juniper advanced threat prevention - senetsy...решений от других...
TRANSCRIPT
![Page 1: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/1.jpg)
© 2019 Juniper Networks
системный инженер, [email protected]
НАЙТИ ИГОЛКУ В СТОГЕ СЕНА. JUNIPER ADVANCED THREAT PREVENTION
Павел Живов
![Page 2: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/2.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
• Аналитика – модуль аналитики
коррелируется и консолидирует
данные о ВПО с учетом контекста и
событий от других средств
безопасности, ранжирует угрозы по
результатам корреляции
3 ключевых функции решения Juniper ATP
• Обнаружение – Использованием
алгоритмов машинного обучения и
поведенческого анализа непрерывно
собирают данные и обнаруживают
угрозы в почтовом-, веб- и
горизонтальном трафике
• Нейтрализация – создание политик
безопасности, сигнатур и правил для
других имеющихся систем
безопасности разных производителей
для предотвращения заражения
Обнаружение Нейтрализация
угрозы в один клик
Аналитика
Juniper
Networks
ATP
![Page 3: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/3.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Security Problem
Вредоносный Web
Вредоносный Email
Internet Горизонтальное
Распространение угроз
• ВПО нулевого дня обходят In-line защиту
• Почта и Веб продолжают быть основными
векторами атаки
• ~ 200 млн. новых образцов ВПО в 2019 году
IR/SOC Productivity Problem
• 96% предупреждений в SOС игнорируется
• 71% требуется больше автоматизации
для решения задач IR
• 69% требуется больше персонала
для обработки задача IR
Источник: Symantec, IBM, Ponemon Institute, Osterman Research, McAfee
• Горизонтальное распространение угроз
внутри сети
Трудности, с которыми сталкиваются команды обеспечения информационной безопасности
![Page 4: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/4.jpg)
Реакция на инциденты и расследование
![Page 5: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/5.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Модель безопасности с несколькими уровнями контроля
WWW
Web Gateway(NG)FW
UTMIPS ATP EndPoint
AV/HIPS
Endpoint Detection &
Response
SMTPRelay
![Page 6: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/6.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Модель безопасности с несколькими уровнями контроля
![Page 7: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/7.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Продвинутая аналитика: консолидация и корреляция событий
ЯдроANALYTICS ENGINE
Аналитик
безопасности
Открытая архитектура позволяет выполнять сбор логов из множества разных источников, сторонних решений. Корреляция и анализ в ядре JATP
![Page 8: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/8.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Упрощенный алгоритм IR
Действие: Поместить в Белый список и сообщить о Ложном
срабатывании в JATP
ДА
НЕТ НЕТ
Новое уведомление ДА
Это угроза?
Обращать внимание?
Действия: Нейтрализация и восстановление
![Page 9: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/9.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
1. Идентификация
1. Идентификация – Dashboard, Email, SIEM, API
2. Расследование
3. Подтверждение
4. Действие
![Page 10: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/10.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Каждая точка – это узел.
Чем больше точка, тем
большее число угроз
зафиксировано для узла
![Page 11: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/11.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
![Page 12: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/12.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
2. Расследование
![Page 13: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/13.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
JATP собирает и коррелирует события относительно угроз от разных продуктов безопасности предоставляя средства для анализа контекста событий, в т.ч. от SIEM
![Page 14: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/14.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Анализ и корреляция логов из коробки (1/2)• Firewall:
• Palo Alto Networks
• Security Web Gateway:
• Symantec Blue Coat SWG
• Intrusion Prevention Systems
• Palo Alto Networks
• Juniper SRX
• Endpoint AV
• ESET
• McAfee ePO
• Symantec EP
• Endpoint Detection & Response
• CarbonBlack Response
![Page 15: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/15.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Анализ и корреляция логов из коробки (2/2)
Настройка парсера логов из
коробки или создание
собственного для сбора
данных от сторонних
решений
![Page 16: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/16.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
А если нужно понимать еще какие-то логи?
