昨天提到NSM(Network Security Monitoring網路安全監控)並不是萬靈丹,並非單一工具或設備,需要分析師持續監控、主動分析、偵測,而NSM的週期包括收集資料、偵測、分析三個階段,在每個階段工作流程中有時候需要用到好幾個不同的工具來完成,依據自己環境本身現有架構選擇來建造NSM平台,避免疊床架屋的情況。在連續幾天介紹 NSM概論後,今天轉換一下方向來介紹工具。
不知道大家有沒有類似的經驗:很多時候想要學一門技術,對於Linux還不是那麼熟悉,要先學習Linux,學怎麼安裝在Linux下的工具,遇到安裝或執行上問題還需要一定程度的Linux技能來排除,需要用指令來調較、改變工具係數,指令根本不熟悉只能Google求救。但…我不是來學Linux的啊?我就是只會Windows想要圖形介面不行嗎 ?
我第一個介紹的NSM工具是LogRhythm Network Monitor,通常簡稱為NetMon,它有免費授權的版本Freemium,也是這次介紹的主角,通常會把免費版Freemium授權暱稱為FreeMon。因為它的設計是和自家廠商SIEM﹝Security Information and Event Management,安全資訊和事件管理﹞平台整合,在NSM週期收集資料、偵測、分析三個階段中,著重在資料收集和偵測這兩個階段,再將資料傳給SIEM做更深入的分析,所以如果公司環境本身己經有架構SIEM平台和其他資安設備,想要強化網路流量能見度,將資料傳回本身現有的SIEM平台進行分析,不妨試試這個NSM工具;初次接觸NSM對Linuxu 又不熟悉的朋友,在操作中只需要在一開始預設帳號登入後,輸入一行指令:
ip a
記下可連至圖形介面的IP位址後,接下來就完全不用碰Linux介面,工具的調整都是在圖形介面進行,可以在圖形介面上給FreeMon設定一個靜態IP位址,日後連找IP位址的指令也不用輸入,是否為一大福音呢?
免費的Freemium授權和正式授權有什麼差別呢?下面附上來自官網的截圖方便大家了解。其實產品功能免費的Freemium版都有,除了遇到問題沒有廠商支援只能靠網上社群幫助,最大的差別在於效能:例如只能有3天的檢索資料、Data Processing Rate只有1 GBps、透過Syslog傳遞的資訊比較有限、捕獲下來的數據包PCAP只能儲存1GB等等。但是作為初入門學習的工具已經綽綽有餘,畢竟我們只是在一個 很小型的網路環境佈署,監控流量不大,官網甚至有提供VirtualBox 的VM檔,直接下載就可以開始體驗/實作NSM。
來自官網截圖
未來會介紹這次NetMon Freemium安裝的環境和操作,開始進行NSM資料收集、偵測、分析。
以下為LogRhythm NetMon Freemium的網址
https://logrhythm.com/products/logrhythm-netmon-freemium/
附註:提到NSM很多人都會想到Security Onion,雖然Security Onion確實也是很棒的工具/平台,接下來我也會介紹,但我個人覺得剛入門學習NSM,LogRhythm FreeMon比較友善些。如果不是買了書後自己找很多資料幫忙,剛安裝好Security Oinion後我其實不知道要怎麼進行下一步。再者Security Onion本身有ELK Stack,完成收集資料、偵測、分析三個階段,如果公司環境本身已經有SIEM和可以進行分析的工具/平台,佈署NetMon比較輕量。