es una solución analítica en el campo de la seguridad de la información que proporciona un monitoreo integral de las amenazas en una red distribuida. StealthWatch se basa en recopilar NetFlow e IPFIX de enrutadores, conmutadores y otros dispositivos de red. Como resultado, la red se convierte en un sensor sensible y permite al administrador buscar lugares donde los métodos tradicionales de seguridad de red, como el Firewall de próxima generación, no pueden llegar.
En artículos anteriores ya escribí sobre StealthWatch: y . Ahora propongo seguir adelante y discutir cómo trabajar con alarmas e investigar los incidentes de seguridad que genera la solución. Habrá 6 ejemplos que espero den una buena idea de la utilidad del producto.
En primer lugar, cabe decir que StealthWatch tiene cierta distribución de alarmas entre algoritmos y feeds. Los primeros son varios tipos de alarmas (notificaciones) que, cuando se activan, pueden detectar cosas sospechosas en la red. El segundo son los incidentes de seguridad. Este artículo analizará 4 ejemplos de algoritmos activados y 2 ejemplos de feeds.
1. Análisis de las mayores interacciones dentro de la red.
El paso inicial para configurar StealthWatch es definir hosts y redes en grupos. En la pestaña de la interfaz web Configurar > Gestión de grupos de hosts Las redes, hosts y servidores deben clasificarse en grupos apropiados. También puedes crear tus propios grupos. Por cierto, analizar las interacciones entre hosts en Cisco StealthWatch es bastante conveniente, ya que no solo puede guardar los filtros de búsqueda por flujo, sino también los resultados mismos.
Para comenzar, en la interfaz web debes ir a la pestaña Analizar > Búsqueda de flujo. Entonces deberías configurar los siguientes parámetros:
- Tipo de búsqueda: conversaciones principales (interacciones más populares)
- Rango de tiempo: 24 horas (período de tiempo, puedes usar otro)
- Nombre de búsqueda: conversaciones principales dentro-adentro (cualquier nombre descriptivo)
- Asunto - Grupos de hosts → Hosts internos (fuente - grupo de hosts internos)
- Conexión (puede especificar puertos, aplicaciones)
- Peer - Grupos de hosts → Hosts internos (destino - grupo de nodos internos)
- En Opciones avanzadas, también puede especificar el recopilador desde el cual se ven los datos, ordenando la salida (por bytes, flujos, etc.). Lo dejaré por defecto.
Después de presionar el botón Buscar Se muestra una lista de interacciones que ya están ordenadas por la cantidad de datos transferidos.
En mi ejemplo el anfitrión 10.150.1.201 (servidor) transmitido dentro de un solo hilo 1.5 GB tráfico al host 10.150.1.200 (cliente) por protocolo mysql... Botón Administrar columnas le permite agregar más columnas a los datos de salida.
A continuación, a discreción del administrador, puede crear una regla personalizada que siempre activará este tipo de interacción y le notificará mediante SNMP, correo electrónico o Syslog.
2. Análisis de las interacciones cliente-servidor más lentas dentro de la red en busca de retrasos
Etiquetas SRT (tiempo de respuesta del servidor), RTT (tiempo de ida y vuelta) le permite conocer retrasos en el servidor y retrasos generales en la red. Esta herramienta es especialmente útil cuando necesita encontrar rápidamente la causa de las quejas de los usuarios sobre una aplicación que se ejecuta con lentitud.
Nota: casi todos los exportadores de Netflow no se como envíe etiquetas SRT, RTT, por lo que a menudo, para ver dichos datos en FlowSensor, debe configurar el envío de una copia del tráfico desde los dispositivos de red. FlowSensor a su vez envía el IPFIX extendido a FlowCollector.
Es más conveniente realizar este análisis en la aplicación java StealtWatch, que se instala en la computadora del administrador.
Botón derecho del ratón activado Anfitriones internos y ve a la pestaña Tabla de flujo.
Haga clic en Filtrar y establecer los parámetros necesarios. Como ejemplo:
- Fecha/hora: durante los últimos 3 días
- Rendimiento: tiempo medio de ida y vuelta >=50 ms
Después de mostrar los datos, debemos añadir los campos RTT y SRT que nos interesen. Para hacer esto, haga clic en la columna de la captura de pantalla y seleccione con el botón derecho del mouse. Administrar columnas. A continuación, haga clic en RTT, parámetros SRT.
Después de procesar la solicitud, clasifiqué por promedio de RTT y vi las interacciones más lentas.
Para acceder a información detallada, haga clic derecho en la transmisión y seleccione Vista rápida de flujo.
