egy elemző megoldás az információbiztonság területén, amely az elosztott hálózaton belüli fenyegetések átfogó nyomon követését biztosítja. A StealthWatch a NetFlow és az IPFIX összegyűjtésén alapul útválasztókról, kapcsolókról és egyéb hálózati eszközökről. Ennek eredményeként a hálózat érzékeny érzékelővé válik, és lehetővé teszi az adminisztrátor számára, hogy olyan helyekre nézzen, ahol a hagyományos hálózati biztonsági módszerek, például a következő generációs tűzfal nem érhetők el.
Korábbi cikkekben már írtam a StealthWatch-ről: És . Most azt javaslom, hogy haladjunk tovább, és beszéljük meg a riasztásokkal való együttműködést, valamint a megoldás által generált biztonsági események kivizsgálását. 6 példa lesz, amelyek remélem jó képet adnak a termék hasznosságáról.
Először is el kell mondani, hogy a StealthWatch rendelkezik a riasztások bizonyos eloszlásával az algoritmusok és a feedek között. Az elsők a különféle riasztások (értesítések), amelyek elindításakor gyanús dolgokat észlelhet a hálózaton. A második a biztonsági események. Ez a cikk 4 példát mutat be az aktivált algoritmusokra és 2 példát hírcsatornákra.
1. A hálózaton belüli legnagyobb interakciók elemzése
A StealthWatch beállításának kezdeti lépése a gazdagépek és hálózatok csoportokba történő meghatározása. A webes felület lapon Konfigurálás > Gazdacsoport kezelése A hálózatokat, gazdagépeket és szervereket megfelelő csoportokba kell sorolni. Saját csoportokat is létrehozhat. Egyébként a gazdagépek közötti interakciók elemzése a Cisco StealthWatch-ben meglehetősen kényelmes, mivel nem csak a keresési szűrőket mentheti adatfolyamonként, hanem magukat az eredményeket is.
A kezdéshez a webes felületen lépjen a fülre Elemzés > Flow Search. Ezután a következő paramétereket kell beállítani:
- Keresés típusa – Legnépszerűbb beszélgetések (a legnépszerűbb interakciók)
- Időtartam – 24 óra (időtartam, használhat másikat is)
- Név keresése – Legnépszerűbb beszélgetések belülről-belül (bármilyen baráti név)
- Tárgy - Gazdacsoportok → Inside Hosts (forrás - belső gazdagépek csoportja)
- Csatlakozás (megadhat portokat, alkalmazásokat)
- Peer – Gazdacsoportok → Belső gazdagépek (cél – belső csomópontok csoportja)
- A Speciális beállításokban megadhatja továbbá azt a gyűjtőt, amelyből az adatok megtekinthetők, rendezve a kimenetet (byte-ok, folyamok stb. szerint). Meghagyom alapértelmezettnek.
A gomb megnyomása után Keresés megjelenik az interakciók listája, amelyek már az átvitt adatok mennyisége szerint vannak rendezve.
Az én példámban a házigazda 10.150.1.201 (szerver) csak egy szálon belül kerül továbbításra 1.5 GB forgalom a gazdagép felé 10.150.1.200 (ügyfél) protokoll szerint mysql. Gomb Oszlopok kezelése lehetővé teszi további oszlopok hozzáadását a kimeneti adatokhoz.
Ezután az adminisztrátor belátása szerint létrehozhat egy egyéni szabályt, amely mindig elindítja az ilyen típusú interakciót, és értesíti Önt SNMP-n, e-mailen vagy Syslogon keresztül.
2. A hálózaton belüli leglassabb kliens-szerver interakciók elemzése késések szempontjából
Címkék SRT (szerver válaszidő), RTT (oda-vissza út) lehetővé teszi, hogy megtudja a szerver késéseket és az általános hálózati késéseket. Ez az eszköz különösen akkor hasznos, ha gyorsan meg kell találnia a felhasználói panaszok okát egy lassan futó alkalmazással kapcsolatban.
