StealthWatch៖ ការវិភាគ និងស៊ើបអង្កេតឧប្បត្តិហេតុ។ ផ្នែកទី 3

Cisco StealthWatch គឺជាដំណោះស្រាយវិភាគក្នុងវិស័យសន្តិសុខព័ត៌មាន ដែលផ្តល់នូវការត្រួតពិនិត្យយ៉ាងទូលំទូលាយនៃការគំរាមកំហែងនៅក្នុងបណ្តាញចែកចាយ។ StealthWatch គឺផ្អែកលើការប្រមូល NetFlow និង IPFIX ពីរ៉ោតទ័រ ឧបករណ៍ប្តូរ និងឧបករណ៍បណ្តាញផ្សេងទៀត។ ជាលទ្ធផល បណ្តាញក្លាយជាឧបករណ៍ចាប់សញ្ញារសើប និងអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងរកមើលកន្លែងដែលវិធីសាស្ត្រសុវត្ថិភាពបណ្តាញប្រពៃណី ដូចជា Next Generation Firewall មិនអាចទៅដល់បាន។

នៅក្នុងអត្ថបទមុនខ្ញុំបានសរសេររួចហើយអំពី StealthWatch: ការណែនាំដំបូងនិងឱកាស, ក៏ដូចជា ការដាក់ពង្រាយ និងការកំណត់រចនាសម្ព័ន្ធ. ឥឡូវនេះខ្ញុំស្នើឱ្យបន្ត និងពិភាក្សាអំពីរបៀបធ្វើការជាមួយសំឡេងរោទិ៍ និងស៊ើបអង្កេតឧប្បត្តិហេតុសុវត្ថិភាពដែលដំណោះស្រាយបង្កើត។ វានឹងមានឧទាហរណ៍ចំនួន 6 ដែលខ្ញុំសង្ឃឹមថានឹងផ្តល់គំនិតល្អអំពីអត្ថប្រយោជន៍នៃផលិតផល។

ជាដំបូង វាគួរតែត្រូវបាននិយាយថា StealthWatch មានការចែកចាយសំឡេងរោទិ៍មួយចំនួនរវាង algorithms និង feeds ។ ទីមួយគឺជាប្រភេទផ្សេងៗនៃការជូនដំណឹង (ការជូនដំណឹង) នៅពេលកេះ អ្នកអាចរកឃើញអ្វីដែលគួរឱ្យសង្ស័យនៅលើបណ្តាញ។ ទីពីរ​គឺ​ឧប្បត្តិហេតុ​សន្តិសុខ។ អត្ថបទនេះនឹងពិនិត្យមើលឧទាហរណ៍ 4 នៃក្បួនដោះស្រាយដែលបានបង្កឡើង និង 2 ឧទាហរណ៍នៃមតិព័ត៌មាន។

1. ការវិភាគនៃអន្តរកម្មធំបំផុតនៅក្នុងបណ្តាញ

ជំហានដំបូងក្នុងការដំឡើង StealthWatch គឺដើម្បីកំណត់ម៉ាស៊ីន និងបណ្តាញទៅជាក្រុម។ នៅក្នុងផ្ទាំងចំណុចប្រទាក់បណ្ដាញ កំណត់រចនាសម្ព័ន្ធ > ការគ្រប់គ្រងក្រុមម៉ាស៊ីន បណ្តាញ ម៉ាស៊ីន និងម៉ាស៊ីនមេ គួរតែត្រូវបានចាត់ថ្នាក់ជាក្រុមសមស្រប។ អ្នកក៏អាចបង្កើតក្រុមផ្ទាល់ខ្លួនរបស់អ្នកផងដែរ។ ដោយវិធីនេះ ការវិភាគអន្តរកម្មរវាងម៉ាស៊ីននៅក្នុង Cisco StealthWatch គឺងាយស្រួលណាស់ ព្រោះអ្នកមិនត្រឹមតែអាចរក្សាទុកតម្រងស្វែងរកតាមស្ទ្រីមប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងលទ្ធផលរបស់វាទៀតផង។

ដើម្បីចាប់ផ្តើមជាមួយ ចំណុចប្រទាក់បណ្ដាញ អ្នកគួរតែចូលទៅកាន់ផ្ទាំង វិភាគ > ស្វែងរកលំហូរ. បន្ទាប់មកអ្នកគួរតែកំណត់ប៉ារ៉ាម៉ែត្រដូចខាងក្រោមៈ

