he hoʻoponopono analytical ma ke kahua o ka palekana ʻike e hāʻawi ana i ka nānā piha ʻana i nā mea hoʻoweliweli i loko o kahi pūnaewele puʻupuʻu. Hoʻokumu ʻia ʻo StealthWatch ma ka hōʻiliʻili ʻana iā NetFlow a me IPFIX mai nā mea hoʻokele, nā hoʻololi a me nā polokalamu pūnaewele ʻē aʻe. ʻO ka hopena, lilo ka pūnaewele i mea ʻike makaʻala a hiki i ka luna hoʻomalu ke nānā i nā wahi kahi i hiki ʻole ai i nā ʻano palekana pūnaewele kuʻuna, e like me Next Generation Firewall.
Ma nā ʻatikala ma mua ua kākau wau e pili ana iā StealthWatch: , a me . I kēia manawa, manaʻo wau e neʻe i mua a kūkākūkā pehea e hana ai me nā alarms a e noiʻi i nā hanana palekana i hana ʻia e ka hopena. Aia he 6 mau hiʻohiʻona aʻu i manaʻo ai e hāʻawi i kahi manaʻo maikaʻi o ka pono o ka huahana.
ʻO ka mea mua, pono e ʻōlelo ʻia aia ʻo StealthWatch i kekahi mahele o nā alarms ma waena o nā algorithms a me nā hānai. ʻO ka mea mua, he mau ʻano ʻala like ʻole (nā leka), ke hoʻāla ʻia, hiki iā ʻoe ke ʻike i nā mea kānalua ma ka pūnaewele. ʻO ka lua o nā hanana palekana. E nānā kēia ʻatikala i nā hiʻohiʻona 4 o nā algorithm i hoʻoulu ʻia a me 2 mau hiʻohiʻona o nā meaʻai.
1. Ka nānā 'ana i nā pilina nui loa i loko o ka pūnaewele
ʻO ka hana mua i ka hoʻonohonoho ʻana iā StealthWatch e wehewehe i nā pūʻali a me nā pūnaewele i nā hui. Ma ka papa kuhikuhi pūnaewele Hoʻonohonoho > Hoʻokele Pūʻulu Hoʻokipa Pono e hoʻokaʻawale ʻia nā pūnaewele, host, a me nā kikowaena i nā hui kūpono. Hiki iā ʻoe ke hana i kāu mau hui ponoʻī. Ma ke ala, ʻoi aku ka maʻalahi o ka nānā ʻana i nā pilina ma waena o nā mea hoʻokipa ma Cisco StealthWatch, no ka mea ʻaʻole hiki iā ʻoe ke mālama i nā kānana hulina ma ke kahawai, akā ʻo nā hopena pū kekahi.
No ka hoʻomaka ʻana, ma ka ʻaoʻao pūnaewele pono ʻoe e hele i ka pā Hoʻokalakala > Huli Kahe. A laila pono ʻoe e hoʻonohonoho i kēia mau ʻāpana:
- ʻAno Huli - Nā Kūkākūkā Nui (nā pilina kaulana loa)
- Manawa manawa - 24 hola (manawa manawa, hiki iā ʻoe ke hoʻohana i kekahi)
- Huli Inoa - Nā Kūkākūkā Nui Loa i loko-Iloko (kekahi inoa aloha)
- Kumuhana - Nā Pūʻulu Hoʻokipa → Nā Hoʻokele Loko (kumu - pūʻulu o nā pūʻali i loko)
- Hoʻohui (hiki iā ʻoe ke kuhikuhi i nā awa, nā noi)
- Peer - Nā Pūʻulu Hoʻokipa → Nā Hoʻokele Loko
- Ma Advanced Options, hiki iā ʻoe ke kuhikuhi i ka ʻohi ʻikepili kahi i ʻike ʻia ai ka ʻikepili, ka hoʻokaʻawale ʻana i ka hopena (e nā bytes, streams, etc.). E waiho wau ma ke ʻano he paʻamau.
Ma hope o ke kaomi ʻana i ke pihi Search hōʻike ʻia kahi papa inoa o nā pilina i hoʻokaʻawale ʻia e ka nui o ka ʻikepili i hoʻoili ʻia.
