usa ka analitikal nga solusyon sa natad sa kasiguruhan sa kasayuran nga naghatag komprehensibo nga pag-monitor sa mga hulga sa usa ka giapod-apod nga network. Ang StealthWatch gibase sa pagkolekta sa NetFlow ug IPFIX gikan sa mga router, switch ug uban pang network device. Ingon usa ka sangputanan, ang network nahimong sensitibo nga sensor ug gitugotan ang tagdumala sa pagtan-aw sa mga lugar diin ang tradisyonal nga mga pamaagi sa seguridad sa network, sama sa Next Generation Firewall, dili maabot.
Sa miaging mga artikulo nasulat na nako ang bahin sa StealthWatch: Ug . Karon nagsugyot ako nga magpadayon ug hisgutan kung giunsa ang pagtrabaho sa mga alarma ug pag-imbestiga sa mga insidente sa seguridad nga nahimo sa solusyon. Adunay 6 nga mga pananglitan nga akong gilauman nga maghatag usa ka maayong ideya sa kapuslanan sa produkto.
Una, kinahanglan isulti nga ang StealthWatch adunay pipila nga pag-apod-apod sa mga alarma tali sa mga algorithm ug mga feed. Ang una mao ang lain-laing mga matang sa mga alarma (notifications), sa diha nga na-trigger, kamo makamatikod sa mga kadudahan nga mga butang sa network. Ang ikaduha mao ang mga insidente sa seguridad. Kini nga artikulo magtan-aw sa 4 nga mga pananglitan sa mga algorithm nga na-trigger ug 2 nga mga pananglitan sa mga feed.
1. Pagtuki sa pinakadako nga interaksyon sulod sa network
Ang una nga lakang sa pag-set up sa StealthWatch mao ang paghubit sa mga host ug network sa mga grupo. Sa tab sa web interface I-configure > Pagdumala sa Grupo sa Host Ang mga network, host, ug server kinahanglan nga klasipikasyon sa angay nga mga grupo. Mahimo ka usab nga maghimo sa imong kaugalingon nga mga grupo. Pinaagi sa dalan, ang pag-analisar sa mga interaksyon tali sa mga host sa Cisco StealthWatch medyo kombenyente, tungod kay dili ra nimo maluwas ang mga pagsala sa pagpangita pinaagi sa sapa, apan ang mga resulta mismo.
Sa pagsugod, sa web interface kinahanglan nga moadto ka sa tab Analisaha > Flow Search. Dayon kinahanglan nimo nga itakda ang mosunod nga mga parameter:
- Uri sa Pagpangita - Nanguna nga mga Pag-istoryahanay (labing sikat nga mga interaksyon)
- Sakup sa Oras - 24 ka oras (panahon sa panahon, mahimo nimong gamiton ang lain)
- Ngalan sa Pagpangita - Nanguna nga Mga Pag-istoryahanay sa Sulod-Sulod (bisan unsang mahigalaon nga ngalan)
- Subject - Host Groups β Inside Hosts (tinubdan - grupo sa internal nga mga host)
- Koneksyon (mahimo nimong ipiho ang mga pantalan, aplikasyon)
- Peer - Host Groups β Inside Hosts (destinasyon - grupo sa internal node)
- Sa Advanced Options, mahimo nimong ipiho ang kolektor diin ang datos gitan-aw, paghan-ay sa output (pinaagi sa mga byte, sapa, ug uban pa). Ibilin ko kini isip default.
Human sa pagpindot sa buton Pangita usa ka lista sa mga interaksyon ang gipakita nga nahan-ay na sa gidaghanon sa datos nga gibalhin.
Sa akong pananglitan ang host 10.150.1.201 (server) nga gipasa sulod lamang sa usa ka hilo 1.5 GB trapiko sa host 10.150.1.200 (kliyente) pinaagi sa protocol MySQL. Butang Pagdumala sa mga Kolum nagtugot kanimo sa pagdugang sa dugang nga mga kolum sa output data.
Sunod, sa pagkabuotan sa tagdumala, mahimo ka maghimo usa ka naandan nga lagda nga kanunay nga mag-aghat sa kini nga klase sa interaksyon ug ipahibalo kanimo pinaagi sa SNMP, email o Syslog.
2. Pagtuki sa pinakahinay nga interaksyon sa kliyente-server sulod sa network alang sa mga paglangan
Mga label SRT (Server Response Time), RTT (Round Trip Time) Gitugotan ka nga mahibal-an ang mga paglangan sa server ug mga paglangan sa kinatibuk-ang network. Kini nga himan labi ka mapuslanon kung kinahanglan nimo nga dali nga makit-an ang hinungdan sa mga reklamo sa tiggamit bahin sa usa ka hinay nga pagdagan nga aplikasyon.
