er en analytisk løsning inden for informationssikkerhed, der giver omfattende overvågning af trusler i et distribueret netværk. StealthWatch er baseret på at indsamle NetFlow og IPFIX fra routere, switches og andre netværksenheder. Som et resultat bliver netværket en følsom sensor og giver administratoren mulighed for at kigge ind på steder, hvor traditionelle netværkssikkerhedsmetoder, såsom Next Generation Firewall, ikke kan nå.
I tidligere artikler har jeg allerede skrevet om StealthWatch: og . Nu foreslår jeg at gå videre og diskutere, hvordan man arbejder med alarmer og undersøger sikkerhedshændelser, som løsningen genererer. Der vil være 6 eksempler, som jeg håber vil give en god idé om produktets anvendelighed.
Først skal det siges, at StealthWatch har en vis fordeling af alarmer mellem algoritmer og feeds. Den første er forskellige slags alarmer (meddelelser), når de udløses, kan du opdage mistænkelige ting på netværket. Den anden er sikkerhedshændelser. Denne artikel vil se på 4 eksempler på udløste algoritmer og 2 eksempler på feeds.
1. Analyse af de største interaktioner inden for netværket
Det første trin i opsætningen af StealthWatch er at definere værter og netværk i grupper. På fanen webgrænseflade Konfigurer > Host Group Management Netværk, værter og servere bør klassificeres i passende grupper. Du kan også oprette dine egne grupper. Forresten er det ret praktisk at analysere interaktioner mellem værter i Cisco StealthWatch, da du ikke kun kan gemme søgefiltre efter strøm, men også selve resultaterne.
For at komme i gang skal du i webgrænsefladen gå til fanen Analyser > Flowsøgning. Så skal du indstille følgende parametre:
- Søgetype - Topsamtaler (mest populære interaktioner)
- Tidsområde — 24 timer (tidsperiode, du kan bruge en anden)
- Søgenavn - Topsamtaler Inde-Inde (ethvert venligt navn)
- Emne - Værtsgrupper → Indvendige værter (kilde - gruppe af interne værter)
- Forbindelse (du kan angive porte, applikationer)
- Peer - Host Groups → Inside Hosts (destination - gruppe af interne noder)
- I Avancerede indstillinger kan du desuden specificere den indsamler, hvorfra dataene skal ses, sortering af output (efter bytes, streams osv.). Jeg lader det være standard.
Efter at have trykket på knappen Søg der vises en liste over interaktioner, som allerede er sorteret efter mængden af overførte data.
I mit eksempel værten 10.150.1.201 (server) transmitteret inden for kun én tråd 1.5 GB trafik til værten 10.150.1.200 (klient) efter protokol mysql. Knap Administrer kolonner giver dig mulighed for at tilføje flere kolonner til outputdataene.
Dernæst kan du efter administratorens skøn oprette en tilpasset regel, der altid vil udløse denne type interaktion og give dig besked via SNMP, e-mail eller Syslog.
2. Analyse af de langsomste klient-server-interaktioner inden for netværket for forsinkelser
Tags SRT (Server Response Time), RTT (Round Trip Time) giver dig mulighed for at finde ud af serverforsinkelser og generelle netværksforsinkelser. Dette værktøj er især nyttigt, når du hurtigt skal finde årsagen til brugerklager over et langsomt kørende program.
Bemærk: næsten alle Netflow-eksportører ved ikke hvordan sende SRT, RTT tags, så ofte, for at se sådanne data på FlowSensor, skal du konfigurere at sende en kopi af trafik fra netværksenheder. FlowSensor sender igen den udvidede IPFIX til FlowCollector.
Det er mere bekvemt at udføre denne analyse i StealtWatch java-applikationen, som er installeret på administratorens computer.
Højre museknap på Indvendige værter og gå til fanen Flow tabel.
Klik på filtre og indstil de nødvendige parametre. Som et eksempel:
- Dato/Tid - For de sidste 3 dage
- Ydeevne — Gennemsnitlig tur-retur-tid >=50ms
Efter at have vist dataene, bør vi tilføje de RTT- og SRT-felter, der interesserer os. For at gøre dette skal du klikke på kolonnen i skærmbilledet og vælge med højre museknap Administrer kolonner. Klik derefter på RTT, SRT-parametre.
Efter at have behandlet anmodningen sorterede jeg efter RTT-gennemsnit og så de langsomste interaktioner.
For at gå ind i detaljerede oplysninger skal du højreklikke på strømmen og vælge Hurtig visning for Flow.
