По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Утилиты реагирования на нарушения безопасности в предприятии жизненно важны для быстрой идентификации и локализации кибератак, эксплойтов, вирусов, а также внутренних и внешних угроз.
Обычно эти утилиты работают совместно с традиционными решениями безопасности такими, как антивирусы и межсетевые экраны и выполняют функцию анализа, уведомления, а иногда помогают останавливать атаки. Для этого такие утилиты собирают информацию из систем журналирования, конечных устройств, систем аутентификации и идентификации и других мест, куда у них есть доступ для выявления подозрительных и аномальных действий, сигнализирующих о компрометации системы или взломе.
Эти инструменты помогают автоматически и быстро отслеживать, выявлять и устранять широкий спектр проблем безопасности, тем самым оптимизируя процессы и устраняя необходимость выполнения большинства рутинных задач вручную. Большинство современных инструментов предоставляют множество возможностей, включая автоматическое обнаружение и блокирование угроз и, в то же время, оповещение соответствующих групп безопасности для дальнейшего изучения проблемы.
Группы безопасности могут использовать инструменты в различных областях в зависимости от потребностей организации. Это может быть мониторинг инфраструктуры, конечных точек, сетей, ресурсов, пользователей и других компонентов.
Выбор лучшего инструмента - основная задача ИТ отделов организаций. Чтобы помочь найти правильное решение, ниже приведен список инструментов реагирования на инциденты для выявления, предотвращения и реагирования на различные угрозы безопасности и атаки, направленные против систем ИКТ.
У нас есть отдельная статья и веселый видео - ролик про виды сетевых атак.
IBM QRadar
IBM QRadar SIEM - это отличный инструмент обнаружения, который позволяет группам безопасности понимать угрозы и определять приоритеты для реагирования. QRadar собирает данные об активах, пользователях, сетях, облачных системах и конечных точках, а затем сопоставляет их с информацией об угрозах и уязвимостях. После этого он применяет расширенную аналитику для обнаружения и отслеживания угроз по мере их проникновения и распространения через системы.
Решение создает интеллектуальную информацию об обнаруженных проблемах безопасности. Это показывает первопричину проблем безопасности вместе с масштабом, тем самым позволяя группам безопасности реагировать, устранять угрозы и быстро останавливать распространение и воздействие атак на систему. Как правило, IBM QRadar представляет собой комплексное аналитическое решение с разнообразными функциями, включая возможность моделирования рисков, которая позволяет группам безопасности симулировать потенциальные атаки.
IBM QRadar подходит для среднего и крупного бизнеса и может быть развернут как в виде программного обеспечения или виртуального устройства в локальной или облачной среде, или среде SaaS, так и в виде аппаратного обеспечения.
Ниже перечислены дополнительные возможности:
Функциональная фильтрация для получения желаемых результатов;
Расширенные возможности поиска угроз;
Netflow анализ;
Возможность быстрого анализа массива данных;
Повторное создание очищенных или потерянных правонарушений;
Обнаружение скрытых угроз;
Аналитика пользовательского поведения.
SolarWinds
SolarWinds обладает большими возможностями по управлению журналами и отчетностью, реагированием на инциденты в режиме реального времени. Она может анализировать и выявлять уязвимости и угрозы в таких областях, как журналы событий Windows, что позволяет группам отслеживать и устранять угрозы в системах.
В Security Event Manager можно использовать средства визуализации, которые позволяют пользователям легко выявлять подозрительные действия или аномалии. В дополнение к хорошей поддержке со стороны разработчиков, он также имеет подробную и интуитивно понятную панель управления.
Система постоянно анализирует события и журналы для обнаружения сетевых угроз. SolarWinds также имеет возможность автоматического реагирования на угрозы и мониторинга USB-дисков. Его диспетчер журналов и событий имеет расширенную фильтрацию и пересылку журналов, а также консоли событий и функцию управления узлами.
Вот основные возможности системы:
Превосходный анализ;
Быстрое обнаружение подозрительных действий и угроз;
Непрерывный контроль состояния безопасности;
Определение времени события;
Соответствие стандартам DSS, HIPAA, SOX, PCI, STIG, DISA и другим нормативам.
Решение SolarWinds подходит для малого и крупного бизнеса. Он имеет как локальные, так и облачные варианты развертывания и работает под управлением Windows и Linux.
Sumo Logic
Sumo Logic - это гибкая платформа интеллектуального анализа состояния безопасности на основе облачных вычислений, которая работает самостоятельно или совместно с другими решениями SIEM в облачных и гибридных средах.
