N'ime edemede ndị gara aga edeela m maka StealthWatch:
Nke mbụ, ekwesịrị ikwu na StealthWatch nwere ụfọdụ nkesa mkpu n'etiti algọridim na ndepụta. Nke mbụ bụ ụdị mkpu dị iche iche (ọkwa ama), mgbe a kpalitere, ị nwere ike ịchọpụta ihe na-enyo enyo na netwọkụ. Nke abụọ bụ ihe nchekwa. Isiokwu a ga-eleba anya n'ihe atụ 4 nke algọridim kpatara na ihe atụ 2 nke ndepụta.
1. Nyocha nke mmekọrịta kachasị ukwuu n'ime netwọk
Nzọụkwụ mbụ na ịtọlite StealthWatch bụ ịkọwa ndị ọbịa na netwọk n'ime otu. Na taabụ interface weebụ Hazie > Njikwa otu ndị ọbịa Ekwesịrị ịkewa netwọkụ, ndị ọbịa na sava n'ime otu kwesịrị ekwesị. Ị nwekwara ike ịmepụta otu nke gị. Site n'ụzọ, nyochaa mmekọrịta dị n'etiti ndị ọbịa na Cisco StealthWatch dị mma, ebe ọ bụ na ị nwere ike ọ bụghị naanị ịchekwa ihe nzacha ọchụchọ site na iyi, kamakwa nsonaazụ ya n'onwe ya.
Iji malite, na ntanetị weebụ ị ga-aga na taabụ Nyochaa > Ọchụchọ ọsọ. Mgbe ahụ ịkwesịrị ịtọ parampat ndị a:
- Ụdị ọchụchọ - Mkparịta ụka kachasị (mmekọrịta kacha ewu ewu)
- Ogologo oge - awa 24 (oge, ị nwere ike iji ọzọ)
- Aha ọchụchọ - Mkparịta ụka kachasị n'ime-ime (aha enyi ọ bụla)
- Isiokwu - Otu ndị ọbịa → N'ime ndị ọbịa (isi iyi - otu ndị ọbịa n'ime)
- Njikọ (ị nwere ike ịkọwa ọdụ ụgbọ mmiri, ngwa)
- Ndị ọgbọ - Otu ndị ọbịa → Ndị ọbịa n'ime (ebe - otu ọnụ ọnụ ime)
- Na Nhọrọ dị elu, ị nwekwara ike ịkọwapụta onye na-anakọta ebe a na-elele data ahụ, na-ahazi mmepụta (site na bytes, iyi, wdg). Aga m ahapụ ya dị ka ndabara.
Mgbe ịpị bọtịnụ ọchụchọ a na-egosipụta ndepụta mmekọrịta nke edoberelarị site na ọnụọgụ data ebufere.
N'ihe atụ m onye ọbịa 10.150.1.201 (ihe nkesa) ebufere n'ime naanị otu eri 1.5 GB okporo ụzọ na-anabata 10.150.1.200 (onye ahịa) site na protocol MySQL. Bọtịnụ Jikwaa kọlụm na-enye gị ohere ịgbakwunye ogidi ndị ọzọ na data mmepụta.
Na-esote, na ikike nke onye nchịkwa, ị nwere ike ịmepụta iwu omenala nke ga-akpalite ụdị mmekọrịta a mgbe niile ma gwa gị site na SNMP, email ma ọ bụ Syslog.
2. Nyocha nke mmekọrịta ndị ahịa-nkesa na-adịghị nwayọọ n'ime netwọk maka igbu oge
Epeepe SRT (Oge nzaghachi nke sava), Oge njem okirikiri (RTT) ekwe ka ị chọpụta oge nkesa na igbu oge netwọk izugbe. Ngwá ọrụ a bara uru karịsịa mgbe ịchọrọ ịchọta ngwa ngwa ihe kpatara mkpesa ndị ọrụ gbasara ngwa ngwa ngwa ngwa.
Примечание: ihe fọrọ nke nta ka ọ bụrụ ndị niile na-ebupụ Netflow amaghị otú zipu SRT, mkpado RTT, ọtụtụ mgbe, iji hụ data dị otú ahụ na FlowSensor, ịkwesịrị ịhazi izipu nnomi nke okporo ụzọ site na ngwaọrụ netwọkụ. FlowSensor n'aka nke ya na-eziga IPFIX agbatịkwuru na FlowCollector.
Ọ ka mma ịme nyocha a na ngwa StealtWatch java, nke etinyere na kọmputa onye nchịkwa.
Pịa bọtịnụ òké aka nri Ndị ọbịa n'ime wee gaa na taabụ Okpokoro mmiri.
