er greiningarlausn á sviði upplýsingaöryggis sem veitir alhliða eftirlit með ógnum í dreifðu neti. StealthWatch byggir á því að safna NetFlow og IPFIX frá beinum, rofum og öðrum nettækjum. Fyrir vikið verður netið viðkvæmur skynjari og gerir stjórnandanum kleift að skoða staði þar sem hefðbundnar netöryggisaðferðir, eins og Next Generation Firewall, ná ekki til.
Í fyrri greinum skrifaði ég þegar um StealthWatch: Og . Nú legg ég til að haldið verði áfram og rætt hvernig eigi að vinna með viðvörun og kanna öryggisatvik sem lausnin skapar. Það verða 6 dæmi sem ég vona að gefi góða hugmynd um notagildi vörunnar.
Í fyrsta lagi ætti að segja að StealthWatch hefur einhverja dreifingu á viðvörunum á milli reiknirita og strauma. Í fyrsta lagi eru ýmis konar viðvaranir (tilkynningar), þegar þær eru ræstar geturðu greint grunsamlega hluti á netinu. Annað eru öryggisatvik. Þessi grein mun skoða 4 dæmi um reiknirit sem eru kveikt og 2 dæmi um strauma.
1. Greining á stærstu samskiptum innan netsins
Upphafsskrefið við að setja upp StealthWatch er að skilgreina vélar og net í hópa. Í vefviðmótsflipanum Stilla > Stjórnun gestgjafahóps Netkerfi, vélar og netþjónar ættu að vera flokkaðir í viðeigandi hópa. Þú getur líka búið til þína eigin hópa. Við the vegur, að greina samskipti milli gestgjafa í Cisco StealthWatch er nokkuð þægilegt, þar sem þú getur ekki aðeins vistað leitarsíur eftir straumi, heldur einnig niðurstöðurnar sjálfar.
Til að byrja, í vefviðmótinu ættir þú að fara í flipann Greina > Flæðisleit. Þá ættir þú að stilla eftirfarandi breytur:
- Leitartegund - Helstu samtöl (vinsælustu samskiptin)
- Tímabil — 24 klukkustundir (tímabil, þú getur notað annað)
- Leitarnafn - Helstu samtöl inni-inni (hvaða vinalegt nafn sem er)
- Efni - Gestgjafahópar → Innri gestgjafar (uppspretta - hópur innri gestgjafa)
- Tenging (þú getur tilgreint tengi, forrit)
- Jafningi - Gestgjafahópar → Inni gestgjafar (áfangastaður - hópur innri hnúta)
- Í Advanced Options geturðu auk þess tilgreint safnarann sem gögnin eru skoðuð úr, flokkað úttakið (eftir bætum, straumum osfrv.). Ég læt það vera sjálfgefið.
Eftir að hafa ýtt á hnappinn leit listi yfir samskipti birtist sem þegar er raðað eftir magni gagna sem flutt er.
Í mínu dæmi er gestgjafinn 10.150.1.201 (þjónn) send innan aðeins einn þráð 1.5 GB umferð til hýsingaraðila 10.150.1.200 (viðskiptavinur) samkvæmt bókun MySQL. Takki Stjórna dálkum gerir þér kleift að bæta fleiri dálkum við úttaksgögnin.
Næst, að vali stjórnanda, geturðu búið til sérsniðna reglu sem mun alltaf kalla fram þessa tegund af samskiptum og láta þig vita með SNMP, tölvupósti eða Syslog.
2. Greining á hægustu samskiptum biðlara og netþjóns innan netsins fyrir tafir
Merkingar SRT (viðbragðstími netþjóns), RTT (tími fram og til baka) gerir þér kleift að komast að tafir á netþjóni og almennar nettafir. Þetta tól er sérstaklega gagnlegt þegar þú þarft fljótt að finna orsök kvartana notenda um hægvirkt forrit.