Платформа использует машинное обучение для улучшенного обнаружения и расследования угроз, может обнаруживать и реагировать на широкий спектр проблем безопасности в реальном времени. Основанный на унифицированной модели данных Sumo Logic, позволяет группам безопасности объединять в одном решении аналитику состояния безопасности, управление журналами, приведение в соответствие нормативным требованиям и другие задачи. Данный продукт улучшает процессы реагирования на инциденты в дополнение к автоматизации различных задач безопасности. Она также проста в развертывании, использовании и масштабировании без дорогостоящих обновлений оборудования и программного обеспечения.
Обнаружение в режиме реального времени обеспечивает сравнение состояния безопасности с нормативными требованиями организации и позволяет быстро выявлять и изолировать угрозы. Sumo Logic помогает реализовать конфигурации безопасности и продолжать мониторинг инфраструктуры, пользователей, приложений и данных на традиционных и современных ИТ-системах.
Основные возможности системы:
Позволяет группам легко управлять оповещения и событиями
Простое и менее дорогостоящее соответствие требованиям HIPAA, PCI, DSS, SOC 2.0 и другим нормативам.
Определение конфигураций безопасности и несоответствий
Обнаружение подозрительного поведения злоумышленников
Расширенные средства управления доступом, помогающие изолировать активы и пользователей, входящих в группу риска.
ManageEngine
EventLog Analyzer ManateEngine - это SIEM решение, которое фокусируется на анализе различных журналов и извлекает из них различные сведения о производительности и безопасности. Инструмент, который в идеале является сервером журналов, имеет аналитические функции, которые могут выявлять необычные тенденции в журналах и сообщать о них, например, в результате несанкционированного доступа к ИТ-системам и ресурсам организации.
Целевые области включают такие ключевые узлы и приложения, как веб-серверы, серверы DHCP, базы данных, серверы печати, почтовые службы, и т.д. Кроме того, анализатор ManageEngine, работающий в системах Windows и Linux, полезен для приведения систем в соответствие стандартам защиты данных, таким как PCI, HIPPA, DSS, ISO 27001 и др.
AlienVault
AlienVault USM - это комплексное решение, сочетающее в себе функцию обнаружения угроз, реагирования на инциденты, а также управление соответствием нормативам, обеспечивающее комплексный мониторинг и восстановление безопасности для локальных и облачных сред. Продукт имеет множество функций безопасности, которые также включают обнаружение вторжений, оценку уязвимостей, обнаружение и инвентаризацию ИТ активов, управление журналами, корреляцию событий, оповещения по электронной почте, проверки соответствия нормативным требованиям и т.д.
Это недорогой, простой в внедрении и использовании инструмент управления безопасностью, который опирается на легкие датчики и агенты конечных точек, а также может обнаруживать угрозы в режиме реального времени. Кроме того, решение AlienVault USM предоставляет гибкие планы для любого размера организаций. Система имеет следующие преимущества:
Использование единого веб-портала для мониторинга локальной и облачной ИТ-инфраструктуры;
Помогает организации соответствовать требованиям PCI-DSS;
Оповещение по электронной почте при обнаружении проблем безопасности;
Анализ широкого спектра журналов различных технологий и производителей при создании информации, которая может быть использована в конкретных целях;
Простая в использовании панель мониторинга, которая показывает действия и тенденции во всех нужных узлах.
LogRhythm
LogRhythm, который доступен как облачный сервис, так и специальное оборудование, имеет широкий спектр самых необходимых функций, которые варьируются от логарифмической корреляции до искусственного интеллекта и поведенческого анализа. Платформа предлагает интеллектуальное решение безопасности, которое использует для анализа журналов и трафика в системах Windows и Linux искусственный интеллект.
Система обладает расширяемым хранилищем данных и зарекомендовала себя подходящим решением для фрагментированных рабочих процессов в дополнение к обеспечению сегментированного обнаружения угроз, даже в системах, где нет структурированных данных, нет централизованной видимости или автоматизации. Подходит для малых и средних организаций, позволяет отсеивать бесполезную информацию или другие журналы и сузить анализ до сетевого уровня.
Он совместим с широким спектром журналов и устройств, а также для расширения возможностей реагирования на угрозы и инциденты легко интегрируется с Varonis.
Rapid7 InsightIDR
Rapid7 InsightIDR является мощным решением безопасности для выявления инцидентов и реагирования на них, видимости конечных точек, мониторинга аутентификации и многих других задач.
