Netzwerksegmentierung

Threat Defender verwendet erweiterte Netzwerkobjekte, um Policy-Regeln auf spezifischen Datenverkehr anzuwenden, der von bestimmten Assets und Gruppen von Assets initiiert wurde bzw. an diese adressiert ist. Statische Netzwerkobjekte (SNO) und dynamische Netzwerkobjekte (DNO) ermöglichen es Threat Defender ein virtuelles Sicherheitsnetzwerk mit einer dynamisch veränderlichen Topologie über das physikalische Netzwerk zu legen. Mit diesen Netzwerkobjekten kann die Netzwerksegmentierung dynamisch zur Laufzeit angepasst werden, basierend auf dem Verhalten von Assets/Benutzern und ohne Änderung der bestehenden Netzwerktopologie.

Netzwerkobjekte können in mehreren Regeln gleichzeitig verwendet werden. Das heißt, Regelsätze können für Asset-Gruppen angewendet werden, ohne die Gruppen für jede Gruppe erneut zu definieren. Wenn ein Asset zu mehreren Netzwerkobjekten gehört, können zahlreiche Policy-Regeln gleichzeitig auf dieses Asset angewendet werden.

Beispielablauf

Der folgende vereinfachte Beispielablauf zeigt, wie mit statischen und dynamischen Netzwerkobjekten die Netzwerksegmentierung vorgenommen werden kann:

• Statische Netzwerkobjekte (SNO) segmentieren das Netzwerk aufgrund des Zwecks der Assets. Dynamische Netzwerkobjekte (DNO) segmentieren das Netzwerk aufgrund des Verhaltens der Assets.

• In diesem Beispiel enthält das DNO „RC“ Clients, auf die remote zugegriffen wird. Dadurch können spezifische Regeln auf sie angewendet werden, z.B. kann ihnen der Zugriff auf interne Server verweigert werden.

• Durch Regeln überwacht Threat Defender das Kommunikationsverhalten im Netzwerk.

• Wenn verdächtiges oder unerwünschtes Verhalten erkannt wird, fügt eine Regel den entsprechenden Client zu einem dynamischen Netzwerkobjekt hinzu.

• In diesem Beispiel wird remote auf Client B zugegriffen. Deshalb wird er zum DNO „RC“ hinzugefügt.

• Eine weitere Regel blockiert die Kommunikation von Clients in diesem dynamischen Netzwerkobjekt zu den internen Servern.

Statische Netzwerkobjekte

Statische Netzwerkobjekte gruppieren Hosts und Geräte. Sie werden global verwendet, das heißt sie sind für alle Regeln verfügbar. Über die folgenden Attribute können Geräte einem statischen Netzwerkobjekt hinzugefügt werden:

• Einschluss oder Ausschluss einzelner IP-Adressen und Netzwerke in CIDR-Notation, sowohl IPv6 und IPv4

• Einschluss oder Ausschluss einzelner MAC-Adressen und MAC-Adressbereiche

• VLAN-Tags

Sie können statische Netzwerkobjekte mit einem oder einer Kombination dieser Attribute definieren.

Zum Beispiel kann ein Netzwerkobjekt alle Geräte in VLAN 21 enthalten. Es sind aber auch ganz spezifische Bedingungen möglich, z.B. nur Geräte im Netzwerk 10.10.10.0/27 und in VLAN 5 sind enthalten.

Siehe Statische Netzwerkobjekte erstellen für weitere Informationen.

Dynamische Netzwerkobjekte

Mit dynamischen Netzwerkobjekten wird der Status von Hosts nachverfolgt und während der Laufzeit werden Gruppen von Hosts mit ähnlichem Verhalten erstellt. Die Hosts einer Gruppe teilen eine bestimmte Eigenschaft, die nicht statisch ist, sondern von Ereignissen abhängt, die dynamisch im laufenden System stattfinden. Basierend auf diesem Verhalten, wird ein Satz von Policy-Regeln auf sie angewendet. So kann sich die Policy Engine an sich verändernde Situationen anpassen. Sie steuert dynamisch welche Regeln in Echtzeit auf unterschiedliche Hosts angewendet werden.

Dynamische Netzwerkobjekte sind Listen von IPv4/IPv6-Adressen bzw. MAC-Adressen. IP- und MAC-Adressen können dynamischen hinzugefügt und entweder explizit durch eine Regel oder automatisch durch Timeout entfernt.

cognitix Threat Defender erweitert die Policy-Regelsprache um eine neue Aktion, mit der die Quell- oder Ziel-MAC-Adresse eines Datenstroms zu einem dynamischen Netzwerkobjekt hinzugefügt werden. Mit diesen dynamischen Netzwerkobjekten werden dann die Quelle und das Ziel von Datenströmen in anderen Regeln abgeglichen, um abhängig vom Verhalten eines Geräts dynamisch Policy-Regeln auf seinen gesamten Datenverkehr anzuwenden. So kann das Netzwerk automatisch geschützt werden, ohne manuell lange, ungeordnete Listen mit Netzwerkobjekten zu pflegen.

In Verbindung mit der Korrelation-Engine, ermöglichen es Ihnen die dynamischen Netzwerkobjekte auf sich änderndes, unerwünschtes oder verdächtiges Verhalten zu reagieren, indem Sie Policy-Regeln nicht nur für einzelne Datenströme, sondern für alle Datenströme umsetzen, die von bestimmten Hosts erzeugt werden.

Dynamische Netzwerkobjekte können global (für alle Regeln) eingesetzt werden oder in einem Korrelationsszenario für einzelne Hosts bzw. Host-Gruppen definiert und verwendet werden.

Mit dynamischen Netzwerkobjekten ist Folgendes möglich:

• Eine Policy, die automatisch alle Hosts im Netzwerk, die eine bestimmte Anzahl von Bedrohungsalarmen generiert haben, zu einem dynamischen Netzwerkobjekt hinzufügt. Für dieses Objekt können Sie dann verschiedene Beschränkungen umsetzen.

• Mit der Timeout-Funktion von dynamischen Netzwerkobjekten können Sie Hosts für eine bestimmte Zeitspanne blockieren.

---

Weitere Informationen:

• Schritt-für-Schritt-Anleitungen zur Erstellung von Netzwerkobjekten finden Sie unter Statische Netzwerkobjekte erstellen und Dynamische Netzwerkobjekte erstellen.

• Informationen zu den Einstellungsoptionen für Netzwerkobjekte finden Sie unter Network Objects.

• Beispiele zur Segmentierung des Netzwerks mit Threat Defender finden Sie unter Verwendung der Netzwerksegmentierung.