Esta información indica que el anfitrión 10.201.3.59 del grupo Ventas y Marketing por protocolo NFS apela a servidor DNS durante un minuto y 23 segundos y tiene un retraso terrible. en la pestaña Interfaces puede averiguar de qué exportador de datos de Netflow se obtuvo la información. en la pestaña Mesa Se muestra información más detallada sobre la interacción.
A continuación, debes averiguar qué dispositivos envían tráfico a FlowSensor y lo más probable es que ahí esté el problema.
Además, StealthWatch es único porque realiza deduplicación datos (combina los mismos flujos). Por lo tanto, puede recopilar datos de casi todos los dispositivos Netflow y no tener miedo de que haya muchos datos duplicados. Por el contrario, en este esquema será útil comprender qué salto tiene los mayores retrasos.
3. Auditoría de protocolos criptográficos HTTPS
ETA (análisis de tráfico cifrado) es una tecnología desarrollada por Cisco que permite detectar conexiones maliciosas en tráfico cifrado sin descifrarlo. Además, esta tecnología le permite "analizar" HTTPS en versiones TLS y protocolos criptográficos que se utilizan durante las conexiones. Esta funcionalidad es especialmente útil cuando necesita detectar nodos de red que utilizan estándares criptográficos débiles.
Nota: Primero debes instalar la aplicación de red en StealthWatch - Auditoría criptográfica ETA.
Ir a la pestaña Paneles → Auditoría criptográfica ETA y seleccionar el grupo de hosts que planeamos analizar. Para el panorama general, elijamos Anfitriones internos.
Puede ver que se generan la versión TLS y el estándar criptográfico correspondiente. Según el esquema habitual en la columna. Acciones ir a Ver flujos y la búsqueda comienza en una nueva pestaña.
En la salida se puede ver que el host 198.19.20.136 encima 12 horas Usó HTTPS con TLS 1.2, donde el algoritmo de cifrado AES-256 y función hash SHA-384. Por tanto, ETA permite encontrar algoritmos débiles en la red.
4. Análisis de anomalías de la red.
Cisco StealthWatch puede reconocer anomalías de tráfico en la red utilizando tres herramientas: Eventos principales (eventos de seguridad), Eventos de relación (eventos de interacciones entre segmentos, nodos de red) y análisis de comportamiento.
El análisis de comportamiento, a su vez, permite construir con el tiempo un modelo de comportamiento para un huésped o grupo de huéspedes en particular. Cuanto más tráfico pase por StealthWatch, más precisas serán las alertas gracias a este análisis. Al principio, el sistema se activa de manera muy incorrecta, por lo que las reglas deben “retorcerse” a mano. Le recomiendo que ignore estos eventos durante las primeras semanas, ya que el sistema se ajustará solo o los agregará a excepciones.
A continuación se muestra un ejemplo de una regla predefinida. Anomalía, que establece que el evento se activará sin alarma si un host del grupo Inside Hosts interactúa con el grupo Inside Hosts y dentro de 24 horas el tráfico superará los 10 megabytes.
Por ejemplo, tomemos una alarma. Acaparamiento de datos, lo que significa que algún host de origen/destino ha subido/descargado una cantidad anormalmente grande de datos de un grupo de hosts o de un host. Haga clic en el evento y vaya a la tabla donde se indican los hosts desencadenantes. A continuación, seleccione el host que nos interesa en la columna Acaparamiento de datos.
Se muestra un evento que indica que se detectaron 162 "puntos" y, según la política, se permiten 100 "puntos": estas son métricas internas de StealthWatch. en una columna Acciones empujar Ver flujos.
Podemos observar que anfitrión dado interactuó con el anfitrión por la noche 10.201.3.47 del departamento Ventas y Marketing por protocolo HTTPS y descargado 1.4 GB. Quizás este ejemplo no sea del todo exitoso, pero la detección de interacciones, incluso para varios cientos de gigabytes, se realiza exactamente de la misma manera. Por lo tanto, una mayor investigación de las anomalías puede conducir a resultados interesantes.
Nota: en la interfaz web de SMC, los datos están en pestañas Cuadros de mando se muestran solo durante la última semana y en la pestaña Monitorear durante las últimas 2 semanas. Para analizar eventos más antiguos y generar informes, debe trabajar con la consola Java en la computadora del administrador.
5. Encontrar escaneos de red interna
Ahora veamos algunos ejemplos de feeds: incidentes de seguridad de la información. Esta funcionalidad es de mayor interés para los profesionales de la seguridad.