Облачное средство SIEM имеет функции поиска, сбора данных и анализа и может обнаруживать широкий спектр угроз, включая кражу учетных данных, фишинг и вредоносные программы. Это дает ему возможность быстро обнаруживать и оповещать о подозрительных действиях, несанкционированном доступе как внутренних, так и внешних пользователей.
InsightIDR использует передовые технологии симуляции, аналитику поведения злоумышленников и пользователей, мониторинг целостности файлов, централизованное управление журналами и другие функции обнаружения. Это делает его подходящим средством для сканирования различных конечных точек и обеспечения обнаружения угроз безопасности в реальном времени в малых, средних и крупных организациях. Данные о поиске в журнале, конечных точках и поведении пользователей помогают отделам безопасности быстро и умно принимать решения по обеспечению безопасности.
Splunk
Splunk - это мощный инструмент, который использует возможности ИИ и машинного обучения для предоставления практических, эффективных и прогнозирующих сведений. Она обладает улучшенными функциями безопасности, а также настраиваемыми функциями исследования ИТ-активов, статистического анализа, панелей мониторинга, расследования, классификации и анализа инцидентов.
Splunk подходит для всех типов организаций как для локального развертывания, так и для развертывания в виде SaaS. Благодаря своей масштабируемости инструмент работает практически для любого типа бизнеса и отрасли, включая финансовые услуги, здравоохранение, государственный организация и т.д.
Ключевые возможности:
Быстрое обнаружение угрозы;
Определение и оценка рисков;
Управление оповещениями;
Упорядочивание событий;
Быстрое и эффективное реагирование
Работает с данными из любой машины, как в локальной среде, так и в облачной инфраструктуре.
Varonis
Varonis предоставляет полезный анализ и оповещения об инфраструктуре, пользователях, доступе к данным и их использовании. Данное решение обеспечивает ИТ-отдел практическими отчетами и предупреждениями, а также предлагает гибкую настройку для реагирования даже на незначительные подозрительные действия. Она предоставляет комплексные панели мониторинга, которые дают группам безопасности дополнительную видимость своих систем и данных.
Кроме того, компания Varonis может получить информацию о системах электронной почты, неструктурированных данных и других критически важных ресурсах с возможностью автоматического реагирования на проблемы. Например, блокирование пользователя, пытающегося получить доступ к файлам без разрешений, или использование незнакомого IP-адреса для входа в сеть организации.
Решение Varonis по реагированию на инциденты интегрируется с другими инструментами для получения более эффективной информации и оповещений. Он также интегрируется с LogRhythm для расширения возможностей обнаружения угроз и реагирования на них. Это позволяет группам оптимизировать свои операции и легко и быстро расследовать угрозы, устройства и пользователей.
Итог
С ростом объема и сложности киберугроз и атак на плечи отделов безопасности падает огромная нагрузка. А иногда они физически не в состоянии следить за всем. Для защиты критически важных ИТ-ресурсов и данных организациям необходимо развернуть соответствующие инструменты для автоматизации часто выполняемых задач, мониторинга и анализа журналов, обнаружения подозрительных действий и других проблем безопасности.
В сегодняшней статье речь пойдет о проприетарном протоколе компании Cisco Systems - SCCP – (Skinny Client Control Protocol), который предназначен для построения корпоративных телефонных сетей на основе продуктов Cisco, таких как:
IP-Телефоны серии 7900
Софт-фоны Cisco IP communicator
Cisco Unified Communications Manager
Cisco Unity
Стоит заметить, что в телефонии существует ещё один протокол с абсолютно идентичной аббревиатурой – SCCP – Signalling Connection and Control Protocol, однако данный протокол относится к сигнализации ОКС-7, тогда как SCCP – (Skinny Client Control Protocol) работает в стеке TCP/IP.
Протокол SCCP занимает то же самое место в VoIP что и SIP, H.323 и MGCP и выполняет те же самые функции. Однако, в отличие от всех перечисленных протоколов, имеет гораздо более простой синтаксис и требует меньше компьютерных ресурсов для обработки своих сообщений.
Как и большинство VoIP протоколов SCCP предназначен для обмена сигнальными сообщениями между клиентом и сервером в процессе установления и завершения звонка.
В процессе передачи речевых данных SCCP не участвует, для этих целей служит протокол RTP - (Real-Time Transport Protocol). Кроме того, стоит отметить, что в SCCP не используется RTСP - (Real-Time Transport Control Protocol), который передает диагностическую информацию о текущем соединении. Для этих целей в SCCP имеются собственные механизмы.