• ប្រភេទស្វែងរក - ការសន្ទនាកំពូល (អន្តរកម្មពេញនិយមបំផុត)
• ជួរពេលវេលា — 24 ម៉ោង (រយៈពេលអ្នកអាចប្រើមួយផ្សេងទៀត)
• ឈ្មោះស្វែងរក - ការសន្ទនាកំពូលខាងក្នុង-ខាងក្នុង (ឈ្មោះដែលរួសរាយរាក់ទាក់)
• ប្រធានបទ - ក្រុមម្ចាស់ផ្ទះ → ម៉ាស៊ីនខាងក្នុង (ប្រភព - ក្រុមនៃម៉ាស៊ីនខាងក្នុង)
• ការតភ្ជាប់ (អ្នកអាចបញ្ជាក់ច្រក, កម្មវិធី)
• Peer - ក្រុមម្ចាស់ផ្ទះ → ខាងក្នុងម៉ាស៊ីន (ទិសដៅ - ក្រុមនៃថ្នាំងខាងក្នុង)
• នៅក្នុងជម្រើសកម្រិតខ្ពស់ អ្នកអាចបញ្ជាក់បន្ថែមលើអ្នកប្រមូលដែលទិន្នន័យត្រូវបានមើល តម្រៀបទិន្នផល (តាមបៃ ស្ទ្រីម ។ល។)។ ខ្ញុំនឹងទុកវាជាលំនាំដើម។

បន្ទាប់ពីចុចប៊ូតុង ស្វែងរក បញ្ជីនៃអន្តរកម្មត្រូវបានបង្ហាញ ដែលត្រូវបានតម្រៀបតាមចំនួនទិន្នន័យដែលបានផ្ទេររួចហើយ។

ក្នុងឧទាហរណ៍របស់ខ្ញុំម្ចាស់ផ្ទះ 10.150.1.201 (ម៉ាស៊ីនមេ) បញ្ជូនក្នុងខ្សែតែមួយ 1.5 GB ចរាចរណ៍ទៅកាន់ម្ចាស់ផ្ទះ 10.150.1.200 (អតិថិជន) តាមពិធីការ កម្មវិធី MySQL. ប៊ូតុង គ្រប់គ្រងជួរឈរ អនុញ្ញាតឱ្យអ្នកបន្ថែមជួរឈរបន្ថែមទៀតទៅទិន្នន័យលទ្ធផល។

បន្ទាប់មក តាមការសម្រេចចិត្តរបស់អ្នកគ្រប់គ្រង អ្នកអាចបង្កើតច្បាប់ផ្ទាល់ខ្លួនដែលនឹងតែងតែបង្កឱ្យមានអន្តរកម្មប្រភេទនេះ ហើយជូនដំណឹងដល់អ្នកតាមរយៈ SNMP អ៊ីមែល ឬ Syslog ។

2. ការវិភាគនៃអន្តរកម្មម៉ាស៊ីនភ្ញៀវ-ម៉ាស៊ីនមេយឺតបំផុតនៅក្នុងបណ្តាញសម្រាប់ការពន្យារពេល

ស្លាក SRT (ពេលវេលាឆ្លើយតបរបស់ម៉ាស៊ីនមេ), RTT (ម៉ោងធ្វើដំណើរទៅមក) អនុញ្ញាតឱ្យអ្នកស្វែងរកការពន្យារពេលម៉ាស៊ីនមេ និងការពន្យារពេលបណ្តាញទូទៅ។ ឧបករណ៍នេះមានប្រយោជន៍ជាពិសេសនៅពេលដែលអ្នកត្រូវការស្វែងរកមូលហេតុនៃការត្អូញត្អែររបស់អ្នកប្រើប្រាស់យ៉ាងឆាប់រហ័សអំពីកម្មវិធីដែលដំណើរការយឺត។

ការកត់សម្គាល់៖ អ្នកនាំចេញ Netflow ស្ទើរតែទាំងអស់។ មិនដឹងពីរបៀប ផ្ញើស្លាក SRT, RTT ដូច្នេះជាញឹកញាប់ ដើម្បីមើលទិន្នន័យបែបនេះនៅលើ FlowSensor អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធការផ្ញើច្បាប់ចម្លងចរាចរណ៍ពីឧបករណ៍បណ្តាញ។ FlowSensor ជាវេនបញ្ជូន IPFIX ដែលបានពង្រីកទៅ FlowCollector ។

វាកាន់តែងាយស្រួលក្នុងការអនុវត្តការវិភាគនេះនៅក្នុងកម្មវិធី StealtWatch java ដែលត្រូវបានដំឡើងនៅលើកុំព្យូទ័ររបស់អ្នកគ្រប់គ្រង។

ប៊ូតុងកណ្ដុរខាងស្ដាំបើក ខាងក្នុងម៉ាស៊ីន ហើយចូលទៅកាន់ផ្ទាំង តារាងលំហូរ.

