on infoturbe valdkonna analüütiline lahendus, mis tagab hajusvõrgus esinevate ohtude igakülgse jälgimise. StealthWatch põhineb NetFlow ja IPFIX kogumisel ruuteritest, kommutaatoritest ja muudest võrguseadmetest. Selle tulemusena muutub võrk tundlikuks anduriks ja võimaldab administraatoril vaadata kohti, kuhu traditsioonilised võrguturbemeetodid, näiteks järgmise põlvkonna tulemüür, ei pääse.
Varasemates artiklites olen StealthWatchist juba kirjutanud: ning . Nüüd teen ettepaneku liikuda edasi ja arutada, kuidas töötada häiretega ja uurida turvaintsidente, mida lahendus tekitab. Seal on 6 näidet, mis loodetavasti annavad hea ettekujutuse toote kasulikkusest.
Esiteks tuleb öelda, et StealthWatchil on teatud häirete jaotus algoritmide ja kanalite vahel. Esimesed on mitmesugused häired (teavitused), mille käivitamisel saate võrgus tuvastada kahtlasi asju. Teine on turvaintsidendid. Selles artiklis vaadeldakse 4 näidet käivitatud algoritmidest ja 2 näidet voogudest.
1. Võrgusisese suurima interaktsiooni analüüs
StealthWatchi seadistamise esimene samm on hostide ja võrkude määratlemine rühmadesse. Vahekaardil veebiliides Seadistamine > Hostirühma haldus Võrgud, hostid ja serverid tuleks liigitada sobivatesse rühmadesse. Saate luua ka oma rühmi. Muide, Cisco StealthWatchi hostide vaheliste interaktsioonide analüüsimine on üsna mugav, kuna saate salvestada mitte ainult otsingufiltreid voogu, vaid ka tulemusi ise.
Alustamiseks peaksite veebiliideses minema vahekaardile Analüüsi > Voo otsing. Seejärel peaksite määrama järgmised parameetrid:
- Otsingu tüüp – populaarseimad vestlused (kõige populaarsemad suhtlused)
- Ajavahemik - 24 tundi (ajavahemik, võite kasutada mõnda muud)
- Otsi nimi – populaarseimad vestlused sees-sees (mis tahes sõbralik nimi)
- Teema – hostirühmad → Inside Hosts (allikas – sisemiste hostide rühm)
- Ühendus (saate määrata pordid, rakendused)
- Peer – hostirühmad → sisemised hostid (sihtkoht – sisemiste sõlmede rühm)
- Advanced Options'is saab lisaks määrata koguja, kust andmeid vaadatakse, sorteerides väljundit (baitide, voogude jms järgi). Ma jätan selle vaikimisi.
Pärast nupu vajutamist Otsing kuvatakse interaktsioonide loend, mis on juba sorteeritud edastatud andmete hulga järgi.
Minu näites peremees 10.150.1.201 (server) edastatakse ainult ühe lõime jooksul 1.5 GB liiklus hostile 10.150.1.200 (klient) protokolli järgi MySQL. Nupp Veergude haldamine võimaldab lisada väljundandmetele rohkem veerge.
Järgmisena saate administraatori äranägemisel luua kohandatud reegli, mis käivitab alati seda tüüpi suhtluse ja teavitab teid SNMP, e-posti või Syslogi kaudu.
2. Võrgusisese kliendi ja serveri kõige aeglasema interaktsiooni analüüs viivituste tuvastamiseks
Sildid SRT (serveri reageerimisaeg), RTT (edasi-tagasi reisi aeg) võimaldab teil välja selgitada serveri viivitused ja üldised võrguviivitused. See tööriist on eriti kasulik, kui peate kiiresti leidma kasutajate kaebuste põhjuse aeglaselt töötava rakenduse kohta.
Märkus: peaaegu kõik Netflow eksportijad ei tea kuidas saata SRT- ja RTT-silte, nii et sageli peate selliste andmete nägemiseks FlowSensoris konfigureerima võrguseadmetest liikluse koopia saatmise. FlowSensor omakorda saadab laiendatud IPFIX-i FlowCollectorile.
Seda analüüsi on mugavam teha StealtWatchi javarakenduses, mis on installitud administraatori arvutisse.
Hiire parem nupp sisse lülitatud Inside Hosts ja minge vahekaardile Voolutabel.
Kliki filtrid ja määrake vajalikud parameetrid. Näiteks:
- Kuupäev/kellaaeg – viimase 3 päeva kohta
- Jõudlus — keskmine edasi-tagasi reisi aeg >=50 ms
Pärast andmete kuvamist peaksime lisama meid huvitavad RTT ja SRT väljad. Selleks klõpsake ekraanipildil veerul ja valige hiire parema nupuga Veergude haldamine. Järgmisena klõpsake nuppu RTT, SRT parameetrid.
Pärast päringu töötlemist sorteerisin RTT keskmise järgi ja nägin kõige aeglasemaid interaktsioone.
Üksikasjaliku teabe vaatamiseks paremklõpsake voos ja valige Flow kiirvaade.
