տեղեկատվական անվտանգության ոլորտում վերլուծական լուծում է, որն ապահովում է սպառնալիքների համապարփակ մոնիտորինգ բաշխված ցանցում: StealthWatch-ը հիմնված է NetFlow-ի և IPFIX-ի հավաքագրման վրա երթուղիչներից, անջատիչներից և ցանցային այլ սարքերից: Արդյունքում ցանցը դառնում է զգայուն սենսոր և թույլ է տալիս ադմինիստրատորին փնտրել այն վայրերը, որտեղ չեն կարող հասնել ցանցի անվտանգության ավանդական մեթոդները, ինչպիսիք են Next Generation Firewall-ը:
Նախորդ հոդվածներում ես արդեն գրել էի StealthWatch-ի մասին. Իսկ . Այժմ ես առաջարկում եմ շարունակել և քննարկել, թե ինչպես աշխատել ահազանգերի հետ և հետաքննել անվտանգության միջադեպերը, որոնք առաջանում է լուծումը: Կլինեն 6 օրինակ, որոնք, հուսով եմ, լավ պատկերացում կտան արտադրանքի օգտակարության մասին:
Նախ, պետք է ասել, որ StealthWatch-ն ունի ահազանգերի որոշակի բաշխում ալգորիթմների և հոսքերի միջև: Առաջինը տարբեր տեսակի ահազանգեր են (ծանուցումներ), երբ գործարկվում են, դուք կարող եք հայտնաբերել կասկածելի բաներ ցանցում: Երկրորդը անվտանգության հետ կապված միջադեպերն են։ Այս հոդվածում կանդրադառնան գործարկված ալգորիթմների 4 օրինակ և հոսքերի 2 օրինակ:
1. Ցանցի ներսում ամենամեծ փոխազդեցությունների վերլուծություն
StealthWatch-ի ստեղծման սկզբնական քայլը հյուրընկալողներն ու ցանցերը խմբերի սահմանելն է: Վեբ ինտերֆեյսի ներդիրում Կարգավորել > Հյուրընկալող խմբի կառավարում Ցանցերը, հոսթները և սերվերները պետք է դասակարգվեն համապատասխան խմբերի: Կարող եք նաև ստեղծել ձեր սեփական խմբերը: Ի դեպ, Cisco StealthWatch-ում հյուրընկալողների միջև փոխազդեցությունները վերլուծելը բավականին հարմար է, քանի որ դուք կարող եք ոչ միայն պահպանել որոնման զտիչները ըստ հոսքի, այլև արդյունքները:
Սկսելու համար վեբ ինտերֆեյսում դուք պետք է գնաք ներդիր Վերլուծել > Հոսքի որոնում. Այնուհետև դուք պետք է սահմանեք հետևյալ պարամետրերը.
- Որոնման տեսակ - Լավագույն խոսակցություններ (ամենատարածված փոխազդեցությունները)
- Ժամանակի միջակայք — 24 ժամ (ժամանակահատված, կարող եք օգտագործել մեկ այլ)
- Որոնել անուն – Լավագույն խոսակցություններ Inside-Inside (ցանկացած ընկերական անուն)
- Թեմա - Հյուրընկալող խմբեր → Ներսում գտնվող հյուրընկալողներ (աղբյուրը - ներքին հյուրընկալողների խումբ)
- Միացում (կարող եք նշել նավահանգիստները, հավելվածները)
- Հավասարակշիռ - հյուրընկալող խմբեր → Ներսում գտնվող հյուրընկալողներ (նպատակակետ - ներքին հանգույցների խումբ)
- Ընդլայնված ընտրանքներում դուք կարող եք լրացուցիչ նշել կոլեկցիոներին, որտեղից դիտվում են տվյալները՝ տեսակավորելով ելքը (ըստ բայթերի, հոսքերի և այլն): Ես դա կթողնեմ որպես լռելյայն:
Կոճակը սեղմելուց հետո Որոնել ցուցադրվում է փոխազդեցությունների ցանկ, որոնք արդեն դասավորված են ըստ փոխանցված տվյալների քանակի:
Իմ օրինակում հյուրընկալողը 10.150.1.201 (սերվեր) փոխանցվում է միայն մեկ թեմայի շրջանակներում 1.5 ԳԲ տրաֆիկ դեպի հյուրընկալող 10.150.1.200 (հաճախորդ) արձանագրությամբ MySQL. Կոճակ Կառավարեք սյունակները թույլ է տալիս ավելի շատ սյունակներ ավելացնել ելքային տվյալներին:
Հաջորդը, ադմինիստրատորի հայեցողությամբ, կարող եք ստեղծել հատուկ կանոն, որը միշտ կգործարկի այս տեսակի փոխազդեցությունը և կտեղեկացնի ձեզ SNMP-ի, էլ.փոստի կամ Syslog-ի միջոցով:
2. Ցանցի ներսում հաճախորդ-սերվերի ամենադանդաղ փոխազդեցությունների վերլուծություն ուշացումների համար
Պիտակները SRT (Սերվերի արձագանքման ժամանակ), RTT (երկկողմանի ժամանակ) թույլ է տալիս պարզել սերվերի ուշացումները և ընդհանուր ցանցի հետաձգումները: Այս գործիքը հատկապես օգտակար է, երբ անհրաժեշտ է արագ գտնել օգտատերերի բողոքների պատճառը դանդաղ գործող հավելվածի վերաբերյալ:
ՆշումNetflow-ի գրեթե բոլոր արտահանողները չգիտեմ ինչպես ուղարկել SRT, RTT թեգեր, այնքան հաճախ, որպեսզի FlowSensor-ում նման տվյալներ տեսնեք, դուք պետք է կարգավորեք ցանցային սարքերից տրաֆիկի պատճեն ուղարկելը: FlowSensor-ն իր հերթին ուղարկում է ընդլայնված IPFIX-ը FlowCollector-ին:
Ավելի հարմար է այս վերլուծությունն իրականացնել StealtWatch java հավելվածում, որը տեղադրված է ադմինիստրատորի համակարգչում:
Մկնիկի աջ կոճակը միացված է Տանտերերի ներսում և անցեք ներդիր Հոսքի աղյուսակ.
Սեղմեք ֆիլտր և սահմանել անհրաժեշտ պարամետրերը: Որպես օրինակ.
- Ամսաթիվ/ժամ - վերջին 3 օրվա ընթացքում
- Արդյունավետություն — Միջին երթևեկության ժամանակը >=50 ms
Տվյալները ցուցադրելուց հետո մենք պետք է ավելացնենք մեզ հետաքրքրող RTT և SRT դաշտերը։ Դա անելու համար սեղմեք սքրինշոթի սյունակի վրա և ընտրեք մկնիկի աջ կոճակով Կառավարեք սյունակները. Հաջորդը, սեղմեք RTT, SRT պարամետրերը:
Հարցումը մշակելուց հետո ես տեսակավորեցի ըստ RTT միջինի և տեսա ամենադանդաղ փոխազդեցությունները:
Մանրամասն տեղեկատվության մեջ մտնելու համար աջ սեղմեք հոսքի վրա և ընտրեք Արագ դիտում հոսքի համար.
Այս տեղեկությունը ցույց է տալիս, որ հյուրընկալող 10.201.3.59 խմբից Վաճառք եւ մարկետինգ արձանագրության համաձայն NFS դիմում է DNS սերվեր մեկ րոպե 23 վայրկյան և պարզապես սարսափելի ուշացում ունի: Ներդիրում Որոնում կարող եք պարզել, թե որ Netflow տվյալների արտահանողից է ստացվել տեղեկատվությունը: Ներդիրում Սեղան Ցուցադրվում է փոխազդեցության մասին ավելի մանրամասն տեղեկատվություն:
Հաջորդը, դուք պետք է պարզեք, թե որ սարքերն են ուղարկում երթևեկությունը FlowSensor-ին, և խնդիրը, ամենայն հավանականությամբ, այնտեղ է:
Ավելին, StealthWatch-ը եզակի է նրանով, որ վարում է կրկնօրինակում տվյալները (միավորում է նույն հոսքերը): Հետևաբար, դուք կարող եք հավաքել գրեթե բոլոր Netflow սարքերից և չվախենալ, որ շատ կրկնօրինակ տվյալներ կլինեն: Ընդհակառակը, այս սխեմայում դա կօգնի հասկանալ, թե որ հոփն ունի ամենամեծ ուշացումները։
3. HTTPS ծածկագրային արձանագրությունների աուդիտ
ETA (կոդավորված երթևեկության վերլուծություն) Cisco-ի կողմից մշակված տեխնոլոգիա է, որը թույլ է տալիս հայտնաբերել վնասակար կապերը կոդավորված տրաֆիկի մեջ՝ առանց այն ապակոդավորելու: Ավելին, այս տեխնոլոգիան թույլ է տալիս «վերլուծել» HTTPS-ը TLS տարբերակների և գաղտնագրման արձանագրությունների, որոնք օգտագործվում են միացումների ժամանակ: Այս ֆունկցիոնալությունը հատկապես օգտակար է, երբ անհրաժեշտ է հայտնաբերել ցանցային հանգույցներ, որոնք օգտագործում են թույլ կրիպտո ստանդարտներ:
ՆշումՆախ պետք է տեղադրել ցանցային հավելվածը StealthWatch-ում. ETA ծածկագրային աուդիտ.
