یک راه حل تحلیلی در زمینه امنیت اطلاعات است که نظارت جامعی بر تهدیدات در یک شبکه توزیع شده ارائه می دهد. StealthWatch بر اساس جمع آوری NetFlow و IPFIX از روترها، سوئیچ ها و سایر دستگاه های شبکه است. در نتیجه، شبکه به یک حسگر حساس تبدیل میشود و به مدیر این امکان را میدهد تا مکانهایی را که روشهای امنیتی سنتی شبکه، مانند فایروال نسل بعدی، نمیتوانند به آنها دسترسی پیدا کنند، بررسی کند.
در مقالات قبلی قبلاً در مورد StealthWatch نوشتم: و . اکنون پیشنهاد میکنم که در مورد نحوه کار با آلارمها و بررسی حوادث امنیتی که راهحل ایجاد میکند، صحبت کنیم. 6 نمونه وجود خواهد داشت که امیدوارم ایده خوبی از مفید بودن محصول ارائه دهد.
ابتدا باید گفت که StealthWatch دارای توزیع آلارم ها بین الگوریتم ها و فیدها است. اولی انواع مختلفی از آلارم ها (اعلان ها) هستند، هنگامی که فعال می شوند، می توانید چیزهای مشکوک را در شبکه شناسایی کنید. دوم حوادث امنیتی است. این مقاله به 4 نمونه از الگوریتم های راه اندازی شده و 2 نمونه از فیدها نگاه می کند.
1. تجزیه و تحلیل بزرگترین تعاملات درون شبکه
گام اولیه در راه اندازی StealthWatch این است که میزبان ها و شبکه ها را در گروه ها تعریف کنید. در تب رابط وب پیکربندی > مدیریت گروه میزبان شبکه ها، هاست ها و سرورها باید در گروه های مناسب طبقه بندی شوند. شما همچنین می توانید گروه های خود را ایجاد کنید. به هر حال، تجزیه و تحلیل تعاملات بین میزبان ها در Cisco StealthWatch بسیار راحت است، زیرا نه تنها می توانید فیلترهای جستجو را بر اساس جریان ذخیره کنید، بلکه خود نتایج را نیز ذخیره کنید.
برای شروع، در رابط وب باید به تب بروید تجزیه و تحلیل > جستجوی جریان. سپس باید پارامترهای زیر را تنظیم کنید:
- نوع جستجو - مکالمات برتر (محبوب ترین تعاملات)
- محدوده زمانی - 24 ساعت (دوره زمانی، می توانید از یک دوره دیگر استفاده کنید)
- جستجوی نام - مکالمات برتر در داخل (هر نام دوستانه)
- موضوع - گروههای میزبان → میزبانهای داخلی (منبع - گروه میزبانهای داخلی)
- اتصال (شما می توانید پورت ها، برنامه ها را مشخص کنید)
- همتا - گروههای میزبان ← میزبانهای داخلی (مقصد - گروهی از گرههای داخلی)
- در گزینههای پیشرفته، میتوانید جمعآوری را که از آن دادهها مشاهده میشود، مشخص کنید و خروجی را مرتب کنید (بر اساس بایت، جریان و غیره). من آن را به عنوان پیش فرض می گذارم.
پس از فشار دادن دکمه جستجو فهرستی از فعل و انفعالات نمایش داده می شود که قبلاً بر اساس مقدار داده های منتقل شده مرتب شده اند.
در مثال من میزبان 10.150.1.201 (سرور) فقط در یک رشته ارسال می شود 1.5 گیگابایت ترافیک به میزبان 10.150.1.200 (مشتری) با پروتکل خروجی زیر... دکمه مدیریت ستون ها به شما امکان می دهد ستون های بیشتری را به داده های خروجی اضافه کنید.
در مرحله بعد، به صلاحدید مدیر، می توانید یک قانون سفارشی ایجاد کنید که همیشه این نوع تعامل را راه اندازی کند و از طریق SNMP، ایمیل یا Syslog به شما اطلاع دهد.
2. تجزیه و تحلیل کندترین تعاملات مشتری-سرور در شبکه برای تأخیر
برچسب ها SRT (زمان پاسخگویی سرور), RTT (زمان رفت و برگشت) به شما اجازه می دهد تا تاخیرهای سرور و تاخیرهای کلی شبکه را دریابید. این ابزار مخصوصاً زمانی مفید است که نیاز دارید به سرعت علت شکایات کاربران در مورد یک برنامه کند اجرا را پیدا کنید.
