Linuxi teenuse monitoorimiseks kasutan Elasticsearch. Kasutan moodulid: "Elastic Security", "Elastic Defend", "Potential Remote Desktop Shadowing Activity", "Powershell Share Enumeration Script". 

ZABBIX

Võrgu ja serverite monitoorimiseks kasutame Zabbix'i teenust, mida hoiame lokaalses keskkonnas. Server on paigaldatud Debian Linux Operatsioonisüsteemi. Zabbix'i integreerimine Discordiga kasutades Webhook'i funktsiooni, et saaks jälgida nii veebiliidesest, kui ka Discord platformis.

HARIDUSE.NET teenuse haldamise süsteem

Seadmete ja võrgu probleemide korral kasutame JIRA tarkvara, et teavitada intsidentidest ja seadmete rikketest. Tegemist on Ticket süsteemiga, mida saab registreerida Jira Portaalis. 

Jira Service Manageri sisestame kõik probleemid, turvaintsidendid ja riistvara intsidendid.

Jira Help Center Veebi portaal kuhu saab registreerida intsidenti või pöördumise.

Hariduse.NET võrgus sai otsustatud kasutada Action1 IT-haldus tarkvara, mille peamine funktsioon on hallata lõpp-seadmeid ning tuvastada turvanõrkuseid ja jälgida seadmete värskenduste staatust.

Üleval antud pilt annab kiire ülevaade Action1 Hariduse.NET veebipaneelist ning lõpp võrgu seisundist.

Peamised funktsioonid, mille tõttu Hariduse.Net valis Action1 Patch Management teenust:

• Vulnerability Detection and Remediation

• IT Patch Management

• Software Deployment across the Network

• IT Asset Management

• Endpoint Configuration

• Endpoint Security

Võrgu monitooring käib läbi mitme tarkvara. Unifi Gateway ja Sophos SG 115 rev3 UTM loggimine

Unifi UDM puudub HTTPS'i inspekteerimine, näiteks SSL/TLS ühendus võrguadministraatorile on nähtamatu. Parimaks lahenduseks on  SSL inspektsioon, mis on võimalik aktiveerida Fortress Gateway või Sophos SG seadmel.

Parim võimalus on blokeerida DNS over HTTPS ja DNS over TLS sissevõrgus. Välisvõrku minev liiklust saame krüpteerida kasutades Unifi seadistust.

Antud hetkel on Unifi seadmel seadistatud Cloudflare Content Filtering, mille abil on võimalik katkestada mitte vajalikud veebilehtede vaatamist.

IP-aadressite spämmamise korral kontrollime läbi abuseipdb.com veebilehel ning seadistame tulemüüri reegli, milles blokeerime antud IP-aadressit ning kirjelduse alla põhjendus.

Täpsemat analüüsi korral kasutame anyrun.app veebi tarkvara ja hybrid crowdstrike sandbox engine'it.

Blokeerimise näidis:

Sophos SG 115 rev3 riistvara paigaldamine hariduse.net võrku. Sophos SG UTM (Unified Threat Management) annab tõhusat võrgukaitset ning võimalus monitoorida võrguliiklust ning tuvastada ründevara ohti, mis kasutavad HTTP over SSL krüpteerimist, et läbi minna võrgukaitsed ja viirusetõrjeid.

UTM ehk Unified Threat Management sisaldab võrgu viirustõrjet (AV), sissetungi tõkestamise süsteemi (IPS), veebisurvamise kaitset (Web Protection), virtuaalne privaatne võrk (VPN).

UTM Antivirus aitab kaitsta seadmeid ründevara eest skännides faili allalaadimisi ning blokeerib tundmatuid faile ning faili mahust.

UTM IPS tõkestab pahavara ühendusi kasutades CVEE või Snort/ EmergingThreat reeglid.

UTM SSL Inspektsioon aitab tuvastada ohtulikud ründevara ühendusi, mis kasutavad HTTPS sertifikaadi, et läbi minna kõikidest turvamehhanisme nagu tulemüür ja viirusetõrje. SSL inspektiooni märkused: 

HTTPS inspektsiooni seadistamisel tuleb välistada bankade sisselogimist, kuna antud liiklust tulemüürid inspekteerivad ning võimalusel on interneti ühendus ebaturvaline.

Reegli põhiselt annab võrguadministraator teavitust lõpp-punkti kasutajatele, et nende liiklust analüüsitakse ning on nähtav organisatsioonile.

Hariduse.NET võrku integreerisime Cloudflare Content Filtering koos Zero Trust.

Miks just Cloudflare Content Filtering on tõhusam kui muu teenus?

Vastus: Cloudflare on peamine DNS server maailmas ning antud serveritega on seotud kõik veebilehed. Content Filtering on lihtne seadistada Cloudflare alla, et tagada lõpp-punkti turvalisust ning saaks uuendusi viimastest veebilehtedest, mis võiolla turvarisk sisevõrkudele.

Cloudflare Veebilüüsile kaasneb blokeerimise leht, mis näitab lõpp-punkti kasutajatele veebilehe blokeerimise sisu ning põhjendust.

Cloudflare kasutab DNS layeri tasemel filtreerimist ning võimaldab kaitsta kasutajate veebisurvamist.  Cloudflare võimaldab takistada võimalikud rünnakud ja turve poliitika rikkumist, kasutades HTTPS inspektsiooni ning SSL/TLS dekrüpteerimist kasutades allkirjastatud sertifikaadi. Sertifikaadi tuleb paigaldada lõpp-punkti seadmetele AD poliitika abil, mis väljastab automaatselt kasutajale allkirjastatud sertifikaadi.

Cloudflare Zero Trust on parim lahendus väiksematele ettevõttele seoses lihtsa haldusega. Integreerimine seadistatakse Ruuter või Gateway's, kus määratakse DNS-serveriks antud DNS location IP-aadressid.