See teave näitab, et host 10.201.3.59 grupist Müük ja turundus protokolli järgi NFS apelleerib DNS-server minut ja 23 sekundit ning sellel on lihtsalt kohutav viivitus. Vahekaardil Liidesed saate teada, milliselt Netflow andmete eksportijalt teave saadi. Vahekaardil Tabel Kuvatakse üksikasjalikum teave interaktsiooni kohta.
Järgmiseks peaksite välja selgitama, millised seadmed saadavad liiklust FlowSensorile ja probleem peitub suure tõenäosusega seal.
Lisaks on StealthWatch ainulaadne selle poolest, et see juhib deduplikatsioon andmed (ühendab samu vooge). Seetõttu saate koguda peaaegu kõigist Netflow seadmetest ja ärge kartke, et seal on palju dubleerivaid andmeid. Vastupidi, selles skeemis aitab see mõista, millisel hüppel on suurimad viivitused.
3. HTTPS-i krüptoprotokollide audit
ETA (krüpteeritud liiklusanalüüs) on Cisco välja töötatud tehnoloogia, mis võimaldab tuvastada pahatahtlikke ühendusi krüptitud liikluses ilma seda dekrüpteerimata. Veelgi enam, see tehnoloogia võimaldab teil "parsida" HTTPS-i TLS-i versioonideks ja krüptograafilisteks protokollideks, mida ühenduste ajal kasutatakse. See funktsioon on eriti kasulik, kui peate tuvastama nõrku krüptostandardeid kasutavad võrgusõlmed.
Märkus: peate esmalt installima võrgurakenduse StealthWatchi - ETA krüptograafiline audit.
Mine vahekaardile Armatuurlauad → ETA krüptograafiline audit ja valige hostide rühm, mida plaanime analüüsida. Üldpildi jaoks valime Inside Hosts.
Näete, et väljastatakse TLS-versioon ja vastav krüptostandard. Veerus tavapärase skeemi järgi Meetmete minema Vaata voogusid ja otsing algab uuel vahelehel.
Väljundist on näha, et peremees 198.19.20.136 üle 12 tundi kasutas HTTPS-i koos TLS 1.2-ga, kus krüpteerimisalgoritm AES-256 ja räsifunktsioon SHA-384. Seega võimaldab ETA leida võrgus nõrku algoritme.
4. Võrgu anomaaliate analüüs
Cisco StealthWatch suudab tuvastada võrgu liiklusanomaaliaid kolme tööriista abil: Põhisündmused (turvasündmused), Suhtesündmused (segmentide, võrgusõlmede vaheliste interaktsioonide sündmused) ja käitumuslik analüüs.
Käitumisanalüüs omakorda võimaldab aja jooksul luua käitumismudeli konkreetse peremehe või hostide rühma jaoks. Mida rohkem liiklust StealthWatchi läbib, seda täpsemad on hoiatused tänu sellele analüüsile. Alguses käivitab süsteem palju valesti, seega tuleks reegleid käsitsi “väänata”. Soovitan selliseid sündmusi esimestel nädalatel ignoreerida, kuna süsteem kohandub ise või lisab need erandite hulka.
Allpool on näide eelmääratletud reeglist Anomaalia, mis ütleb, et sündmus vallandub ilma häireta, kui rühma Inside Hosts olev host suhtleb Inside Hosts rühmaga ja 24 tunni jooksul ületab liiklus 10 megabaiti.
Näiteks võtame äratuse Andmete kogumine, mis tähendab, et mõni allika/sihtkoha host on hostide rühmast või hostist üles laadinud/alla laadinud ebatavaliselt suure hulga andmeid. Klõpsake sündmusel ja minge tabelisse, kus on näidatud käivitavad hostid. Järgmisena valige veerust meid huvitav host Andmete kogumine.
Kuvatakse sündmus, mis näitab, et tuvastati 162 100 punkti ja poliitika kohaselt on lubatud XNUMX XNUMX punkti – need on sisemised StealthWatchi mõõdikud. Kolumnis Meetmete suruma Vaata voogusid.
Me võime seda jälgida antud peremees suhtles õhtuti peremehega 10.201.3.47 osakonnast Müük protokolli järgi HTTPS ja alla laaditud 1.4 GB. Võib-olla pole see näide täiesti edukas, kuid interaktsioonide tuvastamine isegi mitmesaja gigabaidi ulatuses toimub täpselt samamoodi. Seetõttu võib kõrvalekallete edasine uurimine anda huvitavaid tulemusi.
Märkus: SMC veebiliideses on andmed vahekaartidel Verbi kuvatakse ainult viimase nädala kohta ja vahekaardil Jälgida viimase 2 nädala jooksul. Vanemate sündmuste analüüsimiseks ja aruannete genereerimiseks peate töötama administraatori arvutis oleva java konsooliga.
5. Sisevõrgu skaneeringute leidmine
Vaatame nüüd mõnda näidet voogudest – infoturbeintsidentidest. See funktsioon pakub rohkem huvi turvaspetsialistidele.
