is 'n analitiese oplossing op die gebied van inligtingsekuriteit wat omvattende monitering van bedreigings in 'n verspreide netwerk bied. StealthWatch is gebaseer op die versameling van NetFlow en IPFIX vanaf routers, skakelaars en ander netwerktoestelle. As gevolg hiervan word die netwerk 'n sensitiewe sensor en laat die administrateur toe om na plekke te kyk waar tradisionele netwerksekuriteitsmetodes, soos Next Generation Firewall, nie kan bereik nie.
In vorige artikels het ek reeds oor StealthWatch geskryf: En . Nou stel ek voor om voort te gaan en te bespreek hoe om met alarms te werk en sekuriteitsinsidente te ondersoek wat die oplossing genereer. Daar sal 6 voorbeelde wees wat ek hoop 'n goeie idee sal gee van die bruikbaarheid van die produk.
Eerstens moet gesê word dat StealthWatch 'n mate van verspreiding van alarms tussen algoritmes en feeds het. Die eerste is verskeie soorte alarms (kennisgewings), wanneer dit geaktiveer word, kan jy verdagte dinge op die netwerk opspoor. Die tweede is veiligheidsvoorvalle. Hierdie artikel sal kyk na 4 voorbeelde van algoritmes wat geaktiveer is en 2 voorbeelde van feeds.
1. Ontleding van die grootste interaksies binne die netwerk
Die eerste stap in die opstel van StealthWatch is om gashere en netwerke in groepe te definieer. In die webkoppelvlak-oortjie Konfigureer > Gasheergroepbestuur Netwerke, gashere en bedieners moet in toepaslike groepe geklassifiseer word. Jy kan ook jou eie groepe skep. Terloops, die ontleding van interaksies tussen gashere in Cisco StealthWatch is redelik gerieflik, aangesien u nie net soekfilters per stroom kan stoor nie, maar ook die resultate self.
Om te begin, moet u in die webkoppelvlak na die oortjie gaan Ontleed > Vloeisoektog. Dan moet jy die volgende parameters stel:
- Soektipe - Topgesprekke (gewildste interaksies)
- Tydreeks - 24 uur (tydperk, jy kan 'n ander gebruik)
- Soeknaam - Topgesprekke binne-binne (enige vriendelike naam)
- Onderwerp - Gasheergroepe → Binne-gashere (bron - groep interne gashere)
- Verbinding (jy kan poorte, toepassings spesifiseer)
- Eweknie - Gasheergroepe → Binne-gashere (bestemming - groep interne nodusse)
- In Gevorderde Opsies kan jy ook die versamelaar spesifiseer waaruit die data bekyk word, die uitset sorteer (volgens grepe, strome, ens.). Ek sal dit as verstek laat.
Nadat u die knoppie gedruk het Soek 'n lys van interaksies word vertoon wat reeds gesorteer is volgens die hoeveelheid data wat oorgedra is.
In my voorbeeld die gasheer 10.150.1.201 (bediener) oorgedra binne slegs een draad 1.5 GB verkeer na gasheer 10.150.1.200 (kliënt) volgens protokol MySQL. Knoppie Bestuur kolomme laat jou toe om meer kolomme by die uitvoerdata te voeg.
Vervolgens, na goeddunke van die administrateur, kan u 'n pasgemaakte reël skep wat altyd hierdie tipe interaksie sal aktiveer en u in kennis stel via SNMP, e-pos of Syslog.
2. Ontleding van die stadigste kliënt-bediener interaksies binne die netwerk vir vertragings
Tags SRT (Bedienerreaksietyd), RTT (Reen- en terugreistyd) laat jou toe om bedienervertragings en algemene netwerkvertragings uit te vind. Hierdie instrument is veral nuttig wanneer jy vinnig die oorsaak van gebruikersklagtes oor 'n program wat stadig loop moet vind.
