on tietoturva-alan analyyttinen ratkaisu, joka tarjoaa kattavan hajautetun verkon uhkien seurannan. StealthWatch perustuu NetFlown ja IPFIX:n keräämiseen reitittimistä, kytkimistä ja muista verkkolaitteista. Tämän seurauksena verkosta tulee herkkä anturi, ja järjestelmänvalvoja voi tarkastella paikkoja, joihin perinteiset verkon suojausmenetelmät, kuten Next Generation Firewall, eivät pääse.
Aiemmissa artikkeleissa olen jo kirjoittanut StealthWatchista: Ja . Nyt ehdotan, että siirrymme eteenpäin ja keskustelemme siitä, kuinka toimia hälytysten kanssa ja tutkia ratkaisun synnyttämiä tietoturvahäiriöitä. Siinä on 6 esimerkkiä, joiden toivon antavan hyvän käsityksen tuotteen hyödyllisyydestä.
Ensinnäkin on sanottava, että StealthWatchilla on jonkin verran hälytyksiä algoritmien ja syötteiden välillä. Ensimmäiset ovat erilaisia hälytyksiä (ilmoituksia), jotka laukeavat, voit havaita epäilyttäviä asioita verkossa. Toinen on turvallisuushäiriöt. Tässä artikkelissa tarkastellaan neljää esimerkkiä käynnistyneistä algoritmeista ja kahta esimerkkiä syötteistä.
1. Verkon suurimpien vuorovaikutusten analyysi
Ensimmäinen vaihe StealthWatchin asettamisessa on määrittää isännät ja verkot ryhmiin. Verkkokäyttöliittymä-välilehdellä Määritä > Isäntäryhmän hallinta Verkot, isännät ja palvelimet tulee luokitella asianmukaisiin ryhmiin. Voit myös luoda omia ryhmiä. Muuten, isäntien välisten vuorovaikutusten analysointi Cisco StealthWatchin avulla on varsin kätevää, koska et voi tallentaa vain hakusuodattimia streamin mukaan, vaan myös itse tulokset.
Aloita siirtymällä verkkokäyttöliittymässä välilehteen Analysoi > Flow Search. Sitten sinun tulee asettaa seuraavat parametrit:
- Hakutyyppi – suosituimmat keskustelut (suosituimmat vuorovaikutukset)
- Aikaväli - 24 tuntia (aikajakso, voit käyttää toista)
- Hakunimi – suosituimmat keskustelut sisällä-sisältä (mikä tahansa ystävällinen nimi)
- Aihe - Isäntäryhmät → Sisäisännät (lähde - sisäisten isäntien ryhmä)
- Yhteys (voit määrittää portit, sovellukset)
- Peer - isäntäryhmät → Inside Hosts (kohde - ryhmä sisäisiä solmuja)
- Lisäasetuksissa voit lisäksi määrittää kerääjän, josta tietoja tarkastellaan, lajittelemalla tulosteet (tavujen, virtojen jne. mukaan). Jätän sen oletusarvoksi.
Painikkeen painamisen jälkeen Haku Näyttöön tulee luettelo vuorovaikutuksista, jotka on jo lajiteltu siirretyn tiedon määrän mukaan.
Esimerkissäni isäntä 10.150.1.201 (palvelin) lähetetään vain yhden säikeen sisällä 1.5 GB liikennettä isännälle 10.150.1.200 (asiakas) protokollan mukaan mysql. Painike Hallitse sarakkeita voit lisätä sarakkeita tulostietoihin.
Seuraavaksi voit järjestelmänvalvojan harkinnan mukaan luoda mukautetun säännön, joka käynnistää aina tämäntyyppisen vuorovaikutuksen ja ilmoittaa sinulle SNMP:n, sähköpostin tai Syslogin kautta.
2. Verkon hitaimpien asiakas-palvelin-vuorovaikutusten analyysi viiveiden varalta
Tunnisteet SRT (palvelimen vasteaika), RTT (meno-paluuaika) avulla voit selvittää palvelinviiveet ja yleiset verkkoviiveet. Tämä työkalu on erityisen hyödyllinen, kun haluat nopeasti löytää syyn käyttäjien valituksiin hitaasta sovelluksesta.
