هو حل تحليلي في مجال أمن المعلومات يوفر مراقبة شاملة للتهديدات في الشبكة الموزعة. يعتمد StealthWatch على جمع NetFlow وIPFIX من أجهزة التوجيه والمحولات وأجهزة الشبكة الأخرى. ونتيجة لذلك، تصبح الشبكة مستشعرًا حساسًا وتسمح للمسؤول بالبحث في الأماكن التي لا يمكن لطرق أمان الشبكة التقليدية، مثل Next Generation Firewall، الوصول إليها.
لقد كتبت بالفعل في مقالات سابقة عن StealthWatch: و . أقترح الآن المضي قدمًا ومناقشة كيفية التعامل مع الإنذارات والتحقيق في الحوادث الأمنية التي يولدها الحل. سيكون هناك 6 أمثلة أتمنى أن تعطي فكرة جيدة عن فائدة المنتج.
أولاً، ينبغي القول أن StealthWatch لديها بعض التوزيع للإنذارات بين الخوارزميات والخلاصات. الأول هو أنواع مختلفة من الإنذارات (الإخطارات)، عند تشغيلها، يمكنك اكتشاف الأشياء المشبوهة على الشبكة. والثاني هو الحوادث الأمنية. ستتناول هذه المقالة 4 أمثلة للخوارزميات التي تم تشغيلها ومثالين للخلاصات.
1. تحليل أكبر التفاعلات داخل الشبكة
الخطوة الأولى في إعداد StealthWatch هي تحديد المضيفين والشبكات في مجموعات. في علامة التبويب واجهة الويب تكوين > إدارة المجموعة المضيفة يجب تصنيف الشبكات والمضيفين والخوادم إلى مجموعات مناسبة. يمكنك أيضًا إنشاء مجموعاتك الخاصة. بالمناسبة، يعد تحليل التفاعلات بين المضيفين في Cisco StealthWatch أمرًا مريحًا للغاية، حيث لا يمكنك حفظ عوامل تصفية البحث حسب الدفق فحسب، بل يمكنك أيضًا حفظ النتائج نفسها.
للبدء، في واجهة الويب يجب أن تذهب إلى علامة التبويب تحليل > بحث التدفق. ثم يجب عليك تعيين المعلمات التالية:
- نوع البحث - أهم المحادثات (التفاعلات الأكثر شعبية)
- النطاق الزمني — 24 ساعة (فترة زمنية، يمكنك استخدام فترة زمنية أخرى)
- اسم البحث - أهم المحادثات من الداخل إلى الداخل (أي اسم مألوف)
- الموضوع - المجموعات المضيفة → المضيفون الداخليون (المصدر - مجموعة المضيفين الداخليين)
- الاتصال (يمكنك تحديد المنافذ والتطبيقات)
- النظير - المجموعات المضيفة ← المضيفون الداخليون (الوجهة - مجموعة العقد الداخلية)
- في الخيارات المتقدمة، يمكنك بالإضافة إلى ذلك تحديد المجمع الذي يتم عرض البيانات منه، وفرز المخرجات (حسب البايت، والتدفقات، وما إلى ذلك). سأترك الأمر كافتراضي.
بعد الضغط على الزر بحث يتم عرض قائمة بالتفاعلات التي تم فرزها بالفعل حسب كمية البيانات المنقولة.
في المثال الخاص بي المضيف 10.150.1.201 (الخادم) ينتقل ضمن موضوع واحد فقط شنومك غيغابايت حركة المرور لاستضافة 10.150.1.200 (العميل) عن طريق البروتوكول ك. زر إدارة الأعمدة يسمح لك بإضافة المزيد من الأعمدة إلى بيانات الإخراج.
بعد ذلك، وفقًا لتقدير المسؤول، يمكنك إنشاء قاعدة مخصصة تؤدي دائمًا إلى تشغيل هذا النوع من التفاعل وإعلامك عبر SNMP أو البريد الإلكتروني أو Syslog.
2. تحليل أبطأ تفاعلات العميل والخادم داخل الشبكة للتأخير
الكلمات SRT (زمن استجابة الخادم), RTT (وقت الرحلة ذهابًا وإيابًا) تسمح لك بمعرفة تأخيرات الخادم والتأخير العام في الشبكة. تعتبر هذه الأداة مفيدة بشكل خاص عندما تحتاج إلى العثور بسرعة على سبب شكاوى المستخدم بشأن تطبيق بطيء التشغيل.