Выберем тип источника:
• Firewall• Web Gateway• Endpoint AV• Endpoint Response• IPS
Создадим
собственный парсер
![Page 17: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/17.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Благодаря корреляции событий JATP, видим, что загрузка
ВПО была выполнена довольно давно и IPS (в этом
примере – Cisco) сообщал о незаблокированных
подозрительных действиях со стороны узла
![Page 18: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/18.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
В данном примере, JATP и зафиксировал загрузку ВПО узлов вслед за фишинговыми письмами, агент
Symantec заблокировал запуск кода о чем сообщил в JATP.
Инциденту не будет присвоен высокий уровень опасности, т.к. запуска ВПО не произошло.
Так, JATP позволяет сосредоточится на действительно важных событиях.
![Page 19: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/19.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
1
2
3
4
5
6
![Page 20: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/20.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Подробные данные о
поведении ВПО на
каждой зафиксированной
стадии
![Page 21: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/21.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Переместимся в раздел с информацией о
событиях, свидетельствующих об
инфицировании узла.
Узел пытался связаться с C&C-сервером
![Page 22: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/22.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Выберем конкретный
вредонос и посмотрим что он
успел сделать в нашей сети
Узлы, для которых были
зафиксированы свидетельства
заражения
![Page 23: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/23.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Посмотрим кто из узлов загрузил
Trojan_Gippers, детали о нем,
индикаторы компрометации и хэш-
суммы образцов
![Page 24: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/24.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
3. Подтверждение: VirusTotal
![Page 25: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/25.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
3. Подтверждение: Infection Verification Pack (IVP)
25
![Page 26: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/26.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Infection Verification PackЯдро JATP
Индикаторы компрометации
Изменения в ОС:Ключи реестра, созданные Mutex, запущенные процессы, загруженные файлы и т.д.
Коллекторы JATP
JATP InfectionVerification Package
IVP
JATP позволяет создать пакет
IVP для запуска на оконечном
узле для проверки заражен этот
узел или нет.
IVP анализирует наличие
индикаторов заражения (IoC).
IVP может быть загружен на
подозрительный узел и
запущен там для вынесения
вердикта
![Page 27: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/27.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
3. Подтверждение: проверка целевых узлов IVP
27
![Page 28: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/28.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Infection Verification Pack
![Page 29: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/29.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Интеграция с EDR
2
![Page 30: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/30.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Можно загрузить файлы
вручную для их анализа
![Page 31: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/31.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
4. Действие: переход от Инцидента к нейтрализацииActions > Mitigate Incident
![Page 32: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/32.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
![Page 33: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/33.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Переход в раздел Mitigation
Блокировка IP, URL, генерирование сигнатуры IPS, IVP, карантин почты
В разделе нейтрализации угроз можно
выбрать действия для предотвращения
заражения.
JATP умеет взаимодействовать со
сторонними продуктами безопасности
![Page 34: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/34.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Нейтрализация в один клик для команд Incident Response
Нейтрализация
Публикация данных блокировки в
существующие: FW, IPS, SWG,
EDR через API или вручную
Верификация & Сдерживание
Проверить наличие
заражения на оконечных узлах
(Carbon-Black, Tanium,