Huomata: lähes kaikki Netflow-viejät en tiedä miten lähettää SRT-, RTT-tunnisteita, joten usein, jotta voit nähdä tällaiset tiedot FlowSensorissa, sinun on määritettävä kopion lähettäminen liikenteestä verkkolaitteista. FlowSensor puolestaan lähettää laajennetun IPFIX:n FlowCollectorille.
Tämä analyysi on kätevämpää suorittaa StealtWatch java -sovelluksessa, joka on asennettu järjestelmänvalvojan tietokoneelle.
Hiiren oikea painike päällä Isäntien sisällä ja siirry välilehdelle Virtaustaulukko.
Klikkaa Suodattaa ja aseta tarvittavat parametrit. Esimerkiksi:
- Päivämäärä/aika - Viimeiset 3 päivää
- Suorituskyky — Keskimääräinen edestakaisen matka-aika >=50 ms
Tietojen näyttämisen jälkeen meidän tulisi lisätä meitä kiinnostavat RTT- ja SRT-kentät. Voit tehdä tämän napsauttamalla saraketta kuvakaappauksessa ja valitsemalla hiiren oikealla painikkeella Hallitse sarakkeita. Napsauta seuraavaksi RTT, SRT-parametrit.
Pyynnön käsittelyn jälkeen lajittelin RTT-keskiarvon mukaan ja näin hitain vuorovaikutuksen.
Voit siirtyä yksityiskohtaisiin tietoihin napsauttamalla streamia hiiren kakkospainikkeella ja valitsemalla Flow'n pikanäkymä.
Nämä tiedot osoittavat, että isäntä 10.201.3.59 ryhmästä Myynti ja markkinointi protokollan mukaan NFS vetoaa DNS-palvelin minuutin ja 23 sekuntia, ja siinä on vain kauhea viive. Välilehdellä Liitännät voit selvittää, mistä Netflow-tietojen viejästä tiedot on saatu. Välilehdellä Pöytä Tarkemmat tiedot vuorovaikutuksesta näytetään.
Seuraavaksi sinun pitäisi selvittää, mitkä laitteet lähettävät liikennettä FlowSensorille ja ongelma todennäköisimmin piilee siellä.
Lisäksi StealthWatch on ainutlaatuinen johtamisessaan päällekkäisyyden poistaminen data (yhdistää samat virrat). Siksi voit kerätä tietoja melkein kaikista Netflow-laitteista ja olla pelkäämättä, että dataa on paljon päällekkäisiä. Päinvastoin, tässä järjestelmässä se auttaa ymmärtämään, missä hyppyssä on suurimmat viiveet.
3. HTTPS-salausprotokollien tarkastus
ETA (salattu liikenneanalyysi) on Ciscon kehittämä tekniikka, jonka avulla voit havaita haitalliset yhteydet salatussa liikenteessä ilman salauksen purkamista. Lisäksi tämän tekniikan avulla voit "jäsentää" HTTPS:n TLS-versioiksi ja salausprotokolliksi, joita käytetään yhteyksien aikana. Tämä toiminto on erityisen hyödyllinen, kun haluat havaita heikkoja kryptostandardeja käyttävät verkkosolmut.
Huomata: Sinun on ensin asennettava verkkosovellus StealthWatchiin - ETA Cryptographic Audit.
Siirry välilehteen Kojelaudat → ETA Cryptographic Audit ja valitse isäntäryhmä, jonka aiomme analysoida. Kokonaiskuvaksi valitaan Isäntien sisällä.
Näet, että TLS-versio ja vastaava kryptostandardi tulostetaan. Sarakkeen tavanomaisen kaavion mukaan Toiminnot mene Näytä virtaukset ja haku alkaa uudesta välilehdestä.
Tulosteesta voidaan nähdä, että isäntä 198.19.20.136 yli 12 tuntia käytti HTTPS:ää TLS 1.2:n kanssa, jossa salausalgoritmi AES-256 ja hash-funktio SHA-384. Siten ETA mahdollistaa heikkojen algoritmien löytämisen verkosta.
4. Verkon poikkeamien analyysi
Cisco StealthWatch voi tunnistaa verkon liikennepoikkeamat kolmella työkalulla: Ydintapahtumat (turvatapahtumat), Suhdetapahtumat (segmenttien, verkkosolmujen välisten vuorovaikutusten tapahtumat) ja käyttäytymisanalyysi.
