adalah solusi analitis di bidang keamanan informasi yang menyediakan pemantauan komprehensif terhadap ancaman dalam jaringan terdistribusi. StealthWatch didasarkan pada pengumpulan NetFlow dan IPFIX dari router, switch, dan perangkat jaringan lainnya. Akibatnya, jaringan menjadi sensor sensitif dan memungkinkan administrator untuk melihat tempat-tempat yang tidak dapat dijangkau oleh metode keamanan jaringan tradisional, seperti Next Generation Firewall.
Pada artikel sebelumnya saya sudah menulis tentang StealthWatch: Dan . Sekarang saya mengusulkan untuk melanjutkan dan mendiskusikan cara bekerja dengan alarm dan menyelidiki insiden keamanan yang dihasilkan oleh solusi tersebut. Akan ada 6 contoh yang saya harap dapat memberikan gambaran bagus tentang kegunaan produk tersebut.
Pertama, harus dikatakan bahwa StealthWatch memiliki beberapa distribusi alarm antara algoritma dan feed. Yang pertama adalah berbagai macam alarm (notifikasi), ketika dipicu, Anda dapat mendeteksi hal-hal mencurigakan di jaringan. Yang kedua adalah insiden keamanan. Artikel ini akan membahas 4 contoh algoritma yang dipicu dan 2 contoh feed.
1. Analisis interaksi terbesar dalam jaringan
Langkah awal dalam menyiapkan StealthWatch adalah mendefinisikan host dan jaringan ke dalam grup. Di tab antarmuka web Konfigurasi > Manajemen Grup Host Jaringan, host, dan server harus diklasifikasikan ke dalam kelompok yang sesuai. Anda juga dapat membuat grup Anda sendiri. Omong-omong, menganalisis interaksi antar host di Cisco StealthWatch cukup mudah, karena Anda tidak hanya dapat menyimpan filter pencarian berdasarkan aliran, tetapi juga hasilnya sendiri.
Untuk memulai, di antarmuka web Anda harus membuka tab Analisis > Pencarian Alur. Maka Anda harus mengatur parameter berikut:
- Jenis Pencarian - Percakapan Teratas (interaksi paling populer)
- Rentang Waktu — 24 jam (jangka waktu, Anda dapat menggunakan jangka waktu lain)
- Nama Pencarian - Percakapan Teratas di Dalam-Dalam (nama ramah apa saja)
- Subjek - Grup Host → Host Dalam (sumber - grup host internal)
- Koneksi (Anda dapat menentukan port, aplikasi)
- Rekan - Grup Host → Host Dalam (tujuan - grup node internal)
- Di Opsi Lanjutan, Anda juga dapat menentukan kolektor dari mana data dilihat, mengurutkan output (berdasarkan byte, aliran, dll.). Saya akan membiarkannya sebagai default.
Setelah menekan tombol Pencarian ditampilkan daftar interaksi yang sudah diurutkan berdasarkan jumlah data yang ditransfer.
Dalam contoh saya, tuan rumah 10.150.1.201 (server) ditransmisikan hanya dalam satu thread 1.5 GB lalu lintas ke host 10.150.1.200 (klien) berdasarkan protokol mysql. Tombol Kelola Kolom memungkinkan Anda menambahkan lebih banyak kolom ke data keluaran.
Selanjutnya, atas kebijaksanaan administrator, Anda dapat membuat aturan khusus yang akan selalu memicu jenis interaksi ini dan memberi tahu Anda melalui SNMP, email, atau Syslog.
2. Analisis interaksi klien-server paling lambat dalam jaringan untuk mengetahui adanya penundaan
Tags SRT (Waktu Respons Server), RTT (Waktu Perjalanan Pulang Pergi) memungkinkan Anda mengetahui penundaan server dan penundaan jaringan secara umum. Alat ini sangat berguna ketika Anda perlu menemukan dengan cepat penyebab keluhan pengguna tentang aplikasi yang berjalan lambat.