Let daarop: byna alle Netflow-uitvoerders weet nie hoe nie stuur SRT-, RTT-etikette so dikwels, om sulke data op FlowSensor te sien, moet jy die stuur van 'n kopie van verkeer vanaf netwerktoestelle opstel. FlowSensor stuur op sy beurt die uitgebreide IPFIX na FlowCollector.
Dit is geriefliker om hierdie analise uit te voer in die StealtWatch java-toepassing, wat op die administrateur se rekenaar geïnstalleer is.
Regs muis knoppie aan Binne-gashere en gaan na die oortjie Vloei Tabel.
Klik op Filters en stel die nodige parameters in. As 'n voorbeeld:
- Datum/Tyd - Vir die afgelope 3 dae
- Werkverrigting — Gemiddelde Heen-en-weer Tyd >=50ms
Nadat ons die data vertoon het, moet ons die RTT- en SRT-velde byvoeg wat ons interesseer. Om dit te doen, klik op die kolom in die skermkiekie en kies met die regtermuisknoppie Bestuur kolomme. Klik dan op RTT, SRT parameters.
Nadat ek die versoek verwerk het, het ek volgens RTT-gemiddelde gesorteer en die stadigste interaksies gesien.
Om in gedetailleerde inligting in te gaan, regskliek op die stroom en kies Vinnige aansig vir vloei.
Hierdie inligting dui aan dat die gasheer 10.201.3.59 uit die groep Bemarking volgens protokol NFS beroep op DNS-bediener vir 'n minuut en 23 sekondes en het net vreeslike vertraging. In die blad Interfaces jy kan uitvind by watter Netflow-data-uitvoerder die inligting verkry is. In die blad Tabel Meer gedetailleerde inligting oor die interaksie word gewys.
Vervolgens moet u uitvind watter toestelle verkeer na FlowSensor stuur en die probleem lê heel waarskynlik daar.
Boonop is StealthWatch uniek deurdat dit uitvoer deduplisering data (kombineer dieselfde strome). Daarom kan u byna alle Netflow-toestelle versamel en nie bang wees dat daar baie duplikaatdata sal wees nie. Inteendeel, in hierdie skema sal dit help om te verstaan watter hop die grootste vertragings het.
3. Oudit van HTTPS kriptografiese protokolle
ETA (Encrypted Traffic Analytics) is 'n tegnologie wat ontwikkel is deur Cisco wat jou toelaat om kwaadwillige verbindings in geënkripteerde verkeer op te spoor sonder om dit te dekripteer. Boonop laat hierdie tegnologie jou toe om HTTPS te "ontleed" in TLS-weergawes en kriptografiese protokolle wat tydens verbindings gebruik word. Hierdie funksionaliteit is veral nuttig wanneer jy netwerknodusse moet opspoor wat swak kriptostandaarde gebruik.
Let daarop: Jy moet eers die netwerktoepassing op StealthWatch installeer - ETA Kriptografiese Oudit.
Gaan na oortjie Dashboards → ETA Kriptografiese Oudit en kies die groep gashere wat ons beplan om te ontleed. Kom ons kies vir die algehele prentjie Binne-gashere.
U kan sien dat die TLS-weergawe en die ooreenstemmende kripto-standaard uitgevoer word. Volgens die gewone skema in die kolom aksies gaan na Bekyk vloei en die soektog begin in 'n nuwe oortjie.
Uit die uitset kan gesien word dat die gasheer 198.19.20.136 oor 12 uur gebruik HTTPS met TLS 1.2, waar die enkripsie-algoritme AES-256 en hash-funksie SHA-384. So, ETA laat jou toe om swak algoritmes op die netwerk te vind.
4. Netwerk anomalie analise
Cisco StealthWatch kan verkeersafwykings op die netwerk herken deur drie instrumente te gebruik: Kerngebeurtenisse (veiligheidsgebeurtenisse), Verhoudingsgebeurtenisse (gebeurtenisse van interaksies tussen segmente, netwerk nodusse) en gedragsanalise.
