StealthWatch: анализ и разследване на инциденти. Част 3

Cisco StealthWatch е аналитично решение в областта на информационната сигурност, което осигурява цялостен мониторинг на заплахи в разпределена мрежа. StealthWatch се основава на събиране на NetFlow и IPFIX от рутери, комутатори и други мрежови устройства. В резултат на това мрежата се превръща в чувствителен сензор и позволява на администратора да търси места, където традиционните методи за мрежова сигурност, като защитната стена от следващо поколение, не могат да достигнат.

В предишни статии вече писах за StealthWatch: първо представяне и възможностиИ внедряване и конфигуриране. Сега предлагам да продължим напред и да обсъдим как да работим с аларми и да разследваме инциденти със сигурността, които решението генерира. Ще има 6 примера, които се надявам да дадат добра представа за полезността на продукта.

Първо, трябва да се каже, че StealthWatch има известно разпределение на алармите между алгоритми и канали. Първите са различни видове аларми (известия), когато се задействат, можете да откриете подозрителни неща в мрежата. Второто са инциденти със сигурността. Тази статия ще разгледа 4 примера за задействани алгоритми и 2 примера за емисии.

1. Анализ на най-големите взаимодействия в мрежата

Първоначалната стъпка при настройването на StealthWatch е да се дефинират хостове и мрежи в групи. В раздела на уеб интерфейса Конфигуриране > Управление на хост група Мрежите, хостовете и сървърите трябва да бъдат класифицирани в подходящи групи. Можете също да създадете свои собствени групи. Между другото, анализирането на взаимодействията между хостовете в Cisco StealthWatch е доста удобно, тъй като можете не само да запазвате филтри за търсене по поток, но и самите резултати.

Като начало в уеб интерфейса трябва да отидете в раздела Анализ > Търсене в поток. След това трябва да зададете следните параметри:

• Тип търсене - Най-популярни разговори (най-популярни взаимодействия)
• Времеви диапазон — 24 часа (времеви период, можете да използвате друг)
• Име за търсене - Най-популярни разговори отвътре-отвътре (всяко приятелско име)
• Тема - Групи хостове → Вътрешни хостове (източник - група вътрешни хостове)
• Връзка (можете да посочите портове, приложения)
• Peer - Групи хостове → Вътрешни хостове (дестинация - група от вътрешни възли)
• В Разширени опции можете допълнително да посочите колектора, от който се преглеждат данните, като сортирате изхода (по байтове, потоци и т.н.). Ще го оставя по подразбиране.

След натискане на бутона Търсене показва се списък с взаимодействия, които вече са сортирани по количество прехвърлени данни.

В моя пример домакинът 10.150.1.201 (сървър), предавани само в една нишка 1.5 GB трафик към хост 10.150.1.200 (клиент) по протокол MySQL. Бутон Управление на колони ви позволява да добавите повече колони към изходните данни.

След това, по преценка на администратора, можете да създадете персонализирано правило, което винаги ще задейства този тип взаимодействие и ще ви уведомява чрез SNMP, имейл или Syslog.

2. Анализ на най-бавните взаимодействия клиент-сървър в мрежата за закъснения

Tags SRT (време за реакция на сървъра), RTT (време за отиване и връщане) ви позволяват да откриете закъснения на сървъра и общи закъснения в мрежата. Този инструмент е особено полезен, когато трябва бързо да намерите причината за оплакванията на потребителите относно бавно работещо приложение.

Внимание: почти всички износители на Netflow не знам как изпращайте SRT, RTT тагове, така че често, за да видите такива данни на FlowSensor, трябва да конфигурирате изпращането на копие на трафика от мрежови устройства. FlowSensor на свой ред изпраща разширения IPFIX към FlowCollector.

По-удобно е този анализ да се извърши в java приложението StealtWatch, което е инсталирано на компютъра на администратора.

Включен десен бутон на мишката Inside Hosts и отидете на раздела Таблица на потока.

Кликнете върху филтър и задайте необходимите параметри. Като пример:

• Дата/Час - За последните 3 дни
• Производителност — средно време за двупосочно пътуване >=50ms

След като покажем данните, трябва да добавим RTT и SRT полетата, които ни интересуват. За да направите това, щракнете върху колоната в екранната снимка и изберете с десния бутон на мишката Управление на колони. След това щракнете върху RTT, SRT параметри.

След като обработих заявката, сортирах по RTT средна стойност и видях най-бавните взаимодействия.

За да влезете в подробна информация, щракнете с десния бутон върху потока и изберете Бърз преглед за Flow.