Athugið: næstum allir Netflow útflytjendur veit ekki hvernig senda SRT, RTT merki, svo oft, til að sjá slík gögn á FlowSensor, þarftu að stilla sendingu afrits af umferð frá nettækjum. FlowSensor sendir síðan aukna IPFIX til FlowCollector.
Það er þægilegra að framkvæma þessa greiningu í StealtWatch Java forritinu, sem er uppsett á tölvu stjórnanda.
Kveikt á hægri músarhnappi Inni gestgjafar og farðu í flipann Rennslistöflu.
Smelltu á síur og stilltu nauðsynlegar breytur. Sem dæmi:
- Dagsetning/tími - Fyrir síðustu 3 daga
- Árangur — Meðaltími fram og til baka >=50ms
Eftir að hafa sýnt gögnin ættum við að bæta við RTT og SRT reitunum sem vekja áhuga okkar. Til að gera þetta, smelltu á dálkinn á skjámyndinni og veldu með hægri músarhnappi Stjórna dálkum. Næst skaltu smella á RTT, SRT breytur.
Eftir að hafa unnið úr beiðninni raðaði ég eftir RTT meðaltali og sá hægustu samskiptin.
Til að fara í ítarlegar upplýsingar skaltu hægrismella á strauminn og velja Quick View fyrir Flow.
Þessar upplýsingar gefa til kynna að gestgjafinn 10.201.3.59 úr hópnum Sölu- og markaðsmál með bókun NFS höfðar til DNS þjónn í mínútu og 23 sekúndur og er bara hræðileg seinkun. Í flipanum Tengi þú getur fundið út frá hvaða Netflow gagnaútflytjanda upplýsingarnar voru fengnar. Í flipanum Tafla Nánari upplýsingar um samskiptin eru sýndar.
Næst ættirðu að komast að því hvaða tæki senda umferð til FlowSensor og vandamálið liggur líklegast þar.
Þar að auki er StealthWatch einstakt að því leyti að það framkvæmir tvítekningar gögn (sameinar sömu straumana). Þess vegna geturðu safnað úr nánast öllum Netflow tækjum og ekki óttast að það verði mikið af tvíteknum gögnum. Þvert á móti, í þessu kerfi mun það hjálpa til við að skilja hvaða hopp hefur mestar tafir.
3. Úttekt á HTTPS dulritunarsamskiptareglum
ETA (dulkóðuð umferðargreining) er tækni þróuð af Cisco sem gerir þér kleift að greina skaðlegar tengingar í dulkóðuðu umferð án þess að afkóða hana. Þar að auki gerir þessi tækni þér kleift að „þátta“ HTTPS í TLS útgáfur og dulmálssamskiptareglur sem eru notaðar við tengingar. Þessi virkni er sérstaklega gagnleg þegar þú þarft að greina nethnúta sem nota veika dulritunarstaðla.
Athugið: Þú verður fyrst að setja upp netforritið á StealthWatch - ETA dulmálsúttekt.
Farðu í flipa Mælaborð → ETA dulmálsúttekt og veldu hóp gestgjafa sem við ætlum að greina. Fyrir heildarmyndina skulum við velja Inni gestgjafar.
Þú getur séð að TLS útgáfan og samsvarandi dulritunarstaðall eru framleidd. Samkvæmt venjulegu fyrirkomulagi í dálknum Aðgerðir fara til Skoða flæði og leitin hefst í nýjum flipa.
Af úttakinu má sjá að gestgjafinn 198.19.20.136 í gegn 12 klst notaði HTTPS með TLS 1.2, þar sem dulkóðunaralgrímið AES-256 og kjötkássaaðgerð SHA-384. Þannig gerir ETA þér kleift að finna veika reiknirit á netinu.
4. Netfráviksgreining
Cisco StealthWatch getur greint frávik í umferð á netinu með því að nota þrjú verkfæri: Kjarnaviðburðir (öryggisviðburðir), Sambandsviðburðir (tilvik um samskipti milli hluta, nethnúta) og atferlisgreining.