Ma kaʻu hiʻohiʻona ka mea hoʻokipa 10.150.1.201 (server) hoʻouna ʻia i loko o hoʻokahi pae wale nō 1.5 GB kaʻa i ka hoʻokipa 10.150.1.200 (mea kūʻai) ma ka protocol mysql. pihi Hoʻoponopono i nā kolamu hiki iā ʻoe ke hoʻohui i nā kolamu hou aʻe i ka ʻikepili puka.
A laila, ma ka manaʻo o ka luna hoʻoponopono, hiki iā ʻoe ke hana i kahi lula maʻamau e hoʻomaka mau i kēia ʻano o ka launa pū ʻana a hoʻomaopopo iā ʻoe ma o SNMP, leka uila a i ʻole Syslog.
2. Ka nānā 'ana i ka lohi loa o nā mea kū'ai me nā mea lawelawe i loko o ka pūnaewele no ka lohi
Nā lepili SRT (Ka manawa pane o ka mea lawelawe), RTT (Wā Kaʻapuni Kaʻapuni) e ʻae iā ʻoe e ʻike i nā lohi kikowaena a me nā lohi maʻamau. ʻOi aku ka maikaʻi o kēia mea hana inā pono ʻoe e ʻimi koke i ke kumu o ka hoʻopiʻi ʻana o ka mea hoʻohana e pili ana i kahi noi lohi.
i hoʻopuka: kokoke i nā mea kūʻai aku Netflow aole ike pehea e hoʻouna i nā hōʻailona SRT, RTT, pinepine, i mea e ʻike ai i kēlā ʻikepili ma FlowSensor, pono ʻoe e hoʻonohonoho i ka hoʻouna ʻana i kahi kope o nā kaʻa mai nā polokalamu pūnaewele. Hoʻouna ʻo FlowSensor i ka IPFIX i hoʻonui ʻia iā FlowCollector.
ʻOi aku ka maʻalahi o ka hoʻokō ʻana i kēia loiloi ma ka noi StealtWatch java, i hoʻokomo ʻia ma ka kamepiula o ka luna hoʻomalu.
Aia ke pihi ʻiole ʻākau Loko Hookipa a hele i ka papa Papa Kahe.
Kaomi aku Kānana a hoʻonoho i nā palena kūpono. E like me ka laʻana:
- Lā/Manawa - No nā lā 3 hope loa
- Hana — Manawa Kaapuni Awelika >=50ms
Ma hope o ka hōʻike ʻana i ka ʻikepili, pono mākou e hoʻohui i nā kahua RTT a me SRT i makemake nui iā mākou. No ka hana ʻana i kēia, kaomi ma luna o ke kolamu ma ke kiʻi kiʻi a koho me ka pihi ʻiole ʻākau Hoʻoponopono i nā kolamu. A laila, kaomi i nā ʻāpana RTT, SRT.
Ma hope o ka hoʻoponopono ʻana i ka noi, ua hoʻokaʻawale au ma ka awelika RTT a ʻike i nā pilina lohi.
No ka hele ʻana i ka ʻike kikoʻī, kaomi ʻākau ma ke kahawai a koho Nānā wikiwiki no ke kahe.
Hōʻike kēia ʻike i ka mea hoʻokipa 10.201.3.59 mai ka hui Sales a me ke kūʻai akuʻana e ka protocol NFS hoopii i kikowaena DNS no hoʻokahi minuke a me 23 kekona a he lag weliweli wale nō. Ma ka pā Interfaces hiki iā ʻoe ke ʻike i ka mea hoʻopuka ʻikepili Netflow i loaʻa ai ka ʻike. Ma ka pā papaʻaina Hōʻike ʻia ka ʻike kikoʻī e pili ana i ka pilina.
A laila, pono ʻoe e ʻike i nā mea hana e hoʻouna ai i ke kaʻa i FlowSensor a aia ka pilikia ma laila.
Eia kekahi, ʻokoʻa ʻo StealthWatch i kāna hana hoʻokaʻawale ʻikepili (hoʻohui i nā kahawai like). No laila, hiki iā ʻoe ke hōʻiliʻili mai kahi kokoke i nā polokalamu Netflow āpau a mai makaʻu i ka nui o nā ʻikepili kope. ʻO ka mea ʻē aʻe, ma kēia hoʻolālā e kōkua ia e hoʻomaopopo i ka hop i loaʻa ka lohi nui loa.