Как уже было замечено, Протокол SCCP имеет очень простой синтаксис. По заголовку того или иного сообщения можно однозначно определить в каком статусе находится текущее соединение, что делает Протокол SCCP крайне удобным при траблшутинге. Для передачи сообщений SCCP используется TCP (Transmission Control Protocol) well-known порт 2000.
Соединение по SCCP невозможно рассматривать без сервера (чаще всего CUCM). SCCP имеет большое множество сообщений и отправляет их на сервер по каждому поводу, ожидая руководства к дальнейшим действиям. Выглядит это примерно так:
IP-Телефон: StationInit: Кто-то снял телефонную трубку
Сервер: StationD: Включи зуммер
Сервер: StationD: Выведи на дисплее сообщение “Введите номер”“
IP-Телефон: StationInit: Начинаю вызывать абонента, первая цифра его номера – “4”
IP-Телефон: StationInit: Вторая цифра – “7”
Каждое событие фиксируется вплоть до получения сервером сообщения о том, что телефонная трубка снова в исходном положении.
Обратите внимание, что сообщения SCCP отправляются как в сторону клиента, так и сторону сервера, поэтому для определения источника сообщения используются идентификаторы. StationInit, если источником является клиент и StationIniD, если источником является сервер телефонии. Таким образом появляется возможность в мельчайших деталях отследить любой звонок, совершенный внутри корпоративной сети.
Приведем пример некоторых сообщений SCCP:
0x0000 - Keep Alive Message – Отправляется от сервера к клиенту сразу после регистрации
0x0001 - Station Register Message – Запрос регистрации на сервере
0x0002 - Station IP Port Message – Отправляет клиент. Номер UDP порта для RTP сессии
0x0006 - Station Off Hook Message – Отправляет клиент. Снятие телефонной трубки
0x0099 - Station Display Text Message – Выводит на дисплей сообщение “Введите номер”
0x0082 - Station Start Tone Message – Включает зумер.
0x27 - Station Soft Key Event Message (new call/end call) – Если это начало вызова, то данное сообщение содержит первую цифру номера вызываемого абонента. Может также содержать промежуточные цифры номера, а также запрос на разрыв соединения (end call)
0x107 - Station Connection Statistics Request Message – Отправляется клиентом. Запрос диагностической информации (информации о задержках и потерях медиа-пакетов, джиттер-буфере, принятых и отправленных пакетах и т.д. ). Это тот самый механизм, который компенсирует отсутствие RTCP.
Как видно из данного примера, MessageID каждого сообщения крайне точно описывает соответствующее ему событие, поэтому чтение трассировок SCCP обычно не составляет труда.
Стоит также добавить, что некоторые компании, занимающиеся разработкой голосовых решений, такие как: Digium, SocketIP и Symbol Technologies, добавили поддержку протокола SCCP в свои продукты.
Одним из полезнейших инструментов в повседневной работе современного бизнеса является интеграция CRM – системы и офисной телефонии. Это позволяет совершать исходящие звонки по нажатию на номер клиента, иметь всю историю звонков заказчика в CRM, прослушивать его аудиозапись разговоров, автоматически направлять вызов на ответственного менеджера и конечно, видеть карточку клиента при входящем звонке. Сегодня мы хотим рассказать об интеграции облачной Битрикс24 и IP – АТС Asterisk.
Как это работает?
Настройки рассмотрим на базе решения «Простые звонки». После обращения в компанию, на почту придет ссылку на модуль для Asterisk и инструкция по настройке.
Архитектура работы решения следующая: на офисной IP – АТС Asterisk развертывается модуль коннектора, с указанием необходимых настроек. В свою очередь, на стороне Битрикс24 устанавливается приложение и расширение для браузера, в котором указываются реквизиты для подключения к коннектору на IP – АТС.
Данное решение работает только в браузере GoogleChrome
Настройка Asterisk
Переходим к установке модуля АТС – коннектора на стороне Asterisk:
Содержимое архива prostiezvonki извлекаем в директорию Asterisk /var/www/html/admin/modules/ и переходим дальше по файловой структуре в директорию /var/www/html/admin/modules/prostiezvonki/module
Если вы используете 32 битную систему, то скопируйте файлл libProtocolLib.so в директорию /usr/lib и cel_prostiezvonki.so в директорию /usr/lib/asterisk/modules. Если у вас установлена 64 битная система, то загрузите их в /usr/lib64 и /usr/lib64/asterisk/modules соответственно.
