estas analiza solvo en la kampo de informa sekureco kiu disponigas ampleksan monitoradon de minacoj en distribuita reto. StealthWatch baziĝas sur kolektado de NetFlow kaj IPFIX de enkursigiloj, ŝaltiloj kaj aliaj retaj aparatoj. Kiel rezulto, la reto iĝas sentema sensilo kaj permesas al la administranto rigardi en lokojn kie tradiciaj retaj sekurecaj metodoj, kiel Next Generation Firewall, ne povas atingi.
En antaŭaj artikoloj mi jam skribis pri StealthWatch: Kaj . Nun mi proponas pluiri kaj diskuti kiel labori kun alarmoj kaj esplori sekurecajn incidentojn, kiujn generas la solvo. Estos 6 ekzemploj, kiujn mi esperas, donos bonan ideon pri la utileco de la produkto.
Unue, oni devas diri, ke StealthWatch havas iun distribuadon de alarmoj inter algoritmoj kaj fluoj. La unuaj estas diversaj specoj de alarmoj (scioj), kiam ĝi estas ekigita, vi povas detekti suspektindajn aferojn en la reto. La dua estas sekurecaj okazaĵoj. Ĉi tiu artikolo rigardos 4 ekzemplojn de algoritmoj ekigitaj kaj 2 ekzemploj de fluoj.
1. Analizo de la plej grandaj interagoj ene de la reto
La komenca paŝo en starigo de StealthWatch estas difini gastigantojn kaj retojn en grupojn. En la retinterfaco langeto Agordu > Gastiganta Grupo-Administrado Retoj, gastigantoj kaj serviloj devas esti klasifikitaj en taŭgajn grupojn. Vi ankaŭ povas krei viajn proprajn grupojn. Cetere, analizi interagojn inter gastigantoj en Cisco StealthWatch estas sufiĉe oportuna, ĉar vi povas ne nur konservi serĉfiltrilojn laŭ rivereto, sed ankaŭ la rezultojn mem.
Por komenci, en la retinterfaco vi devus iri al la langeto Analizi > Flua Serĉo. Tiam vi devus agordi la sekvajn parametrojn:
- Serĉa Tipo - Ĉefaj Konversacioj (plej popularaj interagoj)
- Tempointervalo - 24 horoj (tempoperiodo, vi povas uzi alian)
- Serĉa Nomo - Ĉefaj Konversacioj Interne-Interne (iu ajn amika nomo)
- Temo - Gastigaj Grupoj → Ene de Gastigantoj (fonto - grupo de internaj gastigantoj)
- Konekto (vi povas specifi havenojn, aplikojn)
- Samulo - Gastigaj Grupoj → Ene de Gastigantoj (celloko - grupo de internaj nodoj)
- En Altnivelaj Opcioj, vi povas aldone specifi la kolektanton de kiu la datumoj estas rigardataj, ordigante la eligon (laŭ bajtoj, fluoj, ktp.). Mi lasos ĝin defaŭlte.
Post premado de la butono Serĉu listo de interagoj estas montrata, kiuj jam estas ordigitaj laŭ la kvanto da datumoj transdonitaj.
En mia ekzemplo la gastiganto 10.150.1.201 (servilo) transdonita ene de nur unu fadeno 1.5 GB trafiko por gastigi 10.150.1.200 (kliento) per protokolo mysql. Butono Administri Kolumnojn permesas aldoni pli da kolumnoj al la eligo-datumoj.
Poste, laŭ la bontrovo de la administranto, vi povas krei kutiman regulon, kiu ĉiam ekigos ĉi tiun tipon de interago kaj sciigos vin per SNMP, retpoŝto aŭ Syslog.
2. Analizo de la plej malrapidaj interagoj kliento-servilo ene de la reto por prokrastoj
Etikedoj SRT (Servila Responda Tempo), RTT (Renvojaĝa Tempo) ebligas al vi ekscii servilmalfruojn kaj ĝeneralajn retajn prokrastojn. Ĉi tiu ilo estas precipe utila kiam vi bezonas rapide trovi la kaŭzon de plendoj de uzantoj pri malrapida aplikaĵo.