Գնացեք ներդիր Վահանակներ → ETA ծածկագրային աուդիտ և ընտրեք հյուրընկալողների խումբը, որը մենք նախատեսում ենք վերլուծել: Ընդհանուր պատկերի համար եկեք ընտրենք Տանտերերի ներսում.
Դուք կարող եք տեսնել, որ TLS տարբերակը և համապատասխան կրիպտո ստանդարտը թողարկված են: Սյունակում սովորական սխեմայի համաձայն Գործողություններ գնալ Դիտել հոսքերը և որոնումը սկսվում է նոր ներդիրում:
Ելքից երևում է, որ հոսթ 198.19.20.136 ամբողջ ընթացքում 12 ժամ օգտագործել է HTTPS TLS 1.2-ով, որտեղ գաղտնագրման ալգորիթմը AES-256- ը և հեշ ֆունկցիան ՊԱԳ - 384. Այսպիսով, ETA-ն թույլ է տալիս ցանցում գտնել թույլ ալգորիթմներ։
4. Ցանցի անոմալիաների վերլուծություն
Cisco StealthWatch-ը կարող է ճանաչել երթևեկության անոմալիաները ցանցում՝ օգտագործելով երեք գործիքներ. Հիմնական իրադարձություններ (անվտանգության միջոցառումներ), Հարաբերությունների իրադարձություններ (սեգմենտների, ցանցային հանգույցների փոխազդեցության իրադարձություններ) և վարքային վերլուծություն.
Վարքագծային վերլուծությունը, իր հերթին, թույլ է տալիս ժամանակի ընթացքում կառուցել վարքի մոդել որոշակի հյուրընկալողի կամ հյուրընկալողների խմբի համար: Որքան շատ թրաֆիկ անցնի StealthWatch-ով, այնքան ավելի ճշգրիտ կլինեն ահազանգերը այս վերլուծության շնորհիվ: Սկզբում համակարգը շատ սխալ է գործարկում, ուստի կանոնները պետք է «ոլորել» ձեռքով: Ես խորհուրդ եմ տալիս առաջին մի քանի շաբաթվա ընթացքում անտեսել նման իրադարձությունները, քանի որ համակարգը ինքն իրեն կկարգավորի կամ կավելացնի դրանք բացառությունների մեջ:
Ստորև բերված է նախապես սահմանված կանոնի օրինակ Անոմալիա, որը նշում է, որ միջոցառումը կհնչի առանց ահազանգի, եթե Inside Hosts խմբի հոսթը փոխազդում է Inside Hosts խմբի հետ և 24 ժամվա ընթացքում տրաֆիկը կգերազանցի 10 մեգաբայթը.
Օրինակ, վերցնենք ահազանգ Տվյալների կուտակում, ինչը նշանակում է, որ որոշ աղբյուր/նպատակային հոսթ վերբեռնել/ներբեռնել է աննորմալ մեծ քանակությամբ տվյալներ մի խումբ հոսթներից կամ հոսթից: Կտտացրեք իրադարձությանը և գնացեք այն աղյուսակը, որտեղ նշվում են գործարկող հաղորդավարները: Հաջորդը, սյունակում ընտրեք մեզ հետաքրքրող հյուրընկալողը Տվյալների կուտակում.
Ցուցադրվում է իրադարձություն, որը ցույց է տալիս, որ հայտնաբերվել է 162 հազար «միավոր», և ըստ քաղաքականության՝ թույլատրվում է 100 հազար «միավոր». սրանք ներքին StealthWatch չափումներ են: Սյունակում Գործողություններ հրել Դիտել հոսքերը.
