é unha solución analítica no ámbito da seguridade da información que proporciona un seguimento integral das ameazas nunha rede distribuída. StealthWatch baséase na recollida de NetFlow e IPFIX de enrutadores, conmutadores e outros dispositivos de rede. Como resultado, a rede convértese nun sensor sensible e permite ao administrador buscar lugares onde os métodos tradicionais de seguranza da rede, como o Firewall Next Generation, non poden chegar.
En artigos anteriores xa escribín sobre StealthWatch: E . Agora propoño seguir adiante e discutir como traballar coas alarmas e investigar os incidentes de seguridade que xera a solución. Haberá 6 exemplos que espero que dean unha boa idea da utilidade do produto.
En primeiro lugar, hai que dicir que StealthWatch ten algunha distribución de alarmas entre algoritmos e fontes. Os primeiros son varios tipos de alarmas (notificacións), cando se activan, pode detectar cousas sospeitosas na rede. O segundo son os incidentes de seguridade. Este artigo analizará 4 exemplos de algoritmos activados e 2 exemplos de fontes.
1. Análise das maiores interaccións dentro da rede
O paso inicial para configurar StealthWatch é definir hosts e redes en grupos. Na pestana da interface web Configurar > Xestión de grupos anfitrións As redes, hosts e servidores deben clasificarse en grupos apropiados. Tamén podes crear os teus propios grupos. Por certo, analizar as interaccións entre hosts en Cisco StealthWatch é bastante conveniente, xa que non só pode gardar filtros de busca por fluxo, senón tamén os propios resultados.
Para comezar, na interface web debes ir á pestana Analizar > Busca de fluxo. A continuación, debes configurar os seguintes parámetros:
- Tipo de busca: conversas principais (interaccións máis populares)
- Intervalo de tempo: 24 horas (período de tempo, pode usar outro)
- Nome de busca - Principais conversas dentro e dentro (calquera nome amigable)
- Asunto - Grupos de anfitrións → Anfitrións internos (fonte - grupo de anfitrións internos)
- Conexión (podes especificar portos, aplicacións)
- Peer - Grupos de anfitrións → Anfitrións internos (destino - grupo de nodos internos)
- En Opcións avanzadas, tamén pode especificar o colector desde o que se ven os datos, ordenando a saída (por bytes, fluxos, etc.). Vou deixar por defecto.
Despois de premer o botón busca móstrase unha lista de interaccións que xa están ordenadas pola cantidade de datos transferidos.
No meu exemplo o anfitrión 10.150.1.201 (servidor) transmitido dentro dun só fío 1.5 GB tráfico ao host 10.150.1.200 (cliente) por protocolo mysql. Botón Xestionar columnas permítelle engadir máis columnas aos datos de saída.
A continuación, a criterio do administrador, podes crear unha regra personalizada que sempre desencadeará este tipo de interacción e notificaráchelo a través de SNMP, correo electrónico ou Syslog.
2. Análise das interaccións cliente-servidor máis lentas dentro da rede para detectar atrasos
Etiquetas SRT (tempo de resposta do servidor), RTT (tempo de ida e volta) permítelle coñecer os atrasos do servidor e os atrasos xerais da rede. Esta ferramenta é especialmente útil cando precisa atopar rapidamente a causa das queixas dos usuarios sobre unha aplicación de execución lenta.
Nota: case todos os exportadores de Netflow non sei como enviar etiquetas SRT, RTT, polo que moitas veces, para ver tales datos en FlowSensor, cómpre configurar o envío dunha copia do tráfico desde os dispositivos de rede. FlowSensor á súa vez envía o IPFIX estendido a FlowCollector.
É máis conveniente realizar esta análise na aplicación java StealtWatch, que está instalada no ordenador do administrador.
Botón dereito do rato activado Dentro de Hosts e vai á pestana Táboa de fluxo.
Prema en filtro e establecer os parámetros necesarios. Como exemplo:
- Data/Hora: nos últimos 3 días
- Rendemento — Tempo medio de ida e volta >=50 ms
Despois de mostrar os datos, deberíamos engadir os campos RTT e SRT que nos interesen. Para iso, fai clic na columna da captura de pantalla e selecciona co botón dereito do rato Xestionar columnas. A continuación, faga clic en RTT, parámetros SRT.
Despois de procesar a solicitude, ordenei pola media de RTT e vin as interaccións máis lentas.
Para acceder a información detallada, fai clic co botón dereito sobre o fluxo e selecciona Vista rápida para o fluxo.
