és una solució analítica en l'àmbit de la seguretat de la informació que proporciona un seguiment integral de les amenaces en una xarxa distribuïda. StealthWatch es basa en recopilar NetFlow i IPFIX d'encaminadors, commutadors i altres dispositius de xarxa. Com a resultat, la xarxa es converteix en un sensor sensible i permet a l'administrador buscar llocs on els mètodes tradicionals de seguretat de la xarxa, com ara el tallafocs de nova generació, no poden arribar.
En articles anteriors ja vaig escriure sobre StealthWatch: I . Ara us proposo seguir endavant i discutir com treballar amb les alarmes i investigar les incidències de seguretat que genera la solució. Hi haurà 6 exemples que espero donaran una bona idea de la utilitat del producte.
En primer lloc, cal dir que StealthWatch té una certa distribució d'alarmes entre algorismes i canals. El primer són diversos tipus d'alarmes (notificacions), quan s'activen, podeu detectar coses sospitoses a la xarxa. El segon són els incidents de seguretat. Aquest article examinarà 4 exemples d'algorismes activats i 2 exemples de fonts.
1. Anàlisi de les interaccions més grans dins de la xarxa
El pas inicial per configurar StealthWatch és definir amfitrions i xarxes en grups. A la pestanya de la interfície web Configura > Gestió de grups d'amfitrió Les xarxes, els amfitrions i els servidors s'han de classificar en grups adequats. També podeu crear els vostres propis grups. Per cert, analitzar les interaccions entre els amfitrions a Cisco StealthWatch és força convenient, ja que no només podeu desar els filtres de cerca per flux, sinó també els mateixos resultats.
Per començar, a la interfície web hauríeu d'anar a la pestanya Analitza > Cerca de flux. Aleshores, hauríeu de configurar els paràmetres següents:
- Tipus de cerca: converses principals (interaccions més populars)
- Interval de temps: 24 hores (període de temps, podeu utilitzar un altre)
- Cerca nom: converses principals dins i dins (qualsevol nom amigable)
- Assumpte - Grups d'amfitrió → Amfitrions interiors (font - grup d'amfitrions interns)
- Connexió (podeu especificar ports, aplicacions)
- Peer - Grups d'amfitrió → Dins d'amfitrions (destinació - grup de nodes interns)
- A Opcions avançades, també podeu especificar el col·lector des del qual es visualitzen les dades, ordenant la sortida (per bytes, fluxos, etc.). Ho deixaré per defecte.
Després de prémer el botó Cerca es mostra una llista d'interaccions que ja estan ordenades per la quantitat de dades transferides.
En el meu exemple, l'amfitrió 10.150.1.201 (servidor) transmès dins d'un sol fil 1.5 GB trànsit a l'allotjament 10.150.1.200 (client) per protocol mysql. Botó Gestiona les columnes us permet afegir més columnes a les dades de sortida.
A continuació, a criteri de l'administrador, podeu crear una regla personalitzada que sempre desencadenarà aquest tipus d'interacció i us notificarà mitjançant SNMP, correu electrònic o Syslog.
2. Anàlisi de les interaccions client-servidor més lentes dins de la xarxa per als retards
Etiquetes SRT (temps de resposta del servidor), RTT (Temps d'anada i tornada) permeten conèixer els retards del servidor i els retards generals de la xarxa. Aquesta eina és especialment útil quan necessiteu trobar ràpidament la causa de les queixes dels usuaris sobre una aplicació d'execució lenta.
Nota: gairebé tots els exportadors de Netflow no sé com enviar etiquetes SRT, RTT, tan sovint, per veure aquestes dades a FlowSensor, cal configurar l'enviament d'una còpia del trànsit des dels dispositius de xarxa. FlowSensor, al seu torn, envia l'IPFIX estès a FlowCollector.
És més convenient realitzar aquesta anàlisi a l'aplicació java StealtWatch, que està instal·lada a l'ordinador de l'administrador.
Botó dret del ratolí activat Dins dels amfitrions i aneu a la pestanya Taula de flux.
Fer clic a filtre i establir els paràmetres necessaris. Com un exemple:
- Data/hora: durant els darrers 3 dies
- Rendiment — Temps mitjà d'anada i tornada >=50 ms
Després de mostrar les dades, hem d'afegir els camps RTT i SRT que ens interessin. Per fer-ho, feu clic a la columna de la captura de pantalla i seleccioneu amb el botó dret del ratolí Gestiona les columnes. A continuació, feu clic a RTT, paràmetres SRT.
Després de processar la sol·licitud, vaig ordenar per mitjana RTT i vaig veure les interaccions més lentes.
Per accedir a la informació detallada, feu clic amb el botó dret sobre el flux i seleccioneu Vista ràpida de Flow.