Catatan: hampir semua eksportir Netflow tidak tahu bagaimana mengirim SRT, tag RTT, sehingga sering kali, untuk melihat data tersebut di FlowSensor, Anda perlu mengonfigurasi pengiriman salinan lalu lintas dari perangkat jaringan. FlowSensor pada gilirannya mengirimkan IPFIX yang diperluas ke FlowCollector.
Analisis ini lebih mudah dilakukan di aplikasi Java StealtWatch yang diinstal pada komputer administrator.
Tombol kanan mouse aktif Di dalam Host dan pergi ke tab Tabel Alir.
Klik Filter dan atur parameter yang diperlukan. Sebagai contoh:
- Tanggal/Waktu - Selama 3 hari terakhir
- Performa — Waktu Perjalanan Pulang Pergi Rata-rata >=50 mdtk
Setelah menampilkan data, kita harus menambahkan bidang RTT dan SRT yang kita minati. Untuk melakukan ini, klik kolom di tangkapan layar dan pilih dengan tombol kanan mouse Kelola Kolom. Selanjutnya, klik RTT, parameter SRT.
Setelah memproses permintaan, saya mengurutkan berdasarkan rata-rata RTT dan melihat interaksi paling lambat.
Untuk masuk ke informasi rinci, klik kanan pada aliran dan pilih Tampilan Cepat untuk Aliran.
Informasi ini menunjukkan bahwa tuan rumah 10.201.3.59 dari grup Penjualan dan Pemasaran dengan protokol NFS menarik untuk server DNS selama satu menit 23 detik dan memiliki jeda yang sangat buruk. Di tab Antarmuka Anda dapat mengetahui dari pengekspor data Netflow mana informasi tersebut diperoleh. Di tab tabel Informasi lebih rinci tentang interaksi ditampilkan.
Selanjutnya, Anda harus mencari tahu perangkat mana yang mengirimkan lalu lintas ke FlowSensor dan kemungkinan besar masalahnya terletak di sana.
Selain itu, StealthWatch memiliki keunikan dalam cara kerjanya deduplikasi data (menggabungkan aliran yang sama). Oleh karena itu, Anda dapat mengumpulkan dari hampir semua perangkat Netflow dan tidak takut akan banyak data duplikat. Sebaliknya, dalam skema ini akan membantu untuk memahami hop mana yang memiliki penundaan paling besar.
3. Audit protokol kriptografi HTTPS
ETA (Analisis Lalu Lintas Terenkripsi) adalah teknologi yang dikembangkan oleh Cisco yang memungkinkan Anda mendeteksi koneksi berbahaya dalam lalu lintas terenkripsi tanpa mendekripsinya. Selain itu, teknologi ini memungkinkan Anda untuk “mengurai” HTTPS menjadi versi TLS dan protokol kriptografi yang digunakan selama koneksi. Fungsionalitas ini sangat berguna ketika Anda perlu mendeteksi node jaringan yang menggunakan standar kripto yang lemah.
Catatan: Anda harus menginstal aplikasi jaringan terlebih dahulu di StealthWatch - Audit Kriptografi ETA.
Pergi ke tab Dasbor → Audit Kriptografi ETA dan pilih kelompok host yang ingin kami analisis. Untuk gambaran keseluruhan, mari kita pilih Di dalam Host.
Anda dapat melihat bahwa versi TLS dan standar kripto yang sesuai adalah keluarannya. Sesuai skema biasa di kolom tindakan pergi ke Lihat Arus dan pencarian dimulai di tab baru.
Dari outputnya terlihat bahwa host 198.19.20.136 lebih Jam 12 menggunakan HTTPS dengan TLS 1.2, di mana algoritma enkripsi AES-256 dan fungsi hash SHA-384. Dengan demikian, ETA memungkinkan Anda menemukan algoritma yang lemah di jaringan.
4. Analisis anomali jaringan
Cisco StealthWatch dapat mengenali anomali lalu lintas di jaringan menggunakan tiga alat: Acara Inti (peristiwa keamanan), Acara Hubungan (peristiwa interaksi antar segmen, node jaringan) dan analisis perilaku.