Примечание: preskaŭ ĉiuj Netflow-eksportantoj ne scias kiel sendu SRT, RTT-etikedojn, tiel ofte, por vidi tiajn datumojn sur FlowSensor, vi devas agordi sendi kopion de trafiko de retaj aparatoj. FlowSensor siavice sendas la plilongigitan IPFIX al FlowCollector.
Estas pli oportune fari ĉi tiun analizon en la java aplikaĵo StealtWatch, kiu estas instalita sur la komputilo de la administranto.
Dekstra musbutono ŝaltita Ene de Gastigantoj kaj iru al la langeto Fluotabelo.
Alklaku Filtrilo kaj starigu la necesajn parametrojn. Kiel ekzemplo:
- Dato/Tempo - Dum la lastaj 3 tagoj
- Rendimento — Meza Revena Tempo >=50ms
Post montri la datumojn, ni aldonu la kampojn RTT kaj SRT, kiuj interesas nin. Por fari tion, alklaku la kolumnon en la ekrankopio kaj elektu per la dekstra musbutono Administri Kolumnojn. Poste, alklaku RTT, SRT-parametrojn.
Post procesado de la peto, mi ordigis laŭ RTT mezumo kaj vidis la plej malrapidajn interagojn.
Por eniri detalajn informojn, dekstre alklaku la rivereton kaj elektu Rapida Vido por Fluo.
Ĉi tiu informo indikas ke la gastiganto 10.201.3.59 de la grupo Vendoj kaj Merkatado per protokolo NFS apelacias al DNS-servilo dum minuto kaj 23 sekundoj kaj havas nur teruran malfruon. En la langeto interfacoj vi povas ekscii de kiu Netflow-datumeksportilo la informoj estis akiritaj. En la langeto tablo Pli detalaj informoj pri la interago estas montrata.
Poste, vi devus ekscii, kiuj aparatoj sendas trafikon al FlowSensor kaj la problemo plej verŝajne kuŝas tie.
Krome, StealthWatch estas unika ĉar ĝi kondukas dedupliko datumoj (kombinas la samajn fluojn). Sekve, vi povas kolekti de preskaŭ ĉiuj Netflow-aparatoj kaj ne timi, ke estos multaj duplikataj datumoj. Tute male, en ĉi tiu skemo ĝi helpos kompreni, kiu lupolo havas la plej grandajn malfruojn.
3. Revizio de HTTPS kriptografaj protokoloj
ETA (Ĉifrita Trafikanalitiko) estas teknologio evoluigita de Cisco, kiu permesas vin detekti malicajn konektojn en ĉifrita trafiko sen deĉifri ĝin. Plie, ĉi tiu teknologio permesas al vi "analizi" HTTPS en TLS-versiojn kaj ĉifritajn protokolojn, kiuj estas uzataj dum konektoj. Ĉi tiu funkcio estas precipe utila kiam vi bezonas detekti retajn nodojn, kiuj uzas malfortajn kriptajn normojn.
Примечание: Vi unue devas instali la retan apon sur StealthWatch - ETA Kriptografia Revizio.
Iru al langeto Instrumentpaneloj → ETA Kriptografia Revizio kaj elektu la grupon de gastigantoj, kiujn ni planas analizi. Por la ĝenerala bildo, ni elektu Ene de Gastigantoj.
Vi povas vidi, ke la TLS-versio kaj la responda kripta normo estas eligitaj. Laŭ la kutima skemo en la kolumno agoj iru al Rigardu Fluojn kaj la serĉo komenciĝas en nova langeto.
El la eligo videblas, ke la gastiganto 198.19.20.136 ĉie 12 horoj uzis HTTPS kun TLS 1.2, kie la ĉifrada algoritmo AES-256 kaj hash funkcio SHA-384. Tiel, ETA permesas trovi malfortajn algoritmojn en la reto.
4. Reta anomalia analizo
Cisco StealthWatch povas rekoni trafikanomalojn en la reto uzante tri ilojn: Kernaj Eventoj (sekurecaj eventoj), Rilataj Eventoj (okazaĵoj de interagoj inter segmentoj, retaj nodoj) kaj konduta analizo.