لاحظ: جميع مصدري Netflow تقريبًا لا أعرف كيف إرسال علامات SRT وRTT، في كثير من الأحيان، من أجل رؤية مثل هذه البيانات على FlowSensor، تحتاج إلى تكوين إرسال نسخة من حركة المرور من أجهزة الشبكة. يقوم FlowSensor بدوره بإرسال IPFIX الممتد إلى FlowCollector.
يعد إجراء هذا التحليل أكثر ملاءمة في تطبيق StealtWatch java المثبت على جهاز الكمبيوتر الخاص بالمسؤول.
زر الفأرة الأيمن قيد التشغيل داخل المضيفين وانتقل إلى علامة التبويب جدول التدفق.
انقر فوق الفرز وتعيين المعلمات اللازمة. كمثال:
- التاريخ/الوقت - لآخر 3 أيام
- الأداء — متوسط وقت الرحلة ذهابًا وإيابًا >=50 مللي ثانية
بعد عرض البيانات يجب أن نضيف حقول RTT وSRT التي تهمنا. للقيام بذلك، انقر فوق العمود الموجود في لقطة الشاشة وحدد بزر الفأرة الأيمن إدارة الأعمدة. بعد ذلك، انقر فوق معلمات RTT وSRT.
بعد معالجة الطلب، قمت بالفرز حسب متوسط RTT وشاهدت أبطأ التفاعلات.
للذهاب إلى المعلومات التفصيلية، انقر بزر الماوس الأيمن على الدفق وحدد عرض سريع للتدفق.
تشير هذه المعلومات إلى أن المضيف 10.201.3.59 من المجموعة المبيعات والتسويق وفقًا للبروتوكول NFS مناشدات ل خادم DNS لمدة دقيقة و23 ثانية وبها تأخر رهيب. في علامة التبويب واجهات يمكنك معرفة مصدر بيانات Netflow الذي تم الحصول على المعلومات منه. في علامة التبويب طاولات ومكاتب يتم عرض معلومات أكثر تفصيلاً حول التفاعل.
بعد ذلك، يجب عليك معرفة الأجهزة التي ترسل حركة المرور إلى FlowSensor ومن المرجح أن المشكلة تكمن هناك.
علاوة على ذلك، فإن StealthWatch فريدة من نوعها من حيث أنها تجري عملياتها إلغاء البيانات المكررة البيانات (يجمع بين نفس التدفقات). لذلك، يمكنك جمع البيانات من جميع أجهزة Netflow تقريبًا ولا تخف من وجود الكثير من البيانات المكررة. على العكس تمامًا، في هذا المخطط، سيساعدك هذا المخطط على فهم القفزة التي لديها أكبر قدر من التأخير.
3. تدقيق بروتوكولات التشفير HTTPS
ETA (تحليلات حركة المرور المشفرة) هي تقنية طورتها شركة Cisco تتيح لك اكتشاف الاتصالات الضارة في حركة المرور المشفرة دون فك تشفيرها. علاوة على ذلك، تتيح لك هذه التقنية "تحليل" HTTPS إلى إصدارات TLS وبروتوكولات التشفير المستخدمة أثناء الاتصالات. تكون هذه الوظيفة مفيدة بشكل خاص عندما تحتاج إلى اكتشاف عقد الشبكة التي تستخدم معايير تشفير ضعيفة.
لاحظ: يجب عليك أولاً تثبيت تطبيق الشبكة على StealthWatch - تدقيق التشفير ETA.
انتقل إلى علامة التبويب لوحات المعلومات → تدقيق تشفير ETA وحدد مجموعة المضيفين التي نخطط لتحليلها. بالنسبة للصورة الشاملة، دعونا نختار داخل المضيفين.
يمكنك أن ترى أنه تم إخراج إصدار TLS ومعيار التشفير المقابل. حسب المخطط المعتاد في العمود الإجراءات اذهب إلى عرض التدفقات ويبدأ البحث في علامة تبويب جديدة.
من الإخراج يمكن أن نرى أن المضيف 198.19.20.136 طوال الوقت ساعات 12 يستخدم HTTPS مع TLS 1.2، حيث خوارزمية التشفير AES-256 ووظيفة التجزئة SHA-384. وبالتالي، يتيح لك ETA العثور على خوارزميات ضعيفة على الشبكة.
4. تحليل شذوذ الشبكة
يمكن لـ Cisco StealthWatch التعرف على الحالات الشاذة في حركة المرور على الشبكة باستخدام ثلاث أدوات: الأحداث الأساسية (الأحداث الأمنية)، أحداث العلاقة (أحداث التفاعلات بين القطاعات وعقد الشبكة) و التحليل السلوكي.
