Cloud Based SOC (or) Magnifier

Magnifier ဆိုတာ Palo Alto Network က 2018 အစပိုင်းလောက်မှာ စတင်မိတ်ဆက်ပေးခဲ့တဲ့ Cloud Based UBA SOC အမျိူးအစား နည်းပညာတစ်ခုဖြစ်ပါတယ်။ အရင်ဆုံး UBA (User Behavior Analytics) ဆိုတာ ဘာလဲဆိုတာကို လေ့လာရအောင်။ UBA ဟာ သူ့ကို provide လုပ်ထားတဲ့ Log တွေ၊ Network Session တွေကို Big Data အခြေပြု Machine Learning Algorithm တွေနဲ့ Analysis လုပ်ပြီး Baseline တစ်ခုတည်ဆောက်ပါတယ်။ ပုံမှန်အခြေအနေ (Normal Behavior) ကနေ သွေဖယ်နေလား၊ ဘာတွေများ ထူးခြားဖြစ်စဉ်တွေဖြစ်နေလဲ အစရှိတာတွေကို ခုနက Baseline နဲ့ ချိန်ဆစစ်ဆေးပေးပါတယ်။ Computer တွေ၊ Devices တွေ၊ Network တွေ များပြားတဲ့ Environment တွေမှာ ပုံမှန် Manual Monitoring လုပ်နေရုံနဲ့ ရှုပ်ထွေးပြီး ပုံမှန်လာနေကြမဟုတ်တဲ့ Attack တွေ၊ C2 Traffic တွေကို သိရှိနိုင်ဖို့မလွယ်ပါဘူး။ ဒီလိုနေရာမျိူးတွေမှာ UBA ဟာ အလွန်အသုံးဝင်ပါတယ်။ မည်မျှရှုပ်ထွေးတဲ့ Environment မျိူးဖြစ်ပါစေ၊ မှန်ကန်ပြီး ပြည့်စုံတဲ့ Log တွေကိုသာ UBA ကို ပို့ပေးနိုင်ခဲ့မယ်ဆိုရင်၊ UBA က Real Time Analysis လုပ်ကာ ထူးခြားဖြစ်စဉ်တွေကို Detect သိနိုင်ပါတယ်။ 
‍‍‍‍‍‍ 
ဥပမာတစ်ခုလောက်နဲ့ ပြောရမယ်ဆိုရင် ရုံးတစ်ရုံးရဲ့ Database Server ဟာ 24 Hours အလုပ်လုပ်တယ်။ ပုံမှန်အားဖြင့် ရုံးချိန်မနက် 9:00AM ကနေ ညနေ 6:00PM အတွင်းမှာ Transaction အရမ်းသုံးတယ်။ ရုံးဆင်းသွားတဲ့အခါ အသုံးပြုမှုလုံးဝမရှိဘူး။ ည 11:00 အချိန် Hacker တစ်ယောက်က ဒီ Database Server ကို Access လုပ်ခဲ့မယ် ဆိုပါရင် UBA သာရှိခဲ့ရင် Access လာလုပ်တဲ့ Hacker ရဲ့ IP နဲ့ Access လုပ်တဲ့ Time Stamp ကို စစ်ဆေးမယ်။ “Access လာလုပ်တဲ့ Source IP က Databse ကို လာချိတ်ဆက်နေကျ IP တွေထဲမှာမပါဘူး။ နောက်ထပ် Time Stamp ကို ကြည့်တော့ ပုံမှန် Database ကို ချိတ်ဆက်နေကျ ရုံးချိန်ထဲမှာလဲ မဟုတ်ဘူး။ ဒါဟာ ပုံမှန် Behavior မဟုတ်ဘူး၊ ပုံမှန်အခြေအနေနဲ့ ကွဲပြားနေတယ်။” ဒီလိုအခြေအနေမျိူးတွေကို UBA က သိရှိနိုင်ပါတယ်။ ဒါကြောင့် ယနေ့ခေတ်မှာ Complex ဖြစ်တဲ့ Environment တွေမှာ UBA နည်းပညာကို အခြေပြု