è una soluzione analitica nel campo della sicurezza delle informazioni che fornisce un monitoraggio completo delle minacce in una rete distribuita. StealthWatch si basa sulla raccolta di NetFlow e IPFIX da router, switch e altri dispositivi di rete. Di conseguenza, la rete diventa un sensore sensibile e consente all'amministratore di esaminare luoghi dove i tradizionali metodi di sicurezza della rete, come Next Generation Firewall, non possono raggiungere.
In articoli precedenti ho già scritto di StealthWatch: e . Ora propongo di andare avanti e discutere su come lavorare con gli allarmi e indagare sugli incidenti di sicurezza generati dalla soluzione. Ci saranno 6 esempi che spero possano dare una buona idea dell'utilità del prodotto.
Innanzitutto va detto che StealthWatch ha una certa distribuzione degli allarmi tra algoritmi e feed. I primi sono vari tipi di allarmi (notifiche), quando attivati è possibile rilevare cose sospette sulla rete. I secondi sono incidenti di sicurezza. Questo articolo esaminerà 4 esempi di algoritmi attivati e 2 esempi di feed.
1. Analisi delle maggiori interazioni all'interno della rete
Il passaggio iniziale nella configurazione di StealthWatch è definire host e reti in gruppi. Nella scheda dell'interfaccia web Configura > Gestione gruppo host Reti, host e server dovrebbero essere classificati in gruppi appropriati. Puoi anche creare i tuoi gruppi. A proposito, analizzare le interazioni tra host in Cisco StealthWatch è abbastanza conveniente, poiché non solo puoi salvare i filtri di ricerca per flusso, ma anche i risultati stessi.
Per iniziare, nell'interfaccia web dovresti andare alla scheda Analizza > Ricerca flusso. Quindi dovresti impostare i seguenti parametri:
- Tipo di ricerca: conversazioni principali (interazioni più popolari)
- Intervallo di tempo: 24 ore (periodo di tempo, puoi utilizzarne un altro)
- Cerca nome - Conversazioni principali Inside-Inside (qualsiasi nome descrittivo)
- Oggetto - Gruppi host → Host interni (origine - gruppo di host interni)
- Connessione (è possibile specificare porte, applicazioni)
- Peer - Gruppi host → Host interni (destinazione - gruppo di nodi interni)
- In Opzioni avanzate è inoltre possibile specificare il raccoglitore da cui vengono visualizzati i dati, ordinando l'output (per byte, flussi, ecc.). Lo lascerò come predefinito.
Dopo aver premuto il pulsante Cerca viene visualizzato un elenco di interazioni già ordinate in base alla quantità di dati trasferiti.
Nel mio esempio l'host 10.150.1.201 (server) trasmesso all'interno di un solo thread 1.5 GB traffico verso l'host 10.150.1.200 (cliente) per protocollo mysql. Pulsante Gestisci colonne consente di aggiungere più colonne ai dati di output.
Successivamente, a discrezione dell'amministratore, puoi creare una regola personalizzata che attiverà sempre questo tipo di interazione e ti avviserà tramite SNMP, email o Syslog.
2. Analisi delle interazioni client-server più lente all'interno della rete per individuare eventuali ritardi
tag SRT (Tempo di risposta del server), RTT (Tempo di andata e ritorno) ti consentono di scoprire ritardi del server e ritardi generali della rete. Questo strumento è particolarmente utile quando è necessario trovare rapidamente la causa dei reclami degli utenti relativi a un'applicazione lenta.
Nota: quasi tutti gli esportatori Netflow non so come inviare tag SRT, RTT, quindi spesso, per vedere tali dati su FlowSensor, è necessario configurare l'invio di una copia del traffico dai dispositivi di rete. FlowSensor a sua volta invia l'IPFIX esteso a FlowCollector.
È più conveniente eseguire questa analisi nell'applicazione Java StealtWatch, installata sul computer dell'amministratore.
Tasto destro del mouse acceso All'interno degli host e vai alla scheda Tabella di flusso.
Clicca su Filtro e impostare i parametri necessari. Come esempio:
- Data/Ora: negli ultimi 3 giorni
- Prestazioni: tempo medio di andata e ritorno >=50 ms
Dopo aver visualizzato i dati, dovremmo aggiungere i campi RTT e SRT che ci interessano. Per fare ciò, fare clic sulla colonna nello screenshot e selezionare con il tasto destro del mouse Gestisci colonne. Successivamente, fai clic su RTT, parametri SRT.
Dopo aver elaborato la richiesta, ho ordinato in base alla media RTT e ho riscontrato le interazioni più lente.
Per accedere alle informazioni dettagliate, fare clic con il pulsante destro del mouse sullo stream e selezionare Visualizzazione rapida per Flow.