Kondutisma analizo, siavice, permesas dum tempo konstrui kondutmodelon por speciala gastiganto aŭ grupo de gastigantoj. Ju pli da trafiko trapasas StealthWatch, des pli precizaj estos la atentigoj danke al ĉi tiu analizo. Komence, la sistemo deĉenigas multe malĝuste, do la reguloj devus esti "torditaj" mane. Mi rekomendas, ke vi ignoru tiajn eventojn dum la unuaj semajnoj, ĉar la sistemo alĝustigos sin, aŭ aldonos ilin al esceptoj.
Malsupre estas ekzemplo de antaŭdifinita regulo Anomalio, kiu deklaras ke la okazaĵo pafos sen alarmo se gastiganto en la grupo Inside Hosts interagas kun la grupo Inside Hosts kaj ene de 24 horoj la trafiko superos 10 megabajtojn..
Ekzemple, ni prenu alarmon Datenhavado, kio signifas, ke iu fonto/destina gastiganto alŝutis/elŝutis nenormale grandan kvanton da datumoj de grupo de gastigantoj aŭ gastiganto. Alklaku la eventon kaj iru al la tabelo, kie la deĉengaj gastigantoj estas indikitaj. Poste, elektu la gastiganton pri kiu ni interesiĝas en la kolumno Datenhavado.
Okazaĵo estas montrata indikante, ke 162k "punktoj" estis detektitaj, kaj laŭ la politiko, 100k "punktoj" estas permesitaj - ĉi tiuj estas internaj StealthWatch-metrikoj. En kolumno agoj puŝi Rigardu Fluojn.
Ni povas observi tion donita gastiganto interagis kun la gastiganto nokte 10.201.3.47 de la fako Vendoj kaj Merkatado per protokolo HTTPS kaj elŝutita 1.4 GB. Eble ĉi tiu ekzemplo ne estas tute sukcesa, sed detekto de interagoj eĉ dum kelkcent gigabajtoj estas efektivigita ĝuste en la sama maniero. Tial plia esploro de la anomalioj povas konduki al interesaj rezultoj.
Примечание: en la TTT-interfaco de SMC, datumoj estas en langetoj dashboards estas montrataj nur por la lasta semajno kaj en la langeto monitoro dum la lastaj 2 semajnoj. Por analizi pli malnovajn eventojn kaj generi raportojn, vi devas labori kun la java konzolo en la komputilo de la administranto.
5. Trovi internajn retajn skanaĵojn
Nun ni rigardu kelkajn ekzemplojn de nutraĵoj - informsekurecaj okazaĵoj. Ĉi tiu funkcio pli interesas sekurecajn profesiulojn.
Estas pluraj antaŭdifinitaj skanadaj eventospecoj en StealthWatch:
- Port Scan - la fonto skanas plurajn havenojn sur la celgastiganto.
- Addr tcp scan - la fonto skanas la tutan reton sur la sama TCP-haveno, ŝanĝante la celan IP-adreson. En ĉi tiu kazo, la fonto ricevas TCP Reset-pakaĵojn aŭ tute ne ricevas respondojn.
- Addr udp scan - la fonto skanas la tutan reton sur la sama UDP-haveno, dum ŝanĝas la celan IP-adreson. En ĉi tiu kazo, la fonto ricevas ICMP Port Unreachable-pakaĵojn aŭ tute ne ricevas respondojn.
- Ping Scan - la fonto sendas ICMP-petojn al la tuta reto por serĉi respondojn.
- Stealth Scan tсp/udp - la fonto uzis la saman havenon por konekti al pluraj havenoj sur la celnodo samtempe.
Por pli oportune trovi ĉiujn internajn skaniloj samtempe, ekzistas reto-aplikaĵo por StealthWatch - Videbleco-Taksado. Iru al la langeto Paneloj → Takso de Videbleco → Internaj Retaj Skaniloj vi vidos skanado-rilatajn sekurecajn incidentojn dum la lastaj 2 semajnoj.
