In früheren Artikeln habe ich bereits über StealthWatch geschrieben:
Zunächst sollte gesagt werden, dass StealthWatch eine gewisse Alarmverteilung zwischen Algorithmen und Feeds aufweist. Bei den ersten handelt es sich um verschiedene Arten von Alarmen (Benachrichtigungen), bei deren Auslösung Sie verdächtige Dinge im Netzwerk erkennen können. Das zweite sind Sicherheitsvorfälle. In diesem Artikel werden vier Beispiele für ausgelöste Algorithmen und zwei Beispiele für Feeds betrachtet.
1. Analyse der größten Interaktionen innerhalb des Netzwerks
Der erste Schritt beim Einrichten von StealthWatch besteht darin, Hosts und Netzwerke in Gruppen zu definieren. Auf der Registerkarte Webschnittstelle Konfigurieren > Hostgruppenverwaltung Netzwerke, Hosts und Server sollten in geeignete Gruppen eingeteilt werden. Sie können auch eigene Gruppen erstellen. Übrigens ist die Analyse von Interaktionen zwischen Hosts in Cisco StealthWatch recht praktisch, da Sie nicht nur Suchfilter nach Stream speichern können, sondern auch die Ergebnisse selbst.
Um zu beginnen, sollten Sie in der Weboberfläche auf die Registerkarte gehen Analysieren > Flusssuche. Dann sollten Sie folgende Parameter einstellen:
- Suchtyp – Top-Konversationen (beliebteste Interaktionen)
- Zeitbereich – 24 Stunden (Zeitraum, Sie können einen anderen verwenden)
- Suchname – Top-Konversationen Inside-Inside (beliebiger benutzerfreundlicher Name)
- Betreff – Hostgruppen → Inside Hosts (Quelle – Gruppe interner Hosts)
- Verbindung (Sie können Ports und Anwendungen angeben)
- Peer – Hostgruppen → Innerhalb von Hosts (Ziel – Gruppe interner Knoten)
- In den erweiterten Optionen können Sie zusätzlich den Kollektor angeben, von dem die Daten angezeigt werden, und die Ausgabe sortieren (nach Bytes, Streams usw.). Ich belasse es als Standard.
Nach dem Drücken der Taste Suche Es wird eine Liste der Interaktionen angezeigt, die bereits nach der übertragenen Datenmenge sortiert sind.
In meinem Beispiel der Host 10.150.1.201 (Server) innerhalb nur eines Threads übertragen 1.5 GB Datenverkehr zum Host 10.150.1.200 (Client) per Protokoll mysql. Taste Spalten verwalten Ermöglicht das Hinzufügen weiterer Spalten zu den Ausgabedaten.
Als Nächstes können Sie nach Ermessen des Administrators eine benutzerdefinierte Regel erstellen, die diese Art von Interaktion immer auslöst und Sie über SNMP, E-Mail oder Syslog benachrichtigt.
2. Analyse der langsamsten Client-Server-Interaktionen innerhalb des Netzwerks auf Verzögerungen
Stichworte SRT (Server-Reaktionszeit), RTT (Round Trip Time) ermöglichen es Ihnen, Serververzögerungen und allgemeine Netzwerkverzögerungen herauszufinden. Dieses Tool ist besonders nützlich, wenn Sie schnell die Ursache für Benutzerbeschwerden über eine langsam laufende Anwendung finden müssen.
Beachten: fast alle Netflow-Exporteure weiß nicht wie Senden Sie so oft SRT- und RTT-Tags. Um solche Daten auf FlowSensor sehen zu können, müssen Sie das Senden einer Kopie des Datenverkehrs von Netzwerkgeräten konfigurieren. FlowSensor wiederum sendet das erweiterte IPFIX an FlowCollector.
Bequemer ist es, diese Analyse in der Java-Anwendung StealtWatch durchzuführen, die auf dem Computer des Administrators installiert ist.
Rechte Maustaste an Insider-Hosts und gehen Sie zur Registerkarte Flusstabelle.
