou resposta ativa.


Janela de configuração de script no Flowmon ADS com configurações adicionais
Janela de configuração de script no Flowmon ADS com configurações adicionais

Topologia de rede


Vamos simular um caso na rede 192.168.47.0/24 onde um invasor realiza uma varredura vertical contra a vítima. O gateway padrão do invasor é alterado para alcançar primeiro o firewall Check Point.


Exemplo de topologia de rede
Exemplo de topologia de rede

Reconhecimento de ataques e bloqueio automatizado


Ocorreu uma varredura visando um host com o endereço IP 192.168.47.80 na rede. O invasor com o endereço IP 192.168.47.77 está usando o utilitário Nmap para enviar vários pacotes TCP SYN.


TCP Syn Flood como parte do Nmao Scan
TCP Syn Flood como parte do Nmap Scan

Como toda a comunicação de rede é espelhada em um dispositivo Flowmon, a atividade maliciosa é detectada pelo Flowmon ADS usando a abordagem de padrões de comportamento. Dois eventos de método são relatados, ou seja, SCANS e DIVCOM.


Eventos de Segurança na UI indicando a atividade de verificação do ataque
Eventos de Segurança na UI indicando a atividade de verificação do ataque (Clique para Ampliar)

Ambos os métodos são classificados sob a estrutura MITRE ATT&CK e relatados na descrição do evento como Discovery and Reconnaissance Tactics, Network Service Scanning, Network Share Discovery, Remote System Discovery e Active Scanning Techniques.


Detalhes das varreduras
Detalhes das varreduras
Detalhes do evento DIVCOM
Detalhes do evento DIVCOM

Assim que o evento ADS é acionado, o Flowmon executa o script, que coloca o endereço IP de origem na quarentena do firewall. O bloqueio foi implementado usando as regras de monitoramento de atividade suspeita e é exibido no Monitor SmartView da Check Point.


Monitor Smart View mostrando um endereço IP em quarentena
Monitor Smart View mostrando um endereço IP em quarentena

Como o gateway padrão do invasor foi alterado, o endereço IP 192.168.47.77 não pode mais se comunicar com nenhum recurso de rede, incluindo o endereço IP da vítima. Lembre-se de que, em um cenário do mundo real, o tráfego dentro do segmento L2 que não passa pelo firewall não é bloqueado.


O endereço IP isolado é colocado em quarentena para evitar que ele alcance outros segmentos de rede ou a Internet e não possa realizar nenhuma outra atividade maliciosa. O Check Point Smart Console reconhece a tentativa de ping subsequente nos logs.


Detalhes de Logs no Check Point Smart Console
Detalhes de Logs no Check Point Smart Console


Segurança de rede e endpoints


A integração do Flowmon e Check Point forma um sistema automatizado de detecção e resposta a incidentes que ajuda a proteger seus recursos contra ameaças externas e internas.


Ambos os tipos de soluções de segurança trabalhando juntos permitem que os administradores de TI mantenham o invasor em quarentena por um período de tempo totalmente configurável, dando-lhes tempo suficiente para investigar o incidente mais detalhadamente. Caso tenha interesse nas soluções ou se você tiver alguma dúvida, preencha o formulário abaixo para falar com nossos especialistas.


Fonte: Flowmon

 

Entre em contato com a International IT para saber mais detalhes ou realizar um trial da solução Flowmon em seu ambiente.




Posts recentes

Ver tudo

Commentaires


Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page