Disse oplysninger angiver, at værten 10.201.3.59 fra gruppen Salg og Marketing ifølge protokollen NFS appellerer til DNS-server i et minut og 23 sekunder og har bare frygtelig forsinkelse. I fanen Interfaces kan du finde ud af, hvilken Netflow-dataeksportør oplysningerne er hentet fra. I fanen Bordlampe Mere detaljerede oplysninger om interaktionen vises.
Dernæst bør du finde ud af, hvilke enheder der sender trafik til FlowSensor, og problemet ligger højst sandsynligt der.
Desuden er StealthWatch unik ved, at det udfører deduplikation data (kombinerer de samme strømme). Derfor kan du indsamle fra næsten alle Netflow-enheder og ikke være bange for, at der kommer en masse duplikerede data. Tværtimod vil det i denne ordning hjælpe med at forstå, hvilken hop der har de største forsinkelser.
3. Revision af HTTPS kryptografiske protokoller
ETA (Encrypted Traffic Analytics) er en teknologi udviklet af Cisco, der giver dig mulighed for at opdage ondsindede forbindelser i krypteret trafik uden at dekryptere den. Desuden giver denne teknologi dig mulighed for at "parse" HTTPS til TLS-versioner og kryptografiske protokoller, der bruges under forbindelser. Denne funktionalitet er især nyttig, når du skal opdage netværksknuder, der bruger svage kryptostandarder.
Bemærk: Du skal først installere netværksappen på StealthWatch - ETA kryptografisk revision.
Gå til fanen Dashboards → ETA Cryptographic Audit og vælg den gruppe af værter, som vi planlægger at analysere. For det overordnede billede, lad os vælge Indvendige værter.
Du kan se, at TLS-versionen og den tilsvarende kryptostandard er output. Efter den sædvanlige ordning i kolonnen handlinger gå til Se flows og søgningen starter i en ny fane.
Fra outputtet kan det ses, at værten 198.19.20.136 hele vejen igennem 12 timer brugt HTTPS med TLS 1.2, hvor krypteringsalgoritmen AES-256 og hash-funktion SHA-384. Således giver ETA dig mulighed for at finde svage algoritmer på netværket.
4. Netværk anomali analyse
Cisco StealthWatch kan genkende trafikuregelmæssigheder på netværket ved hjælp af tre værktøjer: Kernebegivenheder (sikkerhedsbegivenheder), Forholdsbegivenheder (hændelser af interaktioner mellem segmenter, netværksknuder) og adfærdsanalyse.
Adfærdsanalyse giver til gengæld mulighed for over tid at opbygge en adfærdsmodel for en bestemt vært eller gruppe af værter. Jo mere trafik der passerer gennem StealthWatch, jo mere præcise vil advarslerne være takket være denne analyse. I første omgang udløser systemet meget forkert, så reglerne bør "snoes" i hånden. Jeg anbefaler, at du ignorerer sådanne hændelser i de første par uger, da systemet vil justere sig selv, eller tilføje dem til undtagelser.
Nedenfor er et eksempel på en foruddefineret regel Anomali, som siger, at hændelsen vil udløse uden alarm, hvis en vært i Inside Hosts-gruppen interagerer med Inside Hosts-gruppen, og inden for 24 timer vil trafikken overstige 10 megabyte.
Lad os for eksempel tage en alarm Datahamstring, hvilket betyder, at en eller anden kilde/destinationsvært har uploadet/downloadet en unormalt stor mængde data fra en gruppe værter eller en vært. Klik på begivenheden og gå til tabellen, hvor de udløsende værter er angivet. Vælg derefter den vært, vi er interesseret i, i kolonnen Datahamstring.
Der vises en hændelse, der indikerer, at 162 "points" blev detekteret, og ifølge politikken er 100 "point" tilladt - disse er interne StealthWatch-målinger. I en kolonne handlinger skubbe Se flows.
Det kan vi observere givet vært interageret med værten om natten 10.201.3.47 fra afdelingen salg og marketing ifølge protokollen HTTPS og downloadet 1.4 GB. Måske er dette eksempel ikke helt vellykket, men detektion af interaktioner selv for flere hundrede gigabyte udføres på nøjagtig samme måde. Derfor kan yderligere undersøgelse af anomalierne føre til interessante resultater.
Bemærk: i SMC-webgrænsefladen er data i faner Dashboards vises kun for den sidste uge og på fanen Overvåg over de sidste 2 uger. For at analysere ældre hændelser og generere rapporter skal du arbejde med java-konsollen på administratorens computer.
5. Finde interne netværksscanninger
Lad os nu se på et par eksempler på feeds – informationssikkerhedshændelser. Denne funktionalitet er mere interessant for sikkerhedsprofessionelle.
Der er flere forudindstillede scanningshændelsestyper i StealthWatch:
- Port Scan – kilden scanner flere porte på destinationsværten.