Security Device တွေ အသုံးပြုလာကြပါတယ်။ ကမ္ဘာ့နာမည်ကြီး SIEM Brand တစ်ခုဖြစ်တဲ့ Splunk ဟာ ဆိုရင်လဲ ဒီ UBA နည်းပညာကို ထည့်သွင်းအသုံးပြုလာကြပါပြီ။ Palo Alto Network ဟာ 2017 အတွင်းမှာ ကမ္ဘာ့နာမည်ကြီး UBA နည်းပညာတွေကို Develop လုပ်နေတဲ့ Lightcyber ကို US$ 107 သန်းနဲ့ ဝယ်ယူကာ UBA လောကထဲ ဝင်ရောက်လာပါတယ်။ PA Team နဲ့ Lightcyber Team တို့ ပူးပေါင်းပြီး Magnifier ကိုဖန်တီးနိုင်ခဲ့ပါတယ်။

Magnifier မှာ ပါဝင်တဲ့ အဓိက component တွေကတော့
‍‍‍‍‍‍ 
🔷 Palo Alto Next General Firewall
‍‍‍‍‍‍ 
🔷 Palo Alto Logging Service
‍‍‍‍‍‍ 
🔷 Pathfinder VM
‍‍‍‍‍‍ 
🔷 Magnifier
‍‍‍‍‍‍ 
Palo Alto NGFW
————————–
ကျွန်တော်တို့ရဲ့ Network ထဲမှာ သွားလာနေတဲ့ Traffic တွေကို အဓိကအားဖြင့်စစ်ဆေးပေးတဲ့ ဒီ Palo Alto Firewall က သူ့ဆီဖြတ်သမျှ Log တွေကို Palo Alto Logging Service ကို ပို့ပေးရပါတယ်။ ဒီ Firewall ရဲ့ Log တွေကို Magnifier က Logging Service ကနေမှ တဆင့် UBA နည်းပညာကို အသုံးပြုပြီး Analysis လုပ်သွားမှာပါ။
‍‍‍‍‍‍ 
Palo Alto Logging Service
——————————————
Magnifier နဲ့ တိုက်ရိုက်ဆက်သွယ်ထားတဲ့ အဓိက အစိတ်အပိုင်းပါ။ သူကတော့ Palo Alto NGFW က Forward လုပ်လိုက်တဲ့ Traffic Log တွေ၊ Pathfinder ကနေမှ တဆင့် ပို့လိုက်တဲ့ Endpoint တွေရဲ့Log တွေကို Store ပြုလုပ်ပြီး Magnifier ဆီ Analysis လုပ်ဖို့အတွက် ပို့ပေးရတဲ့ အလုပ်ကို လုပ်ပါတယ်။ Cloud Based Logging System တစ်ခုပါ။ Firewall နဲ့ Endpoint တို့ရဲ့ Log တွေကို Logging Service မသုံးဘဲ Magnifier ဆီကို တိုက်ရိုက်ပို့လို့မရပါဘူး။
‍‍‍‍‍‍ 
Pathfinder VM
———————–
သူ့ရဲ့ အဓိက လုပ်ဆောင်မှုကတော့ Palo Alto ရဲ့ Endpoint Security product တစ်ခုဖြစ်တဲ့ Traps ကို အသုံးပြုထားတဲ့ Client တွေရဲ့ Log တွေကို RPC (Remote Procedure Call) Protocol မှ တဆင့် လှမ်းယူပြီး Logging Service ဆီကို ပို့ပေးတဲ့ အလုပ်ကိုလုပ်ပါတယ်။
‍‍‍‍‍‍ 
Magnifier
—————