Klicke auf Filter und stellen Sie die notwendigen Parameter ein. Als Beispiel:
- Datum/Uhrzeit – Für die letzten 3 Tage
- Leistung – Durchschnittliche Roundtrip-Zeit >=50 ms
Nach der Anzeige der Daten sollten wir die RTT- und SRT-Felder hinzufügen, die uns interessieren. Klicken Sie dazu auf die Spalte im Screenshot und wählen Sie sie mit der rechten Maustaste aus Spalten verwalten. Klicken Sie anschließend auf RTT- und SRT-Parameter.
Nachdem ich die Anfrage bearbeitet hatte, sortierte ich sie nach dem RTT-Durchschnitt und sah die langsamsten Interaktionen.
Um detaillierte Informationen anzuzeigen, klicken Sie mit der rechten Maustaste auf den Stream und wählen Sie ihn aus Schnellansicht für Flow.
Diese Informationen weisen darauf hin, dass der Host 10.201.3.59 von der Gruppe Vertrieb und Marketing laut Protokoll NFS appelliert an DNS Server für eine Minute und 23 Sekunden und hat einfach eine schreckliche Verzögerung. In der Registerkarte Schnittstellen Sie können herausfinden, von welchem Netflow-Datenexporteur die Informationen stammen. In der Registerkarte Tisch Es werden detailliertere Informationen zur Interaktion angezeigt.
Als nächstes sollten Sie herausfinden, welche Geräte Datenverkehr an FlowSensor senden und wo das Problem höchstwahrscheinlich liegt.
Darüber hinaus ist StealthWatch in seiner Funktion einzigartig Deduplizierung Daten (kombiniert die gleichen Streams). Daher können Sie von fast allen Netflow-Geräten Daten sammeln und müssen keine Angst haben, dass es zu vielen doppelten Daten kommt. Im Gegenteil, dieses Schema hilft zu verstehen, welcher Hop die größten Verzögerungen aufweist.
3. Prüfung der kryptografischen HTTPS-Protokolle
ETA (Encrypted Traffic Analytics) ist eine von Cisco entwickelte Technologie, mit der Sie bösartige Verbindungen im verschlüsselten Datenverkehr erkennen können, ohne ihn zu entschlüsseln. Darüber hinaus können Sie mit dieser Technologie HTTPS in TLS-Versionen und kryptografische Protokolle „zerlegen“, die bei Verbindungen verwendet werden. Diese Funktionalität ist besonders nützlich, wenn Sie Netzwerkknoten erkennen müssen, die schwache Kryptostandards verwenden.
Beachten: Sie müssen zuerst die Netzwerk-App auf StealthWatch installieren - Kryptografisches ETA-Audit.
Gehen Sie zur Registerkarte Dashboards → ETA-Kryptografisches Audit und wählen Sie die Gruppe von Hosts aus, die wir analysieren möchten. Für das Gesamtbild wählen wir Insider-Hosts.
Sie können sehen, dass die TLS-Version und der entsprechende Kryptostandard ausgegeben werden. Nach dem üblichen Schema in der Spalte Aktionen gehe zu Flows anzeigen und die Suche beginnt in einem neuen Tab.
Aus der Ausgabe ist ersichtlich, dass der Host 198.19.20.136 über 12 Stunden verwendet HTTPS mit TLS 1.2, wobei der Verschlüsselungsalgorithmus verwendet wird AES-256 und Hash-Funktion SHA-384. Somit können Sie mit ETA schwache Algorithmen im Netzwerk finden.
4. Netzwerkanomalieanalyse
Cisco StealthWatch kann mithilfe von drei Tools Verkehrsanomalien im Netzwerk erkennen: Kernereignisse (Sicherheitsereignisse), Beziehungsereignisse (Ereignisse von Interaktionen zwischen Segmenten, Netzwerkknoten) und Verhaltensanalyse.
Die Verhaltensanalyse wiederum ermöglicht es, im Laufe der Zeit ein Verhaltensmodell für einen bestimmten Wirt oder eine bestimmte Gruppe von Wirten zu erstellen. Je mehr Datenverkehr über StealthWatch läuft, desto genauer sind die Warnungen dank dieser Analyse. Das System löst zunächst viel falsch aus, daher sollten die Regeln per Hand „verdreht“ werden. Ich empfehle Ihnen, solche Ereignisse in den ersten Wochen zu ignorieren, da sich das System anpasst, oder sie zu Ausnahmen hinzuzufügen.
