StealthWatch: インシデントの分析と調査。 パート 3

Cisco ステルスウォッチ は、分散ネットワーク内の脅威を包括的に監視する情報セキュリティ分野の分析ソリューションです。 StealthWatch は、ルーター、スイッチ、その他のネットワーク デバイスから NetFlow と IPFIX を収集することに基づいています。 その結果、ネットワークは高感度センサーとなり、管理者は次世代ファイアウォールなどの従来のネットワーク セキュリティ手法が到達できない場所を調査できるようになります。

以前の記事ですでに StealthWatch について書きました。 最初の紹介とチャンスと 導入と構成。 次に、アラームを処理し、ソリューションによって生成されるセキュリティ インシデントを調査する方法について説明します。 6 つの例があり、製品の有用性を理解していただけると幸いです。

まず、StealthWatch にはアルゴリズムとフィード間でアラームがある程度分散されていると言うべきです。 4 つはさまざまな種類のアラーム (通知) で、トリガーされるとネットワーク上の不審なものを検出できます。 2つ目はセキュリティインシデントです。 この記事では、トリガーされるアルゴリズムの XNUMX つの例とフィードの XNUMX つの例を見ていきます。

1. ネットワーク内の最大のインタラクションの分析

StealthWatch を設定する最初の手順は、ホストとネットワークをグループに定義することです。 Webインターフェースタブ内 「構成」>「ホストグループ管理」 ネットワーク、ホスト、サーバーは適切なグループに分類する必要があります。 独自のグループを作成することもできます。 ちなみに、Cisco StealthWatch でホスト間のやり取りを分析すると、検索フィルタをストリームごとに保存できるだけでなく、結果自体も保存できるため、非常に便利です。

開始するには、Web インターフェイスでタブに移動する必要があります。 分析 > フロー検索。 次に、次のパラメータを設定する必要があります。

• 検索タイプ - トップの会話 (最も人気のある会話)
• 期間 — 24 時間 (別の期間を使用できます)
• 名前の検索 - 内部-内部のトップ会話 (わかりやすい名前)
• 件名 - ホスト グループ → 内部ホスト (ソース - 内部ホストのグループ)
• 接続 (ポート、アプリケーションを指定できます)
• ピア - ホスト グループ → 内部ホスト (宛先 - 内部ノードのグループ)
• [詳細オプション] では、データを表示するコレクターをさらに指定し、出力を (バイト、ストリームなどで) 並べ替えることができます。 デフォルトのままにしておきます。

ボタンを押した後 を検索 転送されたデータ量によってすでに並べ替えられたインタラクションのリストが表示されます。

私の例では、ホストは 10.150.1.201 (サーバー) XNUMX つのスレッド内でのみ送信される 1.5 GB ホストへのトラフィック 10.150.1.200 (クライアント) プロトコル別 mysqlの。 ボタン 列の管理 出力データにさらに列を追加できます。

次に、管理者の裁量で、このタイプのインタラクションを常にトリガーし、SNMP、電子メール、または Syslog 経由で通知するカスタム ルールを作成できます。

2. ネットワーク内の最も遅いクライアントとサーバーの対話の遅延の分析

タグ SRT (サーバー応答時間), RTT (往復時間) サーバーの遅延や一般的なネットワークの遅延を確認できます。 このツールは、アプリケーションの実行速度が遅いというユーザーからの苦情の原因を迅速に特定する必要がある場合に特に役立ちます。

注意: ほぼすべての Netflow エクスポーター 方法がわかりません SRT や RTT タグを送信することが多いため、FlowSensor でそのようなデータを確認するには、ネットワーク デバイスからトラフィックのコピーを送信するように設定する必要があります。 次に、FlowSensor は拡張 IPFIX を FlowCollector に送信します。

この分析は、管理者のコンピュータにインストールされている StealtWatch Java アプリケーションで実行する方が便利です。

マウスの右ボタンがオン 内部ホスト そしてタブに移動します フローテーブル.

クリック フィルタ 必要なパラメータを設定します。 例として:

• 日付/時刻 - 過去 3 日間
• パフォーマンス — 平均往復時間 >=50ms

データを表示した後、関心のある RTT フィールドと SRT フィールドを追加する必要があります。 これを行うには、スクリーンショットの列をクリックし、マウスの右ボタンで選択します。 列の管理。 次に、RTT、SRT パラメータをクリックします。

リクエストを処理した後、RTT 平均で並べ替え、最も遅いインタラクションを確認しました。

詳細情報に入るには、ストリームを右クリックして、 フローのクイックビュー.