Crowdstrike, Bradford)
ЯдроANALYTICS ENGINE
![Page 35: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/35.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Нейтрализация угроз
EndpointFirewall/SWG
• Интеграция с решениями EDP/EPP для получения информации о запуске
вредоносного кода на узле, сообщения решению EDR о необходимости блокировки
запуска кода
• Получение файлов от EDR/EPP для проверки (CarbonBlack)
• Взаимодействие со сторонними решениями через API или CLI для нейтрализации
угрозы: блокировка IP, URL, создание сигнатуры IPS, помещение письма в карантин
![Page 36: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/36.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
HTTP APIДанные анализа по инциденту, деталей поведения и проч. через API
![Page 37: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/37.jpg)
Немного общей информации
![Page 38: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/38.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Обзор Cyphort и признание в индустрии
Основана: 2011, Santa Clara, CA (HQ)
Решение: Обнаружение продвинутых угроз, аналитика и нейтрализация
Приобретения: Cyphort была приобретена Juniper Networks в сентябре2017. Тесная интеграция и встраивание в существующее портфолио
Leader in Forrester Wave™
Automated Malware Analysis Report
Hottest SecurityStartups of 2015
2017
2016
2015
2014
ПризнаниеКомпания
![Page 39: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/39.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Высокие результаты независимых тестов
Высокая эффективность подтверждается независимыми исследованиями ICSA Labs,
апрель 2017
Образцы ВПО для тестов ICSA получает с собственных спам- и ханипотов, Интернет и известных вредоносных URL
![Page 40: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/40.jpg)
Как JATP работает
4
![Page 41: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/41.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Ключевые компоненты JATP
Сбор данных Мультивекторный Анализ Устранение угрозы
SPAN коллекторы
JATP (ISO, OVA, HW),
горизонтальный и
вертикальный трафик
Коллекторы почты;
Gmail, Office365,
Exchange, любой SMTP
Внешний инструмент
передачи файлов из
JATP (CarbonBlack)
Анализ логов от
сторонних продуктов
(API, Syslog): AV, FW,
IPS, EDR, EPP, Proxy,
SIEM
ЯДРО JATPМашинное обучение на основе
поведенческих трейсов,
Модуль статического анализа,
Собственные правила,
Корреляция,
Репутационный анализ
Приоритезация и оценка рискаAPI
API, CLI
Блокировка угрозыБлокировка угрозы на
уровне предприятия при
помощи существующих
решений от других
производителей.
Блокировка по одному клику
вручную или автоматическая
Корреляция событий
угрозыОтображение поведения и
событий касательно угрозы на
временной шкале с
корреляций данных от других
продуктов безопаcности: AV,
FW, IPS, EDR, Proxy и т.п.
Native
Native
Syslog
JATP
GSS
![Page 42: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/42.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Время обнаружения ВПО
JATP
Глубокий анализ JATP значительно эффективнее сигнатурного анализа
Процентобнаружения
![Page 43: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/43.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Эксплуатация
Продвижение угрозы по Cyber Kill Chain
Рекогносцировка
ВооружениеУправлениеи контроль
Установка
Exploits XP Активность, подвергающая пользователей опасности
Downloads DL Загрузка вредоносного объекта
User Uploads UP Отправка вредоносного объекта с оконечной точки
Executions EX Запуск вредоносного кода на оконечной точке
Infections IN Получение свидетельств заражения (C&C, IVP)
Lateral Spread LS Горизонтальное распространение ВПО внутри сети
Phishing PHS Почтовое сообщение с вредоносным URL
Juniper Advanced
Threat Prevention Appliance
(JATP)
Доставка Действия на узле
![Page 44: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/44.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Определение значимости угрозы
Обнаружение угрозы
Оценкаопасности угрозы
Значимостьатакуемого актива
Верификация заражения
актива
- Adware- Virus- Worm- Ransomware- Trojan Hijack, Backdoor- Exploit- Data Theft- и т.д.
- Низкая- Средняя- Высокая- Критичная
- Насколько далеко по Cyber Kill
Chain продвинулось ВПО?
- Выполнился ли код на машине
жертвы?
- ОС жертвы совпадает с целевой ОС
ВПО?
- Установлен ли Антивирус на
машине жертвы?
- Этот Антивирус был способен
детектировать угрозу?
- Угроза сработала для собственного
образа ОС?
- и т.д.