Queste informazioni indicano che l'host 10.201.3.59 dal gruppo Vendite e marketing per protocollo NFS fa appello a Server DNS per un minuto e 23 secondi e ha un ritardo semplicemente terribile. Nella scheda interfacce puoi scoprire da quale esportatore di dati Netflow sono state ottenute le informazioni. Nella scheda Table Vengono visualizzate informazioni più dettagliate sull'interazione.
Successivamente, dovresti scoprire quali dispositivi inviano traffico a FlowSensor e molto probabilmente il problema risiede lì.
Inoltre, StealthWatch è unico in quanto conduce deduplicazione dati (combina gli stessi flussi). Pertanto, puoi raccogliere da quasi tutti i dispositivi Netflow e non aver paura che ci siano molti dati duplicati. Al contrario, in questo schema aiuterà a capire quale hop ha i ritardi maggiori.
3. Audit dei protocolli crittografici HTTPS
ETA (analisi del traffico crittografato) è una tecnologia sviluppata da Cisco che consente di rilevare connessioni dannose nel traffico crittografato senza decrittografarlo. Inoltre, questa tecnologia consente di “analizzare” HTTPS in versioni TLS e protocolli crittografici utilizzati durante le connessioni. Questa funzionalità è particolarmente utile quando è necessario rilevare nodi di rete che utilizzano standard crittografici deboli.
Nota: Devi prima installare l'app di rete su StealthWatch - Verifica crittografica ETA.
Vai alla scheda Cruscotti → Audit crittografico ETA e seleziona il gruppo di host che intendiamo analizzare. Per il quadro generale, scegliamo All'interno degli host.
Puoi vedere che vengono emessi la versione TLS e il corrispondente standard crittografico. Secondo il solito schema nella colonna Azioni vai a Visualizza flussi e la ricerca inizia in una nuova scheda.
Dall'output si può vedere che il file host 198.19.20.136 su Ore 12 utilizzato HTTPS con TLS 1.2, dove l'algoritmo di crittografia AES-256 e funzione hash SHA-384. Pertanto, ETA ti consente di trovare algoritmi deboli sulla rete.
4. Analisi delle anomalie della rete
Cisco StealthWatch è in grado di riconoscere le anomalie del traffico sulla rete utilizzando tre strumenti: Eventi principali (eventi di sicurezza), Eventi di relazione (eventi di interazioni tra segmenti, nodi di rete) e analisi comportamentale.
L'analisi comportamentale, a sua volta, consente nel tempo di costruire un modello di comportamento per un particolare ospite o gruppo di ospiti. Maggiore è il traffico che passa attraverso StealthWatch, più accurati saranno gli avvisi grazie a questa analisi. All'inizio, il sistema si attiva in modo molto errato, quindi le regole dovrebbero essere "stravolte" a mano. Ti consiglio di ignorare tali eventi per le prime settimane, poiché il sistema si adeguerà da solo, o di aggiungerli alle eccezioni.
Di seguito è riportato un esempio di regola predefinita Anomalia, in cui si afferma che l'evento si attiverà senza allarme se un host del gruppo Inside Hosts interagisce con il gruppo Inside Hosts ed entro 24 ore il traffico supererà i 10 megabyte.
Ad esempio, prendiamo un allarme Accumulo di dati, il che significa che qualche host di origine/destinazione ha caricato/scaricato una quantità anormalmente grande di dati da un gruppo di host o da un host. Cliccare sull'evento e andare alla tabella dove sono indicati gli host che lo hanno attivato. Successivamente, seleziona l'host che ci interessa nella colonna Accumulo di dati.
Viene visualizzato un evento che indica che sono stati rilevati 162 "punti" e, secondo la policy, sono consentiti 100 "punti": si tratta di parametri interni di StealthWatch. In una colonna Azioni spingere Visualizza flussi.
Possiamo osservarlo dato ospite interagito con l'host durante la notte 10.201.3.47 dal dipartimento Sales & Marketing per protocollo HTTPS e scaricato 1.4 GB. Forse questo esempio non è del tutto riuscito, ma il rilevamento delle interazioni anche per diverse centinaia di gigabyte viene effettuato esattamente allo stesso modo. Pertanto, ulteriori indagini sulle anomalie potrebbero portare a risultati interessanti.
Nota: nell'interfaccia web di SMC, i dati sono in schede Cruscotti vengono visualizzati solo per l'ultima settimana e nella scheda Monitorare nelle ultime 2 settimane. Per analizzare eventi meno recenti e generare report, è necessario lavorare con la console Java sul computer dell'amministratore.
5. Trovare scansioni di rete interna
Consideriamo ora alcuni esempi di feed: incidenti relativi alla sicurezza delle informazioni. Questa funzionalità è di maggiore interesse per i professionisti della sicurezza.
Esistono diversi tipi di eventi di scansione preimpostati in StealthWatch:
- Scansione porta: l'origine esegue la scansione di più porte sull'host di destinazione.