この情報は、ホストが 10.201.3.59 グループから セールスとマーケティング プロトコルに従って NFS に訴える DNSサーバー 23分XNUMX秒かかりますが、ひどい遅延があります。 タブ内 インターフェース 情報がどの Netflow データ エクスポーターから取得されたかを知ることができます。 タブ内 表 インタラクションに関するより詳細な情報が表示されます。

次に、どのデバイスが FlowSensor にトラフィックを送信しているかを特定する必要があります。問題はおそらくそこにあります。

さらに、StealthWatch は、次のことを行うという点でユニークです。 重複排除 データ (同じストリームを結合)。 したがって、ほぼすべての Netflow デバイスから収集でき、大量の重複データが存在することを心配する必要はありません。 それどころか、このスキームではどのホップに最大の遅延があるかを理解するのに役立ちます。

3. HTTPS 暗号化プロトコルの監査

ETA (暗号化トラフィック分析) シスコが開発したテクノロジーで、暗号化されたトラフィック内の悪意のある接続を、復号化せずに検出できます。 さらに、このテクノロジーを使用すると、HTTPS を「解析」して、接続中に使用される TLS バージョンと暗号化プロトコルを生成できます。 この機能は、弱い暗号規格を使用するネットワーク ノードを検出する必要がある場合に特に役立ちます。

注意: まず、StealthWatch にネットワーク アプリをインストールする必要があります - ETA暗号監査.

タブに移動 ダッシュボード → ETA 暗号化監査 をクリックして、分析する予定のホストのグループを選択します。 全体像を考えて選びましょう 内部ホスト.

TLS バージョンと対応する暗号規格が出力されていることがわかります。 コラムの通常のスキームによると に行く フローの表示 新しいタブで検索が始まります。

出力から、ホストが 198.19.20.136 オーバー 12時間 HTTPS と TLS 1.2 を使用し、暗号化アルゴリズムは AES-256 そしてハッシュ関数 SHA-384。 したがって、ETA を使用すると、ネットワーク上の弱いアルゴリズムを見つけることができます。

4. ネットワーク異常解析

Cisco StealthWatch は、次の XNUMX つのツールを使用してネットワーク上のトラフィックの異常を認識できます。 コアイベント (セキュリティイベント)、 関係イベント (セグメント、ネットワークノード間の相互作用のイベント) および 行動分析.

動作分析により、時間をかけて特定のホストまたはホストのグループの動作モデルを構築できるようになります。 StealthWatch を通過するトラフィックが増えるほど、この分析のおかげでアラートの精度が高まります。 最初は、システムが誤ってトリガーすることが多いため、ルールを手動で「ひねる」必要があります。 システムが自動的に調整するか、例外に追加するため、最初の数週間はこのようなイベントを無視することをお勧めします。

以下は事前定義されたルールの例です 異常これは、次の場合にアラームなしでイベントが発生することを示しています。 Inside Hosts グループのホストが Inside Hosts グループと通信し、24 時間以内にトラフィックが 10 メガバイトを超える.

たとえば、アラームを鳴らしてみましょう データの蓄積これは、一部のソース/宛先ホストが、ホストのグループまたはホストから異常に大量のデータをアップロード/ダウンロードしたことを意味します。 イベントをクリックして、トリガー元のホストが示されているテーブルに移動します。 次に、列で関心のあるホストを選択します。 データの蓄積.

162k の「ポイント」が検出されたことを示すイベントが表示され、ポリシーに従って 100k の「ポイント」が許可されます。これらは内部 StealthWatch メトリクスです。 コラム内 押す フローの表示.

観察できるのは、 指定されたホスト 夜にホストとやり取りした 10.201.3.47 部門から セールス＆マーケティング プロトコルに従って HTTPS そしてダウンロードされました 1.4 GB。 おそらくこの例は完全に成功しているわけではありませんが、数百ギガバイトの相互作用の検出もまったく同じ方法で実行されます。 したがって、異常をさらに調査すると、興味深い結果が得られる可能性があります。

注意: SMC Web インターフェイスでは、データはタブにあります ダッシュボード 先週とタブにのみ表示されます モニター 過去 2 週間にわたって。 古いイベントを分析してレポートを生成するには、管理者のコンピュータ上の Java コンソールを操作する必要があります。