Analisis perilaku, pada gilirannya, memungkinkan dari waktu ke waktu untuk membangun model perilaku untuk host atau kelompok host tertentu. Semakin banyak lalu lintas yang melewati StealthWatch, semakin akurat peringatannya berkat analisis ini. Pada awalnya, sistem memicu banyak hal yang salah, jadi aturannya harus “dipelintir” dengan tangan. Saya menyarankan Anda mengabaikan kejadian seperti itu selama beberapa minggu pertama, karena sistem akan menyesuaikan diri, atau menambahkannya ke pengecualian.
Di bawah ini adalah contoh aturan yang telah ditentukan sebelumnya Anomali, yang menyatakan bahwa peristiwa tersebut akan terjadi tanpa alarm jika sebuah host di grup Inside Hosts berinteraksi dengan grup Inside Hosts dan dalam waktu 24 jam lalu lintas akan melebihi 10 megabyte.
Sebagai contoh, mari kita ambil alarm Penimbunan Data, yang berarti bahwa beberapa host sumber/tujuan telah mengunggah/mengunduh data dalam jumlah besar yang tidak normal dari sekelompok host atau sebuah host. Klik pada acara tersebut dan buka tabel tempat host pemicu ditunjukkan. Selanjutnya pilih host yang kita minati pada kolom tersebut Penimbunan Data.
Sebuah peristiwa ditampilkan yang menunjukkan bahwa 162 ribu “poin” terdeteksi, dan menurut kebijakan, 100 ribu “poin” diperbolehkan - ini adalah metrik StealthWatch internal. Dalam sebuah kolom tindakan ажимаем Lihat Arus.
Kita bisa mengamati hal itu tuan rumah yang diberikan berinteraksi dengan tuan rumah di malam hari 10.201.3.47 dari departemen penjualan & Pemasaran dengan protokol HTTPS dan diunduh 1.4 GB. Mungkin contoh ini tidak sepenuhnya berhasil, tetapi deteksi interaksi bahkan untuk beberapa ratus gigabyte dilakukan dengan cara yang persis sama. Oleh karena itu, penyelidikan lebih lanjut terhadap anomali tersebut dapat memberikan hasil yang menarik.
Catatan: di antarmuka web SMC, data ada di tab Dashboard hanya ditampilkan selama seminggu terakhir dan di tab Memantau selama 2 minggu terakhir. Untuk menganalisis peristiwa lama dan menghasilkan laporan, Anda perlu bekerja dengan konsol java di komputer administrator.
5. Menemukan pemindaian jaringan internal
Sekarang mari kita lihat beberapa contoh feed - insiden keamanan informasi. Fungsionalitas ini lebih menarik bagi para profesional keamanan.
Ada beberapa jenis acara pemindaian preset di StealthWatch:
- Port Scan—sumber memindai beberapa port pada host tujuan.
- Addr tcp scan - sumber memindai seluruh jaringan pada port TCP yang sama, mengubah alamat IP tujuan. Dalam hal ini, sumber menerima paket Reset TCP atau tidak menerima tanggapan sama sekali.
- Addr udp scan - sumber memindai seluruh jaringan pada port UDP yang sama, sambil mengubah alamat IP tujuan. Dalam hal ini, sumber menerima paket ICMP Port Unreachable atau tidak menerima tanggapan sama sekali.
- Ping Scan - sumber mengirimkan permintaan ICMP ke seluruh jaringan untuk mencari jawaban.
- Stealth Scan tсp/udp - sumber menggunakan port yang sama untuk terhubung ke beberapa port pada node tujuan secara bersamaan.
Untuk mempermudah menemukan semua pemindai internal sekaligus, ada aplikasi jaringan untuk StealthWatch - Penilaian Visibilitas. Pergi ke tab Dasbor → Penilaian Visibilitas → Pemindai Jaringan Internal Anda akan melihat insiden keamanan terkait pemindaian selama 2 minggu terakhir.
Mengklik tombol Rincian, Anda akan melihat awal pemindaian setiap jaringan, tren lalu lintas, dan alarm terkait.