یادداشت: تقریبا تمام صادرکنندگان Netflow نمی دانم چگونه برچسب های SRT، RTT را ارسال کنید، بنابراین اغلب، برای دیدن چنین داده هایی در FlowSensor، باید ارسال یک کپی از ترافیک از دستگاه های شبکه را پیکربندی کنید. FlowSensor به نوبه خود IPFIX توسعه یافته را به FlowCollector ارسال می کند.
انجام این تجزیه و تحلیل در برنامه جاوا StealtWatch که بر روی رایانه مدیر نصب شده است راحت تر است.
دکمه سمت راست ماوس روشن است میزبان های داخلی و به برگه بروید جدول جریان.
بر روی کلیک کنید فیلتر و پارامترهای لازم را تنظیم کنید. به عنوان مثال:
- تاریخ/زمان - برای 3 روز گذشته
- عملکرد - میانگین زمان رفت و برگشت = 50 میلیثانیه
پس از نمایش داده ها، باید فیلدهای RTT و SRT را که مورد علاقه ما هستند اضافه کنیم. برای انجام این کار، روی ستون در تصویر کلیک کنید و با دکمه سمت راست ماوس را انتخاب کنید مدیریت ستون ها. سپس روی پارامترهای RTT، SRT کلیک کنید.
پس از پردازش درخواست، من بر اساس میانگین RTT مرتب کردم و کندترین تعاملات را دیدم.
برای رفتن به اطلاعات دقیق، روی جریان کلیک راست کرده و انتخاب کنید نمایش سریع برای جریان.
این اطلاعات نشان می دهد که میزبان 10.201.3.59 از گروه فروش و بازاریابی توسط پروتکل NFS تجدید نظر می کند سرور DNS برای یک دقیقه و 23 ثانیه و فقط تاخیر وحشتناکی دارد. در برگه واسط می توانید دریابید که اطلاعات از کدام صادرکننده داده Netflow به دست آمده است. در برگه جدول اطلاعات دقیق تر در مورد تعامل نشان داده شده است.
در مرحله بعد، باید دریابید که کدام دستگاهها ترافیک را به FlowSensor ارسال میکنند و به احتمال زیاد مشکل در آنجا نهفته است.
علاوه بر این، StealthWatch از نظر هدایت منحصر به فرد است کپی برداری داده (جریان های مشابه را ترکیب می کند). بنابراین، می توانید تقریباً از تمام دستگاه های Netflow جمع آوری کنید و از اینکه داده های تکراری زیادی وجود دارد نترسید. برعکس، در این طرح به درک اینکه کدام هاپ بیشترین تاخیر را دارد کمک می کند.
3. ممیزی پروتکل های رمزنگاری HTTPS
ETA (تجزیه و تحلیل ترافیک رمزگذاری شده) یک فناوری توسعه یافته توسط سیسکو است که به شما امکان می دهد اتصالات مخرب را در ترافیک رمزگذاری شده بدون رمزگشایی شناسایی کنید. علاوه بر این، این فناوری به شما امکان میدهد HTTPS را به نسخههای TLS و پروتکلهای رمزنگاری که در طول اتصالات استفاده میشوند، «تجزیه کنید». این عملکرد به ویژه زمانی مفید است که شما نیاز به شناسایی گره های شبکه ای دارید که از استانداردهای ضعیف رمزنگاری استفاده می کنند.
یادداشت: ابتدا باید برنامه شبکه را در StealthWatch نصب کنید - ممیزی رمزنگاری ETA.
به برگه بروید داشبوردها → حسابرسی رمزنگاری ETA و گروه میزبانی را که قصد داریم آنالیز کنیم را انتخاب کنیم. برای تصویر کلی، بیایید انتخاب کنیم میزبان های داخلی.
می بینید که نسخه TLS و استاندارد کریپتو مربوطه خروجی هستند. طبق طرح معمول در ستون اعمال رفتن به مشاهده جریان ها و جستجو در یک تب جدید شروع می شود.
از خروجی می توان دریافت که هاست 198.19.20.136 در سراسر ساعت 12 از HTTPS با TLS 1.2 استفاده کرد که در آن الگوریتم رمزگذاری بود AES-256 و تابع هش SHA-384. بنابراین، ETA به شما امکان می دهد الگوریتم های ضعیف را در شبکه پیدا کنید.
4. تحلیل ناهنجاری شبکه
Cisco StealthWatch می تواند ناهنجاری های ترافیکی در شبکه را با استفاده از سه ابزار تشخیص دهد: رویدادهای اصلی (رویدادهای امنیتی) رویدادهای رابطه (رویدادهای تعامل بین بخش ها، گره های شبکه) و تحلیل رفتاری.