Մենք կարող ենք դա դիտարկել տրված հյուրընկալող գիշերը շփվել է հաղորդավարի հետ 10.201.3.47 բաժանմունքից Վաճառք և մարկետինգ արձանագրության համաձայն HTTPS և ներբեռնվել 1.4 ԳԲ. Միգուցե այս օրինակը լիովին հաջողված չէ, բայց նույնիսկ մի քանի հարյուր գիգաբայթով փոխազդեցությունների հայտնաբերումն իրականացվում է ճիշտ նույն կերպ: Հետևաբար, անոմալիաների հետագա ուսումնասիրությունը կարող է հետաքրքիր արդյունքների հանգեցնել:
ՆշումSMC վեբ ինտերֆեյսում տվյալները գտնվում են ներդիրներում Գործիքակալների ստեղծման ցուցադրվում են միայն վերջին շաբաթվա ընթացքում և ներդիրում Մոնիտոր վերջին 2 շաբաթվա ընթացքում: Ավելի հին իրադարձությունները վերլուծելու և հաշվետվություններ ստեղծելու համար դուք պետք է աշխատեք ադմինիստրատորի համակարգչի java կոնսոլի հետ:
5. Ներքին ցանցի սկանավորումների որոնում
Հիմա եկեք դիտենք հոսքերի մի քանի օրինակ՝ տեղեկատվական անվտանգության միջադեպեր: Այս ֆունկցիոնալությունը ավելի շատ հետաքրքրում է անվտանգության մասնագետներին:
StealthWatch-ում կան նախադրված սկանավորման մի քանի տեսակներ.
- Նավահանգիստի սկանավորում – աղբյուրը սկանավորում է նպատակակետի մի քանի նավահանգիստներ:
- Adr tcp scan - աղբյուրը սկանավորում է ամբողջ ցանցը նույն TCP պորտի վրա՝ փոխելով նպատակակետ IP հասցեն: Այս դեպքում աղբյուրը ստանում է TCP Reset փաթեթներ կամ ընդհանրապես պատասխաններ չի ստանում։
- Adr udp scan - աղբյուրը սկանավորում է ամբողջ ցանցը նույն UDP պորտի վրա՝ միաժամանակ փոխելով նպատակակետ IP հասցեն: Այս դեպքում աղբյուրը ստանում է ICMP Port Unreachable փաթեթներ կամ ընդհանրապես պատասխաններ չի ստանում։
- Ping Scan - աղբյուրը ուղարկում է ICMP հարցումներ ամբողջ ցանցին՝ պատասխաններ փնտրելու համար:
- Stealth Scan tсp/udp - աղբյուրը օգտագործել է նույն պորտը՝ նպատակակետ հանգույցի մի քանի նավահանգիստներին միաժամանակ միանալու համար:
Բոլոր ներքին սկաներները միանգամից գտնելն ավելի հարմար դարձնելու համար կա ցանցային հավելված StealthWatch - Տեսանելիության գնահատում. Անցնելով ներդիր Վահանակներ → Տեսանելիության գնահատում → Ներքին ցանցային սկաներներ դուք կտեսնեք սկանավորման հետ կապված անվտանգության միջադեպեր վերջին 2 շաբաթվա ընթացքում:
Սեղմելով կոճակը Մանրամասներ, կտեսնեք յուրաքանչյուր ցանցի սկանավորման սկիզբը, երթևեկության միտումը և համապատասխան ահազանգերը։
Հաջորդը, դուք կարող եք «ձախողել» հաղորդավարը նախորդ սքրինշոթի ներդիրից և տեսնել անվտանգության իրադարձությունները, ինչպես նաև վերջին շաբաթվա գործունեությունը այս հաղորդավարի համար:
Որպես օրինակ՝ վերլուծենք իրադարձությունը Պորտի սկանավորում հյուրընկալողից 10.201.3.149 մասին 10.201.0.72, Սեղմելով Գործողություններ > Համակցված հոսքեր. Գործարկվում է թեմայի որոնում և ցուցադրվում է համապատասխան տեղեկատվություն:
Ինչպես ենք մենք տեսնում այս հոսթին իր նավահանգիստներից մեկից 51508 / TCP սկանավորվել է 3 ժամ առաջ նպատակակետի հոսթն ըստ նավահանգստի 22, 28, 42, 41, 36, 40 (TCP). Որոշ դաշտեր նույնպես տեղեկատվություն չեն ցուցադրում, քանի որ ոչ բոլոր Netflow դաշտերն են աջակցվում Netflow արտահանողի վրա:
6. Ներբեռնված չարամիտ ծրագրերի վերլուծություն՝ օգտագործելով CTA
CTA (ճանաչողական սպառնալիքների վերլուծություն) — Cisco ամպային վերլուծություն, որը հիանալի կերպով ինտեգրվում է Cisco StealthWatch-ի հետ և թույլ է տալիս լրացնել առանց ստորագրության վերլուծությունը ստորագրության վերլուծությամբ: Սա հնարավորություն է տալիս հայտնաբերել տրոյաններ, ցանցային որդեր, զրոյական օրվա չարամիտ ծրագրեր և այլ չարամիտ ծրագրեր և դրանք տարածել ցանցում: Նաև նախկինում նշված ETA տեխնոլոգիան թույլ է տալիս վերլուծել նման վնասակար հաղորդակցությունները կոդավորված տրաֆիկում:
Բառացիորեն վեբ ինտերֆեյսի հենց առաջին ներդիրում կա հատուկ վիդջեթ Ճանաչողական սպառնալիքների վերլուծություն. Համառոտ ամփոփումը ցույց է տալիս օգտատերերի հոսթինգների վրա հայտնաբերված սպառնալիքները՝ տրոյան, խարդախ ծրագրակազմ, զայրացնող գովազդային ծրագրեր: «Կոդավորված» բառն իրականում ցույց է տալիս ETA-ի աշխատանքը: Հոսթի վրա սեղմելով՝ հայտնվում են դրա մասին բոլոր տեղեկությունները, անվտանգության միջոցառումները, ներառյալ CTA տեղեկամատյանները:
CTA-ի յուրաքանչյուր փուլի վրա սավառնելով՝ միջոցառումը ցուցադրում է մանրամասն տեղեկատվություն փոխազդեցության մասին: Ամբողջական վերլուծության համար սեղմեք այստեղ Դիտեք միջադեպի մանրամասները, և ձեզ կտեղափոխեն առանձին վահանակ Ճանաչողական սպառնալիքների վերլուծություն.
Վերևի աջ անկյունում զտիչը թույլ է տալիս ցուցադրել իրադարձություններն ըստ խստության մակարդակի: Երբ մատնանշում եք կոնկրետ անոմալիա, տեղեկամատյանները հայտնվում են էկրանի ներքևի մասում՝ աջ կողմում համապատասխան ժամանակացույցով: Այսպիսով, տեղեկատվական անվտանգության մասնագետը հստակ հասկանում է, թե որ վարակված հոսթը, որ գործողություններից հետո ինչ գործողություններ է սկսել կատարել։
Ստորև բերված է ևս մեկ օրինակ՝ բանկային տրոյան, որը վարակել է հյուրընկալողին 198.19.30.36. Այս հոսթն սկսեց շփվել վնասակար տիրույթների հետ, և տեղեկամատյանները ցույց են տալիս տեղեկատվություն այդ փոխազդեցությունների հոսքի մասին:
Հաջորդը, լավագույն լուծումներից մեկը, որը կարող է լինել, հյուրընկալողին կարանտինացնելն է՝ շնորհիվ հայրենի Cisco ISE-ի հետ հետագա բուժման և վերլուծության համար:
Ամփոփում
Cisco StealthWatch լուծումը ցանցային մոնիտորինգի արտադրանքների շարքում առաջատարներից մեկն է ինչպես ցանցի վերլուծության, այնպես էլ տեղեկատվական անվտանգության տեսանկյունից: Դրա շնորհիվ դուք կարող եք հայտնաբերել ցանցի ներսում անօրինական փոխազդեցությունները, հավելվածների ուշացումները, ամենաակտիվ օգտվողները, անոմալիաները, չարամիտ ծրագրերը և APT-ները: Ավելին, դուք կարող եք գտնել սկաներներ, գրիչներ և իրականացնել HTTPS տրաֆիկի կրիպտոաուդիտ: Դուք կարող եք գտնել ավելի շատ օգտագործման դեպքեր այստեղ .
Եթե ցանկանում եք ստուգել, թե որքան սահուն և արդյունավետ է ամեն ինչ աշխատում ձեր ցանցում, ուղարկեք .
Մոտ ապագայում մենք նախատեսում ենք ևս մի քանի տեխնիկական հրապարակումներ տեղեկատվական անվտանգության տարբեր արտադրանքների վերաբերյալ։ Եթե ձեզ հետաքրքրում է այս թեման, ապա հետևեք մեր ալիքների թարմացումներին (, , , )!
Source: www.habr.com