paylanmış şəbəkədə təhdidlərin hərtərəfli monitorinqini təmin edən informasiya təhlükəsizliyi sahəsində analitik həlldir. StealthWatch marşrutlaşdırıcılardan, açarlardan və digər şəbəkə cihazlarından NetFlow və IPFIX toplamağa əsaslanır. Nəticədə şəbəkə həssas sensora çevrilir və administratora Next Generation Firewall kimi ənənəvi şəbəkə təhlükəsizliyi üsullarının çata bilmədiyi yerlərə baxmaq imkanı verir.
Əvvəlki məqalələrdə artıq StealthWatch haqqında yazmışdım: Və . İndi mən davam etməyi və həyəcan siqnalları ilə necə işləməyi və həllin yaratdığı təhlükəsizlik insidentlərini araşdırmağı müzakirə etməyi təklif edirəm. Ümid edirəm ki, məhsulun faydalılığı haqqında yaxşı bir fikir verəcək 6 nümunə olacaq.
Birincisi, StealthWatch-də alqoritmlər və yemlər arasında həyəcan siqnallarının bəzi paylanması olduğunu söyləmək lazımdır. Birincisi, müxtəlif növ həyəcan siqnallarıdır (bildirişlər), işə salındıqda şəbəkədə şübhəli şeyləri aşkar edə bilərsiniz. İkincisi, təhlükəsizliklə bağlı insidentlərdir. Bu məqalə tetiklenen alqoritmlərin 4 nümunəsinə və yayımların 2 nümunəsinə baxacaq.
1. Şəbəkə daxilində ən böyük qarşılıqlı əlaqənin təhlili
StealthWatch-in qurulmasında ilkin addım hostları və şəbəkələri qruplara ayırmaqdır. Veb interfeysi nişanında Konfiqurasiya > Host Qrupunun İdarə Edilməsi Şəbəkələr, hostlar və serverlər müvafiq qruplara təsnif edilməlidir. Siz həmçinin öz qruplarınızı yarada bilərsiniz. Yeri gəlmişkən, Cisco StealthWatch-də hostlar arasında qarşılıqlı əlaqəni təhlil etmək olduqca rahatdır, çünki siz yalnız axtarış filtrlərini axınla deyil, həm də nəticələrin özlərini saxlaya bilərsiniz.
Başlamaq üçün veb interfeysində nişana keçməlisiniz Analiz et > Axın Axtar. Sonra aşağıdakı parametrləri təyin etməlisiniz:
- Axtarış Növü - Ən Yaxşı Söhbətlər (ən populyar qarşılıqlı əlaqə)
- Vaxt diapazonu — 24 saat (müddət, başqasından istifadə edə bilərsiniz)
- Axtarış Adı - İçəridə Ən Yaxşı Söhbətlər (hər hansı dost ad)
- Mövzu - Host Qrupları → Daxili Hostlar (mənbə - daxili hostlar qrupu)
- Bağlantı (portları, proqramları təyin edə bilərsiniz)
- Peer - Host Qrupları → Daxili Hostlar (təyinat - daxili qovşaqlar qrupu)
- Qabaqcıl Seçimlərdə siz əlavə olaraq məlumatların baxıldığı kollektoru təyin edə bilərsiniz, çıxışı çeşidləyə bilərsiniz (baytlara, axınlara və s.). Mən onu defolt olaraq buraxacağam.
Düyməni basdıqdan sonra axtarış
artıq ötürülən məlumatların miqdarına görə çeşidlənmiş qarşılıqlı əlaqə siyahısı göstərilir.
Mənim nümunəmdə ev sahibi 10.150.1.201 (server) yalnız bir başlıq daxilində ötürülür 1.5 GB host üçün trafik 10.150.1.200 (müştəri) protokolla mysql. Düymə Sütunları idarə edin çıxış məlumatlarına daha çox sütun əlavə etməyə imkan verir.
Bundan sonra, administratorun mülahizəsinə əsasən, siz həmişə bu tip qarşılıqlı əlaqəyə səbəb olacaq və SNMP, e-poçt və ya Syslog vasitəsilə sizi xəbərdar edəcək fərdi qayda yarada bilərsiniz.
2. Gecikmələr üçün şəbəkə daxilində ən yavaş müştəri-server qarşılıqlı əlaqəsinin təhlili
Etiketlər SRT (Server Cavab Vaxtı), RTT (Gediş-gəliş vaxtı) server gecikmələrini və ümumi şəbəkə gecikmələrini öyrənməyə imkan verir. Bu alət xüsusilə yavaş işləyən proqramla bağlı istifadəçi şikayətlərinin səbəbini tez tapmaq lazım olduqda faydalıdır.