Pịa na Iyo ma tọọ parampat ndị dị mkpa. Dịka ọmụmaatụ:
- Ụbọchị/Oge - Maka ụbọchị 3 gara aga
- Arụmọrụ — Nkezi Oge Njem Gburugburu>=50ms
Mgbe igosipụta data ahụ, anyị kwesịrị ịgbakwunye mpaghara RTT na SRT na-amasị anyị. Iji mee nke a, pịa na kọlụm dị na nseta ihuenyo wee họrọ bọtịnụ òké aka nri Jikwaa kọlụm. Ọzọ, pịa RTT, SRT parameters.
Mgbe m mezichara arịrịọ ahụ, m na-ahazi site na nkezi RTT wee hụ mmekọrịta kacha nwayọ.
Ka ịbanye na ozi zuru ezu, pịa aka nri na iyi wee họrọ Nlele ngwa ngwa maka Ọsọ.
Ozi a na-egosi na onye ọbịa 10.201.3.59 site na otu Ahịa na Marketing site na protocol NFS na-ezo aka Ihe nkesa DNS maka otu nkeji na sekọn 23 ma nwee nnukwu lag. Na taabụ ihu ị nwere ike ịchọpụta onye mbupụ data Netflow enwetara ozi ahụ. Na taabụ Isiokwu E gosipụtara ozi zuru ezu gbasara mmekọrịta ahụ.
Na-esote, ị ga-achọpụta ngwaọrụ ndị na-ezigara okporo ụzọ na FlowSensor na nsogbu nwere ike ịbụ ebe ahụ.
Ọzọkwa, StealthWatch pụrụ iche na ọ na-eduzi mwepu data (na-ejikọta otu iyi). Ya mere, ị nwere ike ịnakọta ihe fọrọ nke nta ka ọ bụrụ ngwaọrụ Netflow niile ma atụla egwu na a ga-enwe ọtụtụ data oyiri. N'ụzọ dị iche, na atụmatụ a, ọ ga-enyere aka ịghọta nke hop nwere nnukwu igbu oge.
3. Nnyocha nke HTTPS cryptographic protocol
ETA (Nyocha okporo ụzọ ezoro ezo) bụ teknụzụ nke Cisco mepụtara nke na-enye gị ohere ịchọpụta njikọ ọjọọ na okporo ụzọ ezoro ezo na-ewepụghị ya. Ọzọkwa, nkà na ụzụ a na-enye gị ohere "ịtụgharị" HTTPS n'ime ụdị TLS na usoro cryptographic nke a na-eji n'oge njikọ. Ọrụ a bara uru karịsịa mgbe ịchọrọ ịchọpụta ọnụ netwọk na-eji ụkpụrụ crypto adịghị ike.
Примечание: Ị ga-ebu ụzọ tinye ngwa netwọkụ na StealthWatch - ETA Cryptographic nyocha.
Gaa na taabụ Dashboards → ETA Cryptographic audit ma họrọ otu ndị agha anyị na-eme atụmatụ ịtụle. Maka foto zuru ezu, ka anyị họrọ Ndị ọbịa n'ime.
Ị nwere ike ịhụ na ụdị TLS na ọkọlọtọ crypto kwekọrọ na-arụpụta. Dị ka atụmatụ a na-emekarị na kọlụm omume gaa na Lelee Usoro na ọchụchọ na-amalite na taabụ ọhụrụ.
Site na mmepụta ọ nwere ike ịhụ na onye ọbịa ahụ 198.19.20.136 nile Awa 12 jiri HTTPS na TLS 1.2, ebe algorithm nzuzo AES-256 na ọrụ hash SHA-384. Ya mere, ETA na-enye gị ohere ịchọta algọridim na-adịghị ike na netwọk.
4. Netwọk anomaly analysis
Cisco StealthWatch nwere ike mata nsogbu okporo ụzọ na netwọk site na iji ngwaọrụ atọ: Ihe omume isi (ihe nchekwa), Ihe omume mmekọrịta (ihe omume nke mmekọrịta n'etiti akụkụ, netwọk ọnụ) na nyocha omume.
Nyocha omume, n'aka nke ya, na-enye ohere ka oge na-aga iji wuo ụkpụrụ omume maka otu onye ọbịa ma ọ bụ otu ndị ọbịa. Ka okporo ụzọ na-agafe StealthWatch, ka ihe ngosi ahụ ga-abụ ekele maka nyocha a. Na mbụ, usoro ahụ na-akpalite ọtụtụ ihe na-ezighi ezi, ya mere iwu kwesịrị iji aka "gbaghaa". Ana m akwado ka ị leghara ihe omume ndị dị otú ahụ anya maka izu ole na ole mbụ, dịka usoro ahụ ga-edozi onwe ya, ma ọ bụ tinye ha na ndị ọzọ.