ويسمح التحليل السلوكي بدوره بمرور الوقت ببناء نموذج سلوك لمضيف معين أو مجموعة من المضيفين. كلما زاد عدد الزيارات التي تمر عبر StealthWatch، أصبحت التنبيهات أكثر دقة بفضل هذا التحليل. في البداية، يتم تشغيل النظام بشكل غير صحيح كثيرًا، لذلك يجب "تحريف" القواعد يدويًا. أنصحك بتجاهل مثل هذه الأحداث في الأسابيع القليلة الأولى، حيث سيقوم النظام بتعديل نفسه، أو إضافتها إلى الاستثناءات.
فيما يلي مثال لقاعدة محددة مسبقًا شذوذ، والتي تنص على أن الحدث سيتم إطلاقه بدون إنذار إذا يتفاعل مضيف في مجموعة المضيفين الداخليين مع مجموعة المضيفين الداخليين وخلال 24 ساعة ستتجاوز حركة المرور 10 ميغابايت.
على سبيل المثال، لنأخذ المنبه اكتناز البيانات، مما يعني أن بعض مضيف المصدر/الوجهة قام بتحميل/تنزيل كمية كبيرة بشكل غير طبيعي من البيانات من مجموعة من المضيفين أو المضيف. انقر على الحدث وانتقل إلى الجدول حيث تتم الإشارة إلى مضيفي التشغيل. بعد ذلك، حدد المضيف الذي يهمنا في العمود اكتناز البيانات.
يتم عرض حدث يشير إلى اكتشاف 162 ألف "نقطة"، ووفقًا للسياسة، يُسمح بـ 100 ألف "نقطة" - وهذه هي مقاييس StealthWatch الداخلية. في عمود الإجراءات يدفع عرض التدفقات.
يمكننا أن نلاحظ ذلك المضيف المعطى تفاعلت مع المضيف في الليل 10.201.3.47 من القسم المبيعات والتسويق وفقًا للبروتوكول HTTPS وتحميلها شنومك غيغابايت. ربما لم يكن هذا المثال ناجحًا تمامًا، ولكن اكتشاف التفاعلات حتى لعدة مئات من الجيجابايت يتم بنفس الطريقة تمامًا. ولذلك، فإن إجراء مزيد من التحقيق في الحالات الشاذة قد يؤدي إلى نتائج مثيرة للاهتمام.
لاحظ: في واجهة ويب SMC، تكون البيانات في علامات التبويب لوحات القيادة يتم عرضها فقط للأسبوع الماضي وفي علامة التبويب مراقبة خلال الأسبوعين الماضيين. لتحليل الأحداث القديمة وإنشاء التقارير، تحتاج إلى العمل مع وحدة تحكم Java على كمبيوتر المسؤول.
5. العثور على عمليات فحص الشبكة الداخلية
الآن دعونا نلقي نظرة على بعض الأمثلة على الخلاصات - حوادث أمن المعلومات. هذه الوظيفة ذات أهمية أكبر لمحترفي الأمن.
هناك العديد من أنواع أحداث الفحص المعدة مسبقًا في StealthWatch:
- فحص المنفذ - يقوم المصدر بمسح منافذ متعددة على المضيف الوجهة.
- فحص Addr tcp - يقوم المصدر بفحص الشبكة بأكملها على نفس منفذ TCP، مما يؤدي إلى تغيير عنوان IP الوجهة. في هذه الحالة، يتلقى المصدر حزم إعادة تعيين TCP أو لا يتلقى استجابات على الإطلاق.
- فحص Addr udp - يقوم المصدر بفحص الشبكة بالكامل على نفس منفذ UDP، مع تغيير عنوان IP الوجهة. في هذه الحالة، يستقبل المصدر حزم منفذ ICMP التي لا يمكن الوصول إليها أو لا يتلقى استجابات على الإطلاق.
- فحص Ping - يرسل المصدر طلبات ICMP إلى الشبكة بالكامل للبحث عن الإجابات.
- Stealth Scan tсp/udp - استخدم المصدر نفس المنفذ للاتصال بمنافذ متعددة على العقدة الوجهة في نفس الوقت.
لتسهيل العثور على جميع الماسحات الضوئية الداخلية مرة واحدة، يوجد تطبيق شبكي لـ StealthWatch - تقييم الرؤية. الذهاب إلى علامة التبويب لوحات المعلومات ← تقييم الرؤية ← ماسحات الشبكة الداخلية ستشاهد حوادث أمنية متعلقة بالمسح خلال الأسبوعين الماضيين.
النقر على الزر التفاصيل، سوف ترى بداية المسح لكل شبكة، واتجاه حركة المرور والإنذارات المقابلة.
