таратылған желідегі қауіптердің жан-жақты мониторингін қамтамасыз ететін ақпараттық қауіпсіздік саласындағы аналитикалық шешім болып табылады. StealthWatch маршрутизаторлардан, коммутаторлардан және басқа желілік құрылғылардан NetFlow және IPFIX жинауға негізделген. Нәтижесінде желі сезімтал сенсорға айналады және әкімшіге келесі буын брандмауэрі сияқты дәстүрлі желілік қауіпсіздік әдістері жете алмайтын жерлерді іздеуге мүмкіндік береді.
Алдыңғы мақалаларда мен StealthWatch туралы жазғанмын: , және де . Енді мен дабылдармен қалай жұмыс істеу керектігін және шешім тудыратын қауіпсіздік оқиғаларын зерттеуді талқылауды ұсынамын. Өнімнің пайдалылығы туралы жақсы түсінік беретін 6 мысал болады.
Біріншіден, StealthWatch-те алгоритмдер мен арналар арасында триггерлерді бөлу бар екенін айту керек. Біріншісі әр түрлі дабылдар (хабарландырулар), іске қосылған кезде желідегі күдікті заттарды анықтауға болады. Екіншісі – қауіпсіздік шаралары. Бұл мақалада іске қосылған алгоритмдердің 4 мысалы және арналардың 2 мысалы қарастырылады.
1. Желі ішіндегі ең үлкен өзара әрекеттесулерді талдау
StealthWatch орнатудың бастапқы қадамы хосттар мен желілерді топтарға анықтау болып табылады. Веб-интерфейс қойындысында Конфигурациялау > Хост тобын басқару Желілер, хосттар және серверлер сәйкес топтарға жіктелуі керек. Сіз сондай-ақ өз топтарыңызды жасай аласыз. Айтпақшы, Cisco StealthWatch жүйесінде хосттар арасындағы өзара әрекеттесуді талдау өте ыңғайлы, өйткені сіз іздеу сүзгілерін ағынмен ғана емес, сонымен қатар нәтижелердің өзін де сақтай аласыз.
Бастау үшін веб-интерфейсте қойындыға өту керек Талдау > Ағынды іздеу. Содан кейін келесі параметрлерді орнату керек:
- Іздеу түрі - Үздік сөйлесулер (ең танымал өзара әрекеттесулер)
- Уақыт аралығы — 24 сағат (уақыт аралығы, басқасын пайдалануға болады)
- Іздеу атауы - ішіндегі ең жақсы сөйлесулер (кез келген түсінікті атау)
- Тақырып - Хост топтары → Ішкі хосттар (көзі - ішкі хосттар тобы)
- Қосылым (порттарды, қолданбаларды көрсетуге болады)
- Тең – хост топтары → Ішкі хосттар (тағайындалған орын – ішкі түйіндер тобы)
- Қосымша параметрлерде шығысты сұрыптай отырып (байттар, ағындар және т.б.) деректер қаралатын коллекторды қосымша көрсетуге болады. Мен оны әдепкі ретінде қалдырамын.
Түймені басқаннан кейін іздеу тасымалданған деректер көлемі бойынша сұрыпталған өзара әрекеттесу тізімі көрсетіледі.
Менің мысалда хост 10.150.1.201 (сервер) тек бір ағынның ішінде жіберіледі 1.5 Гб хостқа трафик 10.150.1.200 (клиент) хаттама бойынша MySQL. Түйме Бағандарды басқару шығыс деректеріне қосымша бағандарды қосуға мүмкіндік береді.
Әрі қарай, әкімшінің қалауы бойынша сіз әрқашан өзара әрекеттесу түрін іске қосатын және SNMP, электрондық пошта немесе Syslog арқылы хабарлайтын теңшелетін ережені жасай аласыз.
2. Кешігулер үшін желі ішіндегі ең баяу клиент пен сервер әрекетін талдау
Tags SRT (сервердің жауап беру уақыты), RTT (барлау уақыты) серверлік кідірістерді және жалпы желілік кідірістерді білуге мүмкіндік береді. Бұл құрал әсіресе баяу жұмыс істейтін қолданба туралы пайдаланушы шағымдарының себебін жылдам табу қажет болғанда пайдалы.
