上一篇提到NSM(Network Security Monitoring網路安全監控)並不是萬靈丹,並非單一工具或設備,需要分析師持續監控、主動分析、偵測,而NSM的週期包括收集資料、偵測、分析三個階段,在每個階段工作流程中有時候需要用到好幾個不同的工具來完成,依據自己環境本身現有架構選擇來建造NSM平台,避免疊床架屋的情況。在連續幾天介紹 NSM概論後,今天轉換一下方向來介紹工具。
LogRhythm NetMon
不知道大家有沒有類似的經驗:很多時候想要學一門技術,對於Linux還不是那麼熟悉,要先學習Linux,學怎麼安裝在Linux下的工具,遇到安裝或執行上問題還需要一定程度的Linux技能來排除,需要用指令來調較、改變工具係數,指令根本不熟悉只能Google求救。但…我不是來學Linux的啊?我就是只會Windows想要圖形介面不行嗎 ?
記下可連至圖形介面的IP位址後,接下來就完全不用碰Linux介面,工具的調整都是在圖形介面進行,可以在圖形介面上給FreeMon設定一個靜態IP位址,日後連找IP位址的指令也不用輸入,是否為一大福音呢?
Freemium vs Full License
免費的Freemium授權和正式授權有什麼差別呢?下面附上來自官網的截圖方便大家了解。其實產品功能免費的Freemium版都有,除了遇到問題沒有廠商支援只能靠網上社群幫助,最大的差別在於效能:例如只能有3天的檢索資料、Data Processing Rate只有1 GBps、透過Syslog傳遞的資訊比較有限、捕獲下來的數據包PCAP只能儲存1GB等等。但是作為初入門學習的工具已經綽綽有餘,畢竟我們只是在一個 很小型的網路環境佈署,監控流量不大,官網甚至有提供VirtualBox 的VM檔,直接下載就可以開始體驗/實作NSM。
未來會介紹這次NetMon Freemium安裝的環境和操作,開始進行NSM資料收集、偵測、分析。
以下為LogRhythm NetMon Freemium的網址
https://logrhythm.com/products/logrhythm-netmon-freemium/
附註:提到NSM很多人都會想到Security Onion,雖然Security Onion確實也是很棒的工具/平台,接下來我也會介紹,但我個人覺得剛入門學習NSM,LogRhythm FreeMon比較友善些。如果不是買了書後自己找很多資料幫忙,剛安裝好Security Oinion後我其實不知道要怎麼進行下一步。再者Security Onion本身有ELK Stack,完成收集資料、偵測、分析三個階段,如果公司環境本身已經有SIEM和可以進行分析的工具/平台,佈署NetMon比較輕量。