بعد ذلك، يمكنك "الفشل" في الدخول إلى المضيف من علامة التبويب الموجودة في لقطة الشاشة السابقة والاطلاع على الأحداث الأمنية، بالإضافة إلى النشاط خلال الأسبوع الماضي لهذا المضيف.
على سبيل المثال، دعونا نحلل الحدث ميناء المسح الضوئي من المضيف 10.201.3.149 في 10.201.0.72الضغط الإجراءات > التدفقات المرتبطة. يتم إطلاق عملية بحث حول الموضوع ويتم عرض المعلومات ذات الصلة.
كيف نرى هذا المضيف من أحد منافذه 51508 / TCP تم فحصها قبل 3 ساعات من المضيف الوجهة عن طريق المنفذ 22، 28، 42، 41، 36، 40 (برنامج التعاون الفني). لا تعرض بعض الحقول معلومات إما لأنه ليست كل حقول Netflow مدعومة في مُصدِّر Netflow.
6. تحليل البرامج الضارة التي تم تنزيلها باستخدام CTA
CTA (تحليلات التهديدات المعرفية) — التحليلات السحابية من Cisco، والتي تتكامل بشكل مثالي مع Cisco StealthWatch وتسمح لك باستكمال التحليل الخالي من التوقيع مع تحليل التوقيع. وهذا يجعل من الممكن اكتشاف أحصنة طروادة وديدان الشبكة والبرامج الضارة ذات يوم الصفر وغيرها من البرامج الضارة وتوزيعها داخل الشبكة. كما تسمح لك تقنية ETA المذكورة سابقًا بتحليل مثل هذه الاتصالات الضارة في حركة المرور المشفرة.
حرفيًا، يوجد في علامة التبويب الأولى في واجهة الويب أداة خاصة تحليلات التهديد المعرفي. يشير الملخص الموجز إلى التهديدات المكتشفة على مضيفي المستخدمين: حصان طروادة، والبرامج الاحتيالية، والبرامج الإعلانية المزعجة. تشير كلمة "مشفر" في الواقع إلى عمل ETA. من خلال النقر على المضيف، تظهر جميع المعلومات المتعلقة به والأحداث الأمنية، بما في ذلك سجلات CTA.
من خلال التمرير فوق كل مرحلة من مراحل CTA، يعرض الحدث معلومات مفصلة حول التفاعل. للحصول على تحليلات كاملة، انقر هنا عرض تفاصيل الحادث، وسيتم نقلك إلى وحدة تحكم منفصلة تحليلات التهديد المعرفي.
في الزاوية اليمنى العليا، يسمح لك عامل التصفية بعرض الأحداث حسب مستوى الخطورة. عندما تشير إلى حالة شاذة معينة، تظهر السجلات في الجزء السفلي من الشاشة مع المخطط الزمني المقابل على اليمين. وبالتالي، فإن أخصائي أمن المعلومات يفهم بوضوح أي مضيف مصاب، وبعد ذلك الإجراءات، بدأ في تنفيذ الإجراءات.
فيما يلي مثال آخر - حصان طروادة المصرفي الذي أصاب المضيف 198.19.30.36. بدأ هذا المضيف في التفاعل مع المجالات الضارة، وتعرض السجلات معلومات حول تدفق هذه التفاعلات.
بعد ذلك، أحد أفضل الحلول الممكنة هو عزل المضيف بفضل المواطن الأصلي مع Cisco ISE لمزيد من العلاج والتحليل.
اختتام
يعد حل Cisco StealthWatch أحد الحلول الرائدة بين منتجات مراقبة الشبكات من حيث تحليل الشبكة وأمن المعلومات. بفضله، يمكنك اكتشاف التفاعلات غير المشروعة داخل الشبكة، وتأخير التطبيقات، والمستخدمين الأكثر نشاطًا، والحالات الشاذة، والبرامج الضارة، والتهديدات المستمرة المتقدمة. علاوة على ذلك، يمكنك العثور على الماسحات الضوئية وأجهزة الاختراق وإجراء تدقيق التشفير لحركة مرور HTTPS. يمكنك العثور على المزيد من حالات الاستخدام على .
إذا كنت ترغب في التحقق من مدى سلاسة وكفاءة كل شيء يعمل على شبكتك، أرسل .
وفي المستقبل القريب، نخطط لإصدار المزيد من المنشورات الفنية حول منتجات أمن المعلومات المختلفة. إذا كنت مهتمًا بهذا الموضوع، فتابع التحديثات في قنواتنا (, , , )!
المصدر: www.habr.com