Megjegyzés: szinte az összes Netflow exportőr nem tudom hogy SRT, RTT címkéket küldeni, így gyakran ahhoz, hogy ilyen adatokat láthasson a FlowSensoron, be kell állítania a forgalom másolatának küldését a hálózati eszközökről. A FlowSensor viszont elküldi a kiterjesztett IPFIX-et a FlowCollectornak.
Kényelmesebb ezt az elemzést a StealtWatch java alkalmazásban elvégezni, amely a rendszergazda számítógépére van telepítve.
Jobb egérgomb bekapcsolva Inside Hosts és lépjen a lapra Áramlási táblázat.
Kattintson Szűrő és állítsa be a szükséges paramétereket. Mint például:
- Dátum/Idő – Az elmúlt 3 napra vonatkozóan
- Teljesítmény – átlagos oda-vissza úti idő >=50 ms
Az adatok megjelenítése után adjuk hozzá a minket érdeklő RTT és SRT mezőket. Ehhez kattintson a képernyőképen lévő oszlopra, és válassza ki a jobb egérgombbal Oszlopok kezelése. Ezután kattintson az RTT, SRT paraméterekre.
A kérés feldolgozása után RTT-átlag szerint rendeztem, és a leglassabb interakciókat láttam.
A részletes információk megtekintéséhez kattintson a jobb gombbal az adatfolyamra, és válassza ki Gyors nézet a Flow-hoz.
Ez az információ azt jelzi, hogy a fogadó 10.201.3.59 a csoportból Kereskedelem és marketing protokoll szerint NFS apellál DNS szerver egy perc és 23 másodpercig, és szörnyű késéssel rendelkezik. A lapon Interfészek megtudhatja, hogy az információt melyik Netflow adatexportőrtől szerezték be. A lapon Táblázat Az interakcióról részletesebb információ jelenik meg.
Ezután meg kell találnia, hogy mely eszközök küldenek forgalmat a FlowSensornak, és a probléma valószínűleg ott van.
Ráadásul a StealthWatch egyedülálló abban, hogy vezényel deduplikáció adatok (ugyanazokat a folyamokat egyesíti). Ezért szinte minden Netflow eszközről gyűjthet, és nem kell félnie attól, hogy sok ismétlődő adat lesz. Éppen ellenkezőleg, ebben a sémában segít megérteni, hogy melyik ugrásnál van a legnagyobb késés.
3. HTTPS kriptográfiai protokollok auditálása
ETA (titkosított forgalomelemzés) a Cisco által kifejlesztett technológia, amely lehetővé teszi a rosszindulatú kapcsolatok észlelését a titkosított forgalomban anélkül, hogy visszafejtsék. Ezenkívül ez a technológia lehetővé teszi a HTTPS „elemzését” a kapcsolatok során használt TLS-verziókká és kriptográfiai protokollokká. Ez a funkció különösen hasznos, ha olyan hálózati csomópontokat kell észlelnie, amelyek gyenge titkosítási szabványokat használnak.
Megjegyzés: Először telepítenie kell a hálózati alkalmazást a StealthWatch-on - ETA kriptográfiai audit.
Ugrás a lapra Irányítópultok → ETA Cryptographic Audit és válassza ki az elemezni kívánt gazdagépcsoportot. Az összképhez válasszunk Inside Hosts.
Látható, hogy a TLS verzió és a megfelelő titkosítási szabvány kerül kiadásra. A rovatban megszokott séma szerint Hozzászólások menj Folyamatok megtekintése és a keresés új lapon indul.
A kimenetből látható, hogy a host 198.19.20.136 felett 12 óra HTTPS-t használt TLS 1.2-vel, ahol a titkosítási algoritmus AES-256 és hash függvény SHA-384. Így az ETA lehetővé teszi, hogy gyenge algoritmusokat találjon a hálózaton.
4. Hálózati anomália elemzés
A Cisco StealthWatch három eszköz segítségével képes felismerni a forgalmi anomáliákat a hálózaton: Alapvető események (biztonsági események), Kapcsolati események (szegmensek, hálózati csomópontok közötti interakciók eseményei) ill viselkedéselemzés.