ΠΡΠΈΠΌΠ΅ΡΠ°Π½ΠΈΠ΅: halos tanang Netflow exporters wala kabalo unsaon ipadala ang SRT, RTT tag, kanunay, aron makita ang ingon nga datos sa FlowSensor, kinahanglan nimo nga i-configure ang pagpadala usa ka kopya sa trapiko gikan sa mga aparato sa network. Ang FlowSensor sa baylo nagpadala sa gipalawig nga IPFIX sa FlowCollector.
Mas sayon ββββang paghimo niini nga pagtuki sa StealtWatch java application, nga gi-install sa computer sa administrator.
I-on ang tuo nga butones sa mouse Sulod sa mga Host ug adto sa tab Talaan sa Pag-agos.
Pag-klik sa filter ug ibutang ang gikinahanglan nga mga parametro. Ingong pananglitan:
- Petsa/Oras - Alang sa katapusang 3 ka adlaw
- Performance β Average Round Trip Time >=50ms
Human ipakita ang datos, kinahanglan natong idugang ang RTT ug SRT fields nga makapainteres kanato. Aron mahimo kini, i-klik ang kolum sa screenshot ug pilia gamit ang tuo nga buton sa mouse Pagdumala sa mga Kolum. Sunod, i-klik ang RTT, SRT parameters.
Human sa pagproseso sa hangyo, akong gisunod sa RTT average ug nakita ang pinakahinay nga interaksyon.
Aron makaadto sa detalyado nga kasayuran, pag-right-click sa sapa ug pilia Dali nga Pagtan-aw alang sa Pag-agos.
Kini nga impormasyon nagpakita nga ang host 10.201.3.59 gikan sa grupo Sales ug Marketing pinaagi sa protocol NFS nag-apelar sa DNS server sa usa ka minuto ug 23 segundos ug adunay usa ka makalilisang nga lag. Sa tab interface mahibal-an nimo kung diin gikan sa eksporter sa datos sa Netflow ang kasayuran nakuha. Sa tab Table Gipakita ang mas detalyado nga kasayuran bahin sa interaksyon.
Sunod, kinahanglan nimong mahibal-an kung unsang mga aparato ang nagpadala sa trapiko sa FlowSensor ug ang problema lagmit naa didto.
Dugang pa, ang StealthWatch talagsaon tungod kay kini nagpahigayon deduplikasyon data (naghiusa sa parehas nga mga sapa). Busa, makakolekta ka gikan sa halos tanang mga device sa Netflow ug dili mahadlok nga adunay daghang duplicate nga datos. Sa kasukwahi, sa kini nga laraw makatabang kini nga masabtan kung unsang hop ang adunay labing kadaghan nga mga paglangan.
3. Pag-audit sa HTTPS cryptographic protocols
ETA (Encrypted Traffic Analytics) usa ka teknolohiya nga gimugna sa Cisco nga nagtugot kanimo sa pag-ila sa mga malisyoso nga koneksyon sa naka-encrypt nga trapiko nga wala kini gi-decrypt. Dugang pa, kini nga teknolohiya nagtugot kanimo sa "pag-parse" sa HTTPS ngadto sa mga bersyon sa TLS ug mga cryptographic protocol nga gigamit sa panahon sa mga koneksyon. Kini nga pag-andar labi ka mapuslanon kung kinahanglan nimo nga makit-an ang mga node sa network nga naggamit huyang nga mga sumbanan sa crypto.
ΠΡΠΈΠΌΠ΅ΡΠ°Π½ΠΈΠ΅: Kinahanglan nimo una nga i-install ang network app sa StealthWatch - ETA Cryptographic Audit.
Adto sa tab Mga Dashboard β ETA Cryptographic Audit ug pilia ang grupo sa mga host nga among giplano nga analisahon. Para sa kinatibuk-ang hulagway, pilion ta Sulod sa mga Host.
Imong makita nga ang TLS nga bersyon ug ang katugbang nga crypto standard kay output. Sumala sa naandan nga laraw sa kolum mga lihok adto sa Tan-awa ang Agos ug ang pagpangita magsugod sa usa ka bag-ong tab.
Gikan sa output makita nga ang host 198.19.20.136 sa tibuuk 12 ka oras migamit sa HTTPS uban sa TLS 1.2, diin ang encryption algorithm AES-256 ug hash function SHA-384. Sa ingon, gitugotan ka sa ETA nga makit-an ang huyang nga mga algorithm sa network.
4. Pagtuki sa anomaliya sa network
Ang Cisco StealthWatch makaila sa mga anomaliya sa trapiko sa network gamit ang tulo ka mga himan: Panguna nga mga Hitabo (mga panghitabo sa seguridad), Mga Hitabo sa Relasyon (mga panghitabo sa mga interaksyon tali sa mga bahin, mga node sa network) ug pagtuki sa pamatasan.