Qeyd: demək olar ki, bütün Netflow ixracatçıları necə bilmirəm SRT, RTT etiketlərini göndərin, belə ki, FlowSensor-da bu cür məlumatları görmək üçün şəbəkə cihazlarından trafikin surətinin göndərilməsini konfiqurasiya etməlisiniz. FlowSensor öz növbəsində genişləndirilmiş IPFIX-i FlowCollector-a göndərir.
Bu təhlili idarəçinin kompüterində quraşdırılmış StealtWatch java proqramında aparmaq daha rahatdır.
Sağ siçan düyməsini yandırın Daxili Hostlar və nişana keçin Axın Cədvəli.
Basın Süzgəc və lazımi parametrləri təyin edin. Nümunə olaraq:
- Tarix/Vaxt - Son 3 gün üçün
- Performans — Orta Gediş-gəliş Müddəti >=50ms
Məlumatları göstərdikdən sonra bizi maraqlandıran RTT və SRT sahələrini əlavə etməliyik. Bunu etmək üçün ekran görüntüsündəki sütunu vurun və sağ siçan düyməsini seçin Sütunları idarə edin. Sonra RTT, SRT parametrlərinə klikləyin.
Sorğunu emal etdikdən sonra RTT ortasına görə sıraladım və ən yavaş qarşılıqlı əlaqəni gördüm.
Ətraflı məlumatlara daxil olmaq üçün axının üzərinə sağ klikləyin və seçin Axın üçün Tez Görünüş.
Bu məlumat ev sahibi olduğunu göstərir 10.201.3.59 qrupdan Satış və Marketinq protokolla NFS müraciət edir DNS server dəqiqə 23 saniyə və sadəcə dəhşətli gecikmə var. Nişanda İnterfeys məlumatın hansı Netflow məlumat ixracatçısından alındığını öyrənə bilərsiniz. Nişanda Masa Qarşılıqlı əlaqə haqqında daha ətraflı məlumat göstərilir.
Sonra, hansı cihazların FlowSensor-a trafik göndərdiyini və problemin çox güman ki, orada olduğunu öyrənməlisiniz.
Üstəlik, StealthWatch apardığına görə unikaldır deduplikasiya data (eyni axınları birləşdirir). Buna görə, demək olar ki, bütün Netflow cihazlarından toplaya bilərsiniz və çoxlu dublikat məlumatların olacağından qorxmamalısınız. Əksinə, bu sxemdə hansı hopun ən böyük gecikmələrə malik olduğunu anlamağa kömək edəcəkdir.
3. HTTPS kriptoqrafik protokollarının auditi
ETA (Şifrələnmiş Trafik Analitikası) Cisco tərəfindən hazırlanmış texnologiyadır və şifrələnmiş trafikdə zərərli əlaqələri şifrəni açmadan aşkar etməyə imkan verir. Üstəlik, bu texnologiya HTTPS-ni TLS versiyalarına və bağlantılar zamanı istifadə olunan kriptoqrafik protokollara “analiz etməyə” imkan verir. Bu funksionallıq xüsusilə zəif kripto standartlarından istifadə edən şəbəkə qovşaqlarını aşkar etmək lazım olduqda faydalıdır.
Qeyd: Əvvəlcə StealthWatch-də şəbəkə proqramını quraşdırmalısınız - ETA Kriptoqrafik Audit.
Taba keçin Panellər → ETA Kriptoqrafik Audit və təhlil etməyi planlaşdırdığımız hostlar qrupunu seçin. Ümumi şəkil üçün seçim edək Daxili Hostlar.
TLS versiyasının və müvafiq kripto standartının çıxdığını görə bilərsiniz. Sütundakı adi sxemə görə Actions getmək Axınlara baxın və axtarış yeni tabda başlayır.
Çıxışdan görünür ki, ev sahibi 198.19.20.136 boyunca 12 saat Şifrələmə alqoritminin olduğu TLS 1.2 ilə HTTPS istifadə olunur AES-256 və hash funksiyası SHA-384. Beləliklə, ETA şəbəkədə zəif alqoritmləri tapmağa imkan verir.
4. Şəbəkə anomaliyasının təhlili
Cisco StealthWatch üç alətdən istifadə edərək şəbəkədəki trafik anomaliyalarını tanıya bilər: Əsas Hadisələr (təhlükəsizlik hadisələri), Münasibət hadisələri (seqmentlər, şəbəkə qovşaqları arasında qarşılıqlı əlaqə hadisələri) və davranış təhlili.