N'okpuru bụ ọmụmaatụ nke iwu akọpụtagoro Ọdịdị, nke na-ekwu na ihe omume ga-ọkụ na-enweghị mkpu ma ọ bụrụ onye ọbịa na Inside Hosts na ndị otu Inside Hosts na-emekọrịta ihe na n'ime awa 24 okporo ụzọ ga-agafe megabyte iri..
Dịka ọmụmaatụ, ka anyị were oti mkpu Nchekwa data, nke pụtara na ụfọdụ ebe / ebe nnabata ebugola/budata nnukwu data sitere na otu ndị ọbịa ma ọ bụ ndị ọbịa. Pịa na ihe omume wee gaa na tebụl ebe e gosipụtara ndị na-akpali akpali. Ọzọ, họrọ onye ọbịa anyị nwere mmasị na kọlụm Nchekwa data.
E gosipụtara ihe omume na-egosi na achọpụtara "isi ihe" 162k, na dịka amụma ahụ siri dị, a na-ahapụ 100k "isi ihe" - ndị a bụ ihe n'ime StealthWatch metrics. Na kọlụm omume Kwaa Lelee Usoro.
Anyị nwere ike ịhụ nke ahụ nyere onye ọbịa soro onye ọbịa na-akpakọrịta n'abalị 10.201.3.47 site na ngalaba Ahịa & Ahịa site na protocol HTTPS na ebudatara 1.4 GB. Ma eleghị anya, ihe atụ a abụghị ihe ịga nke ọma, ma nchọpụta nke mmekọrịta ọbụna maka ọtụtụ narị gigabytes ka a na-eme n'otu ụzọ ahụ. Ya mere, nyocha ọzọ nke anomalies nwere ike ime ka ọ pụta ìhè.
Примечание: na SMC webụ interface, data dị na taabụ Dashboards egosipụtara naanị maka izu gara aga yana na taabụ Nyochaa n'ime izu abụọ gara aga. Iji nyochaa mmemme ochie wee wepụta akụkọ, ịkwesịrị iji njikwa java rụọ ọrụ na kọmputa onye nchịkwa.
5. Ịchọta nyocha nke netwọk dị n'ime
Ugbu a, ka anyị leba anya n'ihe atụ ole na ole nke ndepụta - information security events. Ọrụ a kacha amasị ndị ọkachamara nchekwa.
Enwere ọtụtụ ụdị mmemme nyocha ntọala na StealthWatch:
- Port Scan — isi iyi ahụ na-enyocha ọtụtụ ọdụ ụgbọ mmiri na ndị ọbịa na-aga.
- Adr tcp scan - isi iyi na-enyocha netwọkụ niile n'otu ọdụ ụgbọ mmiri TCP, na-agbanwe adreesị IP ebe aga. N'okwu a, isi iyi na-enweta ngwugwu nrụpụta TCP ma ọ bụ na-anataghị nzaghachi ma ọlị.
- Addr udp scan - isi iyi na-enyocha netwọkụ niile n'otu ọdụ ụgbọ mmiri UDP, ebe ọ na-agbanwe adreesị IP ebe aga. N'okwu a, isi iyi na-enweta ngwugwu ICMP Port Unreachable ma ọ bụ ọ naghị enweta nzaghachi ma ọlị.
- Ping Scan – isi iyi na-eziga arịrịọ ICMP na netwọkụ niile ka ịchọọ azịza.
- Stealth Scan tсp/udp - isi iyi na-eji otu ọdụ ụgbọ mmiri jikọọ na ọtụtụ ọdụ ụgbọ mmiri na ọnụ ọnụ ebe a na-aga n'otu oge.
Iji mee ka ọ dịkwuo mfe ịchọta nyocha niile dị n'ime otu oge, enwere ngwa netwọkụ maka StealthWatch - Ntụle ọhụhụ. Na-aga na taabụ Dashboards → Ntụle ọhụhụ → Ihe nyocha netwọkụ dị n'ime ị ga-ahụ ihe omume nchekwa metụtara nyocha maka izu abụọ gara aga.
Site na ịpị bọtịnụ Details, ị ga-ahụ mmalite nke nyocha nke netwọk ọ bụla, usoro okporo ụzọ na mkpuchi kwekọrọ.
Na-esote, ị nwere ike "daba" n'ime onye ọbịa site na taabụ na nseta ihuenyo gara aga wee hụ ihe nchekwa, yana ọrụ n'ime izu gara aga maka onye ọbịa a.