5. 内部ネットワークスキャンの検索

次に、フィードの例、つまり情報セキュリティ インシデントをいくつか見てみましょう。 この機能はセキュリティ専門家にとってより興味深いものです。

StealthWatch には、いくつかの事前設定されたスキャン イベント タイプがあります。

• ポート スキャン - 送信元は宛先ホスト上の複数のポートをスキャンします。
• Addr tcp scan - 送信元は同じ TCP ポート上のネットワーク全体をスキャンし、宛先 IP アドレスを変更します。 この場合、送信元は TCP リセット パケットを受信するか、応答をまったく受信しません。
• Addr udp scan - 送信元は、宛先 IP アドレスを変更しながら、同じ UDP ポート上のネットワーク全体をスキャンします。 この場合、送信元は ICMP ポート到達不能パケットを受信するか、応答をまったく受信しません。
• Ping スキャン - 送信元は、応答を検索するために ICMP リクエストをネットワーク全体に送信します。
• ステルス スキャン tсp/udp - 送信元は同じポートを使用して、宛先ノードの複数のポートに同時に接続しました。

すべての内部スキャナを一度に見つけやすくするために、ネットワーク アプリが用意されています。 StealthWatch - 可視性評価。 タブに移動する ダッシュボード → 可視性評価 → 内部ネットワーク スキャナー 過去 2 週間のスキャン関連のセキュリティ インシデントが表示されます。

ボタンを押すことで 詳細をクリックすると、各ネットワークのスキャンの開始、トラフィックの傾向、および対応するアラームが表示されます。

次に、前のスクリーンショットのタブからホストに「フェイル」すると、セキュリティ イベントと、このホストの先週のアクティビティを確認できます。

例として、イベントを分析してみましょう ポートスキャン ホストから 10.201.3.149 на 10.201.0.72、押す アクション > 関連するフロー。 スレッド検索が開始され、関連情報が表示されます。

ポートの XNUMX つからこのホストを確認する方法 51508 / TCP 3 時間前に宛先ホストをポート別にスキャン 22、28、42、41、36、40 (TCP)。 すべての Netflow フィールドが Netflow エクスポータでサポートされているわけではないため、一部のフィールドには情報が表示されません。

6. CTAを使用したダウンロードされたマルウェアの分析

CTA (認知脅威分析) - Cisco クラウド分析。Cisco StealthWatch と完全に統合されており、シグネチャを使用しない分析をシグネチャ分析で補完できます。 これにより、トロイの木馬、ネットワーク ワーム、ゼロデイ マルウェアなどのマルウェアを検出し、ネットワーク内に配布することが可能になります。 また、前述の ETA テクノロジーを使用すると、暗号化されたトラフィックにおけるこのような悪意のある通信を分析できます。

文字通り、Web インターフェイスの最初のタブに特別なウィジェットがあります。 認知的脅威分析。 簡単な概要は、トロイの木馬、詐欺的なソフトウェア、迷惑なアドウェアなど、ユーザー ホストで検出された脅威を示します。 「暗号化」という言葉は実際にはETAの作業を示しています。 ホストをクリックすると、そのホストに関するすべての情報、CTA ログを含むセキュリティ イベントが表示されます。

CTA の各段階にマウスを置くと、イベントにインタラクションに関する詳細情報が表示されます。 完全な分析については、ここをクリックしてください インシデントの詳細を表示する、別のコンソールに移動します 認知的脅威分析.

右上隅のフィルターを使用すると、イベントを重大度レベル別に表示できます。 特定の異常をポイントすると、画面の下部にログが表示され、右側に対応するタイムラインが表示されます。 したがって、情報セキュリティの専門家は、どの感染ホストがどのアクションの後にどのアクションを実行し始めたかを明確に理解できます。

以下は別の例です - ホストに感染したバンキング型トロイの木馬 198.19.30.36。 このホストは悪意のあるドメインとの対話を開始し、ログにはこれらの対話のフローに関する情報が表示されます。

次に、考えられる最善の解決策の XNUMX つは、ネイティブ ホストのおかげでホストを隔離することです。 統合 さらなる処理と分析のために Cisco ISE を使用します。

まとめ

Cisco StealthWatch ソリューションは、ネットワーク分析と情報セキュリティの両方の点で、ネットワーク監視製品の中でリーダーの XNUMX つです。 そのおかげで、ネットワーク内の不正なやり取り、アプリケーションの遅延、最もアクティブなユーザー、異常、マルウェア、APT を検出できます。 さらに、スキャナーや侵入テスターを見つけて、HTTPS トラフィックの暗号化監査を実行することもできます。 さらに多くの使用例を見つけることができます。 リンク.

ネットワーク上ですべてがどのようにスムーズかつ効率的に動作するかを確認したい場合は、次のメッセージを送信してください。 リクエスト.
近い将来、さまざまな情報セキュリティ製品に関する技術出版物をさらにいくつか出版する予定です。 このトピックに興味がある場合は、チャンネルの最新情​​報をフォローしてください (Telegram, Facebook, VK, TSソリューションブログ)!

出所： habr.com