Davranış təhlili, öz növbəsində, zamanla müəyyən bir ev sahibi və ya hostlar qrupu üçün davranış modelini qurmağa imkan verir. StealthWatch vasitəsilə nə qədər çox trafik keçsə, bu analiz sayəsində xəbərdarlıqlar bir o qədər dəqiq olacaq. Əvvəlcə sistem çox səhv işə salır, buna görə də qaydalar əl ilə "burulmalıdır". İlk bir neçə həftə ərzində bu cür hadisələrə məhəl qoymamağınızı tövsiyə edirəm, çünki sistem özünü tənzimləyəcək və ya onları istisnalara əlavə edəcək.
Aşağıda əvvəlcədən təyin edilmiş qaydanın nümunəsi verilmişdir Anomaliya, hadisənin həyəcan siqnalı vermədən atəş edəcəyini ifadə edir Inside Hosts qrupundakı host Inside Hosts qrupu ilə qarşılıqlı əlaqə qurur və 24 saat ərzində trafik 10 meqabaytı keçəcək.
Məsələn, həyəcan siqnalını götürək Məlumatların yığılması, bu o deməkdir ki, bəzi mənbə/təyinat hostları bir qrup hostdan və ya hostdan qeyri-adi dərəcədə böyük həcmdə məlumat yükləyib/endirib. Tədbirə klikləyin və tetikleyici hostların göstərildiyi cədvələ keçin. Sonra, sütunda maraqlandığımız hostu seçin Məlumatların yığılması.
162k "bal" aşkar edildiyini göstərən hadisə göstərilir və siyasətə əsasən, 100k "bal"a icazə verilir - bunlar daxili StealthWatch ölçüləridir. Bir sütunda Actions itələmək Axınlara baxın.
Biz bunu müşahidə edə bilərik ev sahibi verilir gecə ev sahibi ilə əlaqə saxladı 10.201.3.47 şöbəsindən Satış və marketinq protokolla HTTPS və endirildi 1.4 GB. Bəlkə də bu nümunə tamamilə uğurlu deyil, lakin bir neçə yüz gigabayt üçün qarşılıqlı əlaqənin aşkarlanması tamamilə eyni şəkildə həyata keçirilir. Buna görə də anomaliyaların daha çox araşdırılması maraqlı nəticələrə səbəb ola bilər.
Qeyd: SMC veb interfeysində məlumatlar tablardadır Panelinə yalnız son həftə və tabda göstərilir Monitor son 2 həftə ərzində. Köhnə hadisələri təhlil etmək və hesabatlar yaratmaq üçün administratorun kompüterində java konsolu ilə işləmək lazımdır.
5. Daxili şəbəkə skanlarının tapılması
İndi isə lentlərin bir neçə nümunəsinə - informasiya təhlükəsizliyi insidentlərinə baxaq. Bu funksionallıq təhlükəsizlik mütəxəssislərini daha çox maraqlandırır.
StealthWatch-də bir neçə əvvəlcədən təyin edilmiş skan hadisəsi növləri var:
- Port Skanı - mənbə təyinat hostunda birdən çox portu skan edir.
- Addr tcp scan - mənbə təyinat IP ünvanını dəyişdirərək eyni TCP portunda bütün şəbəkəni skan edir. Bu halda mənbə TCP Sıfırlama paketlərini alır və ya ümumiyyətlə cavab almır.
- Addr udp scan - mənbə təyinat IP ünvanını dəyişdirərkən eyni UDP portunda bütün şəbəkəni skan edir. Bu halda mənbə ICMP Port Unreachable paketlərini alır və ya ümumiyyətlə cavab almır.
- Ping Scan - mənbə cavabları axtarmaq üçün bütün şəbəkəyə ICMP sorğuları göndərir.
- Stealth Scan tсp/udp - mənbə eyni vaxtda təyinat qovşağında bir neçə porta qoşulmaq üçün eyni portdan istifadə edib.
Bütün daxili skanerləri bir anda tapmağı daha rahat etmək üçün şəbəkə proqramı mövcuddur StealthWatch - Görünüşün Qiymətləndirilməsi. Taba gedir İdarə panelləri → Görünüşün Qiymətləndirilməsi → Daxili Şəbəkə Skanerləri son 2 həftə ərzində skan ilə bağlı təhlükəsizlik insidentlərini görəcəksiniz.
Düyməni klikləməklə Ətraflı, siz hər bir şəbəkənin skanının başlanğıcını, trafik trendini və müvafiq həyəcan siqnallarını görəcəksiniz.