Dịka ọmụmaatụ, ka anyị nyochaa ihe omume ahụ Nyocha Port site n'aka onye ọbịa 10.201.3.149 on 10.201.0.72, Na ịpị Ihe omume > Usoro emetụtara. A na-ebido nchọ eri eri wee gosi ozi dị mkpa.
Otu anyị si ahụ onye ọbịa a site n'otu ọdụ ụgbọ mmiri ya 51508 / TCP nyochara awa 3 gara aga onye na-aga n'ọdụ ụgbọ mmiri 22, 28, 42, 41, 36, 40 (TCP). Ụfọdụ ubi anaghị egosipụta ozi n'ihi na ọ bụghị ubi Netflow niile ka akwadoro na onye na-ebupụ Netflow.
6. Nyocha nke ebudatara malware site na iji CTA
CTA (Nyocha ihe egwu egwu) - Nyocha igwe ojii nke Cisco, nke jikọtara nke ọma na Cisco StealthWatch ma na-enye gị ohere iji nyocha mbinye aka kwado nyocha na-enweghị mbinye aka. Nke a na-eme ka o kwe omume ịchọpụta Trojans, worms netwọk, malware ụbọchị efu na malware ndị ọzọ wee kesaa ha n'ime netwọk. Ọzọkwa, teknụzụ ETA a kpọtụrụ aha na mbụ na-enye gị ohere inyocha ụdị nzikọrịta ozi ọjọọ na okporo ụzọ ezoro ezo.
N'ezie na taabụ mbụ na interface weebụ enwere wijetị pụrụ iche Nleba anya ihe egwu egwu. Nchịkọta dị nkenke na-egosi ihe egwu achọpụtara na ndị ọbịa onye ọrụ: Trojan, ngwanrọ aghụghọ, adware na-akpasu iwe. Okwu a "Ezochiri ezo" na-egosi n'ezie ọrụ ETA. Site na ịpị onye ọbịa, ozi niile gbasara ya, mmemme nchekwa, gụnyere ndekọ CTA, ga-apụta.
Site n'ịfegharị n'elu ọkwa ọ bụla nke CTA, ihe omume ahụ na-egosiputa ozi zuru ezu gbasara mmekọrịta ahụ. Maka nyocha zuru oke, pịa ebe a Lelee nkọwa ihe omume, a ga-akpọrọ gị gaa na njikwa dị iche Nleba anya ihe egwu egwu.
N'akụkụ aka nri elu, nzacha na-enye gị ohere igosipụta mmemme site n'ogo ogo. Mgbe ị na-atụ aka n'otu anomaly, ndekọ na-apụta na ala ihuenyo ahụ yana usoro iheomume kwekọrọ n'aka nri. Ya mere, ọkachamara nchekwa ozi na-aghọta nke ọma nke ndị ọbịa nje butere, mgbe emechara omume, malitere ime nke omume.
N'okpuru bụ ihe atụ ọzọ - Trojan ụlọ akụ nke butere onye ọbịa ahụ 198.19.30.36. Onye ọbịa a malitere iso ngalaba ọjọọ na-akpakọrịta, na ndekọ na-egosi ozi gbasara usoro mmekọrịta ndị a.
Na-esote, otu n'ime ihe ngwọta kachasị mma nke nwere ike ịbụ bụ ichepụ onye ọbịa ekele maka nwa amaala
nkwubi
Ihe ngwọta Cisco StealthWatch bụ otu n'ime ndị isi n'etiti ngwaahịa nlekota netwọkụ ma n'usoro nyocha netwọkụ yana nchekwa ozi. Ekele dịrị ya, ị nwere ike ịchọpụta mmekọrịta na-ezighi ezi n'ime netwọkụ ahụ, igbu oge ngwa, ndị ọrụ kacha arụ ọrụ, anomalies, malware na APT. Ọzọkwa, ị nwere ike ịchọta nyocha, pentesters, ma na-eduzi nyocha nke crypto nke okporo ụzọ HTTPS. Ị nwere ike ịhụ ọbụna ihe eji eme ihe na
Ọ bụrụ na ị ga-achọ ịlele ka ihe niile na-arụ ọrụ nke ọma na nke ọma na netwọk gị, ziga
N'ọdịnihu dị nso, anyị na-eme atụmatụ ọtụtụ mbipụta nka na ngwaahịa nchekwa ozi dị iche iche. Ọ bụrụ na ị nwere mmasị na isiokwu a, soro mmelite na ọwa anyị (
isi: www.habr.com