top of page
  • Foto del escritorInternational IT

Flowmon ADS y Check Point: Detección y Respuesta Automáticas a Incidentes

La integración de Flowmon ADS (Anomaly Detection System) con un firewall de Check Point es posible a través de una API, lo que permite que tan pronto como Flowmon ADS detecta una amenaza, se advierte al firewall.




Simulación de defensa automatizada contra ataques



Para que este proceso funcione sin problemas, el script debe estar configurado correctamente.


Por lo tanto, se requieren los parámetros de entrada de script correctos para que la conexión sea exitosa. Esto garantiza la detección y respuesta automatizadas de amenazas donde los atacantes no pueden acceder a los recursos de la red y causar más daños.


Janela de configuração de script no Flowmon ADS
Ventana de configuración de scripts en Flowmon ADS

La función Perspectivas se utiliza para definir las condiciones en las que ADS debe activar un script. Las perspectivas están diseñadas para priorizar los eventos detectados y controlar las acciones posteriores, como las notificaciones de usuario, la captura de paquetes activados o la respuesta activa.


Janela de configuração de script no Flowmon ADS com configurações adicionais
Ventana de configuración de scripts en Flowmon ADS con ajustes adicionales

Topología de la red


Simulemos un caso en la red 192.168.47.0/24 donde un atacante realiza un escaneo vertical contra la víctima. La puerta de enlace predeterminada del atacante se cambia para llegar primero al cortafuegos de Check Point.


Exemplo de topologia de rede
Ejemplo de topología de red

Reconocimiento de ataques y bloqueo automatizado


Se produjo un escaneo dirigido a un host con la dirección IP 192.168.47.80 en la red. El atacante con la dirección IP 192.168.47.77 está utilizando la utilidad Nmap para enviar múltiples paquetes TCP SYN.


TCP Syn Flood como parte do Nmao Scan
TCP Syn Flood como parte de Nmap Scan

Como toda la comunicación de la red se refleja en un dispositivo Flowmon, Flowmon ADS detecta la actividad maliciosa utilizando el enfoque de patrones de comportamiento. Se informan dos eventos de método, a saber, SCANS y DIVCOM.


Eventos de Segurança na UI indicando a atividade de verificação do ataque
Eventos de seguridad en la interfaz de usuario que indican actividad de análisis de ataques (haga clic para ampliar)

Ambos métodos se clasifican en el marco MITRE ATT&CK y se informan en la descripción del evento como Tácticas de descubrimiento y reconocimiento, Escaneo de servicios de red, Descubrimiento de redes compartidas, Descubrimiento de sistemas remotos y Técnicas de escaneo activo.

Detalhes das varreduras
Detalles de escaneos
Detalhes do evento DIVCOM
Detalles del evento DIVCOM

Tan pronto como se activa el evento ADS, Flowmon ejecuta el script, que coloca la dirección IP de origen en cuarentena de firewall. El bloqueo se implementó utilizando reglas de monitoreo de actividad sospechosa y se muestra en el monitor SmartView de Check Point.


Monitor Smart View mostrando um endereço IP em quarentena
Monitor Smart View que muestra una dirección IP en cuarentena

Dado que se cambió la puerta de enlace predeterminada del atacante, la dirección IP 192.168.47.77 ya no puede comunicarse con ningún recurso de red, incluida la dirección IP de la víctima. Recuerde que en un escenario del mundo real, el tráfico dentro del segmento L2 que no pasa por el firewall no se bloquea.


La dirección IP aislada se pone en cuarentena para evitar que llegue a otros segmentos de la red o Internet y no pueda realizar ninguna otra actividad maliciosa. Check Point Smart Console reconoce el intento de ping subsiguiente en los registros.


Detalhes de Logs no Check Point Smart Console
Detalles de los registros en Check Point Smart Console

Seguridad de redes y endpoints


La integración de Flowmon y Check Point forma un sistema automatizado de detección y respuesta a incidentes que ayuda a proteger sus activos de amenazas externas e internas.


Ambos tipos de soluciones de seguridad trabajando juntos permiten a los administradores de TI poner en cuarentena al atacante durante un período de tiempo totalmente configurable, dándoles tiempo suficiente para investigar más a fondo el incidente. Si está interesado en las soluciones o si tiene alguna pregunta, complete el siguiente formulario para hablar con nuestros expertos.


Fuente: Flowmon

 

Entre en contacto con International IT para saber más detalles o realizar un trial de la solución Flowmon en su entorno.

13 visualizaciones

Entradas Recientes

Ver todo

Comments


Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page