Gedragsanalise maak dit op sy beurt moontlik om met verloop van tyd 'n gedragsmodel vir 'n spesifieke gasheer of groep gashere te bou. Hoe meer verkeer deur StealthWatch gaan, hoe meer akkuraat sal die waarskuwings wees danksy hierdie ontleding. Aanvanklik aktiveer die stelsel baie verkeerd, so die reëls moet met die hand "gedraai" word. Ek beveel aan dat jy sulke gebeurtenisse vir die eerste paar weke ignoreer, aangesien die stelsel homself sal aanpas, of dit by uitsonderings sal voeg.
Hieronder is 'n voorbeeld van 'n voorafbepaalde reël anomalie, wat sê dat die geleentheid sal brand sonder 'n alarm as 'n gasheer in die Inside Hosts-groep het interaksie met die Inside Hosts-groep en binne 24 uur sal die verkeer 10 megagrepe oorskry.
Kom ons neem byvoorbeeld 'n alarm Dataopgaar, wat beteken dat een of ander bron/bestemmingsgasheer 'n abnormaal groot hoeveelheid data van 'n groep gashere of 'n gasheer opgelaai/afgelaai het. Klik op die gebeurtenis en gaan na die tabel waar die sneller gashere aangedui word. Kies dan die gasheer waarin ons belangstel in die kolom Dataopgaar.
'n Gebeurtenis word vertoon wat aandui dat 162k "punte" opgespoor is, en volgens die beleid word 100k "punte" toegelaat - dit is interne StealthWatch-statistieke. In 'n kolom aksies druk Bekyk vloei.
Ons kan dit waarneem gasheer gegee interaksie met die gasheer in die nag 10.201.3.47 van die departement Verkope volgens protokol HTTPS en afgelaai 1.4 GB. Miskien is hierdie voorbeeld nie heeltemal suksesvol nie, maar die opsporing van interaksies selfs vir 'n paar honderd gigagrepe word op presies dieselfde manier uitgevoer. Daarom kan verdere ondersoek na die anomalieë tot interessante resultate lei.
Let daarop: in die SMC-webkoppelvlak is data in oortjies Dashboards word slegs vir die afgelope week en in die oortjie vertoon Monitor oor die afgelope 2 weke. Om ouer gebeurtenisse te ontleed en verslae te genereer, moet jy met die java-konsole op die administrateur se rekenaar werk.
5. Soek interne netwerkskanderings
Kom ons kyk nou na 'n paar voorbeelde van feeds - inligtingsekuriteitsinsidente. Hierdie funksionaliteit is van meer belang vir sekuriteitspersoneel.
Daar is verskeie voorafbepaalde skanderingsgebeurtenistipes in StealthWatch:
- Poortskandering—die bron skandeer verskeie poorte op die bestemminggasheer.
- Addr tcp scan - die bron skandeer die hele netwerk op dieselfde TCP-poort, en verander die bestemmings IP-adres. In hierdie geval ontvang die bron TCP-terugstelpakkies of ontvang glad nie antwoorde nie.
- Addr udp-skandering - die bron skandeer die hele netwerk op dieselfde UDP-poort, terwyl die bestemmings-IP-adres verander word. In hierdie geval ontvang die bron ICMP-poort onbereikbare pakkies of ontvang glad nie antwoorde nie.
- Ping Scan - die bron stuur ICMP-versoeke na die hele netwerk om na antwoorde te soek.
- Stealth Scan tсp/udp - die bron het dieselfde poort gebruik om op dieselfde tyd aan verskeie poorte op die bestemmingsnodus te koppel.
Om dit geriefliker te maak om alle interne skandeerders gelyktydig te vind, is daar 'n netwerktoepassing vir StealthWatch - Sigbaarheidsbeoordeling. Gaan na die blad Dashboards → Sigbaarheidsevaluering → Interne netwerkskandeerders jy sal skanderingverwante sekuriteitsinsidente vir die afgelope 2 weke sien.
Deur op die knoppie te druk besonderhede, sal jy die begin van die skandering van elke netwerk, die verkeerstendens en die ooreenstemmende alarms sien.