Nachfolgend finden Sie ein Beispiel für eine vordefinierte Regel Anomalie, was besagt, dass das Ereignis ohne Alarm ausgelöst wird, wenn Ein Host in der Inside Hosts-Gruppe interagiert mit der Inside Hosts-Gruppe und innerhalb von 24 Stunden überschreitet der Datenverkehr 10 Megabyte.
Nehmen wir zum Beispiel einen Alarm Datenhortung, was bedeutet, dass ein Quell-/Zielhost eine ungewöhnlich große Datenmenge von einer Gruppe von Hosts oder einem Host hochgeladen/heruntergeladen hat. Klicken Sie auf das Ereignis und gehen Sie zu der Tabelle, in der die auslösenden Hosts angegeben sind. Wählen Sie als Nächstes in der Spalte den Host aus, der uns interessiert Datenhortung.
Es wird ein Ereignis angezeigt, das darauf hinweist, dass 162 „Punkte“ erkannt wurden und gemäß der Richtlinie 100 „Punkte“ zulässig sind – dies sind interne StealthWatch-Metriken. In einer Kolumne Aktionen drücken Flows anzeigen.
Das können wir beobachten gegebener Gastgeber interagierte nachts mit dem Gastgeber 10.201.3.47 aus der Abteilung Vertrieb & Marketing laut Protokoll HTTPS und heruntergeladen 1.4 GB. Vielleicht ist dieses Beispiel nicht ganz gelungen, aber die Erkennung von Interaktionen selbst für mehrere hundert Gigabyte erfolgt auf genau die gleiche Weise. Daher könnte eine weitere Untersuchung der Anomalien zu interessanten Ergebnissen führen.
Beachten: In der SMC-Weboberfläche werden die Daten in Registerkarten angezeigt Armaturenbretter werden nur für die letzte Woche und im Tab angezeigt Überwachen in den letzten 2 Wochen. Um ältere Ereignisse zu analysieren und Berichte zu erstellen, müssen Sie mit der Java-Konsole auf dem Computer des Administrators arbeiten.
5. Interne Netzwerkscans finden
Schauen wir uns nun einige Beispiele für Feeds an – Vorfälle im Bereich der Informationssicherheit. Diese Funktionalität ist für Sicherheitsexperten von größerem Interesse.
In StealthWatch gibt es mehrere voreingestellte Scan-Ereignistypen:
- Port-Scan: Die Quelle scannt mehrere Ports auf dem Zielhost.
- Addr-TCP-Scan – Die Quelle scannt das gesamte Netzwerk auf demselben TCP-Port und ändert die Ziel-IP-Adresse. In diesem Fall empfängt die Quelle TCP-Reset-Pakete oder erhält überhaupt keine Antworten.
- Addr UDP-Scan – Die Quelle scannt das gesamte Netzwerk auf demselben UDP-Port und ändert dabei die Ziel-IP-Adresse. In diesem Fall empfängt die Quelle ICMP-Port-Unreachable-Pakete oder erhält überhaupt keine Antworten.
- Ping-Scan – die Quelle sendet ICMP-Anfragen an das gesamte Netzwerk, um nach Antworten zu suchen.
- Stealth Scan tсp/udp – die Quelle nutzte denselben Port, um gleichzeitig eine Verbindung zu mehreren Ports auf dem Zielknoten herzustellen.
Um das Auffinden aller internen Scanner auf einmal zu erleichtern, gibt es eine Netzwerk-App für StealthWatch – Sichtbarkeitsbewertung. Gehen Sie zur Registerkarte Dashboards → Sichtbarkeitsbewertung → Interne Netzwerkscanner Es werden scanbezogene Sicherheitsvorfälle der letzten zwei Wochen angezeigt.
Durch Drücken der Taste Details, sehen Sie den Beginn des Scans jedes Netzwerks, den Verkehrstrend und die entsprechenden Alarme.