ескерту: Netflow экспорттаушыларының барлығы дерлік қалай екенін білмеймін SRT, RTT тегтерін жиі жіберіңіз, сондықтан мұндай деректерді FlowSensor жүйесінде көру үшін желілік құрылғылардан трафик көшірмесін жіберуді конфигурациялау қажет. FlowSensor өз кезегінде кеңейтілген IPFIX FlowCollector жүйесіне жібереді.
Бұл талдауды әкімшінің компьютерінде орнатылған StealtWatch java қосымшасында жүргізу ыңғайлы.
Тінтуірдің оң жақ түймешігі қосулы Ішкі хосттар және қойындыға өтіңіз Ағын кестесі.
Басыңыз фильтр және қажетті параметрлерді орнатыңыз. Мысал ретінде:
- Күні/Уақыты - соңғы 3 күнде
- Өнімділік — Орташа сапар уақыты >=50 мс
Деректерді көрсеткеннен кейін бізді қызықтыратын RTT және SRT өрістерін қосу керек. Мұны істеу үшін скриншоттағы бағанды басып, тінтуірдің оң жақ түймешігімен таңдаңыз Бағандарды басқару. Содан кейін RTT, SRT параметрлерін басыңыз.
Сұрауды өңдегеннен кейін мен орташа RTT бойынша сұрыптадым және ең баяу өзара әрекеттесуді көрдім.
Толық ақпаратқа өту үшін ағынды тінтуірдің оң жақ түймешігімен басып, таңдаңыз Ағын үшін жылдам қарау.
Бұл ақпарат хост екенін көрсетеді 10.201.3.59 топтан Сату және маркетинг хаттамаға сәйкес NFS жүгінеді DNS сервері бір минут 23 секундқа және жай ғана қорқынышты кешігуге ие. Қойындыда интерфейстер ақпараттың қай Netflow деректер экспорттаушысынан алынғанын білуге болады. Қойындыда үстел Өзара әрекеттесу туралы толығырақ ақпарат көрсетіледі.
Әрі қарай, қандай құрылғылар FlowSensor-қа трафик жіберетінін және мәселе сонда болуы мүмкін екенін білуіңіз керек.
Сонымен қатар, StealthWatch жүргізетін ерекшелігімен ерекшеленеді дедупликация деректер (бірдей ағындарды біріктіреді). Сондықтан сіз барлық дерлік Netflow құрылғыларынан жинай аласыз және қайталанатын деректер көп болады деп қорықпайсыз. Керісінше, бұл схемада қай құлмақта ең үлкен кідіріс бар екенін түсінуге көмектеседі.
3. HTTPS криптографиялық хаттамаларының аудиті
ETA (шифрланған трафик талдауы) шифрланған трафиктегі зиянды қосылымдарды шифрын шешпей-ақ анықтауға мүмкіндік беретін Cisco компаниясы әзірлеген технология. Сонымен қатар, бұл технология HTTPS протоколын TLS нұсқаларына және қосылымдар кезінде қолданылатын криптографиялық протоколдарға «талдауға» мүмкіндік береді. Бұл функционалдылық әсіресе әлсіз криптографиялық стандарттарды пайдаланатын желі түйіндерін анықтау қажет болғанда пайдалы.
ескерту: Алдымен StealthWatch жүйесіне желілік қолданбаны орнату керек - ETA криптографиялық аудит.
Қойындыға өтіңіз Бақылау тақталары → ETA криптографиялық аудит және біз талдауды жоспарлаған хосттар тобын таңдаңыз. Жалпы сурет үшін таңдайық Ішкі хосттар.
TLS нұсқасы мен сәйкес криптографиялық стандарт шығарылғанын көруге болады. Бағандағы әдеттегі схемаға сәйкес Әрекеттер бару Ағындарды көру және іздеу жаңа қойындыда басталады.
Шығарудан хост екенін көруге болады 198.19.20.136 үстінде 12 сағат TLS 1.2 бар HTTPS пайдаланылады, мұнда шифрлау алгоритмі AES-256 және хэш функциясы SHA-384. Осылайша, ETA желіде әлсіз алгоритмдерді табуға мүмкіндік береді.
4. Желінің аномалиясын талдау
Cisco StealthWatch үш құралдың көмегімен желідегі трафик ауытқуларын тани алады: Негізгі оқиғалар (қауіпсіздік оқиғалары), Қарым-қатынас оқиғалары (сегменттердің, желі түйіндерінің арасындағы өзара әрекеттесу оқиғалары) және мінез-құлықты талдау.
Мінез-құлық талдауы, өз кезегінде, уақыт өте келе белгілі бір хост немесе хосттар тобы үшін мінез-құлық үлгісін құруға мүмкіндік береді. StealthWatch арқылы өтетін трафик неғұрлым көп болса, осы талдаудың арқасында ескертулер дәлірек болады. Алдымен жүйе көп нәрсені дұрыс емес іске қосады, сондықтан ережелерді қолмен «бұрау» керек. Алғашқы бірнеше аптада мұндай оқиғаларды елемеуіңізді ұсынамын, өйткені жүйе өзін реттейді немесе оларды ерекше жағдайларға қосады.
Төменде алдын ала анықталған ереженің мысалы берілген Аномалия, онда оқиғаның дабылсыз өрт болатыны айтылған Inside Hosts тобындағы хост Inside Hosts тобымен әрекеттеседі және 24 сағат ішінде трафик 10 мегабайттан асады..
Мысалы, дабылды алайық Деректерді жинақтау, бұл кейбір бастапқы/тағайындалған хост хосттар тобынан немесе хосттан әдеттен тыс үлкен көлемдегі деректерді жүктеп салған/жүктеп алғанын білдіреді. Оқиғаны басыңыз және іске қосу хосттары көрсетілген кестеге өтіңіз. Әрі қарай, бағанда бізді қызықтыратын хостты таңдаңыз Деректерді жинақтау.
162 мың «ұпай» анықталғанын көрсететін оқиға көрсетіледі және саясатқа сәйкес, 100 StealthWatch метрика | Бағанада Әрекеттер Басыңыз Ағындарды көру.
Біз мұны байқаймыз хост берілді түнде үй иесімен араласты 10.201.3.47 бөлімнен Сату және маркетинг хаттамаға сәйкес HTTPS және жүктелді 1.4 Гб. Мүмкін, бұл мысал толығымен сәтті емес, бірақ бірнеше жүз гигабайт үшін өзара әрекеттесулерді анықтау дәл осылай жүзеге асырылады. Сондықтан аномалияларды әрі қарай зерттеу қызықты нәтижелерге әкелуі мүмкін.
ескерту: SMC веб-интерфейсіндегі деректер қойындыларда Басқару тақтасы тек соңғы аптада және қойындыда көрсетіледі монитор соңғы 2 аптада. Ескі оқиғаларды талдау және есептерді жасау үшін әкімшінің компьютерінде java консолімен жұмыс істеу керек.
5. Ішкі желі сканерлерін табу
Енді арналардың бірнеше мысалдарын қарастырайық - ақпараттық қауіпсіздік инциденттері. Бұл функция қауіпсіздік мамандарын көбірек қызықтырады.
StealthWatch бағдарламасында алдын ала орнатылған сканерлеу оқиғасының бірнеше түрі бар:
- Портты сканерлеу — көз тағайындалған хосттағы бірнеше порттарды сканерлейді.
- Addr tcp scan - көз IP мекенжайын өзгерте отырып, бір TCP портында бүкіл желіні сканерлейді. Бұл жағдайда көз TCP Reset пакеттерін алады немесе жауаптарды мүлде алмайды.
- Addr udp scan - көз IP мекенжайын өзгерту кезінде бір UDP портында бүкіл желіні сканерлейді. Бұл жағдайда көз ICMP портының қолжетімсіз пакеттерін алады немесе жауаптарды мүлде алмайды.
- Ping Scan - дереккөз жауаптарды іздеу үшін бүкіл желіге ICMP сұрауларын жібереді.
- Stealth Scan tсp/udp - көз бір уақытта тағайындалған түйіндегі бірнеше порттарға қосылу үшін бір портты пайдаланды.
Барлық ішкі сканерлерді бірден табуды ыңғайлы ету үшін желілік қолданба бар StealthWatch - Көрінуді бағалау. Қойындыға өту Бақылау тақталары → Көрінуді бағалау → Ішкі желі сканерлері соңғы 2 аптадағы сканерлеуге қатысты қауіпсіздік оқиғаларын көресіз.
Түймені басу Егжей, сіз әрбір желіні сканерлеудің басталуын, трафик трендін және сәйкес дабылдарды көресіз.
Әрі қарай, сіз алдыңғы скриншоттағы қойындыдан хостқа «сәтсіз» өтіп, қауіпсіздік оқиғаларын, сондай-ақ осы хост үшін соңғы аптадағы әрекетті көре аласыз.