Aquesta informació indica que l'amfitrió 10.201.3.59 del grup Vendes i màrqueting per protocol NFS apel·la a Servidor DNS durant un minut i 23 segons i té un retard terrible. A la pestanya Interfícies podeu esbrinar de quin exportador de dades de Netflow s'ha obtingut la informació. A la pestanya Taula Es mostra informació més detallada sobre la interacció.
A continuació, hauríeu d'esbrinar quins dispositius envien trànsit a FlowSensor i el problema més probable és que hi sigui.
A més, StealthWatch és únic pel fet que realitza deduplicació dades (combina els mateixos fluxos). Per tant, podeu recollir des de gairebé tots els dispositius Netflow i no tenir por que hi hagi moltes dades duplicades. Ben al contrari, en aquest esquema ajudarà a entendre quin llúpol té els majors retards.
3. Auditoria de protocols criptogràfics HTTPS
ETA (analítica de trànsit xifrat) és una tecnologia desenvolupada per Cisco que permet detectar connexions malicioses en trànsit xifrat sense desxifrar-lo. A més, aquesta tecnologia us permet "analitzar" HTTPS en versions TLS i protocols criptogràfics que s'utilitzen durant les connexions. Aquesta funcionalitat és especialment útil quan necessiteu detectar nodes de xarxa que utilitzen estàndards criptogràfics febles.
Nota: primer heu d'instal·lar l'aplicació de xarxa a StealthWatch - Auditoria criptogràfica ETA.
Vés a la pestanya Taulers de control → Auditoria criptogràfica ETA i seleccioneu el grup d'amfitrions que volem analitzar. Per a la imatge general, escollim Dins dels amfitrions.
Podeu veure que s'emet la versió TLS i l'estàndard criptogràfic corresponent. Segons l'esquema habitual de la columna Accions anar a Veure fluxos i la cerca comença en una pestanya nova.
A la sortida es pot veure que l'amfitrió 198.19.20.136 al llarg 12 hores utilitza HTTPS amb TLS 1.2, on l'algoritme de xifratge AES-256 i funció hash SHA-384. Així, ETA permet trobar algorismes febles a la xarxa.
4. Anàlisi d'anomalies de xarxa
Cisco StealthWatch pot reconèixer anomalies de trànsit a la xarxa mitjançant tres eines: Esdeveniments bàsics (esdeveniments de seguretat), Esdeveniments de relació (esdeveniments d'interaccions entre segments, nodes de xarxa) i anàlisi conductual.
L'anàlisi del comportament, al seu torn, permet construir un model de comportament per a un amfitrió o grup d'amfitrions en particular. Com més trànsit passi per StealthWatch, més precises seran les alertes gràcies a aquesta anàlisi. Al principi, el sistema s'activa molt de manera incorrecta, de manera que les regles s'han de "torcer" a mà. Us recomano que ignoreu aquests esdeveniments durant les primeres setmanes, ja que el sistema s'ajustarà per si mateix o els afegirà a excepcions.
A continuació es mostra un exemple d'una regla predefinida Anomalia, que estableix que l'esdeveniment es dispararà sense alarma si un amfitrió del grup Inside Hosts interactua amb el grup Inside Hosts i en 24 hores el trànsit superarà els 10 megabytes.
Per exemple, fem una alarma Acaparament de dades, el que significa que algun amfitrió d'origen/destinació ha carregat/descarregat una quantitat anormalment gran de dades d'un grup d'amfitrions o d'un amfitrió. Feu clic a l'esdeveniment i aneu a la taula on s'indiquen els hosts activadors. A continuació, seleccioneu l'amfitrió que ens interessa a la columna Acaparament de dades.
Es mostra un esdeveniment que indica que s'han detectat 162 "punts" i, segons la política, es permeten 100 "punts": es tracta de mètriques internes de StealthWatch. En una columna Accions empènyer Veure fluxos.
Ho podem observar host donat interactuava amb l'amfitrió a la nit 10.201.3.47 del departament Vendes per protocol HTTPS i descarregat 1.4 GB. Potser aquest exemple no té èxit del tot, però la detecció d'interaccions fins i tot per a diversos centenars de gigabytes es porta a terme exactament de la mateixa manera. Per tant, una investigació addicional de les anomalies pot donar lloc a resultats interessants.
Nota: a la interfície web de l'SMC, les dades es troben en pestanyes Dashboards es mostren només durant l'última setmana i a la pestanya Controlar durant les 2 últimes setmanes. Per analitzar esdeveniments anteriors i generar informes, cal treballar amb la consola java a l'ordinador de l'administrador.
5. Cercar exploracions de xarxa internes
Vegem ara alguns exemples de fonts: incidents de seguretat de la informació. Aquesta funcionalitat és més interessant per als professionals de la seguretat.
Hi ha diversos tipus d'esdeveniments d'exploració preestablerts a StealthWatch:
- Exploració de ports: l'origen explora diversos ports a l'amfitrió de destinació.