Тази информация показва, че хостът 10.201.3.59 от групата Продажби и маркетинг по протокол NFS апелира към DNS сървър за минута и 23 секунди и има просто ужасно забавяне. В раздела Интерфейси можете да разберете от кой експортер на данни Netflow е получена информацията. В раздела Маса Показана е по-подробна информация за взаимодействието.

След това трябва да разберете кои устройства изпращат трафик към FlowSensor и проблемът най-вероятно е там.

Освен това StealthWatch е уникален с това, че провежда дедупликация данни (комбинира едни и същи потоци). Следователно можете да събирате от почти всички устройства Netflow и да не се страхувате, че ще има много дублирани данни. Точно обратното, в тази схема ще помогне да се разбере кой хоп има най-големи забавяния.

3. Одит на HTTPS криптографски протоколи

ETA (Анализ на шифрован трафик) е технология, разработена от Cisco, която ви позволява да откривате злонамерени връзки в криптиран трафик, без да го дешифрирате. Освен това, тази технология ви позволява да „анализирате“ HTTPS във версии на TLS и криптографски протоколи, които се използват по време на връзки. Тази функционалност е особено полезна, когато трябва да откриете мрежови възли, които използват слаби крипто стандарти.

Внимание: Първо трябва да инсталирате мрежовото приложение на StealthWatch - ETA криптографски одит.

Отидете в раздела Табла за управление → ETA криптографски одит и изберете групата хостове, които планираме да анализираме. За общата картина, нека изберем Inside Hosts.

Можете да видите, че се извеждат TLS версията и съответният крипто стандарт. По обичайната схема в колоната Действия отидете на Преглед на потоци и търсенето започва в нов раздел.

От изхода се вижда, че хостът 198.19.20.136 над 12 часа използва HTTPS с TLS 1.2, където алгоритъмът за криптиране AES-256 и хеш функция SHA-384. По този начин ETA ви позволява да намерите слаби алгоритми в мрежата.

4. Анализ на мрежови аномалии

Cisco StealthWatch може да разпознае аномалии в трафика в мрежата с помощта на три инструмента: Основни събития (събития за сигурност), Събития в отношенията (събития на взаимодействия между сегменти, мрежови възли) и поведенчески анализ.

Поведенческият анализ, от своя страна, позволява с течение на времето да се изгради модел на поведение за определен хост или група от хостове. Колкото повече трафик преминава през StealthWatch, толкова по-точни ще бъдат сигналите благодарение на този анализ. Първоначално системата задейства много неправилно, така че правилата трябва да се „завъртят“ на ръка. Препоръчвам ви да игнорирате подобни събития през първите няколко седмици, тъй като системата ще се коригира сама или ще ги добави към изключения.

По-долу е даден пример за предварително дефинирано правило аномалия, което гласи, че събитието ще се активира без аларма, ако хост в групата Inside Hosts взаимодейства с групата Inside Hosts и в рамките на 24 часа трафикът ще надхвърли 10 мегабайта.

Например, нека вземем аларма Натрупване на данни, което означава, че някакъв хост източник/дестинация е качил/изтеглил необичайно голямо количество данни от група хостове или хост. Кликнете върху събитието и отидете до таблицата, където са посочени задействащите хостове. След това изберете хоста, който ни интересува в колоната Натрупване на данни.

Показва се събитие, което показва, че са открити 162 100 „точки“ и според правилата са разрешени XNUMX XNUMX „точки“ - това са вътрешни показатели на StealthWatch. В колона Действия натискам Преглед на потоци.

Можем да наблюдаваме това даден хост взаимодейства с домакина през нощта 10.201.3.47 от катедрата продажби и маркетинг по протокол HTTPS и изтеглени 1.4 GB. Може би този пример не е напълно успешен, но откриването на взаимодействия дори за няколкостотин гигабайта се извършва по абсолютно същия начин. Следователно по-нататъшното изследване на аномалиите може да доведе до интересни резултати.

Внимание: в уеб интерфейса на SMC данните са в раздели Dashboards се показват само за последната седмица и в раздела Монитор през последните 2 седмици. За да анализирате по-стари събития и да генерирате отчети, трябва да работите с java конзолата на компютъра на администратора.

5. Намиране на вътрешни мрежови сканирания

Сега нека да разгледаме няколко примера за емисии - инциденти на информационната сигурност. Тази функционалност е от по-голям интерес за специалистите по сигурността.