Käyttäytymisanalyysi puolestaan mahdollistaa käyttäytymismallin rakentamisen ajan mittaan tietylle isännälle tai isäntäryhmälle. Mitä enemmän liikennettä StealthWatchin kautta kulkee, sitä tarkempia hälytyksiä tulee tämän analyysin ansiosta. Aluksi järjestelmä laukeaa paljon väärin, joten sääntöjä tulee "vääntää" käsin. Suosittelen, että jätät tällaiset tapahtumat huomioimatta muutaman ensimmäisen viikon ajan, koska järjestelmä mukautuu itse tai lisää ne poikkeuksiin.
Alla on esimerkki ennalta määritetystä säännöstä Poikkeus, jossa todetaan, että tapahtuma käynnistyy ilman hälytystä, jos Inside Hosts -ryhmän isäntä on vuorovaikutuksessa Inside Hosts -ryhmän kanssa ja liikenne ylittää 24 tunnin sisällä 10 megatavua.
Otetaan esimerkiksi hälytys Tietojen kerääminen, mikä tarkoittaa, että jokin lähde-/kohde-isäntä on ladannut tai ladannut epätavallisen suuren määrän tietoa isäntäryhmästä tai isännästä. Napsauta tapahtumaa ja siirry taulukkoon, jossa on osoitettu käynnistävät isännät. Valitse seuraavaksi sarakkeesta isäntä, josta olemme kiinnostuneita Tietojen kerääminen.
Näyttöön tulee tapahtuma, joka osoittaa, että 162 100 "pistettä" havaittiin, ja käytännön mukaan XNUMX XNUMX "pistettä" on sallittu - nämä ovat sisäisiä StealthWatch-mittareita. Kolumnissa Toiminnot työntää Näytä virtaukset.
Voimme tarkkailla sitä annettu isäntä oli vuorovaikutuksessa isännän kanssa yöllä 10.201.3.47 osastolta Myynti protokollan mukaan HTTPS ja ladattu 1.4 GB. Ehkä tämä esimerkki ei ole täysin onnistunut, mutta jopa useiden sadan gigatavun vuorovaikutusten havaitseminen tapahtuu täsmälleen samalla tavalla. Siksi poikkeamien lisätutkimus voi johtaa mielenkiintoisiin tuloksiin.
Huomata: SMC-verkkoliittymässä tiedot ovat välilehdissä Mittaristot näytetään vain viime viikon ajalta ja välilehdellä monitori viimeisen 2 viikon aikana. Jos haluat analysoida vanhempia tapahtumia ja luoda raportteja, sinun on työskenneltävä järjestelmänvalvojan tietokoneen Java-konsolin kanssa.
5. Sisäisten verkkoskannausten etsiminen
Katsotaanpa nyt muutamia esimerkkejä syötteistä – tietoturvahäiriöistä. Tämä toiminto kiinnostaa enemmän tietoturva-ammattilaisia.
StealthWatchissa on useita esiasetettuja skannaustapahtumatyyppejä:
- Port Scan – lähde skannaa useita portteja kohdeisännässä.
- Addr tcp scan - lähde skannaa koko verkon samassa TCP-portissa ja muuttaa kohde-IP-osoitetta. Tässä tapauksessa lähde vastaanottaa TCP Reset -paketit tai ei vastaanota vastauksia ollenkaan.
- Addr udp scan - lähde skannaa koko verkon samassa UDP-portissa samalla kun muuttaa kohde-IP-osoitetta. Tässä tapauksessa lähde vastaanottaa ICMP Port Unreachable -paketteja tai ei saa vastauksia ollenkaan.
- Ping Scan - lähde lähettää ICMP-pyyntöjä koko verkkoon etsiäkseen vastauksia.
- Stealth Scan tсp/udp - lähde käytti samaa porttia muodostaakseen yhteyden useisiin kohdesolmun portteihin samanaikaisesti.
Jotta olisi helpompi löytää kaikki sisäiset skannerit kerralla, on olemassa verkkosovellus StealthWatch - Näkyvyyden arviointi. Menee välilehdelle Kojelaudat → Näkyvyyden arviointi → Sisäiset verkkoskannerit näet skannaukseen liittyvät tietoturvahäiriöt viimeisen 2 viikon ajalta.
Painamalla painiketta Lisätiedot, näet kunkin verkon skannauksen alkamisen, liikennetrendin ja vastaavat hälytykset.