Selanjutnya, Anda dapat “gagal” masuk ke host dari tab di tangkapan layar sebelumnya dan melihat peristiwa keamanan, serta aktivitas selama seminggu terakhir untuk host ini.
Sebagai contoh, mari kita analisis peristiwa tersebut Pemindaian Port dari tuan rumah 10.201.3.149 pada 10.201.0.72, Mendesak Tindakan > Alur Terkait. Pencarian thread diluncurkan dan informasi yang relevan ditampilkan.
Bagaimana kami melihat host ini dari salah satu portnya 51508 / TCP dipindai 3 jam yang lalu host tujuan berdasarkan port 22, 28, 42, 41, 36, 40 (TCP). Beberapa bidang juga tidak menampilkan informasi karena tidak semua bidang Netflow didukung pada eksportir Netflow.
6. Analisis malware yang diunduh menggunakan CTA
CTA (Analisis Ancaman Kognitif) — Analisis cloud Cisco, yang terintegrasi sempurna dengan Cisco StealthWatch dan memungkinkan Anda melengkapi analisis bebas tanda tangan dengan analisis tanda tangan. Hal ini memungkinkan untuk mendeteksi Trojan, worm jaringan, malware zero-day, dan malware lainnya dan mendistribusikannya dalam jaringan. Selain itu, teknologi ETA yang disebutkan sebelumnya memungkinkan Anda menganalisis komunikasi berbahaya tersebut dalam lalu lintas terenkripsi.
Secara harfiah pada tab pertama di antarmuka web terdapat widget khusus Analisis Ancaman Kognitif. Ringkasan singkat menunjukkan ancaman terdeteksi pada host pengguna: Trojan, perangkat lunak palsu, adware yang mengganggu. Kata “Terenkripsi” sebenarnya menunjukkan karya ETA. Dengan mengklik sebuah host, semua informasi tentangnya, peristiwa keamanan, termasuk log CTA, muncul.
Dengan mengarahkan kursor ke setiap tahapan CTA, acara menampilkan informasi mendetail tentang interaksi. Untuk analisis lengkap, klik di sini Lihat Detail Insiden, dan Anda akan dibawa ke konsol terpisah Analisis Ancaman Kognitif.
Di sudut kanan atas, filter memungkinkan Anda menampilkan peristiwa berdasarkan tingkat keparahan. Saat Anda menunjuk anomali tertentu, log akan muncul di bagian bawah layar dengan garis waktu yang sesuai di sebelah kanan. Dengan demikian, spesialis keamanan informasi memahami dengan jelas host mana yang terinfeksi, setelah tindakan apa, mulai melakukan tindakan apa.
Di bawah ini adalah contoh lain - Trojan perbankan yang menginfeksi host 198.19.30.36. Host ini mulai berinteraksi dengan domain jahat, dan log menunjukkan informasi tentang alur interaksi ini.
Selanjutnya, salah satu solusi terbaik yang bisa dilakukan adalah dengan mengkarantina tuan rumah berkat penduduk asli dengan Cisco ISE untuk perawatan dan analisis lebih lanjut.
Kesimpulan
Solusi Cisco StealthWatch adalah salah satu pemimpin di antara produk pemantauan jaringan baik dalam hal analisis jaringan dan keamanan informasi. Berkat itu, Anda dapat mendeteksi interaksi tidak sah dalam jaringan, penundaan aplikasi, pengguna paling aktif, anomali, malware, dan APT. Selain itu, Anda dapat menemukan pemindai, pentester, dan melakukan audit kripto terhadap lalu lintas HTTPS. Anda dapat menemukan lebih banyak kasus penggunaan di .
Jika Anda ingin memeriksa seberapa lancar dan efisien segala sesuatunya bekerja di jaringan Anda, kirimkan .
Dalam waktu dekat, kami merencanakan beberapa publikasi teknis mengenai berbagai produk keamanan informasi. Jika Anda tertarik dengan topik ini, ikuti pembaruan di saluran kami (, , , )!
Sumber: www.habr.com