- Addr tcp scan: l'origine esegue la scansione dell'intera rete sulla stessa porta TCP, modificando l'indirizzo IP di destinazione. In questo caso, l'origine riceve pacchetti TCP Reset o non riceve alcuna risposta.
- Addr udp scan: l'origine esegue la scansione dell'intera rete sulla stessa porta UDP, modificando l'indirizzo IP di destinazione. In questo caso, l'origine riceve pacchetti ICMP Port Unreachable o non riceve alcuna risposta.
- Ping Scan: la sorgente invia richieste ICMP all'intera rete per cercare risposte.
- Stealth Scan tсp/udp: l'origine ha utilizzato la stessa porta per connettersi contemporaneamente a più porte sul nodo di destinazione.
Per rendere più comodo trovare tutti gli scanner interni contemporaneamente, è disponibile un'app di rete per StealthWatch - Valutazione della visibilità. Andando alla scheda Dashboard → Valutazione della visibilità → Scanner di rete interni vedrai gli incidenti di sicurezza relativi alla scansione nelle ultime 2 settimane.
Premendo il pulsante Dettagli, vedrai l'inizio della scansione di ciascuna rete, l'andamento del traffico e i relativi allarmi.
Successivamente, puoi "non riuscire" nell'accesso all'host dalla scheda nello screenshot precedente e visualizzare gli eventi di sicurezza, nonché l'attività dell'ultima settimana per questo host.
Ad esempio, analizziamo l'evento Port Scan dall'ospite 10.201.3.149 su 10.201.0.72, premendo Azioni > Flussi associati. Viene avviata una ricerca del thread e vengono visualizzate le informazioni pertinenti.
Come vediamo questo host da uno dei suoi porti 51508 / TCP scansionato 3 ore fa l'host di destinazione per porto 22, 28, 42, 41, 36, 40 (TCP). Alcuni campi non visualizzano informazioni perché non tutti i campi Netflow sono supportati sull'esportatore Netflow.
6. Analisi del malware scaricato utilizzando CTA
CTA (analisi cognitiva delle minacce) — Cisco Cloud Analytics, che si integra perfettamente con Cisco StealthWatch e consente di integrare l'analisi senza firma con l'analisi della firma. Ciò consente di rilevare trojan, worm di rete, malware zero-day e altri malware e di distribuirli nella rete. Inoltre, la tecnologia ETA precedentemente menzionata consente di analizzare tali comunicazioni dannose nel traffico crittografato.
Letteralmente nella primissima scheda dell'interfaccia web c'è un widget speciale Analisi cognitiva delle minacce. Un breve riepilogo indica le minacce rilevate sugli host degli utenti: trojan, software fraudolento, adware fastidioso. La parola “Criptato” indica infatti il lavoro dell’ETA. Facendo clic su un host, vengono visualizzate tutte le informazioni su di esso, gli eventi di sicurezza, inclusi i registri CTA.
Passando il mouse su ciascuna fase della CTA, l'evento mostra informazioni dettagliate sull'interazione. Per l'analisi completa, fare clic qui Visualizza i dettagli dell'incidentee verrai indirizzato a una console separata Analisi cognitiva delle minacce.
Nell'angolo in alto a destra, un filtro consente di visualizzare gli eventi in base al livello di gravità. Quando indichi un'anomalia specifica, i registri vengono visualizzati nella parte inferiore dello schermo con la sequenza temporale corrispondente sulla destra. Pertanto, lo specialista della sicurezza delle informazioni capisce chiaramente quale host infetto, dopo quali azioni, ha iniziato a eseguire quali azioni.
Di seguito è riportato un altro esempio: un trojan bancario che ha infettato l'host 198.19.30.36. Questo host ha iniziato a interagire con domini dannosi e i registri mostrano informazioni sul flusso di queste interazioni.
Successivamente, una delle migliori soluzioni possibili è mettere in quarantena l'ospite grazie al nativo con Cisco ISE per ulteriori trattamenti e analisi.
conclusione
La soluzione Cisco StealthWatch è uno dei leader tra i prodotti di monitoraggio della rete sia in termini di analisi di rete che di sicurezza delle informazioni. Grazie ad esso è possibile rilevare interazioni illegittime all'interno della rete, ritardi delle applicazioni, utenti più attivi, anomalie, malware e APT. Inoltre, puoi trovare scanner, pentester e condurre un audit crittografico del traffico HTTPS. Puoi trovare ancora più casi d'uso su .
Se desideri verificare come tutto funziona in modo fluido ed efficiente sulla tua rete, invia .
Nel prossimo futuro stiamo pianificando numerose altre pubblicazioni tecniche su vari prodotti per la sicurezza delle informazioni. Se sei interessato a questo argomento, segui gli aggiornamenti nei nostri canali (, , , )!
Fonte: habr.com