Ang pag-analisa sa pamatasan, sa baylo, nagtugot sa paglabay sa panahon sa paghimo og modelo sa pamatasan alang sa usa ka partikular nga host o grupo sa mga host. Ang mas daghang trapiko nga moagi sa StealthWatch, mas tukma ang mga alerto salamat sa kini nga pagtuki. Sa sinugdan, ang sistema nag-aghat sa daghang sayop, mao nga ang mga lagda kinahanglan nga "tuis" pinaagi sa kamot. Girekomenda ko nga dili nimo ibaliwala ang ingon nga mga panghitabo sa una nga pipila ka mga semana, tungod kay ang sistema mag-adjust sa kaugalingon, o idugang kini sa mga eksepsiyon.
Sa ubos usa ka pananglitan sa usa ka gitakda nang daan nga lagda Anomaliya, nga nag-ingon nga ang panghitabo mobuto nga walay alarma kon usa ka host sa Inside Hosts group nakig-interact sa Inside Hosts group ug sulod sa 24 oras ang traffic molapas sa 10 megabytes.
Pananglitan, magkuha kita og alarma Pagtipig sa datos, nga nagpasabot nga ang pipila ka tinubdan/destinasyon host nag-upload/nag-download sa abnormal nga dako nga gidaghanon sa datos gikan sa grupo sa mga host o usa ka host. Pag-klik sa panghitabo ug adto sa lamesa diin gipakita ang nag-aghat nga mga host. Sunod, pilia ang host nga interesado kami sa kolum Pagtipig sa datos.
Usa ka panghitabo ang gipakita nga nagpaila nga 162k nga "puntos" ang nakit-an, ug sumala sa palisiya, 100k nga "puntos" ang gitugotan - kini mga internal nga sukatan sa StealthWatch. Sa usa ka kolum mga lihok pagduso Tan-awa ang Agos.
Atong maobserbahan kana gihatag host nakig-uban sa host sa gabii 10.201.3.47 gikan sa departamento Pagbaligya ug Marketing pinaagi sa protocol https ug gi-download 1.4 GB. Tingali kini nga pananglitan dili hingpit nga malampuson, apan ang pagkakita sa mga interaksyon bisan sa pila ka gatos nga gigabytes gihimo sa parehas nga paagi. Busa, ang dugang nga imbestigasyon sa mga anomaliya mahimong mosangpot sa makapaikag nga mga resulta.
ΠΡΠΈΠΌΠ΅ΡΠ°Π½ΠΈΠ΅: sa SMC web interface, ang data anaa sa mga tab Mga panid sa dashboard gipakita lamang sa miaging semana ug sa tab monitor sa miaging 2 ka semana. Aron maanalisa ang mga karaan nga panghitabo ug makamugna og mga taho, kinahanglan nimo nga magtrabaho kauban ang java console sa kompyuter sa tagdumala.
5. Pagpangita sa internal nga network scan
Karon atong tan-awon ang pipila ka mga pananglitan sa mga feed - mga insidente sa seguridad sa impormasyon. Kini nga gamit mas interesado sa mga propesyonal sa seguridad.
Adunay ubay-ubay nga preset nga mga matang sa panghitabo sa pag-scan sa StealthWatch:
- Port Scanβang tinubdan nag-scan sa daghang mga port sa destinasyon nga host.
- Addr tcp scan - ang tinubdan nag-scan sa tibuok network sa samang TCP port, nag-usab sa destinasyon nga IP address. Sa kini nga kaso, ang gigikanan nakadawat TCP Reset packet o wala makadawat mga tubag.
- Addr udp scan - ang tinubdan nag-scan sa tibuok network sa samang UDP port, samtang nag-ilis sa destinasyon nga IP address. Sa kini nga kaso, ang tinubdan nakadawat sa ICMP Port Unreachable packets o wala makadawat mga tubag.
- Ping Scan - ang tinubdan nagpadala sa mga hangyo sa ICMP sa tibuok network aron sa pagpangita sa mga tubag.
- Stealth Scan tΡp/udp - ang tinubdan migamit sa samang pantalan aron makonektar sa daghang mga pantalan sa destinasyon nga node sa samang higayon.
Aron mas sayon ββββang pagpangita sa tanan nga internal nga mga scanner sa usa ka higayon, adunay usa ka network app alang sa StealthWatch - Pagsusi sa Pagtan-aw. Pag-adto sa tab Mga Dashboard β Pagsusi sa Visibility β Mga Internal nga Network Scanner makita nimo ang mga insidente sa seguridad nga may kalabotan sa pag-scan sa miaging 2 ka semana.