A viselkedéselemzés viszont lehetővé teszi, hogy idővel viselkedési modellt építsünk egy adott gazdagépre vagy gazdacsoportokra. Minél nagyobb forgalom halad át a StealthWatch-en, annál pontosabbak lesznek a riasztások ennek az elemzésnek köszönhetően. Eleinte sokat hibásan triggerel a rendszer, ezért kézzel kell „csavarni” a szabályokat. Azt javaslom, hogy az első hetekben hagyja figyelmen kívül az ilyen eseményeket, mert a rendszer automatikusan alkalmazkodik, vagy kivételekhez adja.
Az alábbiakban egy példa látható egy előre meghatározott szabályra Anomália, amely kimondja, hogy az esemény riasztás nélkül indul el, ha az Inside Hosts csoportba tartozó gazdagép interakcióba lép az Inside Hosts csoporttal, és 24 órán belül a forgalom meghaladja a 10 megabájtot.
Vegyünk például egy riasztót Adatgyűjtés, ami azt jelenti, hogy valamelyik forrás/célállomás abnormálisan nagy mennyiségű adatot töltött fel/letöltött a gazdagépek egy csoportjáról vagy egy gazdagépről. Kattintson az eseményre, és lépjen a táblázathoz, ahol a kiváltó házigazdák láthatók. Ezután válassza ki az oszlopban azt a gazdagépet, amelyik érdekel Adatgyűjtés.
Megjelenik egy esemény, amely jelzi, hogy a rendszer 162 100 „pontot” észlelt, és a szabályzat szerint XNUMX XNUMX „pont” engedélyezett – ezek a belső StealthWatch mérőszámok. Egy oszlopban Hozzászólások nyom Folyamatok megtekintése.
Ezt megfigyelhetjük adott gazdát éjszaka érintkezett a házigazdával 10.201.3.47 az osztálytól értékesítés és marketing protokoll szerint HTTPS és letöltötte 1.4 GB. Talán ez a példa nem teljesen sikeres, de az interakciók észlelése akár több száz gigabájtra is pontosan ugyanúgy történik. Ezért az anomáliák további vizsgálata érdekes eredményekhez vezethet.
Megjegyzés: az SMC webes felületén az adatok füleken vannak Dashboards csak az elmúlt hétre és a lapon jelennek meg monitor az elmúlt 2 hétben. A régebbi események elemzéséhez és jelentések készítéséhez a rendszergazda számítógépén a Java konzollal kell dolgoznia.
5. Belső hálózati keresések keresése
Most nézzünk meg néhány példát a hírcsatornákra – információbiztonsági incidensekre. Ez a funkció jobban érdekli a biztonsági szakembereket.
A StealthWatchban számos előre beállított vizsgálati eseménytípus létezik:
- Port Scan – a forrás több portot is megvizsgál a célállomáson.
- Addr tcp scan – a forrás a teljes hálózatot átvizsgálja ugyanazon a TCP-porton, megváltoztatva a cél IP-címét. Ebben az esetben a forrás kap TCP Reset csomagokat, vagy egyáltalán nem kap válaszokat.
- Addr udp scan – a forrás a teljes hálózatot átvizsgálja ugyanazon az UDP-porton, miközben megváltoztatja a cél IP-címét. Ebben az esetben a forrás elérhetetlen ICMP-port csomagokat kap, vagy egyáltalán nem kap válaszokat.
- Ping Scan – a forrás ICMP kéréseket küld a teljes hálózatnak, hogy válaszokat keressen.
- Stealth Scan tсp/udp – a forrás ugyanazt a portot használta a célcsomópont több portjához való egyidejű csatlakozáshoz.
Az összes belső szkenner egyidejű megtalálása érdekében van egy hálózati alkalmazás StealthWatch – Láthatósági értékelés. Ugrás a lapra Irányítópultok → Láthatósági értékelés → Belső hálózati szkennerek látni fogja a vizsgálattal kapcsolatos biztonsági incidenseket az elmúlt 2 hétben.