![Page 45: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/45.jpg)
Модели развертывания
![Page 46: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/46.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
• Центральное Ядро JATP собирает
информацию от коллекторов, выполняет
детектирование и анализ;
• Компоненты управления и нейтрализации
угроз входят в состав Ядра;
• Коллекторы собирают данные о Web и
SMB трафике со SPAN/TAP портов сетевых
устройств;
• Коллекторы почты собирают данные с
почтовых серверов или работают как MTA-
получатели;
Развертывание
Headquarters / Data Center
Core
Collector
Internet
Lateral Detection
Collector
WEB
FILE
UPLOAD
Lateral Spread Collector
Machine
Learning based
analysis
Endpoints running Carbon Black
OSX Detection
`CASB
Hardware
collector
Virtual collector
Опции для Ядра и Коллекторов:
• программно-аппаратный комплекс
(appliance),
• виртуальные машины,
• ISO для Mac Mini
• NGFW SRX и VSRX (Web-коллектор)
![Page 47: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/47.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Развертывание в центральном офисе
JATP Core Корреляция, Аналитика,
Инспекция
JATP Collector:
Firewall/Router
JATP Collector:Data Center/VDI
JATP Collector:
Пользователи
Головной офис
![Page 48: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/48.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Развертывание на нескольких площадках
JATP Collector:Удаленный офис
Головной
офис
JATP Collector:Филиал 2
JATP Collector:Филиал 1
Альтернативно или
дополнительно - OVA VM
или SaaS
Частное или
публичное
облако
Mac OS X & Windows
Mac OS X & Windows
JATP Core Корреляция,
Аналитика,
Инспекция
![Page 49: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/49.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Частное или
публичное
облако
Развертывание в частном или публичном облаке
JATP Collector:Удаленный офис
JATP Collector:Филиал 2
JATP Collector:Филиал 1
JATP Core Корреляция, Аналитика, Инспекция
JATP Collector:Головной офис
![Page 50: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/50.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Развертывание – анализ почты
Сбор почты локальным коллектором Сбор почты коллектором в облаке
JATP MTA развернут локально JATP MTA развернут в частном облаке
JATP MTA устанавливается out-of-band, не inline
JATP MTAJATP MTA
![Page 51: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/51.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Global Security Service
Коллектор
JATP GSS
Основное ядро
Вторичноеядро
Сервис GSS (опционально)
обеспечивает телеметрию, сбор мета-
данных для тренировки моделей
поведенческого анализа для их
постоянного совершенствования
![Page 52: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/52.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Juniper Threat Network
Пользователь A
Обновления моделей машинного обучения
Обновления данных Threat intelligence
Обновление модулей репутационного и статического анализа
Однонаправленная и двунаправленная
модели взаимодействия (опционально) :
- Пользователь получает обновления, но
сам ничего не отправляет;
- Пользователь получает обновления,
отправляет мета-данные и телеметрию.
Пользователь B Пользователь C Пользователь D
Threat Network
![Page 53: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/53.jpg)
На что еще стоит обратить внимание
![Page 54: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/54.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Интеграция с Active Directory
Получение подробных данных о пользователях и машинах
JATP
Интеграция напрямую с MS AD
JATP
CB -> Splunk используя Event Forwarder
логов JSON и Splunk Forwarder
AD -> Splunk используя Universal
Forwarder в DC или WMI
Получение информации от Splunk
![Page 55: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/55.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Автоматическая нейтрализация ВПО
✓ Автоматическая или ручная нейтрализация по Вашему
выбору,
✓ Интеграция с файерволлами и шлюзами безопасности
для блокировки вредоносных IP адресов и URL,
✓ Интеграция с облачными почтовыми сервисами для
помещения письма в карантин
✓ Компонент Juniper Connected Security для блокировки
хостов на уровне сети
![Page 56: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/56.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
SSH Honeypot
JATP имеет в своем составе