- Addr tcp-scanning - kilden scanner hele netværket på den samme TCP-port og ændrer destinations-IP-adressen. I dette tilfælde modtager kilden TCP-nulstillingspakker eller modtager slet ikke svar.
- Addr udp-scanning - kilden scanner hele netværket på den samme UDP-port, mens destinations-IP-adressen ændres. I dette tilfælde modtager kilden ICMP Port Unreachable-pakker eller modtager slet ikke svar.
- Ping Scan - kilden sender ICMP-anmodninger til hele netværket for at søge efter svar.
- Stealth Scan tсp/udp - kilden brugte den samme port til at oprette forbindelse til flere porte på destinationsknuden på samme tid.
For at gøre det mere bekvemt at finde alle interne scannere på én gang, er der en netværksapp til StealthWatch - Synlighedsvurdering. Går til fanen Dashboards → Synlighedsvurdering → Interne netværksscannere du vil se scanningsrelaterede sikkerhedshændelser for de sidste 2 uger.
Ved at klikke på knappen Detaljer, vil du se starten på scanningen af hvert netværk, trafiktendensen og de tilsvarende alarmer.
Dernæst kan du "fejle" til værten fra fanen i det forrige skærmbillede og se sikkerhedshændelser samt aktivitet i den sidste uge for denne vært.
Lad os som et eksempel analysere begivenheden Port Scan fra vært 10.201.3.149 på 10.201.0.72, Tryk på Handlinger > Tilknyttede flows. En trådsøgning startes, og relevant information vises.
Hvordan vi ser denne vært fra en af dens havne 51508 / TCP scannet for 3 timer siden destinationsværten efter havn 22, 28, 42, 41, 36, 40 (TCP). Nogle felter viser heller ikke oplysninger, fordi ikke alle Netflow-felter understøttes af Netflow-eksportøren.
6. Analyse af downloadet malware ved hjælp af CTA
CTA (Cognitive Threat Analytics) — Cisco cloud analytics, som integreres perfekt med Cisco StealthWatch og giver dig mulighed for at supplere signaturfri analyse med signaturanalyse. Dette gør det muligt at opdage trojanske heste, netværksorme, zero-day malware og anden malware og distribuere dem inden for netværket. Den tidligere nævnte ETA-teknologi giver dig også mulighed for at analysere sådan ondsindet kommunikation i krypteret trafik.
Bogstaveligt talt på den allerførste fane i webgrænsefladen er der en speciel widget Kognitiv trusselsanalyse. En kort oversigt angiver opdagede trusler på brugerværter: Trojan, bedragerisk software, irriterende adware. Ordet "krypteret" angiver faktisk ETA's arbejde. Ved at klikke på en vært, vises alle oplysninger om den, sikkerhedshændelser, inklusive CTA-logfiler.
Ved at holde markøren over hvert trin i CTA'en viser begivenheden detaljerede oplysninger om interaktionen. For fuldstændig analyse, klik her Se detaljer om hændelsen, og du vil blive ført til en separat konsol Kognitiv trusselsanalyse.
I øverste højre hjørne giver et filter dig mulighed for at vise hændelser efter sværhedsgrad. Når du peger på en specifik anomali, vises logs nederst på skærmen med en tilsvarende tidslinje til højre. Informationssikkerhedsspecialisten forstår således tydeligt, hvilken inficeret vært, efter hvilke handlinger, der begyndte at udføre hvilke handlinger.
Nedenfor er et andet eksempel - en banktrojaner, der inficerede værten 198.19.30.36. Denne vært begyndte at interagere med ondsindede domæner, og logfilerne viser information om strømmen af disse interaktioner.
Dernæst er en af de bedste løsninger, der kan være, at sætte værten i karantæne takket være den indfødte med Cisco ISE for yderligere behandling og analyse.
Konklusion
Cisco StealthWatch-løsningen er en af de førende blandt netværksovervågningsprodukter både med hensyn til netværksanalyse og informationssikkerhed. Takket være det kan du opdage illegitime interaktioner inden for netværket, applikationsforsinkelser, de mest aktive brugere, anomalier, malware og APT'er. Desuden kan du finde scannere, pentestere og foretage en krypto-audit af HTTPS-trafik. Du kan finde endnu flere use cases på .
Hvis du gerne vil tjekke, hvor smidigt og effektivt alt fungerer på dit netværk, så send .
I den nærmeste fremtid planlægger vi flere tekniske publikationer om forskellige informationssikkerhedsprodukter. Hvis du er interesseret i dette emne, så følg opdateringerne i vores kanaler (, , , )!
Kilde: www.habr.com