Atferlisgreining gerir aftur á móti kleift með tímanum að byggja upp hegðunarlíkan fyrir tiltekinn gestgjafa eða hóp gestgjafa. Því meiri umferð sem fer í gegnum StealthWatch, því nákvæmari verða viðvaranirnar þökk sé þessari greiningu. Í fyrstu kveikir kerfið mikið á vitlaust, þannig að reglurnar ættu að vera „snúnar“ með höndunum. Ég mæli með því að þú hunsar slíka atburði fyrstu vikurnar, þar sem kerfið mun laga sig sjálft, eða bæta þeim við undantekningar.
Hér að neðan er dæmi um fyrirfram skilgreinda reglu Frávik, sem segir að atburðurinn muni kvikna án viðvörunar ef gestgjafi í Inside Hosts hópnum hefur samskipti við Inside Hosts hópinn og innan 24 klukkustunda mun umferðin fara yfir 10 megabæti.
Tökum til dæmis vekjara Gagnasöfnun, sem þýðir að einhver uppspretta/áfangastaður gestgjafi hefur hlaðið upp/halað niður óeðlilega miklu magni af gögnum frá hópi gestgjafa eða hýsils. Smelltu á viðburðinn og farðu í töfluna þar sem gestgjafar sem koma af stað eru sýndir. Næst skaltu velja gestgjafann sem við höfum áhuga á í dálknum Gagnasöfnun.
Atburður birtist sem gefur til kynna að 162 þúsund „punktar“ hafi fundist og samkvæmt stefnunni eru 100 þúsund „punktar“ leyfðir - þetta eru innri StealthWatch mælingar. Í dálki Aðgerðir ýta Skoða flæði.
Við getum fylgst með því gefinn gestgjafi hafði samskipti við gestgjafann á kvöldin 10.201.3.47 frá deildinni Sala & markaðssetning með bókun HTTPS og niðurhalað 1.4 GB. Kannski er þetta dæmi ekki alveg farsælt, en uppgötvun á víxlverkunum jafnvel fyrir nokkur hundruð gígabæta fer fram á nákvæmlega sama hátt. Þess vegna getur frekari rannsókn á frávikunum leitt til áhugaverðra niðurstaðna.
Athugið: í SMC vefviðmótinu eru gögn í flipa Mælaborð eru aðeins sýndar fyrir síðustu viku og á flipanum Skjár á síðustu 2 vikum. Til að greina eldri atburði og búa til skýrslur þarftu að vinna með java stjórnborðinu á tölvu stjórnanda.
5. Að finna innri netskannanir
Nú skulum við skoða nokkur dæmi um strauma - upplýsingaöryggisatvik. Þessi virkni vekur meiri áhuga fyrir öryggissérfræðinga.
Það eru nokkrar forstilltar gerðir skannaviðburða í StealthWatch:
- Gáttarskönnun—uppspretta skannar margar gáttir á áfangastýri.
- Addr tcp scan - uppspretta skannar allt netið á sama TCP tengi og breytir IP tölu áfangastað. Í þessu tilviki fær uppspretta TCP endurstilla pakka eða fær alls ekki svör.
- Addr udp skönnun - uppspretta skannar allt netið á sömu UDP tengi, en breytir IP tölu áfangastað. Í þessu tilviki fær uppspretta ICMP Port Unreachable pakka eða fær alls ekki svör.
- Ping Scan - uppspretta sendir ICMP beiðnir til alls netkerfisins til að leita að svörum.
- Stealth Scan tсp/udp - uppspretta notaði sömu höfn til að tengjast mörgum höfnum á áfangastaðnum á sama tíma.
Til að gera það þægilegra að finna alla innri skanna í einu er netforrit fyrir StealthWatch - Sýnileikamat. Fer í flipann Mælaborð → Sýnileikamat → Innri netskannar þú munt sjá öryggisatvik sem tengjast skönnun síðustu 2 vikur.
Með því að smella á hnappinn Nánar, munt þú sjá upphaf skönnunar á hverju neti, umferðarþróun og samsvarandi viðvörun.
