est une solution analytique dans le domaine de la sécurité de l'information qui assure une surveillance complète des menaces dans un réseau distribué. StealthWatch est basé sur la collecte de NetFlow et IPFIX à partir de routeurs, commutateurs et autres périphériques réseau. En conséquence, le réseau devient un capteur sensible et permet à l'administrateur d'examiner les endroits où les méthodes de sécurité réseau traditionnelles, telles que le pare-feu de nouvelle génération, ne peuvent pas atteindre.
Dans des articles précédents, j'ai déjà parlé de StealthWatch : et . Je propose maintenant de passer à autre chose et de discuter de la façon de travailler avec les alarmes et d'enquêter sur les incidents de sécurité générés par la solution. Il y aura 6 exemples qui, je l'espère, donneront une bonne idée de l'utilité du produit.
Tout d'abord, il faut dire que StealthWatch a une certaine répartition des alarmes entre les algorithmes et les flux. Les premiers sont différents types d'alarmes (notifications) qui, lorsqu'elles sont déclenchées, vous permettent de détecter des éléments suspects sur le réseau. Les seconds sont des incidents de sécurité. Cet article examinera 4 exemples d'algorithmes déclenchés et 2 exemples de flux.
1. Analyse des plus grandes interactions au sein du réseau
La première étape de la configuration de StealthWatch consiste à définir les hôtes et les réseaux en groupes. Dans l'onglet de l'interface web Configurer > Gestion des groupes d'hôtes Les réseaux, hôtes et serveurs doivent être classés dans des groupes appropriés. Vous pouvez également créer vos propres groupes. À propos, analyser les interactions entre les hôtes dans Cisco StealthWatch est très pratique, car vous pouvez non seulement enregistrer les filtres de recherche par flux, mais également les résultats eux-mêmes.
Pour commencer, dans l'interface Web, vous devez accéder à l'onglet Analyser > Recherche de flux. Ensuite, vous devez définir les paramètres suivants :
- Type de recherche – Principales conversations (interactions les plus populaires)
- Plage de temps – 24 heures (période de temps, vous pouvez en utiliser une autre)
- Nom de recherche – Principales conversations Inside-Inside (n'importe quel nom convivial)
- Objet - Groupes d'hôtes → Hôtes internes (source - groupe d'hôtes internes)
- Connexion (vous pouvez spécifier des ports, des applications)
- Homologue - Groupes d'hôtes → Hôtes internes (destination - groupe de nœuds internes)
- Dans Options avancées, vous pouvez en outre spécifier le collecteur à partir duquel les données sont visualisées, en triant la sortie (par octets, flux, etc.). Je vais le laisser par défaut.
Après avoir appuyé sur le bouton Rechercher une liste d'interactions s'affiche, déjà triées selon la quantité de données transférées.
Dans mon exemple, l'hôte 10.150.1.201 (serveur) transmis dans un seul thread 1.5 GB trafic à héberger 10.150.1.200 (client) par protocole mysql. Bouton Gérer les colonnes vous permet d'ajouter plus de colonnes aux données de sortie.
Ensuite, à la discrétion de l'administrateur, vous pouvez créer une règle personnalisée qui déclenchera toujours ce type d'interaction et vous en informera via SNMP, e-mail ou Syslog.
2. Analyse des interactions client-serveur les plus lentes au sein du réseau pour les retards
Mots clés SRT (temps de réponse du serveur), RTT (temps aller-retour) vous permettent de connaître les retards du serveur et les retards généraux du réseau. Cet outil est particulièrement utile lorsque vous devez trouver rapidement la cause des plaintes des utilisateurs concernant une application qui s'exécute lent.
Noter: presque tous les exportateurs Netflow je ne sais pas comment envoyez des balises SRT, RTT, si souvent, afin de voir ces données sur FlowSensor, vous devez configurer l'envoi d'une copie du trafic à partir des périphériques réseau. FlowSensor envoie à son tour l'IPFIX étendu à FlowCollector.
Il est plus pratique d'effectuer cette analyse dans l'application Java StealtWatch, installée sur l'ordinateur de l'administrateur.
Bouton droit de la souris activé À l'intérieur des hôtes et allez dans l'onglet Tableau des flux.
Cliquer sur Filtre et définissez les paramètres nécessaires. Par exemple:
- Date/Heure – Pour les 3 derniers jours
- Performances – Temps d'aller-retour moyen > = 50 ms
Après avoir affiché les données, nous devons ajouter les champs RTT et SRT qui nous intéressent. Pour ce faire, cliquez sur la colonne dans la capture d'écran et sélectionnez avec le bouton droit de la souris Gérer les colonnes. Ensuite, cliquez sur Paramètres RTT, SRT.
Après avoir traité la demande, j'ai trié par moyenne RTT et j'ai vu les interactions les plus lentes.
Pour accéder aux informations détaillées, faites un clic droit sur le flux et sélectionnez Aperçu rapide du flux.