Seuraavaksi voit "epäonnistua" isännässä edellisen kuvakaappauksen välilehdeltä ja nähdä tietoturvatapahtumat sekä tämän isännän viime viikon toiminnan.
Esimerkkinä analysoidaan tapahtumaa Portin skannaus isännältä 10.201.3.149 päälle 10.201.0.72, Painamalla Toiminnot > Liittyvät kulkureitit. Lankahaku käynnistetään ja asiaankuuluvat tiedot näytetään.
Miten näemme tämän isännän yhdestä sen porteista 51508 / TCP skannattu 3 tuntia sitten kohdeisäntä portin mukaan 22, 28, 42, 41, 36, 40 (TCP). Jotkin kentät eivät myöskään näytä tietoja, koska Netflow-vientiohjelma ei tue kaikkia Netflow-kenttiä.
6. Ladattujen haittaohjelmien analyysi CTA:n avulla
CTA (kognitiivinen uhkaanalyysi) — Cisco-pilvianalyysi, joka integroituu täydellisesti Cisco StealthWatchin kanssa ja antaa sinun täydentää allekirjoituksetonta analyysiä allekirjoitusanalyysillä. Tämä mahdollistaa troijalaisten, verkkomatojen, nollapäivän haittaohjelmien ja muiden haittaohjelmien havaitsemisen ja niiden levittämisen verkossa. Lisäksi aiemmin mainittu ETA-tekniikka mahdollistaa tällaisen haitallisen viestinnän analysoinnin salatussa liikenteessä.
Kirjaimellisesti verkkokäyttöliittymän ensimmäisellä välilehdellä on erityinen widget Kognitiivinen uhkaanalyysi. Lyhyt yhteenveto osoittaa käyttäjien isännissä havaitut uhat: troijalainen, vilpilliset ohjelmistot, ärsyttävät mainosohjelmat. Sana "salattu" tarkoittaa itse asiassa ETA:n työtä. Napsauttamalla isäntä, kaikki tiedot siitä, turvallisuustapahtumat, mukaan lukien CTA lokit, tulevat näkyviin.
Viemällä hiiren CTA-vaiheen päälle tapahtuma näyttää yksityiskohtaisia tietoja vuorovaikutuksesta. Saat täydelliset analyysit napsauttamalla tätä Näytä tapahtuman tiedot, ja sinut ohjataan erilliseen konsoliin Kognitiivinen uhkaanalyysi.
Oikeassa yläkulmassa oleva suodatin mahdollistaa tapahtumien näyttämisen vakavuustason mukaan. Kun osoitat tiettyä poikkeavaa, lokit näkyvät näytön alareunassa ja vastaava aikajana oikealla. Näin tietoturva-asiantuntija ymmärtää selvästi, mikä tartunnan saanut isäntä, minkä toimintojen jälkeen, alkoi suorittaa mitä toimia.
Alla on toinen esimerkki - pankkitroijalainen, joka tartutti isännän 198.19.30.36. Tämä isäntä alkoi olla vuorovaikutuksessa haitallisten verkkotunnusten kanssa, ja lokit näyttävät tietoja näiden vuorovaikutusten kulusta.
Seuraavaksi yksi parhaista mahdollisista ratkaisuista on asettaa isäntä karanteeniin alkuperäisen ansiosta Cisco ISE:n kanssa jatkokäsittelyä ja analysointia varten.
Johtopäätös
Cisco StealthWatch -ratkaisu on yksi verkonvalvontatuotteiden johtajista sekä verkkoanalyysin että tietoturvan suhteen. Sen ansiosta voit havaita laittomat vuorovaikutukset verkossa, sovellusviiveet, aktiivisimmat käyttäjät, poikkeamat, haittaohjelmat ja APT:t. Lisäksi voit löytää skannereita, pentestereitä ja suorittaa HTTPS-liikenteen kryptoauditoinnin. Löydät lisää käyttötapauksia osoitteesta .
Jos haluat tarkistaa, kuinka sujuvasti ja tehokkaasti kaikki toimii verkossasi, lähetä .
Suunnittelemme lähitulevaisuudessa lisää teknisiä julkaisuja erilaisista tietoturvatuotteista. Jos olet kiinnostunut tästä aiheesta, seuraa päivityksiä kanavissamme (, , , )!
Lähde: will.com