StealthWatchis on mitu eelseadistatud skannimissündmuse tüüpi:
- Port Scan – allikas skannib mitut sihthosti porti.
- Addr tcp scan – allikas kontrollib kogu võrku samas TCP-pordis, muutes sihtkoha IP-aadressi. Sel juhul saab allikas TCP lähtestamise paketid või ei saa üldse vastuseid.
- Addr udp scan – allikas kontrollib kogu võrku samas UDP-pordis, muutes samal ajal sihtkoha IP-aadressi. Sel juhul saab allikas kättesaamatuid ICMP-pordi pakette või ei saa üldse vastuseid.
- Ping Scan – allikas saadab vastuste otsimiseks ICMP päringuid kogu võrgule.
- Stealth Scan tсp/udp – allikas kasutas sama porti, et ühenduda sihtsõlme mitme pordiga korraga.
Kõigi sisemiste skannerite korraga leidmise hõlbustamiseks on olemas võrgurakendus StealthWatch – nähtavuse hindamine. Vahekaardile minnes Armatuurlauad → Nähtavuse hindamine → Sisevõrgu skannerid näete skannimisega seotud turvaintsidente viimase kahe nädala jooksul.
Vajutades nuppu Detailid, näete iga võrgu skannimise algust, liiklustrendi ja vastavaid häireid.
Järgmisena saate eelmise ekraanipildi vahekaardilt hosti siseneda ja vaadata turvasündmusi ning selle hosti viimase nädala tegevusi.
Näitena analüüsime sündmust Pordi skaneerimine peremehelt 10.201.3.149 edasi 10.201.0.72, Vajutades Toimingud > Seotud vood. Käivitatakse lõime otsing ja kuvatakse asjakohane teave.
Kuidas me näeme seda hosti ühest selle sadamast 51508 / TCP skannitud 3 tundi tagasi sihtkoha hosti pordi järgi 22, 28, 42, 41, 36, 40 (TCP). Mõned väljad ei kuva ka teavet, kuna Netflow eksportija ei toeta kõiki Netflow välju.
6. Allalaaditud pahavara analüüs CTA abil
CTA (kognitiivne ohuanalüüs) — Cisco pilvanalüütika, mis integreerub suurepäraselt Cisco StealthWatchiga ja võimaldab signatuurivaba analüüsi täiendada signatuurianalüüsiga. See võimaldab tuvastada troojalasi, võrguusse, nullpäeva pahavara ja muud pahavara ning neid võrgus levitada. Samuti võimaldab eelnevalt mainitud ETA tehnoloogia analüüsida sellist pahatahtlikku suhtlust krüptitud liikluses.
Sõna otseses mõttes veebiliidese esimesel vahekaardil on spetsiaalne vidin Kognitiivne ohuanalüüs. Lühikokkuvõte näitab kasutajate hostidel tuvastatud ohte: trooja, petturlik tarkvara, tüütu reklaamvara. Sõna "krüpteeritud" viitab tegelikult ETA tööle. Klõpsates hostil, kuvatakse kogu teave selle kohta, turvasündmused, sealhulgas CTA logid.
Hõljutades kursorit CTA iga etapi kohal, kuvab sündmus üksikasjalikku teavet suhtluse kohta. Täieliku analüüsi saamiseks klõpsake siin Vaadake juhtumi üksikasjuja teid suunatakse eraldi konsooli Kognitiivne ohuanalüüs.
Paremas ülanurgas on filter, mis võimaldab kuvada sündmusi raskusastme järgi. Kui osutate konkreetsele anomaaliale, kuvatakse ekraani allservas logid koos vastava ajaskaalaga paremal. Seega saab infoturbe spetsialist selgelt aru, milline nakatunud host, pärast milliseid toiminguid milliseid toiminguid tegema hakkas.
Allpool on veel üks näide – pangandustroojalane, mis nakatas hosti 198.19.30.36. See host hakkas suhtlema pahatahtlike domeenidega ja logid näitavad teavet nende interaktsioonide voo kohta.
Järgmiseks on üks parimaid lahendusi peremehe karantiini paigutamine tänu põliselanikule Cisco ISE abil edasiseks töötlemiseks ja analüüsiks.
Järeldus
Cisco StealthWatchi lahendus on võrgu jälgimise toodete seas üks liidreid nii võrguanalüüsi kui ka infoturbe osas. Tänu sellele saate tuvastada ebaseaduslikku suhtlust võrgus, rakenduste viivitusi, kõige aktiivsemaid kasutajaid, kõrvalekaldeid, pahavara ja APT-sid. Lisaks saate leida skannereid, pentestijaid ja läbi viia HTTPS-i liikluse krüptoauditit. Veelgi rohkem kasutusjuhtumeid leiate aadressilt .
Kui soovite kontrollida, kui sujuvalt ja tõhusalt kõik teie võrgus töötab, saatke .
Lähiajal plaanime veel mitmeid tehnilisi trükiseid erinevate infoturbetoodete kohta. Kui olete sellest teemast huvitatud, siis jälgige uuendusi meie kanalites (, , , )!
Allikas: www.habr.com