Файл из архива cel.conf переместите в директорию /etc/asterisk
После настроек, переходим в интерфейс FreePBX. Перейдите во вкладку Admin → Module Admin. Находим модуль «Простые звонки» и производим его установку. После этого, приступаем к настройке: переходи во вкладку Admin → Module Admin:
Рассмотрим опции настройки модуля:
Общая настройка модуля
Пароль - пароль, с помощью которого, Битрикс24 будет подключаться к АТС – коннектору. В данном примере пароль простой - P@ssw0rd
Лог файл - полный путь к лог - файлу, в котором коннектор будет фиксировать детали своей работы
Уровень записи лога - глубина логирования. Это значение имеет смысл менять на debug на этапе отладаки и "траблшутинга"
Порт - порт, на котором АТС - коннектор будет "слушать" подключение от Битрикс24
Лицензия - лицензионный ключ, который вам прислала команда технической поддержки
Размер очереди событий - параметр регламентирует размер очереди, в которой накапливается история звонков в случае отсутствия соединения между коннектором на АТС и CRM - системой
Общая настройка модуля
Префикс для входящих - префикс, который система будет подставлять к входящим звонкам, в момент передачи в Битрикс24
Префикс для исходящих - при использовании функции "Click - to - Call", то есть звонок по нажатию, коннектор будет подставлять префикс для исходящих вызовов
Тип канала - в нашем примере мы работает по протоколу SIP
Длина внутренних номеров - например, если вы используете внутреннюю нумерацию с 100 - 199, то данное значение будет равно 3
Настройка записи телефонных разговоров
Внешняя директория - директория, в которой содержатся файлы системы записи. Здесь содержится внешний IP – адрес нашего маршрутизатора и проброшенный порт. Своего рода это префикс для ссылок на аудио - файл, который коннектор будет подставлять при передаче их в Битрикс24. Мы подробно расскажем о настройке этого поля далее.
Настройка умной переадресации
Таймаут поиска - время, в течение которого, коннектор ожидает получить номер ответственного сотрудника от Битрикс24
Таймаут ответа - время, в течение которого будет звонить телефон ответственного менеджера
Для использования функции «Умная переадресация» (перевод звонка на ответственного менеджера), установите соответствующую галочку в настройках входящих маршрутов
Ссылки на запись разговора в Битрикс24
Подключитесь к серверу IP – АТС Asterisk по SSH. Создадим директорию audio в корневой директории WEB – сервера /var/www/html/:
[root@asterisk ~]# mkdir /var/www/html/audio
После этого смонтируем папку, где хранятся файлы системы записи разговоров Asterisk в созданную директорию. Для этого, откройте файл /etc/fstab:
[root@asterisk ~]# vim /etc/fstab
Добавьте в файл следующую запись:
/var/spool/asterisk/monitor/ /var/www/html/audio/ none rbind 0 0
Примените изменения командой mount -a
Настройка Битрикс24 для работы с коннектором
Приступаем к настройке Битрикс24. Для этого, переходим в раздел Приложения → Все приложения→ IP-телефония → Простые звонки. Произведите установку указанного приложения:
Теперь устанавливаем расширение для браузера Google Chrome. Кликните по кнопке ниже и установите указанное расширение:
Расширение для Google Chrome
Переходим по пути Настройка → «Инструменты → «Расширения. Находим «Простые звонки» и нажимаем Настройки для конфигурации опций подключения к АТС – коннектору:
Опции настройки:
Внутренний номер телефона - ваш внутренний номер (Extension)
Адрес АТС-коннектора - в нашей примере указано адрес 1.2.3.4:56789 - это внешний IP - адрес нашего маршрутизатора и проброшенный порт. То есть, при обращение на этот адрес "извне", происходит проброс на внутренний адрес 192.168.1.2:10150, где 192.168.1.2 - это IP - адрес Asterisk, а 10150 - порт, который мы ранее указывали в настройках АТС - коннектора
Пароль - пароль, который мы указали в настройка АТС - коннектора
Кол-во секунд для определения клиента по номеру телефона - если у вас на этапе эксплуатации не определяется клиент по известному номеру, увеличьте это значение
Автоматическое создание лида - создавать ли лида, если звонок пришел с неизвестного номера
Готово. Нажимаем «Сохранить и подключить». Как видно, наш коннектор находится в статусе «Подключен». Сделаем тестовый звонок:
Использование нового API Bitrix24
При установленной галочке "Использование нового API Bitrix24 (бета)", как показано на скриншоте ниже, происходят изменения в работе всплывающих окон: