minangka solusi analitis ing bidang keamanan informasi sing nyedhiyakake pemantauan lengkap ancaman ing jaringan sing disebarake. StealthWatch adhedhasar ngumpulake NetFlow lan IPFIX saka router, switch lan piranti jaringan liyane. Akibaté, jaringan dadi sensor sensitif lan ngidini administrator kanggo ndeleng menyang panggonan kang cara keamanan jaringan tradisional, kayata Next Generation Firewall, ora bisa tekan.
Ing artikel sadurunge aku wis nulis babagan StealthWatch: Lan . Saiki aku ngusulake kanggo nerusake lan ngrembug babagan cara nggarap weker lan neliti kedadeyan keamanan sing digawe solusi kasebut. Bakal ana 6 conto sing muga-muga bisa menehi ide sing apik babagan kegunaan produk kasebut.
Kaping pisanan, kudu dingerteni manawa StealthWatch duwe sawetara weker ing antarane algoritma lan feed. Kapisan yaiku macem-macem jinis weker (kabar), nalika dipicu, sampeyan bisa ndeteksi barang sing curiga ing jaringan. Kapindho kedadeyan keamanan. Artikel iki bakal ndeleng 4 conto algoritma sing dipicu lan 2 conto feed.
1. Analisis interaksi paling gedhe ing jaringan
Langkah awal kanggo nyetel StealthWatch yaiku kanggo nemtokake host lan jaringan dadi klompok. Ing tab antarmuka web Konfigurasi > Manajemen Grup Host Jaringan, host, lan server kudu diklasifikasikake dadi klompok sing cocog. Sampeyan uga bisa nggawe grup dhewe. Miturut cara, nganalisa interaksi antarane sarwa dumadi ing Cisco StealthWatch cukup trep, amarga sampeyan ora mung bisa nyimpen saringan search dening stream, nanging uga asil dhewe.
Kanggo miwiti, ing antarmuka web sampeyan kudu pindhah menyang tab Analisis > Panelusuran Aliran. Banjur sampeyan kudu nyetel paramèter ing ngisor iki:
- Jinis Panelusuran - Obrolan Ndhuwur (interaksi paling populer)
- Range Wektu - 24 jam (periode wektu, sampeyan bisa nggunakake liyane)
- Jeneng Telusuri - Obrolan Paling Ndhuwur Nang njero (jeneng sing ramah)
- Subyek - Grup Host → Inside Hosts (sumber - grup host internal)
- Sambungan (sampeyan bisa nemtokake port, aplikasi)
- Peer - Host Groups → Inside Hosts (tujuan - klompok node internal)
- Ing Pilihan Lanjut, sampeyan uga bisa nemtokake kolektor saka ngendi data dideleng, ngurutake output (miturut bita, stream, lsp.). Aku bakal ninggalake minangka standar.
Sawise mencet tombol search dhaptar interaksi ditampilake sing wis diurutake miturut jumlah data sing ditransfer.
Ing contone host 10.150.1.201 (server) ditularaké mung siji thread 1.5 GB lalu lintas menyang tuan rumah 10.150.1.200 (klien) kanthi protokol MySQL. Tombol Ngatur Kolom ngijini sampeyan kanggo nambah kolom liyane kanggo data output.
Sabanjure, miturut kawicaksanan administrator, sampeyan bisa nggawe aturan khusus sing bakal tansah micu jinis interaksi iki lan menehi kabar liwat SNMP, email utawa Syslog.
2. Analisis interaksi klien-server paling alon ing jaringan kanggo wektu tundha
Label SRT (Server Response Time), RTT (Round Trip Time) ngidini sampeyan ngerteni telat server lan telat jaringan umum. Alat iki utamané migunani nalika sampeyan kudu cepet nemokake sabab saka keluhan pangguna babagan aplikasi alon-mlaku.
komentar: meh kabeh eksportir Netflow ora ngerti carane ngirim SRT, tags RTT, supaya asring, kanggo ndeleng data kuwi ing FlowSensor, sampeyan kudu ngatur ngirim salinan lalu lintas saka piranti jaringan. FlowSensor banjur ngirim IPFIX lengkap menyang FlowCollector.
Luwih trep kanggo nindakake analisis iki ing aplikasi java StealtWatch, sing diinstal ing komputer administrator.
Tombol mouse tengen aktif Ing Hosts lan pindhah menyang tab Tabel Aliran.
Klik ing Filter lan nyetel paramèter sing perlu. Minangka conto:
- Tanggal / Wektu - Kanggo 3 dina pungkasan
- Kinerja - Rata-rata Wektu Perjalanan Pulang >=50ms
Sawise nampilake data, kita kudu nambah lapangan RTT lan SRT sing narik kawigaten kita. Kanggo nindakake iki, klik ing kolom ing gambar lan pilih kanthi tombol mouse tengen Ngatur Kolom. Sabanjure, klik parameter RTT, SRT.
Sawise ngolah panyuwunan, aku ngurutake rata-rata RTT lan ndeleng interaksi sing paling alon.
Kanggo pindhah menyang informasi rinci, klik-tengen ing stream banjur pilih Tampilan Cepet kanggo Aliran.
Informasi iki nuduhake yen inang 10.201.3.59 saka grup Sales Marketing dening protokol NFS mréntahaké kanggo server DNS kanggo menit lan 23 detik lan wis mung lag elek. Ing tab muka sampeyan bisa ngerteni saka eksportir data Netflow sing entuk informasi. Ing tab Tabel Informasi sing luwih rinci babagan interaksi ditampilake.
Sabanjure, sampeyan kudu ngerti piranti sing ngirim lalu lintas menyang FlowSensor lan masalah sing paling mungkin ana.
Kajaba iku, StealthWatch unik amarga nindakake deduplikasi data (nggabungke aliran padha). Mulane, sampeyan bisa ngumpulake saka meh kabeh piranti Netflow lan ora wedi yen bakal ana akeh data duplikat. Kosok baline, ing skema iki bakal mbantu ngerti hop sing paling telat.
3. Audit protokol kriptografi HTTPS
ETA (Enkripsi Lalu Lintas Analitik) punika teknologi dikembangaké dening Cisco sing ngijini sampeyan kanggo ndeteksi sambungan angkoro ing lalu lintas ndhelik tanpa decrypting iku. Kajaba iku, teknologi iki ngidini sampeyan "ngurai" HTTPS menyang versi TLS lan protokol kriptografi sing digunakake sajrone sambungan. Fungsi iki utamané migunani nalika sampeyan kudu ndeteksi simpul jaringan sing nggunakake standar crypto sing lemah.
komentar: Sampeyan kudu nginstal app jaringan dhisik ing StealthWatch - ETA Kriptografi Audit.
Pindhah menyang tab Dasbor → Audit Kriptografik ETA lan pilih klompok sarwa dumadi sing kita rencana kanggo njelasno. Kanggo gambar sakabèhé, ayo milih Ing Hosts.
Sampeyan bisa ndeleng manawa versi TLS lan standar crypto sing cocog yaiku output. Miturut skema biasa ing kolom tumindak pindhah menyang Ndeleng Aliran lan telusuran diwiwiti ing tab anyar.
Saka output bisa dideleng yen host 198.19.20.136 liwat Jam 12 digunakake HTTPS karo TLS 1.2, ngendi algoritma enkripsi AES-256 lan fungsi hash SHA-384. Mangkono, ETA ngidini sampeyan nemokake algoritma sing lemah ing jaringan.
4. Analisis anomali jaringan
Cisco StealthWatch bisa ngenali anomali lalu lintas ing jaringan nggunakake telung alat: Acara inti (acara keamanan), Acara Hubungan (acara interaksi antarane perangan, simpul jaringan) lan analisis prilaku.
Analisis prilaku, ing siji, ngidini liwat wektu kanggo mbangun model prilaku kanggo host tartamtu utawa klompok sarwa dumadi. Luwih akeh lalu lintas sing ngliwati StealthWatch, luwih akurat tandha-tandha kasebut amarga analisa iki. Kaping pisanan, sistem micu akeh sing ora bener, mula aturan kasebut kudu "bengkong" kanthi tangan. Aku nyaranake sampeyan nglirwakake acara kasebut sajrone sawetara minggu pisanan, amarga sistem bakal nyetel dhewe, utawa nambahake menyang pengecualian.
Ing ngisor iki conto aturan sing wis ditemtokake Anomaly, sing nyatakake yen acara kasebut bakal murub tanpa weker yen host ing grup Inside Hosts interaksi karo grup Inside Hosts lan sajrone 24 jam lalu lintas bakal ngluwihi 10 megabyte.
Contone, ayo njupuk weker Panyimpenan Data, sing tegese sawetara host sumber/tujuan wis ngunggah/ngundhuh jumlah data sing ora normal saka klompok host utawa host. Klik ing acara lan pindhah menyang meja ing ngendi host pemicu dituduhake. Sabanjure, pilih host sing kita kasengsem ing kolom kasebut Panyimpenan Data.
Acara ditampilake sing nuduhake yen 162k "titik" dideteksi, lan miturut kabijakan kasebut, 100k "titik" diidini - iki minangka metrik StealthWatch internal. Ing kolom tumindak nyurung Ndeleng Aliran.
Kita bisa mirsani iku diwenehi host sesambungan karo tuan rumah ing wayah wengi 10.201.3.47 saka departemen Sales & Marketing dening protokol https lan diundhuh 1.4 GB. Mungkin conto iki ora sakabehe sukses, nanging deteksi interaksi malah kanggo sawetara atus gigabyte digawa metu ing cara sing padha. Mulane, penyelidikan luwih lanjut babagan anomali bisa nyebabake asil sing menarik.
komentar: ing antarmuka web SMC, data ing tab Dashboard ditampilake mung kanggo minggu kepungkur lan ing tab monitor suwene 2 minggu. Kanggo nganalisa acara lawas lan ngasilake laporan, sampeyan kudu nggarap konsol java ing komputer administrator.
5. Nemokake scan jaringan internal
Saiki ayo goleki sawetara conto feed - information security incidents . Fungsi iki luwih menarik kanggo profesional keamanan.
Ana sawetara jinis acara pindai prasetel ing StealthWatch:
- Port Scan - sumber mindai sawetara port ing host tujuan.
- Addr tcp scan - sumber mindai kabeh jaringan ing port TCP sing padha, ngganti alamat IP tujuan. Ing kasus iki, sumber nampa paket TCP Reset utawa ora nampa respon ing kabeh.
- Addr udp scan - sumber mindai kabeh jaringan ing port UDP padha, nalika ngganti alamat IP panggonan. Ing kasus iki, sumber nampa paket ICMP Port Unreachable utawa ora nampa respon ing kabeh.
- Pindai Ping - sumber ngirim panjalukan ICMP menyang kabeh jaringan supaya bisa nelusuri jawaban.
- Stealth Scan tсp/udp - sumber nggunakake port sing padha kanggo nyambung menyang macem-macem port ing simpul tujuan ing wektu sing padha.
Kanggo nggawe luwih trep kanggo nemokake kabeh scanner internal bebarengan, ana app jaringan kanggo StealthWatch - Assessment Visibilitas. Menyang tab Dasbor → Penilaian Visibilitas → Pemindai Jaringan Internal sampeyan bakal weruh insiden keamanan sing gegandhengan karo pemindaian sajrone 2 minggu kepungkur.
Ngeklik tombol Details, sampeyan bakal weruh wiwitan mindhai saben jaringan, tren lalu lintas lan weker sing cocog.
Sabanjure, sampeyan bisa "gagal" menyang host saka tab ing gambar sadurunge lan ndeleng acara keamanan, uga kegiatan ing minggu kepungkur kanggo host iki.
Minangka conto, ayo analisa acara kasebut Port Scan saka host 10.201.3.149 ing 10.201.0.72, Tekan Tindakan > Alur sing Digandhengake. Panelusuran utas diluncurake lan informasi sing cocog ditampilake.
Kepiye carane kita ndeleng host iki saka salah sawijining port 51508 / TCP mentas 3 jam kepungkur host tujuan dening port 22, 28, 42, 41, 36, 40 (TCP). Sawetara kolom uga ora nampilake informasi amarga ora kabeh kolom Netflow didhukung ing eksportir Netflow.
6. Analisis malware sing diundhuh nggunakake CTA
CTA (Cognitive Threat Analytics) - Analytics maya Cisco, kang nggabungake sampurna karo Cisco StealthWatch lan ngijini sampeyan kanggo nglengkapi analisis teken-free karo analisis teken. Iki ndadekake iku bisa kanggo ndeteksi Trojan, cacing jaringan, malware nul dina lan malware liyane lan disebaraké ing jaringan. Uga, teknologi ETA sing wis kasebut sadurunge ngidini sampeyan nganalisa komunikasi ala kasebut ing lalu lintas sing dienkripsi.
Secara harfiah ing tab pisanan ing antarmuka web ana widget khusus Analisis Ancaman Kognitif. Ringkesan ringkes nuduhake ancaman sing dideteksi ing host pangguna: Trojan, piranti lunak penipuan, adware sing ngganggu. Tembung "Encrypted" bener nuduhake karya ETA. Kanthi ngeklik host, kabeh informasi babagan iki, acara keamanan, kalebu log CTA, katon.
Kanthi nglayang ing saben tahapan CTA, acara kasebut nampilake informasi rinci babagan interaksi kasebut. Kanggo analytics lengkap, klik kene Deleng Rincian Kedadeyan, lan sampeyan bakal digawa menyang console kapisah Analisis Ancaman Kognitif.
Ing pojok tengen ndhuwur, saringan ngidini sampeyan nampilake acara miturut tingkat keruwetan. Nalika sampeyan nuding ing anomali tartamtu, log katon ing sisih ngisor layar kanthi garis wektu sing cocog ing sisih tengen. Mangkono, spesialis keamanan informasi kanthi jelas ngerti host sing kena infeksi, sawise tumindak kasebut, mula tumindak kasebut.
Ing ngisor iki conto liyane - Trojan perbankan sing nginfeksi host kasebut 198.19.30.36. Host iki wiwit sesambungan karo domain angkoro, lan log nuduhake informasi babagan aliran interaksi kasebut.
Sabanjure, salah sawijining solusi sing paling apik yaiku quarantine host thanks kanggo pribumi karo Cisco ISE kanggo perawatan lan analisis luwih.
kesimpulan
Solusi Cisco StealthWatch minangka salah sawijining pimpinan ing antarane produk pemantauan jaringan ing babagan analisis jaringan lan keamanan informasi. Thanks kanggo, sampeyan bisa ndeteksi interaksi sing ora sah ing jaringan, tundha aplikasi, pangguna paling aktif, anomali, malware lan APT. Kajaba iku, sampeyan bisa nemokake scanner, pentesters, lan nindakake crypto-audit lalu lintas HTTPS. Sampeyan bisa nemokake luwih akeh kasus panggunaan ing .
Yen sampeyan pengin mriksa kanthi lancar lan efisien kabeh ing jaringan sampeyan, kirim .
Ing mangsa ngarep, kita ngrancang sawetara publikasi teknis liyane babagan macem-macem produk keamanan informasi. Yen sampeyan kasengsem ing topik iki, banjur tindakake nganyari ing saluran kita (, , , )!
Source: www.habr.com