3. Hooia o HTTPS cryptographic protocols
ETA (Encrypted Traffic Analytics) He ʻenehana i hoʻomohala ʻia e Cisco e hiki ai iā ʻoe ke ʻike i nā pilina ʻino i loko o nā kaʻa i hoʻopili ʻia me ka ʻole decrypting. Eia kekahi, ʻae kēia ʻenehana iā ʻoe e "parse" HTTPS i nā mana TLS a me nā protocol cryptographic i hoʻohana ʻia i ka wā pili. He mea maikaʻi loa kēia hana inā pono ʻoe e ʻike i nā node pūnaewele e hoʻohana ana i nā kūlana crypto nāwaliwali.
i hoʻopuka: Pono ʻoe e hoʻokomo mua i ka polokalamu pūnaewele ma StealthWatch - ETA Cryptographic Audit.
E hele i ka pā Nā Papa Hana → ETA Cryptographic Audit a koho i ka pūʻulu o nā pūʻali a mākou e manaʻo nei e kālailai. No ke kiʻi holoʻokoʻa, e koho kāua Loko Hookipa.
Hiki iā ʻoe ke ʻike ua hoʻopuka ʻia ka mana TLS a me ka maʻamau crypto pili. E like me ka papahana maʻamau i ke kolamu hana e hele Nānā Kahe a hoʻomaka ka ʻimi ʻana ma kahi pā hou.
Mai ka hoʻopuka hiki ke ʻike ʻia ka mea hoʻokipa 198.19.20.136 mawaena Nā hola 12 hoʻohana ʻo HTTPS me TLS 1.2, kahi i hoʻopili ʻia ai ka algorithm encryption AES-256 a me ka hana hash SHA-384. No laila, ʻae ʻo ETA iā ʻoe e ʻike i nā algorithm nāwaliwali ma ka pūnaewele.
4. ʻIkepili anomali pūnaewele
Hiki iā Cisco StealthWatch ke ʻike i nā anomalies kaʻa ma ka pūnaewele me ka hoʻohana ʻana i ʻekolu mau mea hana: Nā hanana kumu (nā hanana palekana), Nā hanana pili (nā hanana o ka pilina ma waena o nā ʻāpana, nā node pūnaewele) a kālailai ʻano.
ʻO ka nānā ʻana i ke ʻano, hiki i ka manawa ke kūkulu i kahi kumu hoʻohālike no kahi hoʻokipa a i ʻole pūʻulu o nā pūʻali. ʻOi aku ka nui o nā kaʻa e hele ana ma StealthWatch, ʻoi aku ka pololei o nā mākaʻikaʻi e mahalo ʻia i kēia loiloi. I ka wā mua, hoʻomaka hewa ka ʻōnaehana, no laila e "wili" nā lula ma ka lima. Manaʻo wau e haʻalele ʻoe i kēlā mau hanana no nā pule mua, ʻoiai e hoʻoponopono ka ʻōnaehana iā ia iho, a i ʻole e hoʻohui iā lākou i nā ʻokoʻa.
Aia ma lalo kahi laʻana o kahi lula i hoʻoholo mua ʻia ʻAnomalia, e ʻōlelo ana e puhi ʻia ka hanana me ka ʻole o ka puʻupuʻu inā hui pū kekahi pūʻali i loko o ka hui Inside Hosts me ka hui Inside Hosts a i loko o 24 mau hola e ʻoi aku ke kaʻa ma mua o 10 megabytes.
No ka laʻana, e lawe kāua i kahi puʻupuʻu Hoahu ʻIkepili, 'o ia ho'i, ua ho'ouka a ho'oili a ho'ouka kekahi kumu/kumu ho'okele i ka nui o ka 'ikepili mai kahi hui o nā pū'ali a i 'ole kekahi pū'ali. Kaomi ma ka hanana a hele i ka papaʻaina kahi i hōʻike ʻia ai nā mea hoʻokūkū hoʻokūkū. A laila, koho i ka mea hoʻokipa a mākou e makemake ai i ke kolamu Hoahu ʻIkepili.
Hōʻike ʻia kahi hanana e hōʻike ana ua ʻike ʻia he 162k "points", a e like me ke kulekele, ʻae ʻia 100k "points" - ʻo ia nā metric StealthWatch kūloko. Ma kahi kolamu hana paʻi Nānā Kahe.