Мысал ретінде оқиғаны талдап көрейік Портты сканерлеу хосттан 10.201.3.149 туралы 10.201.0.72, басу Әрекеттер > Байланысты ағындар. Жіп іздеуі іске қосылып, сәйкес ақпарат көрсетіледі.
Бұл хостты оның порттарының бірінен қалай көреміз 51508 / TCP 3 сағат бұрын мақсатты хостты порт бойынша сканерледі 22, 28, 42, 41, 36, 40 (TCP). Кейбір өрістер ақпаратты көрсетпейді, себебі Netflow экспорттауышында барлық Netflow өрістеріне қолдау көрсетілмейді.
6. CTA көмегімен жүктелген зиянды бағдарламаны талдау
CTA (когнитивтік қауіпті талдау) — Cisco StealthWatch-пен тамаша біріктірілген және қолтаңбасыз талдауды қолтаңба талдауымен толықтыруға мүмкіндік беретін Cisco бұлтты талдауы. Бұл трояндарды, желілік құрттарды, нөлдік күндік зиянды бағдарламаларды және басқа зиянды бағдарламаларды анықтауға және оларды желі ішінде таратуға мүмкіндік береді. Сондай-ақ, бұрын айтылған ETA технологиясы шифрланған трафиктегі осындай зиянды байланыстарды талдауға мүмкіндік береді.
Веб-интерфейстің ең бірінші қойындысында арнайы виджет бар Когнитивті қауіптер талдауы. Қысқаша түйіндеме пайдаланушы хосттарында анықталған қауіптерді көрсетеді: троян, алаяқтық бағдарламалық қамтамасыз ету, тітіркендіргіш жарнамалық бағдарлама. «Шифрланған» сөзі шын мәнінде ETA жұмысын көрсетеді. Хостты басу арқылы ол туралы барлық ақпарат, қауіпсіздік оқиғалары, соның ішінде CTA журналдары пайда болады.
CTA әр кезеңіне меңзерді апару арқылы оқиға өзара әрекеттесу туралы толық ақпаратты көрсетеді. Толық талдау үшін мына жерді басыңыз Оқиға мәліметтерін көру, және сіз бөлек консольге өтесіз Когнитивті қауіптер талдауы.
Жоғарғы оң жақ бұрышта сүзгі оқиғаларды ауырлық деңгейі бойынша көрсетуге мүмкіндік береді. Белгілі бір аномалияны меңзеген кезде экранның төменгі жағында журналдар оң жағында сәйкес уақыт шкаласымен пайда болады. Осылайша, ақпараттық қауіпсіздік маманы қандай вирус жұқтырған хостты, қандай әрекеттерден кейін қандай әрекеттерді орындай бастағанын анық түсінеді.
Төменде тағы бір мысал – хостты жұқтырған банктік троян 198.19.30.36. Бұл хост зиянды домендермен әрекеттесе бастады және журналдар осы өзара әрекеттесу ағыны туралы ақпаратты көрсетеді.
Әрі қарай, ең жақсы шешімдердің бірі - жергілікті тұрғынның арқасында хостты карантиндеу әрі қарай өңдеу және талдау үшін Cisco ISE көмегімен.
қорытынды
Cisco StealthWatch шешімі желіні талдау және ақпараттық қауіпсіздік тұрғысынан желілік мониторинг өнімдері арасында көшбасшылардың бірі болып табылады. Оның арқасында сіз желідегі заңсыз өзара әрекеттесулерді, қолданбалардың кешігуін, ең белсенді пайдаланушыларды, аномалияларды, зиянды бағдарламаларды және APTs анықтауға болады. Сонымен қатар, сіз сканерлерді, пентестерлерді таба аласыз және HTTPS трафигінің криптоаудитін жүргізе аласыз. Қосымша пайдалану жағдайларын мына жерден таба аласыз .
Егер сіз желіңізде барлығы қаншалықты тегіс және тиімді жұмыс істейтінін тексергіңіз келсе, жіберіңіз .
Жақын арада біз ақпараттық қауіпсіздіктің әртүрлі өнімдері бойынша тағы бірнеше техникалық жарияланымдарды жоспарлап отырмыз. Егер сізді осы тақырып қызықтырса, біздің арналардағы жаңартуларды қадағалаңыз (, , , )!
Ақпарат көзі: www.habr.com