A gomb megnyomásával Részletek, látni fogja az egyes hálózatok keresésének kezdetét, a forgalmi trendet és a megfelelő riasztásokat.
Ezután az előző képernyőképen látható lapról „meghiúsulhat” a gazdagépre, és megtekintheti a biztonsági eseményeket, valamint az adott gazdagép múlt heti tevékenységeit.
Példaként elemezzük az eseményt Port Scan házigazdától 10.201.3.149 on 10.201.0.72, Préselés Műveletek > Kapcsolódó folyamatok. Elindul a témakeresés, és megjelennek a releváns információk.
Hogyan látjuk ezt a gazdagépet az egyik portjából 51508 / TCP 3 órája szkennelve a célállomást portonként 22, 28, 42, 41, 36, 40 (TCP). Egyes mezők azért sem jelenítenek meg információkat, mert a Netflow exportőr nem támogatja az összes Netflow mezőt.
6. Letöltött rosszindulatú programok elemzése CTA segítségével
CTA (Kognitív Fenyegetéselemzés) — Cisco felhőelemzés, amely tökéletesen integrálódik a Cisco StealthWatch-hez, és lehetővé teszi az aláírás nélküli elemzés kiegészítését aláírás-elemzéssel. Ez lehetővé teszi a trójaiak, hálózati férgek, nulladik napi kártevők és egyéb rosszindulatú programok észlelését és a hálózaton belüli terjesztését. Ezenkívül a korábban említett ETA technológia lehetővé teszi az ilyen rosszindulatú kommunikáció elemzését a titkosított forgalomban.
Szó szerint a webes felület legelső lapján van egy speciális widget Kognitív veszélyelemzés. Egy rövid összefoglaló a felhasználói gépeken észlelt fenyegetéseket jelzi: trójai, csaló szoftverek, bosszantó reklámprogramok. A „titkosított” szó valójában az ETA munkáját jelzi. Ha rákattint egy gazdagépre, megjelenik az azzal kapcsolatos összes információ, a biztonsági események, beleértve a CTA-naplókat is.
Ha az egérmutatót a CTA egyes szakaszai fölé viszi, az esemény részletes információkat jelenít meg az interakcióról. A teljes elemzésért kattintson ide Az esemény részleteinek megtekintése, és egy külön konzolra kerül Kognitív veszélyelemzés.
A jobb felső sarokban található szűrő lehetővé teszi az események súlyossági szint szerinti megjelenítését. Ha egy adott anomáliára mutat, a naplók a képernyő alján jelennek meg, a megfelelő idővonallal a jobb oldalon. Így az információbiztonsági szakember egyértelműen megérti, hogy melyik fertőzött gazdagép, mely műveletek után milyen műveleteket kezdett végrehajtani.
Alább egy másik példa – egy banki trójai, amely megfertőzte a gazdagépet 198.19.30.36. Ez a gazdagép kölcsönhatásba kezdett a rosszindulatú tartományokkal, és a naplók információkat mutatnak ezen interakciók áramlásáról.
Ezután az egyik legjobb megoldás, ha karanténba helyezzük a gazdát a natívnak köszönhetően a Cisco ISE segítségével további kezeléshez és elemzéshez.
Következtetés
A Cisco StealthWatch megoldás az egyik vezető a hálózatfelügyeleti termékek között mind a hálózatelemzés, mind az információbiztonság terén. Ennek köszönhetően észlelheti a hálózaton belüli illegitim interakciókat, az alkalmazások késését, a legaktívabb felhasználókat, anomáliákat, rosszindulatú programokat és APT-ket. Ezenkívül találhat szkennereket, pentestereket, és kriptoauditot is végezhet a HTTPS-forgalomban. Még több használati esetet találhat a címen .
Ha szeretné ellenőrizni, hogy mennyire zökkenőmentesen és hatékonyan működik minden a hálózatán, küldje el .
A közeljövőben több további technikai kiadványt is tervezünk különféle információbiztonsági termékekről. Ha érdekel ez a téma, kövesd a frissítéseket csatornáinkon (, , , )!
Forrás: will.com