Næst geturðu „mistað“ inn á gestgjafann frá flipanum í fyrri skjámynd og séð öryggisatburði, sem og virkni síðustu viku fyrir þennan gestgjafa.
Sem dæmi skulum við greina atburðinn Portskönnun frá gestgjafa 10.201.3.149 á 10.201.0.72, Ýtir á Aðgerðir > Tengd flæði. Þráðaleit er sett af stað og viðeigandi upplýsingar birtast.
Hvernig við sjáum þennan gestgjafa frá einni af höfnum hans 51508 / TCP skannaði fyrir 3 tímum síðan ákvörðunargestgjafann eftir höfn 22, 28, 42, 41, 36, 40 (TCP). Sumir reitir sýna ekki upplýsingar heldur vegna þess að ekki eru allir Netflow reitir studdir á Netflow útflytjanda.
6. Greining á niðurhaluðum spilliforritum með CTA
CTA (Cognitive Threat Analytics) — Cisco skýjagreining, sem fellur fullkomlega að Cisco StealthWatch og gerir þér kleift að bæta undirskriftarlausri greiningu með undirskriftargreiningu. Þetta gerir það mögulegt að greina Tróverji, netorma, zero-day malware og annan spilliforrit og dreifa þeim innan netsins. Einnig, áðurnefnd ETA tækni gerir þér kleift að greina slík illgjarn samskipti í dulkóðuðu umferð.
Bókstaflega á fyrsta flipanum í vefviðmótinu er sérstök búnaður Vitsmunaleg ógnunargreining. Stutt samantekt gefur til kynna ógnir sem finnast á notendahýsingum: Tróju, sviksamlega hugbúnaður, pirrandi auglýsingaforrit. Orðið „dulkóðað“ gefur í raun til kynna verk ETA. Með því að smella á gestgjafa birtast allar upplýsingar um hann, öryggisatburði, þar á meðal CTA logs.
Með því að sveima yfir hverju stigi CTA sýnir viðburðurinn nákvæmar upplýsingar um samskiptin. Til að fá heildargreiningar, smelltu hér Skoða atviksupplýsingar, og þú verður tekinn á sérstaka leikjatölvu Vitsmunaleg ógnunargreining.
Í efra hægra horninu gerir sía þér kleift að sýna atburði eftir alvarleikastigi. Þegar þú bendir á tiltekið frávik birtast annálar neðst á skjánum með samsvarandi tímalínu til hægri. Þannig skilur upplýsingaöryggissérfræðingurinn greinilega hvaða sýkti gestgjafi, eftir hvaða aðgerðir, byrjaði að framkvæma hvaða aðgerðir.
Hér að neðan er annað dæmi - banka Tróverji sem sýkti gestgjafann 198.19.30.36. Þessi gestgjafi byrjaði að hafa samskipti við skaðleg lén og annálarnir sýna upplýsingar um flæði þessara samskipta.
Næst er ein besta lausnin sem hægt er að setja gestgjafann í sóttkví þökk sé innfæddum með Cisco ISE fyrir frekari meðferð og greiningu.
Ályktun
Cisco StealthWatch lausnin er einn af leiðandi meðal netvöktunarvara bæði hvað varðar netgreiningu og upplýsingaöryggi. Þökk sé því geturðu greint ólögmæt samskipti innan netsins, tafir á forritum, virku notendur, frávik, spilliforrit og APT. Þar að auki geturðu fundið skanna, pentesters og framkvæmt dulritunarúttekt á HTTPS umferð. Þú getur fundið enn fleiri notkunartilvik á .
Ef þú vilt athuga hversu vel og skilvirkt allt virkar á netinu þínu, sendu .
Á næstunni erum við að skipuleggja fleiri tækniútgáfur um ýmsar upplýsingaöryggisvörur. Ef þú hefur áhuga á þessu efni skaltu fylgjast með uppfærslunum á rásum okkar (, , , )!
Heimild: www.habr.com