Esta información indica que o host 10.201.3.59 do grupo Vendas e Marketing por protocolo NFS apela a Servidor DNS durante un minuto e 23 segundos e só ten un atraso terrible. Na pestana Interfaces podes saber de que exportador de datos Netflow se obtivo a información. Na pestana Táboa Móstrase información máis detallada sobre a interacción.
A continuación, debes descubrir que dispositivos envían tráfico a FlowSensor e o problema máis probable é que estea alí.
Ademais, StealthWatch é único no que realiza deduplicación datos (combina os mesmos fluxos). Polo tanto, pode recoller de case todos os dispositivos Netflow e non ter medo de que haxa moitos datos duplicados. Pola contra, neste esquema axudará a comprender cal é o salto que presenta maiores atrasos.
3. Auditoría dos protocolos criptográficos HTTPS
ETA (analítica cifrada de tráfico) é unha tecnoloxía desenvolvida por Cisco que permite detectar conexións maliciosas no tráfico cifrado sen descifralo. Ademais, esta tecnoloxía permítelle "analizar" HTTPS en versións TLS e protocolos criptográficos que se usan durante as conexións. Esta funcionalidade é especialmente útil cando precisa detectar nós de rede que usan estándares criptográficos débiles.
Nota: primeiro debes instalar a aplicación de rede en StealthWatch - Auditoría criptográfica ETA.
Vaia á pestana Paneles → Auditoría criptográfica ETA e seleccione o grupo de anfitrións que pensamos analizar. Para a imaxe xeral, imos escoller Dentro de Hosts.
Podes ver que saen a versión TLS e o estándar criptográfico correspondente. Segundo o esquema habitual da columna Accións Ir a Ver fluxos e a busca comeza nunha nova pestana.
Desde a saída pódese ver que o host 198.19.20.136 ao longo 12 horas utilizou HTTPS con TLS 1.2, onde o algoritmo de cifrado AES-256 e función hash SHA-384. Así, ETA permite atopar algoritmos débiles na rede.
4. Análise de anomalías de rede
Cisco StealthWatch pode recoñecer anomalías de tráfico na rede mediante tres ferramentas: Eventos básicos (eventos de seguridade), Eventos de relación (eventos de interaccións entre segmentos, nós de rede) e análise do comportamento.
A análise do comportamento, pola súa banda, permite ao longo do tempo construír un modelo de comportamento para un determinado host ou grupo de hosts. Canto máis tráfico pase por StealthWatch, máis precisas serán as alertas grazas a esta análise. Ao principio, o sistema desencadea moito de forma incorrecta, polo que as regras deberían "torcerse" a man. Recomendo que ignores este tipo de eventos durante as primeiras semanas, xa que o sistema axustarase ou engadilos ás excepcións.
A continuación móstrase un exemplo dunha regra predefinida Anomalía, que indica que o evento disparará sen alarma se un host do grupo Inside Hosts interactúa co grupo Inside Hosts e en 24 horas o tráfico superará os 10 megabytes.
Por exemplo, tomemos unha alarma Acaparamento de datos, o que significa que algún host de orixe/destino cargou/descargou unha cantidade anormalmente grande de datos dun grupo de hosts ou dun host. Fai clic no evento e vai á táboa onde se indican os hosts desencadeantes. A continuación, seleccione o host que nos interesa na columna Acaparamento de datos.
Móstrase un evento que indica que se detectaron 162 "puntos" e, segundo a política, permítense 100 "puntos": son métricas internas de StealthWatch. Nunha columna Accións Empurrón Ver fluxos.
Podemos observalo anfitrión dado interactuou co anfitrión pola noite 10.201.3.47 dende o departamento Vendas e mercadotecnia por protocolo HTTPS e descargado 1.4 GB. Quizais este exemplo non sexa totalmente exitoso, pero a detección de interaccións mesmo durante varios centos de gigabytes realízase exactamente do mesmo xeito. Polo tanto, unha investigación máis adiante das anomalías pode levar a resultados interesantes.
Nota: na interface web de SMC, os datos están en pestanas Dashboards móstranse só durante a última semana e na pestana Monitor nas últimas 2 semanas. Para analizar eventos máis antigos e xerar informes, cómpre traballar coa consola java no ordenador do administrador.
5. Buscar exploracións de rede internas
Agora vexamos algúns exemplos de fontes: incidentes de seguridade da información. Esta funcionalidade é de máis interese para os profesionais da seguridade.
Existen varios tipos de eventos de exploración predefinidos en StealthWatch:
- Exploración de portos: a orixe analiza varios portos no host de destino.