Sonra, əvvəlki skrinşotdakı tabdan hosta “uğursuz” keçə və təhlükəsizlik tədbirlərinə, eləcə də bu ev sahibi üçün son bir həftə ərzində fəaliyyətə baxa bilərsiniz.
Nümunə olaraq hadisəni təhlil edək Port Skanı hostdan 10.201.3.149 haqqında 10.201.0.72, basaraq Fəaliyyətlər > Əlaqəli axınlar. Mövzu axtarışı başladılır və müvafiq məlumat göstərilir.
Bu hostu limanlarından birindən necə görürük 51508 / TCP 3 saat əvvəl təyinat hostu portla skan edildi 22, 28, 42, 41, 36, 40 (TCP). Bəzi sahələr məlumatı göstərmir, çünki bütün Netflow sahələri Netflow ixracatçısında dəstəklənmir.
6. CTA istifadə edərək yüklənmiş zərərli proqramların təhlili
CTA (Koqnitiv Təhdid Analitikası) — Cisco StealthWatch ilə mükəmməl inteqrasiya edən və imzasız analizi imza analizi ilə tamamlamağa imkan verən Cisco bulud analitikası. Bu, troyanları, şəbəkə qurdlarını, sıfır gün zərərli proqramlarını və digər zərərli proqramları aşkar etməyə və onları şəbəkə daxilində yaymağa imkan verir. Həmçinin, əvvəllər qeyd olunan ETA texnologiyası şifrələnmiş trafikdə bu cür zərərli kommunikasiyaları təhlil etməyə imkan verir.
Sözün əsl mənasında, veb-interfeysdə ilk sekmədə xüsusi bir widget var Koqnitiv Təhdid Analitikası. Qısa xülasə istifadəçi hostlarında aşkar edilmiş təhdidləri göstərir: Trojan, saxta proqram, bezdirici reklam proqramı. “Şifrələnmiş” sözü əslində ETA-nın işini göstərir. Host üzərinə klikləməklə onun haqqında bütün məlumatlar, CTA qeydləri daxil olmaqla təhlükəsizlik hadisələri görünür.
CTA-nın hər bir mərhələsinin üzərinə sürüşdürməklə, hadisə qarşılıqlı əlaqə haqqında ətraflı məlumat göstərir. Tam analitika üçün bura klikləyin Hadisə Təfərrüatlarına Baxın, və siz ayrıca konsola aparılacaqsınız Koqnitiv Təhdid Analitikası.
Yuxarı sağ küncdə bir filtr hadisələri şiddət səviyyəsinə görə göstərməyə imkan verir. Müəyyən bir anomaliyaya işarə etdiyiniz zaman, qeydlər ekranın aşağı hissəsində sağda müvafiq qrafiki ilə görünür. Beləliklə, informasiya təhlükəsizliyi üzrə mütəxəssis hansı virusa yoluxmuş hostu, hansı hərəkətlərdən sonra hansı hərəkətləri yerinə yetirməyə başladığını aydın başa düşür.
Aşağıda başqa bir nümunə var - hostu yoluxduran bank troyanı 198.19.30.36. Bu host zərərli domenlərlə qarşılıqlı əlaqədə olmağa başladı və qeydlər bu qarşılıqlı əlaqənin axını haqqında məlumatı göstərir.
Sonra, ola biləcək ən yaxşı həll yollarından biri, yerli sayəsində ev sahibini karantinə almaqdır əlavə müalicə və təhlil üçün Cisco ISE ilə.
Nəticə
Cisco StealthWatch həlli həm şəbəkə təhlili, həm də informasiya təhlükəsizliyi baxımından şəbəkə monitorinqi məhsulları arasında liderlərdən biridir. Onun sayəsində siz şəbəkə daxilində qeyri-qanuni qarşılıqlı əlaqələri, tətbiq gecikmələrini, ən aktiv istifadəçiləri, anomaliyaları, zərərli proqramları və APT-ləri aşkar edə bilərsiniz. Bundan əlavə, siz skanerlər, pentesters tapa bilərsiniz və HTTPS trafikinin kripto-auditini keçirə bilərsiniz. Daha çox istifadə hallarını burada tapa bilərsiniz .
Şəbəkənizdə hər şeyin necə düzgün və səmərəli işlədiyini yoxlamaq istəyirsinizsə, göndərin .
Yaxın gələcəkdə biz müxtəlif informasiya təhlükəsizliyi məhsulları üzrə daha bir neçə texniki nəşr planlaşdırırıq. Əgər bu mövzu ilə maraqlanırsınızsa, o zaman kanallarımızdakı yenilikləri izləyin (, , , )!
Mənbə: www.habr.com