Vervolgens kan u in die gasheer “misluk” vanaf die oortjie in die vorige skermkiekie en sekuriteitsgebeurtenisse sien, sowel as aktiwiteit oor die afgelope week vir hierdie gasheer.
As voorbeeld, kom ons ontleed die gebeurtenis Poortskandering van gasheer 10.201.3.149 op 10.201.0.72, Druk Aksies > Geassosieerde vloeie. 'n Draadsoektog word van stapel gestuur en relevante inligting word vertoon.
Hoe ons hierdie gasheer vanaf een van sy hawens sien 51508 / TCP geskandeer 3 uur gelede die bestemming gasheer deur poort 22, 28, 42, 41, 36, 40 (TCP). Sommige velde wys ook nie inligting nie omdat nie alle Netflow-velde op die Netflow-uitvoerder ondersteun word nie.
6. Ontleding van afgelaaide wanware met behulp van GTA
CTA (Cognitive Threat Analytics) — Cisco-wolkanalise, wat perfek met Cisco StealthWatch integreer en jou toelaat om handtekeningvrye analise met handtekeninganalise aan te vul. Dit maak dit moontlik om Trojans, netwerkwurms, zero-day malware en ander malware op te spoor en dit binne die netwerk te versprei. Die voorheen genoemde ETA-tegnologie stel u ook in staat om sulke kwaadwillige kommunikasie in geïnkripteer verkeer te ontleed.
Letterlik op die heel eerste oortjie in die webkoppelvlak is daar 'n spesiale legstuk Kognitiewe bedreigingsanalise. 'n Kort opsomming dui op bedreigings wat op gebruikergashere bespeur word: Trojaan, bedrieglike sagteware, irriterende reklameware. Die woord "Encrypted" dui eintlik op die werk van ETA. Deur op 'n gasheer te klik, verskyn alle inligting daaroor, sekuriteitsgebeurtenisse, insluitend GTA-logboeke.
Deur oor elke stadium van die GTA te beweeg, vertoon die gebeurtenis gedetailleerde inligting oor die interaksie. Vir volledige ontleding, klik hier Bekyk voorvalbesonderhede, en jy sal na 'n aparte konsole geneem word Kognitiewe bedreigingsanalise.
In die regter boonste hoek laat 'n filter jou toe om gebeurtenisse volgens ernsvlak te vertoon. Wanneer jy na 'n spesifieke afwyking wys, verskyn logs aan die onderkant van die skerm met 'n ooreenstemmende tydlyn aan die regterkant. Die inligtingsekuriteitspesialis verstaan dus duidelik watter besmette gasheer, waarna aksies watter aksies begin uitvoer het.
Hieronder is nog 'n voorbeeld - 'n bank-Trojaan wat die gasheer besmet het 198.19.30.36. Hierdie gasheer het begin om met kwaadwillige domeine te kommunikeer, en die logs wys inligting oor die vloei van hierdie interaksies.
Vervolgens is een van die beste oplossings wat kan wees om die gasheer in kwarantyn te plaas danksy die boorling met Cisco ISE vir verdere behandeling en ontleding.
Gevolgtrekking
Die Cisco StealthWatch-oplossing is een van die leiers onder netwerkmoniteringprodukte, beide in terme van netwerkanalise en inligtingsekuriteit. Danksy dit kan u onwettige interaksies binne die netwerk, toepassingsvertragings, die aktiefste gebruikers, afwykings, wanware en APT's opspoor. Boonop kan u skandeerders, pentesters vind en 'n kripto-oudit van HTTPS-verkeer uitvoer. U kan selfs meer gebruiksgevalle vind by .
As jy wil kyk hoe glad en doeltreffend alles op jou netwerk werk, stuur .
In die nabye toekoms beplan ons nog verskeie tegniese publikasies oor verskeie inligtingsekuriteitsprodukte. As jy belangstel in hierdie onderwerp, volg dan die opdaterings in ons kanale (, , , )!
Bron: will.com