- Addr tcp scan: a fonte explora toda a rede no mesmo porto TCP, cambiando o enderezo IP de destino. Neste caso, a fonte recibe paquetes de restablecemento TCP ou non recibe respostas en absoluto.
- Adr udp scan: a fonte explora toda a rede no mesmo porto UDP, mentres cambia o enderezo IP de destino. Neste caso, a fonte recibe paquetes ICMP Port Unreachable ou non recibe respostas en absoluto.
- Ping Scan: a fonte envía solicitudes ICMP a toda a rede para buscar respostas.
- Stealth Scan tсp/udp: a fonte utilizou o mesmo porto para conectarse a varios portos no nodo de destino ao mesmo tempo.
Para que sexa máis cómodo atopar todos os escáneres internos á vez, hai unha aplicación de rede para StealthWatch - Avaliación da visibilidade. Indo á pestana Paneis → Avaliación da visibilidade → Escáneres de rede internas verás incidentes de seguridade relacionados coa dixitalización durante as dúas últimas semanas.
Premendo o botón detalles, verá o inicio da exploración de cada rede, a tendencia do tráfico e as alarmas correspondentes.
A continuación, podes "fallar" no host desde a pestana da captura de pantalla anterior e ver os eventos de seguranza, así como a actividade durante a última semana deste host.
A modo de exemplo, analicemos o evento Escaneo de portos do anfitrión 10.201.3.149 en 10.201.0.72, Presionando Accións > Fluxos asociados. Iníciase unha busca de fíos e móstrase información relevante.
Como vemos este host desde un dos seus portos 51508/TCP escaneou hai 3 horas o host de destino por porto 22, 28, 42, 41, 36 e 40 (TCP). Algúns campos tampouco mostran información porque non todos os campos de Netflow son compatibles co exportador de Netflow.
6. Análise de malware descargado mediante CTA
CTA (analítica cognitiva de ameazas) — Cisco Cloud Analytics, que se integra perfectamente con Cisco StealthWatch e permítelle complementar a análise sen sinaturas coa análise de sinaturas. Isto fai posible detectar troianos, vermes de rede, malware de día cero e outros programas maliciosos e distribuílos dentro da rede. Ademais, a tecnoloxía ETA anteriormente mencionada permite analizar este tipo de comunicacións maliciosas en tráfico cifrado.
Literalmente, na primeira pestana da interface web hai un widget especial Análise de ameazas cognitivas. Un breve resumo indica as ameazas detectadas nos hosts dos usuarios: troiano, software fraudulento, adware molesto. A palabra "Cifrado" en realidade indica o traballo de ETA. Ao facer clic nun host, aparece toda a información sobre el, eventos de seguridade, incluídos os rexistros de CTA.
Ao pasar o rato sobre cada etapa da CTA, o evento mostra información detallada sobre a interacción. Para obter unha análise completa, prema aquí Ver detalles do incidente, e levarase a unha consola separada Análise de ameazas cognitivas.
Na esquina superior dereita, un filtro permítelle mostrar eventos por nivel de gravidade. Cando apuntas a unha anomalía específica, os rexistros aparecen na parte inferior da pantalla cunha liña de tempo correspondente á dereita. Así, o especialista en seguridade da información comprende claramente que host infectado, despois de que accións, comezaron a realizar que accións.
A continuación móstrase outro exemplo: un troiano bancario que infectou o servidor 198.19.30.36. Este host comezou a interactuar con dominios maliciosos e os rexistros mostran información sobre o fluxo destas interaccións.
A continuación, unha das mellores solucións que pode haber é poñer en corentena ao anfitrión grazas ao nativo con Cisco ISE para máis tratamento e análise.
Conclusión
A solución Cisco StealthWatch é un dos líderes entre os produtos de vixilancia da rede tanto en termos de análise de rede como de seguridade da información. Grazas a el, pode detectar interaccións ilexítimas dentro da rede, atrasos de aplicacións, usuarios máis activos, anomalías, malware e APT. Ademais, podes atopar escáneres, pentesters e realizar unha cripto-auditoría do tráfico HTTPS. Podes atopar aínda máis casos de uso en .
Se queres comprobar o bo e eficiente que funciona todo na túa rede, envía .
Nun futuro próximo, estamos a planear varias publicacións técnicas máis sobre diversos produtos de seguridade da información. Se estás interesado neste tema, sigue as actualizacións nas nosas canles (, , , )!
Fonte: www.habr.com