В StealthWatch има няколко предварително зададени типа събития за сканиране:

• Port Scan—източникът сканира множество портове на целевия хост.
• Addr tcp scan - източникът сканира цялата мрежа на същия TCP порт, променяйки IP адреса на местоназначението. В този случай източникът получава пакети TCP Reset или изобщо не получава отговори.
• Addr udp сканиране - източникът сканира цялата мрежа на един и същ UDP порт, като същевременно променя целевия IP адрес. В този случай източникът получава пакети ICMP Port Unreachable или изобщо не получава отговори.
• Ping Scan - източникът изпраща ICMP заявки до цялата мрежа, за да търси отговори.
• Stealth Scan tсp/udp - източникът е използвал един и същ порт, за да се свърже едновременно с множество портове на целевия възел.

За да бъде по-удобно намирането на всички вътрешни скенери наведнъж, има мрежово приложение за StealthWatch - Оценка на видимостта. Отивате в раздела Табла за управление → Оценка на видимостта → Вътрешни мрежови скенери ще видите свързани със сканирането инциденти със сигурността за последните 2 седмици.

С натискане на бутона Детайли, ще видите началото на сканирането на всяка мрежа, тенденцията на трафика и съответните аларми.

След това можете да „не успеете“ в хоста от раздела в предишната екранна снимка и да видите събитията за сигурност, както и активността през последната седмица за този хост.

Като пример, нека анализираме събитието Сканиране на портове от хост 10.201.3.149 на 10.201.0.72, Натискане Действия > Свързани потоци. Стартира се търсене на нишка и се показва съответната информация.

Как виждаме този хост от един от неговите портове 51508 / TCP сканиран преди 3 часа целевият хост по порт 22, 28, 42, 41, 36, 40 (TCP). Някои полета също не показват информация, тъй като не всички полета на Netflow се поддържат от програмата за експортиране на Netflow.

6. Анализ на изтегления злонамерен софтуер с помощта на CTA

CTA (Cognitive Threat Analytics) — Облачен анализ на Cisco, който се интегрира идеално с Cisco StealthWatch и ви позволява да допълвате анализа без подпис с анализ на подпис. Това прави възможно откриването на троянски коне, мрежови червеи, злонамерен софтуер за нулев ден и друг зловреден софтуер и разпространението им в мрежата. Също така, споменатата по-рано технология ETA ви позволява да анализирате такива злонамерени комуникации в криптиран трафик.

Буквално в първия раздел в уеб интерфейса има специална джаджа Анализ на когнитивните заплахи. Кратко резюме показва заплахи, открити на потребителски хостове: троянски кон, измамен софтуер, досаден рекламен софтуер. Думата „Шифровано“ всъщност показва работата на ЕТА. Като щракнете върху хост, се появява цялата информация за него, събития за сигурност, включително CTA регистрационни файлове.

Като задържите курсора на мишката върху всеки етап от CTA, събитието показва подробна информация за взаимодействието. За пълен анализ щракнете тук Вижте подробности за инцидентаи ще бъдете отведени до отделна конзола Анализ на когнитивните заплахи.

В горния десен ъгъл има филтър, който ви позволява да показвате събития по ниво на тежест. Когато посочите конкретна аномалия, в долната част на екрана се появяват регистрационни файлове със съответната времева линия вдясно. По този начин специалистът по информационна сигурност ясно разбира кой заразен хост, след какви действия е започнал да извършва какви действия.

По-долу е друг пример - банков троянски кон, който зарази хоста 198.19.30.36. Този хост започна да взаимодейства със злонамерени домейни и регистрационните файлове показват информация за потока на тези взаимодействия.

След това, едно от най-добрите решения, които могат да бъдат, е да поставите хоста под карантина благодарение на нативния интеграция със Cisco ISE за по-нататъшна обработка и анализ.

Заключение

Решението на Cisco StealthWatch е един от лидерите сред продуктите за мрежов мониторинг както по отношение на мрежовия анализ, така и по отношение на информационната сигурност. Благодарение на него можете да откриете нелегитимни взаимодействия в мрежата, забавяне на приложенията, най-активните потребители, аномалии, зловреден софтуер и APT. Освен това можете да намерите скенери, пентестери и да извършите криптоодит на HTTPS трафик. Можете да намерите още повече случаи на употреба на връзка.

Ако искате да проверите колко гладко и ефективно работи всичко във вашата мрежа, изпратете поискване.
В близко бъдеще планираме още няколко технически публикации за различни продукти за информационна сигурност. Ако се интересувате от тази тема, следете актуализациите в нашите канали (Telegram, Facebook, VK, Блог за TS Solution)!

Източник: www.habr.com