Hiki iā mākou ke nānā i kēlā hāʻawi ʻia ka mea hoʻokipa i launa pū me ka mea hoʻokipa i ka pō 10.201.3.47 mai ka oihana Kūʻai & kūʻai aku e ka protocol https a hoʻoiho ʻia 1.4 GB. Malia paha ʻaʻole kūleʻa loa kēia hiʻohiʻona, akā ʻo ka ʻike ʻana i nā pilina a hiki i nā haneli gigabytes ke hana ʻia ma ke ʻano like. No laila, hiki i ka hoʻokolokolo hou ʻana i nā anomalies ke alakaʻi i nā hopena hoihoi.
i hoʻopuka: ma ka pūnaewele SMC, aia ka ʻikepili i nā pā Kālepa hōʻike ʻia no ka pule hope loa a ma ka pā kanaka hoʻoponopono i nā pule he 2 i hala. No ke kālailai ʻana i nā hanana kahiko a hoʻopuka i nā hōʻike, pono ʻoe e hana me ka console java ma ke kamepiula o ka luna hoʻomalu.
5. Ke ʻimi nei i nā scans pūnaewele kūloko
I kēia manawa, e nānā kākou i kekahi mau hiʻohiʻona o nā hānai - nā hanana palekana ʻike. ʻOi aku ka hoihoi o kēia hana i nā ʻoihana palekana.
Nui nā ʻano hanana scan preset ma StealthWatch:
- Port Scan—nānā ke kumu i nā awa he nui ma ka mea hoʻokipa huakaʻi.
- Addr tcp scan - nānā ke kumu i ka pūnaewele holoʻokoʻa ma ke awa TCP hoʻokahi, e hoʻololi ana i ka helu IP wahi. I kēia hihia, loaʻa i ke kumu nā ʻeke TCP Reset a ʻaʻole loaʻa i nā pane.
- Addr udp scan - nānā ke kumu i ka pūnaewele holoʻokoʻa ma ke awa UDP hoʻokahi, ʻoiai e hoʻololi ana i ka helu IP wahi. I kēia hihia, loaʻa i ke kumu nā ʻeke ICMP Port Unreachable a ʻaʻole loaʻa i nā pane.
- Ping Scan - hoʻouna ke kumu i nā noi ICMP i ka pūnaewele holoʻokoʻa i mea e ʻimi ai i nā pane.
- Stealth Scan tсp/udp - ua hoʻohana ke kumu i ke awa hoʻokahi e hoʻohui i nā awa he nui ma ka node huakaʻi i ka manawa like.
I mea e maʻalahi ai ka loaʻa ʻana o nā scanner kūloko āpau i ka manawa hoʻokahi, aia kahi polokalamu pūnaewele no StealthWatch - Hoʻohālikelike ʻike. Ke hele nei i ka pā Nā Papahana → Ka ʻike ʻike → Nā Kiʻi ʻIke Pūnaewele e ʻike ʻoe i nā hanana palekana e pili ana i ka nānā ʻana no nā pule 2 i hala.
Ma ke kaomi ʻana i ke pihi Details, e ʻike ʻoe i ka hoʻomaka ʻana o ka nānā ʻana i kēlā me kēia pūnaewele, ke ʻano o ke kaʻa a me nā ʻōuli e pili ana.
Ma hope aʻe, hiki iā ʻoe ke "hāʻule" i loko o ka mea hoʻokipa mai ka pā i ka kiʻi kiʻi mua a ʻike i nā hanana palekana, a me ka hana i ka pule hope loa no kēia host.
No ka laʻana, e kālailai kākou i ka hanana ʻO ka nānā ʻana i ke awa mai ka mea hoʻokipa 10.201.3.149 maluna o 10.201.0.72, Kaomi ana Nā hana > nā kahe pili. Hoʻomaka ʻia kahi hulina pae a hōʻike ʻia ka ʻike pili.
Pehea mākou e ʻike ai i kēia hoʻokipa mai kekahi o kona mau awa 51508 / TCP ʻimi ʻia 3 hola aku nei i ka mea hoʻokipa huakaʻi ma ke awa 22, 28, 42, 41, 36, 40 (TCP). ʻAʻole hōʻike kekahi mau kahua i ka ʻike no ka mea ʻaʻole i kākoʻo ʻia nā kahua Netflow a pau ma ka mea hoʻopuka Netflow.