Magnifier ရဲ့ အဓိက Function ကတော့ Logging Service ကနေမှ တဆင့်ရောက်လာတဲ့ Firewall Log နဲ့ Endpoint Log တွေကို UBA နည်းပညာဖြင့် Analysis လုပ်ခြင်း၊ Correlationလုပ်ခြင်းတို့ကိုပြုလုပ်ပေးပါတယ်။ Palo Alto ရဲ့ နာမည်ကြီး Cloud Based Sandbox ဖြစ်တဲ့ Wildfire နဲ့ Integrate လုပ်ပြီး Traffic တွေကို လေ့လာကာ၊ ကျွန်တော်တို့ Network ထဲက ဘယ်စက်တွေက Attacker တွေရဲ့ Server တွေဆီကို C2 Traffic တွေ ထွက်နေလဲ၊ ကိုယ့် Network ထဲမှာ ဘယ် IP ကနေ ဘယ် IP တွေဆီ Lateral Movement တွေသွားနေလဲ၊ ကိုယ့် Network ကို Internet က ဘယ် IP တွေက Scanning တွေ လုပ်နေလဲ၊ ဘယ်စက်တွေမှာတော့ ဘာ Malware တွေ Infect ဖြစ်နေသလဲ စတာတွေကို ရှာဖွေပေးကာ ကျွန်တော်တို့ကို Alert တွေ၊ Report တွေ ထုတ်ပေးနိုင်ပါတယ်။ ပုံမှန်မဟုတ်တဲ့ မသင်္ကာတဲ့ Traffic တွေ တွေ့ခဲ့ရင်လည်း Palo Alto Firewall နဲ့ ပူးပေါင်းပြီး Auto Block တာမျိူးတွေပါလုပ်ဆောင်နိုင်ပေးပါသေးတယ်။ ဒါကြောင့် တကယ့် SOC အကြီးကြီးတွေတည်ဆောက်ပြီး Human Power တွေ၊ Multiple Monitoring Tool တွေ၊ Process တွေ အများကြီးသံးုစရာ မလိုတော့ဘဲ၊ Cloud ကနေပဲ ကျွန်တော်တို့ Network ကို Attack လုပ်နေတဲ့ Traffic တွေကော၊ Internal မှာ သွားလာနေတဲ့ Lateral Movement တွေကိုပါ Auto-Detection And Prevention လုပ်ပေးသွားမှာပါ။ 
‍‍‍‍‍‍ 
တကယ့် SOC အကြီးတွေကို Completely အစားထိုးလို့တော့မရနိုင်ပါ။ ဒါပေမယ့် Human Resource နဲ့ Technical Product တွေသုံးဖို့ Budget Limit ရှိတဲ့ အဖွဲ့အစည်းတွေအတွက် အထူးသင့်လျော်တဲ့ iSOC (Internet Based (or) Cloud Based) လို့လဲ ပြောနိုင်ပါတယ်။ ဒါပေမယ့် UBA တွေမှာ False Positive ရှိနိုင်တာကြောင့် Attack တစ်ခု သို့မဟုတ် Data Exfiltration တစ်ခုတွေ့ပြီ ဆိုတာနဲ့ဒါဟာ တကယ့် Attack လား၊ ဒါမှမဟုတ် Legal User တွေဆီကလာတဲ့ Traffic တွေလားဆိုတာကို သေချာသုံးသပ်ပေးတဲ့ ကျွမ်းကျင် Security Professional တွေတော့ လိုအပ်မှာပါ။ Magnifier ရဲ့ အဓိက အားသာချက်ကတော့ ကိုယ့် Organization ကို Security Monitoring လုပ်ဖို့ SOC ကြီးတစ်ခု တည်ဆောက်နေ စရာမလိုတော့ဘဲ ငွေကြေးသက်သာစွာနဲ့ Cloud Based SOC အသေးစားလေးတစ်ခု တည်ဆောက်နိုင်တာပဲဖြစ်ပါတယ်။

Don’t forget to share this post!