Pinaagi sa pagpindot sa buton Details, imong makita ang pagsugod sa pag-scan sa matag network, ang dagan sa trapiko ug ang katugbang nga mga alarma.
Sunod, mahimo nimong "mapakyas" sa host gikan sa tab sa miaging screenshot ug makita ang mga panghitabo sa seguridad, ingon man ang kalihokan sa miaging semana alang niini nga host.
Isip pananglitan, atong analisahon ang panghitabo Port Scan gikan sa host 10.201.3.149 sa 10.201.0.72, Pagpugos Mga Aksyon > Nalambigit nga Agos. Ang pagpangita sa thread gilunsad ug gipakita ang may kalabutan nga impormasyon.
Giunsa naton makita kini nga host gikan sa usa sa mga pantalan niini 51508 / TCP gi-scan 3 ka oras ang milabay ang destinasyon nga host pinaagi sa pantalan 22, 28, 42, 41, 36, 40 (TCP). Ang ubang mga natad dili usab magpakita sa impormasyon tungod kay dili tanan nga mga natad sa Netflow gisuportahan sa Netflow exporter.
6. Pagtuki sa na-download nga malware gamit ang CTA
CTA (Cognitive Threat Analytics) β Ang Cisco cloud analytics, nga hingpit nga nahiusa sa Cisco StealthWatch ug gitugotan ka nga makompleto ang pag-analisar nga walaβy pirma nga adunay pagtuki sa pirma. Kini nagpaposible sa pag-ila sa mga Trojans, network worm, zero-day malware ug uban pang malware ug ipang-apod-apod kini sulod sa network. Usab, ang nahisgotan na nga teknolohiya sa ETA nagtugot kanimo sa pag-analisar sa maong mga malisyoso nga komunikasyon sa naka-encrypt nga trapiko.
Sa literal sa una nga tab sa web interface adunay usa ka espesyal nga widget Cognitive Threat Analytics. Ang usa ka mubo nga summary nagpakita sa mga hulga nga nakit-an sa mga host sa tiggamit: Trojan, malimbungon nga software, makalagot nga adware. Ang pulong nga "Na-encrypt" sa tinuud nagpaila sa buhat sa ETA. Pinaagi sa pag-klik sa usa ka host, ang tanan nga kasayuran bahin niini, mga panghitabo sa seguridad, lakip ang mga log sa CTA, makita.
Pinaagi sa pag-hover sa matag yugto sa CTA, ang panghitabo nagpakita sa detalyado nga impormasyon bahin sa interaksyon. Para sa kompleto nga analytics, click dinhi Tan-awa ang mga Detalye sa Insidente, ug dad-on ka sa bulag nga console Cognitive Threat Analytics.
Sa taas nga tuo nga suok, ang usa ka filter nagtugot kanimo sa pagpakita sa mga panghitabo sa lebel sa kagrabe. Kung magtudlo ka sa usa ka piho nga anomaliya, ang mga troso makita sa ilawom sa screen nga adunay katugbang nga timeline sa tuo. Sa ingon, ang espesyalista sa seguridad sa kasayuran tin-aw nga nakasabut kung kinsa ang nataptan nga host, pagkahuman ang mga aksyon, nagsugod sa paghimo kung unsang mga aksyon.
Sa ubos mao ang laing pananglitan - usa ka banking Trojan nga nataptan sa host 198.19.30.36. Kini nga host nagsugod sa pagpakig-uban sa malisyosong mga dominyo, ug ang mga troso nagpakita sa impormasyon sa dagan niini nga mga interaksyon.
Sunod, usa sa labing kaayo nga solusyon nga mahimo mao ang pagkuwarentinas sa host salamat sa lumad uban sa Cisco ISE alang sa dugang nga pagtambal ug pagtuki.
konklusyon
Ang solusyon sa Cisco StealthWatch usa sa mga nanguna sa mga produkto sa pag-monitor sa network pareho sa mga termino sa pagtuki sa network ug kasiguruhan sa kasayuran. Salamat niini, makit-an nimo ang mga dili lehitimong interaksyon sa sulod sa network, mga paglangan sa aplikasyon, ang labing aktibo nga tiggamit, anomaliya, malware ug APT. Dugang pa, makit-an nimo ang mga scanner, pentesters, ug magpahigayon usa ka crypto-audit sa trapiko sa HTTPS. Makita nimo ang labi pa nga mga kaso sa paggamit sa .
Kung gusto nimo susihon kung unsa ka hapsay ug episyente ang tanan nga nagtrabaho sa imong network, ipadala .
Sa umaabot nga umaabot, nagplano kami og daghang mga teknikal nga publikasyon sa lainlaing mga produkto sa seguridad sa impormasyon. Kung interesado ka sa kini nga hilisgutan, sunda ang mga update sa among mga channel (, , , )!
Source: www.habr.com