Cette information indique que l'hôte 10.201.3.59 du groupe Ventes et marketing par protocole NFS fait appel à Serveur dns pendant une minute et 23 secondes et a un décalage tout simplement terrible. Dans l'onglet Interfaces vous pouvez savoir de quel exportateur de données Netflow les informations ont été obtenues. Dans l'onglet lampe de table Des informations plus détaillées sur l'interaction sont affichées.
Ensuite, vous devriez découvrir quels appareils envoient du trafic à FlowSensor et le problème réside probablement là.
De plus, StealthWatch est unique en ce sens qu'il effectue déduplication données (combine les mêmes flux). Par conséquent, vous pouvez collecter sur presque tous les appareils Netflow sans craindre qu'il y ait beaucoup de données en double. Bien au contraire, dans ce schéma, cela aidera à comprendre quel saut a les plus grands retards.
3. Audit des protocoles cryptographiques HTTPS
ETA (analyse du trafic crypté) est une technologie développée par Cisco qui permet de détecter les connexions malveillantes dans le trafic chiffré sans le déchiffrer. De plus, cette technologie vous permet « d’analyser » HTTPS en versions TLS et protocoles cryptographiques utilisés lors des connexions. Cette fonctionnalité est particulièrement utile lorsque vous devez détecter des nœuds de réseau qui utilisent des normes de chiffrement faibles.
Noter: Vous devez d'abord installer l'application réseau sur StealthWatch - Audit cryptographique ETA.
Aller à l'onglet Tableaux de bord → Audit cryptographique ETA et sélectionnez le groupe d'hôtes que nous prévoyons d'analyser. Pour une vue d’ensemble, choisissons À l'intérieur des hôtes.
Vous pouvez voir que la version TLS et la norme de chiffrement correspondante sont affichées. Selon le schéma habituel dans la colonne Actions aller à Afficher les flux et la recherche commence dans un nouvel onglet.
D'après la sortie, on peut voir que l'hôte 198.19.20.136 sur 12 heures utilisé HTTPS avec TLS 1.2, où l'algorithme de chiffrement AES-256 et fonction de hachage SHA-384. Ainsi, ETA permet de trouver des algorithmes faibles sur le réseau.
4. Analyse des anomalies du réseau
Cisco StealthWatch peut reconnaître les anomalies de trafic sur le réseau à l'aide de trois outils : Événements principaux (événements de sécurité), Événements relationnels (événements d'interactions entre segments, nœuds du réseau) et analyse comportementale.
L'analyse comportementale, à son tour, permet, au fil du temps, de construire un modèle de comportement pour un hôte ou un groupe d'hôtes particulier. Plus le trafic transitant par StealthWatch est important, plus les alertes seront précises grâce à cette analyse. Au début, le système déclenche beaucoup de choses de manière incorrecte, les règles doivent donc être « tordues » à la main. Je vous recommande d'ignorer ces événements pendant les premières semaines, car le système s'ajustera ou les ajoutera aux exceptions.
Ci-dessous un exemple de règle prédéfinie Anomalie, qui indique que l'événement se déclenchera sans alarme si un hôte du groupe Inside Hosts interagit avec le groupe Inside Hosts et dans les 24 heures, le trafic dépassera 10 mégaoctets.
Par exemple, prenons une alarme Accumulation de données, ce qui signifie qu'un hôte source/destination a téléchargé/téléchargé une quantité anormalement importante de données à partir d'un groupe d'hôtes ou d'un hôte. Cliquez sur l'événement et accédez au tableau où sont indiqués les hôtes déclencheurs. Ensuite, sélectionnez l'hébergeur qui nous intéresse dans la colonne Accumulation de données.
Un événement s'affiche indiquant que 162 100 « points » ont été détectés et, selon la politique, XNUMX XNUMX « points » sont autorisés - ce sont des métriques internes de StealthWatch. Dans une chronique Actions pousser Afficher les flux.
Nous pouvons observer que hôte donné interagi avec l'hôte la nuit 10.201.3.47 du département Ventes & Marketing par protocole HTTPS et téléchargé 1.4 GB. Peut-être que cet exemple n'est pas entièrement réussi, mais la détection des interactions même pour plusieurs centaines de gigaoctets s'effectue exactement de la même manière. Par conséquent, une enquête plus approfondie sur les anomalies pourrait conduire à des résultats intéressants.
Noter: dans l'interface web du SMC, les données sont dans des onglets Tableaux de bord sont affichés uniquement pour la dernière semaine et dans l'onglet Surveiller au cours des 2 dernières semaines. Pour analyser des événements plus anciens et générer des rapports, vous devez travailler avec la console Java sur l'ordinateur de l'administrateur.
5. Recherche d'analyses de réseau interne
Examinons maintenant quelques exemples de flux - incidents de sécurité des informations. Cette fonctionnalité intéresse davantage les professionnels de la sécurité.
Il existe plusieurs types d'événements d'analyse prédéfinis dans StealthWatch :
- Analyse des ports : la source analyse plusieurs ports sur l'hôte de destination.