Premante la butonon detaloj, vi vidos la komencon de skanado de ĉiu reto, la trafikan tendencon kaj la respondajn alarmojn.
Poste, vi povas "malsukcesi" en la gastiganto de la langeto en la antaŭa ekrankopio kaj vidi sekurecajn eventojn, kaj ankaŭ agadon dum la lasta semajno por ĉi tiu gastiganto.
Ekzemple, ni analizu la eventon Havena Skanado de gastiganto 10.201.3.149 sur 10.201.0.72, Premante Agoj > Rilataj Fluoj. Fadenserĉo estas lanĉita kaj koncernaj informoj montriĝas.
Kiel ni vidas ĉi tiun gastiganton de unu el ĝiaj havenoj 51508 / TCP skanis antaŭ 3 horoj la cel-gastiganton laŭ haveno 22, 28, 42, 41, 36, 40 (TCP). Iuj kampoj ankaŭ ne montras informojn ĉar ne ĉiuj Netflow-kampoj estas subtenataj ĉe la Netflow-eksportilo.
6. Analizo de elŝutita malware uzante CTA
CTA (Analitiko de Kogna Minaco) — Cisco-nuba analizo, kiu perfekte integriĝas kun Cisco StealthWatch kaj permesas vin kompletigi sensignaturan analizon per subskriba analizo. Ĉi tio ebligas detekti trojanojn, retajn vermojn, nul-tagajn malware kaj aliajn malware kaj distribui ilin ene de la reto. Ankaŭ, la antaŭe menciita ETA-teknologio permesas analizi tiajn malicajn komunikadojn en ĉifrita trafiko.
Laŭvorte en la unua langeto en la retinterfaco estas speciala fenestraĵo Kogna Minaco-Analitiko. Mallonga resumo indikas minacojn detektitaj sur uzantgastigantoj: trojano, fraŭda programaro, ĝena adware. La vorto "Ĉifrita" fakte indikas la laboron de ETA. Alklakante gastiganton, ĉiuj informoj pri ĝi, sekurecaj eventoj, inkluzive de CTA-protokoloj, aperas.
Ŝvebante super ĉiu etapo de la CTA, la evento montras detalajn informojn pri la interago. Por kompleta analizo, alklaku ĉi tie Rigardu Okazajn Detalojn, kaj vi estos prenita al aparta konzolo Kogna Minaco-Analitiko.
En la supra dekstra angulo, filtrilo permesas montri eventojn laŭ severeco. Kiam vi montras specifan anomalion, protokoloj aperas malsupre de la ekrano kun responda templinio dekstre. Tiel, la specialisto pri informa sekureco klare komprenas, kiu infektita gastiganto, post kiuj agoj, komencis plenumi kiuj agoj.
Malsupre estas alia ekzemplo - banka trojano kiu infektis la gastiganton 198.19.30.36. Ĉi tiu gastiganto komencis interagi kun malicaj domajnoj, kaj la protokoloj montras informojn pri la fluo de ĉi tiuj interagoj.
Poste, unu el la plej bonaj solvoj, kiuj eblas, estas kvaranteni la gastiganton danke al la indiĝeno kun Cisco ISE por plia traktado kaj analizo.
konkludo
La Cisco StealthWatch-solvo estas unu el la gvidantoj inter retaj monitoraj produktoj kaj laŭ reta analizo kaj informa sekureco. Danke al ĝi, vi povas detekti nelegitimajn interagojn ene de la reto, aplikprokrastojn, la plej aktivajn uzantojn, anomaliojn, malware kaj APT-ojn. Plie, vi povas trovi skaniloj, pentesteroj, kaj fari kripto-revizion de HTTPS-trafiko. Vi povas trovi eĉ pliajn uzkazojn ĉe .
Se vi ŝatus kontroli kiel glate kaj efike ĉio funkcias en via reto, sendu .
En proksima estonteco, ni planas plurajn pli teknikajn publikaĵojn pri diversaj informaj sekurecaj produktoj. Se vi interesiĝas pri ĉi tiu temo, tiam sekvu la ĝisdatigojn en niaj kanaloj (, , , )!
fonto: www.habr.com