تجزیه و تحلیل رفتاری به نوبه خود، به مرور زمان اجازه می دهد تا یک مدل رفتار برای یک میزبان خاص یا گروهی از میزبان ها ایجاد شود. هرچه ترافیک بیشتری از StealthWatch عبور کند، به لطف این تجزیه و تحلیل، هشدارها دقیق تر خواهند بود. در ابتدا، سیستم به اشتباه راه اندازی می شود، بنابراین قوانین باید با دست "پیچان" شوند. توصیه می کنم در چند هفته اول از چنین رویدادهایی چشم پوشی کنید، زیرا سیستم خود را تنظیم می کند یا آنها را به استثناها اضافه می کند.
در زیر مثالی از یک قانون از پیش تعریف شده آورده شده است انحراف، که بیان می کند که رویداد بدون هشدار اجرا می شود اگر یک میزبان در گروه Inside Hosts با گروه Inside Hosts تعامل می کند و در عرض 24 ساعت ترافیک از 10 مگابایت فراتر می رود..
به عنوان مثال، بیایید زنگ هشدار را در نظر بگیریم احتکار داده ها، به این معنی که برخی از میزبان منبع/مقصد مقدار غیرعادی زیادی از داده ها را از گروهی از میزبان ها یا یک میزبان آپلود/دانلود کرده است. روی رویداد کلیک کنید و به جدولی بروید که میزبان های راه اندازی نشان داده شده است. سپس میزبان مورد نظر خود را در ستون انتخاب کنید احتکار داده ها.
رویدادی نمایش داده میشود که نشان میدهد 162 هزار «نقطه» شناسایی شده است، و طبق این خطمشی، 100 هزار «امتیاز» مجاز است - این معیارهای داخلی StealthWatch هستند. در یک ستون اعمال فشار دادن مشاهده جریان ها.
ما می توانیم آن را مشاهده کنیم میزبان داده شده در شب با میزبان تعامل داشت 10.201.3.47 از بخش فروش و بازاریابی توسط پروتکل HTTPS و دانلود کرد 1.4 گیگابایت. شاید این مثال کاملاً موفق نباشد، اما تشخیص فعل و انفعالات حتی برای چند صد گیگابایت دقیقاً به همان روش انجام می شود. بنابراین، بررسی بیشتر ناهنجاری ها ممکن است به نتایج جالبی منجر شود.
یادداشت: در رابط وب SMC، داده ها در زبانه ها هستند داشبورد فقط برای هفته گذشته و در برگه نمایش داده می شوند مانیتور در طول 2 هفته گذشته برای تجزیه و تحلیل رویدادهای قدیمی و تولید گزارش، باید با کنسول جاوا در رایانه مدیر کار کنید.
5. یافتن اسکن های شبکه داخلی
اکنون به چند نمونه از فیدها نگاه می کنیم - حوادث امنیت اطلاعات. این قابلیت بیشتر مورد توجه متخصصان امنیتی است.
چندین نوع رویداد اسکن از پیش تعیین شده در StealthWatch وجود دارد:
- پورت اسکن - منبع چندین پورت را در میزبان مقصد اسکن می کند.
- Adr tcp scan - منبع کل شبکه را در همان پورت TCP اسکن می کند و آدرس IP مقصد را تغییر می دهد. در این حالت منبع بسته های TCP Reset را دریافت می کند یا اصلاً پاسخی دریافت نمی کند.
- اسکن udp Adr - منبع کل شبکه را در همان پورت UDP اسکن می کند، در حالی که آدرس IP مقصد را تغییر می دهد. در این حالت، منبع بسته های ICMP Port Unreachable را دریافت می کند یا اصلاً پاسخی دریافت نمی کند.
- پینگ اسکن - منبع درخواست های ICMP را برای جستجوی پاسخ به کل شبکه ارسال می کند.
- اسکن مخفیانه tсp/udp - منبع از همان پورت برای اتصال همزمان به چندین پورت در گره مقصد استفاده می کند.
برای راحتتر کردن یافتن همه اسکنرهای داخلی به طور همزمان، یک برنامه شبکه برای آن وجود دارد StealthWatch - ارزیابی دید. رفتن به برگه داشبوردها → ارزیابی دید → اسکنرهای شبکه داخلی حوادث امنیتی مرتبط با اسکن را در 2 هفته گذشته مشاهده خواهید کرد.
با فشار دادن دکمه جزئیات، شروع اسکن هر شبکه، روند ترافیک و آلارم های مربوطه را مشاهده خواهید کرد.
در مرحله بعد، می توانید از برگه در اسکرین شات قبلی وارد هاست شوید و رویدادهای امنیتی و همچنین فعالیت هفته گذشته این میزبان را مشاهده کنید.