SSH Honeypot для детектирования
подозрительной активности узлов
сети
![Page 57: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/57.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Анализ горизонтального трафика
• Обнаруживаются перемещения ВПО внутри сети по протоколу SMB,
• Использование правил YARA детектирует Remote Access Trojans (RAT)
![Page 58: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/58.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Собственные правила SNORT
• Оператор может
создавать и загружать
собственные правила
SNORT для усиления
защиты и детектирования
специфичных для сети
атак
• Подозрительный трафик,
обнаруженный
собственным правилом
будет отображаться в
отдельной вкладке для
удобства
![Page 59: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/59.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Собственные правила YARA
• Оператор может
создавать и
загружать
собственные
правила YARA для
усиления защиты и
детектирования
специфичного ВПО,
• Триггер для таких
инцидентов будет
отображаться как
Static
![Page 60: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/60.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Собственный «Золотой образ» виртуальной машины
«Золотой» – Ваш собственный образ с
требуемым Вам ПО и его версиями. JATP
будет использовать использовал его при
детонации образцов ВПО для
максимального соответствия Вашим
реальным системам
![Page 61: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/61.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Работа в кластере
• JATP скажет когда нагрузка стала большой и нужно добавлять новые Core
• Балансировка нагрузки между Core - автоматически
![Page 62: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/62.jpg)
Форм-фактор
![Page 63: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/63.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Апплайнсы физические и виртуальные
JATP 400
• 10 ядер, • 32G RAM DDR4, • 4 x 2TB HDD (RAID 6)• 8 NICs (2 x 10G SFP+, 2
x 10G, 4x 1GE)• 500Вт AC или 650Вт
DC (резервируемые)• 1 RU• Воздушный поток: к
задней панели
JATP 700
• 40 ядер, • 128G RAM, • 8 x 900G HDD (RAID10)• 6 NICs (2 x 10G SFP+ и
4 x 1G)• 920Вт AC или 650Вт
DC (резервируемые)• 2 RU• Воздушный поток: к
задней панели
vJATP Core, Mail & Web vCollector
• 4-24 vCPU, • 16-96G vRAM• 512 GB vHDD• до 4 vNICs
![Page 64: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/64.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Варианты развертывания
Модель Производительность (объектов в день) Производительность
JATP700 до 61 000 2.5 Gbps
JATP400 до 25 000 1 Gbps
Модель Производительность (объектов в день)
JATP700 до 130 000
JATP400 до 50 000
Модель Производительность
JATP700 4 Gbps
JATP400 1.5 Gbps
Физические апплайнсы
All in One
Smart Core
Web Collector
Модель Производительность(объектов в день)
vCPU vRAM vHDD
vSC-8 до 46 000 8 32 GB 1.5 TB
vSC-24 до 116 000 24 96 GB 1.5 TB
Virtual Web Collector
Модель Производительность vCPU vRAM vHDD
FC-v500M 500 Mbps 4 16 GB 512 GB
FC-v1G 1 Gbps 8 32 GB 512 GB
FC-v2.5G 2.5 Gbps 24 64GB 512 GB
Virtual Smart Core Engine
Виртуальные
Virtual eMail MTA-приемник
Модель Писем в день vCPU vRAM vHDD
vMTA-M 720 000 8 16 GB 512 GB
vMTA-L 1 400 000 16 16 GB 512 GB
vMTA-XL 2 400 000 24 24 GB 512 GB
Модель Писем в день
JATP700 2 000 000
JATP400 700 000
eMail MTA-приемник
![Page 65: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/65.jpg)
Лицензирование
![Page 66: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/66.jpg)
*** JUNIPER: WE ARE A SECURITY COMPANY ***
Тип лицензии в зависимости от набора функций
Апплайнс
Пакет функций
• STD
• ENT
Пропускная способность
•100Mbps
•500Mbps
•1Gbps
•2Gbps
•5Gbps
•10Gbps
Срок
•1 год
•2 года
•3 года
•5 лет
•и т.д.
Подписка
✓ Апплайнс (модель, AC/DC)
+✓ SKU исходя из
пропускной способности и срока действия подписки
✓ Для виртуальных апплайнсов все то же самое только без HW SKU
Пакет
функцийВключенные функции
Standard
(STD)
North-South Web traffic, Auto Mitigation,
Analytics, Email (BCC), manual upload
Enterprise
(ENT)
All Standard features, Lateral traffic (SMB),
Email (MTA)
![Page 67: Juniper Advanced Threat Prevention - Senetsy...решений от других производителей. Блокировка по одному клику вручную или](https://reader035.vdocuments.pub/reader035/viewer/2022081621/6129bca6fca28259184c3bcf/html5/thumbnails/67.jpg)
© 2019 Juniper Networks
СПАСИБО!
Наш канал на Youtube