- Addr tcp scan: la font escaneja tota la xarxa al mateix port TCP, canviant l'adreça IP de destinació. En aquest cas, la font rep paquets de restabliment TCP o no rep respostes en absolut.
- Addr udp scan: la font explora tota la xarxa al mateix port UDP, mentre canvia l'adreça IP de destinació. En aquest cas, la font rep paquets ICMP Port Inaccessible o no rep respostes en absolut.
- Ping Scan: la font envia sol·licituds ICMP a tota la xarxa per buscar respostes.
- Stealth Scan tсp/udp: la font va utilitzar el mateix port per connectar-se a diversos ports al node de destinació alhora.
Perquè sigui més còmode trobar tots els escàners interns alhora, hi ha una aplicació de xarxa per StealthWatch - Avaluació de la visibilitat. Anant a la pestanya Taulers de control → Avaluació de la visibilitat → Escàners de xarxa interns veureu incidents de seguretat relacionats amb l'escaneig durant les 2 últimes setmanes.
En prémer el botó Detalls, veureu l'inici de l'escaneig de cada xarxa, la tendència del trànsit i les alarmes corresponents.
A continuació, podeu "fallir" a l'amfitrió des de la pestanya de la captura de pantalla anterior i veure els esdeveniments de seguretat, així com l'activitat durant l'última setmana per a aquest amfitrió.
Com a exemple, analitzem l'esdeveniment Escaneig de ports de l'amfitrió 10.201.3.149 en 10.201.0.72, Pressing Accions > Fluxos associats. S'inicia una cerca de fils i es mostra la informació rellevant.
Com veiem aquest host des d'un dels seus ports 51508/TCP escanejat fa 3 hores l'amfitrió de destinació per port 22, 28, 42, 41, 36 i 40 (TCP). Alguns camps tampoc mostren informació perquè no tots els camps de Netflow són compatibles amb l'exportador de Netflow.
6. Anàlisi de programari maliciós descarregat mitjançant CTA
CTA (analítica cognitiva de l'amenaça) — Cisco Cloud Analytics, que s'integra perfectament amb Cisco StealthWatch i us permet complementar l'anàlisi sense signatures amb l'anàlisi de signatures. Això fa possible detectar troians, cucs de xarxa, programari maliciós de dia zero i altres programes maliciosos i distribuir-los dins de la xarxa. Així mateix, la tecnologia ETA esmentada anteriorment permet analitzar aquestes comunicacions malicioses en trànsit xifrat.
Literalment, a la primera pestanya de la interfície web hi ha un widget especial Analítica d'amenaces cognitives. Un breu resum indica les amenaces detectades als amfitrions dels usuaris: troià, programari fraudulent, programari publicitari molest. La paraula "Encriptat" en realitat indica el treball d'ETA. En fer clic a un amfitrió, apareix tota la informació sobre ell, els esdeveniments de seguretat, inclosos els registres de CTA.
En passar el cursor per sobre de cada etapa de la CTA, l'esdeveniment mostra informació detallada sobre la interacció. Per obtenir una anàlisi completa, feu clic aquí Veure els detalls de l'incident, i se us portarà a una consola independent Analítica d'amenaces cognitives.
A la cantonada superior dreta, un filtre us permet mostrar els esdeveniments per nivell de gravetat. Quan assenyaleu una anomalia específica, els registres apareixen a la part inferior de la pantalla amb una línia de temps corresponent a la dreta. Així, l'especialista en seguretat de la informació entén clarament quin amfitrió infectat, després de quines accions, va començar a realitzar quines accions.
A continuació es mostra un altre exemple: un troià bancari que va infectar l'amfitrió 198.19.30.36. Aquest amfitrió va començar a interactuar amb dominis maliciosos i els registres mostren informació sobre el flux d'aquestes interaccions.
A continuació, una de les millors solucions que hi ha és posar en quarantena l'amfitrió gràcies al nadiu amb Cisco ISE per a més tractament i anàlisi.
Conclusió
La solució Cisco StealthWatch és un dels líders entre els productes de monitorització de xarxa tant pel que fa a l'anàlisi de la xarxa com a la seguretat de la informació. Gràcies a ella, podeu detectar interaccions il·legítimes dins de la xarxa, retards en aplicacions, usuaris més actius, anomalies, programari maliciós i APT. A més, podeu trobar escàners, pentesters i realitzar una criptoauditoria del trànsit HTTPS. Podeu trobar encara més casos d'ús a .
Si voleu comprovar com funciona bé i eficientment tot a la vostra xarxa, envieu-lo .
En un futur proper, estem planificant diverses publicacions tècniques més sobre diversos productes de seguretat de la informació. Si esteu interessats en aquest tema, seguiu les actualitzacions als nostres canals (, , , )!
Font: www.habr.com