- Addr tcp scan - la source analyse l'ensemble du réseau sur le même port TCP, en modifiant l'adresse IP de destination. Dans ce cas, la source reçoit des paquets TCP Reset ou ne reçoit pas de réponses du tout.
- Addr udp scan - la source analyse l'ensemble du réseau sur le même port UDP, tout en modifiant l'adresse IP de destination. Dans ce cas, la source reçoit des paquets ICMP Port Unreachable ou ne reçoit pas de réponses du tout.
- Ping Scan - la source envoie des requêtes ICMP à l'ensemble du réseau afin de rechercher des réponses.
- Stealth Scan tсp/udp - la source a utilisé le même port pour se connecter à plusieurs ports sur le nœud de destination en même temps.
Pour faciliter la recherche simultanée de tous les scanners internes, il existe une application réseau pour StealthWatch - Évaluation de la visibilité. Aller à l'onglet Tableaux de bord → Évaluation de la visibilité → Scanners de réseau internes vous verrez les incidents de sécurité liés à l'analyse au cours des 2 dernières semaines.
En appuyant sur le bouton Détails, vous verrez le début du scan de chaque réseau, l'évolution du trafic et les alarmes correspondantes.
Ensuite, vous pouvez « échouer » sur l'hôte à partir de l'onglet de la capture d'écran précédente et voir les événements de sécurité, ainsi que l'activité de la semaine dernière pour cet hôte.
A titre d'exemple, analysons l'événement Port Scan de l'hôte 10.201.3.149 sur 10.201.0.72, En appuyant sur Actions > Flux associés. Une recherche de fil de discussion est lancée et les informations pertinentes sont affichées.
Comment voyons-nous cet hôte depuis l'un de ses ports 51508 / TCP scanné il y a 3 heures l'hôte de destination par port 22, 28, 42, 41, 36, 40 (TCP). Certains champs n'affichent pas non plus d'informations car tous les champs Netflow ne sont pas pris en charge sur l'exportateur Netflow.
6. Analyse des logiciels malveillants téléchargés à l'aide du CTA
CTA (analyse cognitive des menaces) — Cisco Cloud Analytics, qui s'intègre parfaitement à Cisco StealthWatch et vous permet de compléter l'analyse sans signature par une analyse de signature. Cela permet de détecter les chevaux de Troie, les vers de réseau, les logiciels malveillants du jour zéro et autres logiciels malveillants et de les diffuser au sein du réseau. De plus, la technologie ETA mentionnée précédemment vous permet d’analyser ces communications malveillantes dans le trafic crypté.
Littéralement sur le tout premier onglet de l'interface Web se trouve un widget spécial Analyse cognitive des menaces. Un bref résumé indique les menaces détectées sur les hôtes des utilisateurs : cheval de Troie, logiciels frauduleux, adwares gênants. Le mot « crypté » désigne en réalité le travail de l'ETA. En cliquant sur un hôte, toutes les informations le concernant, les événements de sécurité, y compris les journaux CTA, apparaissent.
En survolant chaque étape du CTA, l'événement affiche des informations détaillées sur l'interaction. Pour des analyses complètes, cliquez ici Afficher les détails de l'incident, et vous serez redirigé vers une console séparée Analyse cognitive des menaces.
Dans le coin supérieur droit, un filtre permet d'afficher les événements par niveau de gravité. Lorsque vous pointez sur une anomalie spécifique, les journaux apparaissent en bas de l'écran avec une chronologie correspondante sur la droite. Ainsi, le spécialiste de la sécurité de l'information comprend clairement quel hôte infecté, après quelles actions, a commencé à effectuer quelles actions.
Vous trouverez ci-dessous un autre exemple : un cheval de Troie bancaire qui a infecté l'hôte. 198.19.30.36. Cet hôte a commencé à interagir avec des domaines malveillants et les journaux affichent des informations sur le flux de ces interactions.
Ensuite, l'une des meilleures solutions possibles est de mettre l'hôte en quarantaine grâce au natif avec Cisco ISE pour un traitement et une analyse plus approfondis.
Conclusion
La solution Cisco StealthWatch est l'un des leaders parmi les produits de surveillance de réseau, tant en termes d'analyse du réseau que de sécurité des informations. Grâce à lui, vous pouvez détecter les interactions illégitimes au sein du réseau, les retards des applications, les utilisateurs les plus actifs, les anomalies, les malwares et les APT. De plus, vous pouvez trouver des scanners, des pentesters et effectuer un audit cryptographique du trafic HTTPS. Vous pouvez trouver encore plus de cas d'utilisation sur .
Si vous souhaitez vérifier avec quelle fluidité et efficacité tout fonctionne sur votre réseau, envoyez .
Dans un avenir proche, nous prévoyons plusieurs autres publications techniques sur divers produits de sécurité de l'information. Si ce sujet vous intéresse, suivez les mises à jour sur nos chaînes (, , , )!
Source: habr.com