به عنوان مثال، بیایید رویداد را تجزیه و تحلیل کنیم پورت اسکن از میزبان 10.201.3.149 بر 10.201.0.72، فشار دادن اقدامات > جریان های مرتبط. جستجوی موضوع راه اندازی شده و اطلاعات مربوطه نمایش داده می شود.
چگونه این هاست را از یکی از پورت هایش می بینیم 51508 / TCP 3 ساعت پیش میزبان مقصد توسط پورت اسکن شد 22، 28، 42، 41، 36، 40 (TCP). برخی از فیلدها نیز اطلاعاتی را نمایش نمی دهند زیرا همه فیلدهای Netflow در صادرکننده Netflow پشتیبانی نمی شوند.
6. تجزیه و تحلیل بدافزار دانلود شده با استفاده از CTA
CTA (تجزیه و تحلیل تهدیدهای شناختی) - تجزیه و تحلیل ابری سیسکو، که کاملاً با سیسکو StealthWatch ادغام می شود و به شما امکان می دهد تجزیه و تحلیل بدون امضا را با تجزیه و تحلیل امضا تکمیل کنید. این امکان شناسایی تروجان ها، کرم های شبکه، بدافزارهای روز صفر و سایر بدافزارها و توزیع آنها در شبکه را فراهم می کند. همچنین، فناوری ETA که قبلاً ذکر شد به شما امکان می دهد چنین ارتباطات مخربی را در ترافیک رمزگذاری شده تجزیه و تحلیل کنید.
به معنای واقعی کلمه در اولین تب در رابط وب یک ویجت ویژه وجود دارد تجزیه و تحلیل تهدیدهای شناختی. خلاصه ای از تهدیدات شناسایی شده در میزبان کاربر را نشان می دهد: تروجان، نرم افزارهای تقلبی، ابزارهای تبلیغاتی مزاحم. کلمه "رمزگذاری شده" در واقع نشان دهنده کار ETA است. با کلیک بر روی یک میزبان، تمام اطلاعات مربوط به آن، رویدادهای امنیتی، از جمله گزارش های CTA، ظاهر می شود.
با قرار دادن ماوس روی هر مرحله از CTA، رویداد اطلاعات دقیقی را در مورد تعامل نمایش می دهد. برای تجزیه و تحلیل کامل اینجا را کلیک کنید مشاهده جزئیات حادثه، و به یک کنسول جداگانه منتقل خواهید شد تجزیه و تحلیل تهدیدهای شناختی.
در گوشه سمت راست بالا، یک فیلتر به شما امکان می دهد رویدادها را بر اساس سطح شدت نمایش دهید. هنگامی که به یک ناهنجاری خاص اشاره میکنید، گزارشها در پایین صفحه با یک جدول زمانی مربوطه در سمت راست ظاهر میشوند. بنابراین، متخصص امنیت اطلاعات به وضوح متوجه می شود که کدام میزبان آلوده، پس از کدام اقدامات، شروع به انجام چه اقداماتی کرده است.
در زیر مثال دیگری وجود دارد - یک تروجان بانکی که میزبان را آلوده کرده است 198.19.30.36. این میزبان شروع به تعامل با دامنه های مخرب کرد و گزارش ها اطلاعاتی را در مورد جریان این تعاملات نشان می دهد.
در مرحله بعد، یکی از بهترین راه حل هایی که می تواند باشد قرنطینه میزبان به لطف بومی است با Cisco ISE برای درمان و تجزیه و تحلیل بیشتر.
نتیجه
راه حل سیسکو StealthWatch یکی از پیشروها در بین محصولات نظارت بر شبکه از نظر تجزیه و تحلیل شبکه و امنیت اطلاعات است. به لطف آن، می توانید تعاملات نامشروع در شبکه، تاخیرهای برنامه، فعال ترین کاربران، ناهنجاری ها، بدافزارها و APT ها را شناسایی کنید. علاوه بر این، میتوانید اسکنرها، نفوذگرها را پیدا کنید و یک حسابرسی رمزنگاری از ترافیک HTTPS انجام دهید. می توانید موارد استفاده بیشتری را در اینجا پیدا کنید .
اگر می خواهید بررسی کنید که همه چیز در شبکه شما چقدر روان و کارآمد کار می کند، ارسال کنید .
در آینده نزدیک، ما در حال برنامه ریزی چندین نشریه فنی دیگر در مورد محصولات مختلف امنیت اطلاعات هستیم. اگر به این موضوع علاقه دارید، به روز رسانی های کانال ما را دنبال کنید (, , , )!
منبع: www.habr.com