Als Nächstes können Sie über die Registerkarte im vorherigen Screenshot den Host „failen“ und Sicherheitsereignisse sowie Aktivitäten für diesen Host in der letzten Woche anzeigen.
Lassen Sie uns als Beispiel das Ereignis analysieren Port-Scan vom Gastgeber 10.201.3.149 auf 10.201.0.72, Drücken Aktionen > Zugehörige Flows. Eine Threadsuche wird gestartet und relevante Informationen werden angezeigt.
Wie wir diesen Host von einem seiner Ports aus sehen 51508 / TCP Vor 3 Stunden den Zielhost nach Port gescannt 22, 28, 42, 41, 36, 40 (TCP). Einige Felder zeigen auch keine Informationen an, da nicht alle Netflow-Felder vom Netflow-Exporter unterstützt werden.
6. Analyse heruntergeladener Malware mithilfe von CTA
CTA (Cognitive Threat Analytics) — Cisco Cloud Analytics, das sich perfekt in Cisco StealthWatch integrieren lässt und es Ihnen ermöglicht, signaturfreie Analysen durch Signaturanalysen zu ergänzen. Dadurch ist es möglich, Trojaner, Netzwerkwürmer, Zero-Day-Malware und andere Schadsoftware zu erkennen und im Netzwerk zu verbreiten. Außerdem ermöglicht Ihnen die zuvor erwähnte ETA-Technologie die Analyse solcher böswilliger Kommunikation im verschlüsselten Datenverkehr.
Buchstäblich auf der allerersten Registerkarte der Weboberfläche befindet sich ein spezielles Widget Kognitive Bedrohungsanalyse. Eine kurze Zusammenfassung weist auf erkannte Bedrohungen auf Benutzerhosts hin: Trojaner, betrügerische Software, lästige Adware. Das Wort „verschlüsselt“ weist tatsächlich auf die Arbeit von ETA hin. Durch Klicken auf einen Host werden alle Informationen darüber, Sicherheitsereignisse, einschließlich CTA-Protokolle, angezeigt.
Wenn Sie mit der Maus über jede Phase des CTA fahren, zeigt das Ereignis detaillierte Informationen zur Interaktion an. Für eine vollständige Analyse klicken Sie hier Vorfalldetails anzeigen, und Sie werden zu einer separaten Konsole weitergeleitet Kognitive Bedrohungsanalyse.
In der oberen rechten Ecke ermöglicht Ihnen ein Filter die Anzeige von Ereignissen nach Schweregrad. Wenn Sie auf eine bestimmte Anomalie zeigen, werden unten auf dem Bildschirm Protokolle und rechts eine entsprechende Zeitleiste angezeigt. Somit versteht der Informationssicherheitsspezialist klar, welcher infizierte Host nach welchen Aktionen begonnen hat, welche Aktionen auszuführen.
Unten sehen Sie ein weiteres Beispiel – einen Banking-Trojaner, der den Host infiziert hat 198.19.30.36. Dieser Host begann mit bösartigen Domänen zu interagieren und die Protokolle zeigen Informationen über den Ablauf dieser Interaktionen.
Als nächstes besteht eine der besten Lösungen darin, den Host dank des Native unter Quarantäne zu stellen
Abschluss
Die Cisco StealthWatch-Lösung gehört sowohl hinsichtlich der Netzwerkanalyse als auch der Informationssicherheit zu den führenden Netzwerküberwachungsprodukten. Dadurch können Sie illegale Interaktionen innerhalb des Netzwerks, Anwendungsverzögerungen, die aktivsten Benutzer, Anomalien, Malware und APTs erkennen. Darüber hinaus können Sie Scanner und Pentester finden und eine Kryptoprüfung des HTTPS-Verkehrs durchführen. Noch mehr Anwendungsfälle finden Sie unter
Wenn Sie überprüfen möchten, wie reibungslos und effizient alles in Ihrem Netzwerk funktioniert, senden Sie uns
In naher Zukunft planen wir mehrere weitere technische Veröffentlichungen zu verschiedenen Informationssicherheitsprodukten. Wenn Sie sich für dieses Thema interessieren, dann verfolgen Sie die Updates in unseren Kanälen (
Source: habr.com