Hay varios tipos de eventos de escaneo preestablecidos en StealthWatch:
- Exploración de puertos: el origen explora varios puertos en el host de destino.
- Addr tcp scan: el origen escanea toda la red en el mismo puerto TCP y cambia la dirección IP de destino. En este caso, la fuente recibe paquetes de reinicio de TCP o no recibe ninguna respuesta.
- Addr udp scan: el origen escanea toda la red en el mismo puerto UDP, mientras cambia la dirección IP de destino. En este caso, la fuente recibe paquetes de puerto ICMP inalcanzable o no recibe ninguna respuesta.
- Ping Scan: la fuente envía solicitudes ICMP a toda la red para buscar respuestas.
- Stealth Scan tсp/udp: el origen utilizó el mismo puerto para conectarse a varios puertos en el nodo de destino al mismo tiempo.
Para que sea más conveniente encontrar todos los escáneres internos a la vez, existe una aplicación de red para StealthWatch - Evaluación de visibilidad. Ir a la pestaña Paneles → Evaluación de visibilidad → Escáneres de red interna Verá incidentes de seguridad relacionados con el escaneo durante las últimas 2 semanas.
Pulsando el botón Detalles, verás el inicio del escaneo de cada red, la tendencia del tráfico y las alarmas correspondientes.
A continuación, puede "fallar" en el host desde la pestaña de la captura de pantalla anterior y ver los eventos de seguridad, así como la actividad de la última semana para este host.
Como ejemplo, analicemos el evento. Port Scan del anfitrión 10.201.3.149 en 10.201.0.72, Presionando Acciones > Flujos asociados. Se inicia una búsqueda de hilos y se muestra información relevante.
Cómo vemos este host desde uno de sus puertos 51508 / TCP escaneado hace 3 horas el host de destino por puerto 22, 28, 42, 41, 36, 40 (TCP). Algunos campos tampoco muestran información porque no todos los campos de Netflow son compatibles con el exportador de Netflow.
6. Análisis del malware descargado mediante CTA
CTA (análisis de amenazas cognitivas) — Análisis en la nube de Cisco, que se integra perfectamente con Cisco StealthWatch y le permite complementar el análisis sin firmas con análisis de firmas. Esto permite detectar troyanos, gusanos de red, malware de día cero y otros programas maliciosos y distribuirlos dentro de la red. Además, la tecnología ETA mencionada anteriormente le permite analizar dichas comunicaciones maliciosas en tráfico cifrado.
Literalmente, en la primera pestaña de la interfaz web hay un widget especial Análisis cognitivo de amenazas. Un breve resumen indica las amenazas detectadas en los hosts de los usuarios: troyanos, software fraudulento, molestos programas publicitarios. La palabra “Cifrado” en realidad indica el trabajo de ETA. Al hacer clic en un host, aparece toda la información sobre él, los eventos de seguridad, incluidos los registros de CTA.
Al pasar el cursor sobre cada etapa de la CTA, el evento muestra información detallada sobre la interacción. Para análisis completos, haga clic aquí Ver detalles del incidente, y serás llevado a una consola separada Análisis cognitivo de amenazas.
En la esquina superior derecha, un filtro le permite mostrar eventos por nivel de gravedad. Cuando señala una anomalía específica, aparecen registros en la parte inferior de la pantalla con una línea de tiempo correspondiente a la derecha. Por lo tanto, el especialista en seguridad de la información comprende claramente qué host infectado, después de qué acciones, comenzó a realizar qué acciones.
A continuación se muestra otro ejemplo: un troyano bancario que infectó el host. 198.19.30.36. Este host comenzó a interactuar con dominios maliciosos y los registros muestran información sobre el flujo de estas interacciones.
A continuación, una de las mejores soluciones que puede haber es poner en cuarentena al anfitrión gracias al nativo con Cisco ISE para su posterior tratamiento y análisis.
Conclusión
La solución Cisco StealthWatch es uno de los líderes entre los productos de monitoreo de redes tanto en términos de análisis de redes como de seguridad de la información. Gracias a él se pueden detectar interacciones ilegítimas dentro de la red, retrasos en las aplicaciones, usuarios más activos, anomalías, malware y APT. Además, puede encontrar escáneres, pentesters y realizar una criptoauditoría del tráfico HTTPS. Puede encontrar aún más casos de uso en .
Si desea comprobar qué tan fluida y eficientemente funciona todo en su red, envíe .
En un futuro próximo, estamos planeando varias publicaciones técnicas más sobre diversos productos de seguridad de la información. Si está interesado en este tema, siga las actualizaciones en nuestros canales (, , , )!
Fuente: habr.com