6. Ka nānā 'ana o ka polokalamu kilo'ino i ho'oili 'ia me CTA
CTA (Naʻauao Hoʻoweliweli) — Cisco cloud analytics, ka mea i hoʻohui pono me Cisco StealthWatch a hiki iā ʻoe ke hoʻopiha i ka ʻikepili ʻole me ka loiloi pūlima. ʻO kēia ka mea e hiki ai ke ʻike i nā Trojans, nā ilo pūnaewele, nā lā ʻole nā malware a me nā polokalamu ʻē aʻe a puʻunaue iā lākou i loko o ka pūnaewele. Eia kekahi, ʻo ka ʻenehana ETA i haʻi mua ʻia e ʻae iā ʻoe e nānā i nā kamaʻilio maikaʻi ʻole i nā kaʻa i hoʻopili ʻia.
Ma ka ʻaoʻao mua loa o ka ʻaoʻao pūnaewele aia kahi widget kūikawā ʻIkepili hoʻoweliweli noʻonoʻo. Hōʻike ka hōʻuluʻulu pōkole i nā mea hoʻoweliweli i ʻike ʻia ma nā mea hoʻohana: Trojan, polokalamu hoʻopunipuni, adware hoʻonāukiuki. Hōʻike maoli ka huaʻōlelo "Encrypted" i ka hana a ETA. Ma ke kaomi ʻana i kahi mea hoʻokipa, ʻike ʻia nā ʻike āpau e pili ana iā ia, nā hanana palekana, me nā log CTA.
Ma ka lele ʻana ma luna o kēlā me kēia pae o ka CTA, hōʻike ka hanana i ka ʻike kikoʻī e pili ana i ka pilina. No ka ʻikepili piha, kaomi ma aneʻi E nānā i nā mea kiko'ī, a e lawe ʻia ʻoe i kahi console kaʻawale ʻIkepili hoʻoweliweli noʻonoʻo.
Ma ka ʻaoʻao ʻākau o luna, hiki i kahi kānana ke hōʻike i nā hanana ma ka pae paʻakikī. Ke kuhikuhi ʻoe i kahi anomaly kikoʻī, ʻike ʻia nā lāʻau ma lalo o ka pale me kahi laina manawa kūpono ma ka ʻākau. No laila, ʻike maopopo ka loea palekana ʻike i ka mea hoʻokipa maʻi, ma hope o nā hana, hoʻomaka e hana i nā hana.
Aia ma lalo kekahi laʻana - he Trojan banking i hoʻopilikia i ka mea hoʻokipa 198.19.30.36. Ua hoʻomaka kēia mea hoʻokipa e launa pū me nā wahi ʻino, a hōʻike nā lāʻau i ka ʻike e pili ana i ke kahe o kēia mau pilina.
A laila, ʻo kekahi o nā hopena maikaʻi loa e hiki ai ke hoʻokaʻawale i ka mea hoʻokipa e hoʻomaikaʻi i ke kamaʻāina me Cisco ISE no ka mālama hou ʻana a me ka nānā ʻana.
hopena
ʻO ka Cisco StealthWatch solution kekahi o nā alakaʻi ma waena o nā huahana nānā pūnaewele ma ke ʻano o ka ʻikepili pūnaewele a me ka palekana ʻike. Mahalo iā ia, hiki iā ʻoe ke ʻike i nā pilina pili ʻole i loko o ka pūnaewele, nā lohi noi, nā mea hoʻohana ikaika loa, anomalies, malware a me nā APT. Eia kekahi, hiki iā ʻoe ke loaʻa nā scanners, pentesters, a alakaʻi i kahi crypto-audit o HTTPS traffic. Hiki iā ʻoe ke ʻike i nā hihia hoʻohana hou aʻe ma .
Inā makemake ʻoe e nānā i ka maʻalahi a me ka maikaʻi o nā mea a pau ma kāu pūnaewele, e hoʻouna .
I ka wā e hiki mai ana, ke hoʻolālā nei mākou i kekahi mau puke ʻenehana hou aʻe e pili ana i nā huahana palekana ʻike. Inā makemake ʻoe i kēia kumuhana, a laila e hahai i nā mea hou i kā mākou kahawai (, , , )!
Source: www.habr.com