ចុចលើ តម្រង និងកំណត់ប៉ារ៉ាម៉ែត្រចាំបាច់។ ជាឧទាហរណ៍៖

• កាលបរិច្ឆេទ/ពេលវេលា - សម្រាប់ 3 ថ្ងៃចុងក្រោយ
• ការអនុវត្ត — ពេលវេលាធ្វើដំណើរជាមធ្យម>=50ms

បន្ទាប់ពីបង្ហាញទិន្នន័យ យើងគួរតែបន្ថែមវាល RTT និង SRT ដែលយើងចាប់អារម្មណ៍។ ដើម្បីធ្វើដូចនេះចុចលើជួរឈរក្នុងរូបថតអេក្រង់ហើយជ្រើសរើសដោយប្រើប៊ូតុងកណ្ដុរខាងស្ដាំ គ្រប់គ្រងជួរឈរ. បន្ទាប់មកចុច RTT ប៉ារ៉ាម៉ែត្រ SRT ។

បន្ទាប់ពីដំណើរការសំណើ ខ្ញុំបានតម្រៀបតាមមធ្យមភាគ RTT ហើយឃើញអន្តរកម្មយឺតបំផុត។

ដើម្បីចូលទៅក្នុងពត៌មានលម្អិត ចុចខាងស្តាំលើស្ទ្រីម ហើយជ្រើសរើស ទិដ្ឋភាពរហ័សសម្រាប់លំហូរ.

ព័ត៌មាននេះបង្ហាញថាម្ចាស់ផ្ទះ 10.201.3.59 ពីក្រុម ការលក់និងទីផ្សារ ដោយពិធីការ NFS អំពាវនាវដល់ ម៉ាស៊ីនមេ DNS សម្រាប់មួយនាទី និង 23 វិនាទី ហើយមានភាពយឺតយ៉ាវដ៏គួរឱ្យភ័យខ្លាច។ នៅក្នុងផ្ទាំង ចំណុចប្រទាក់ អ្នកអាចស្វែងយល់ថាតើអ្នកនាំចេញទិន្នន័យ Netflow ណាដែលព័ត៌មានទទួលបានពី។ នៅក្នុងផ្ទាំង តារាង ព័ត៌មានលម្អិតបន្ថែមអំពីអន្តរកម្មត្រូវបានបង្ហាញ។

បន្ទាប់មក អ្នកគួរតែស្វែងយល់ថាតើឧបករណ៍ណាខ្លះដែលបញ្ជូនចរាចរណ៍ទៅកាន់ FlowSensor ហើយបញ្ហាទំនងជានៅទីនោះ។

លើសពីនេះទៅទៀត StealthWatch មានលក្ខណៈពិសេសតែមួយគត់ដែលវាដំណើរការ ការដកប្រាក់ ទិន្នន័យ (រួមបញ្ចូលគ្នានូវស្ទ្រីមដូចគ្នា) ។ ដូច្នេះហើយ អ្នកអាចប្រមូលពីឧបករណ៍ Netflow ស្ទើរតែទាំងអស់ ហើយកុំខ្លាចថានឹងមានទិន្នន័យស្ទួនច្រើន។ ផ្ទុយទៅវិញ នៅក្នុងគ្រោងការណ៍នេះ វានឹងជួយឱ្យយល់ថាតើ hop មួយណាមានការពន្យាពេលច្រើនបំផុត។

3. សវនកម្មនៃពិធីការគ្រីប HTTPS

ETA (ការវិភាគចរាចរណ៍ដែលបានអ៊ិនគ្រីប) គឺជាបច្ចេកវិទ្យាមួយដែលត្រូវបានបង្កើតឡើងដោយ Cisco ដែលអនុញ្ញាតឱ្យអ្នករកឃើញការតភ្ជាប់ព្យាបាទនៅក្នុងចរាចរណ៍ដែលបានអ៊ិនគ្រីបដោយមិនចាំបាច់ឌិគ្រីបវា។ លើសពីនេះទៅទៀត បច្ចេកវិទ្យានេះអនុញ្ញាតឱ្យអ្នក "ញែក" HTTPS ទៅជាកំណែ TLS និងពិធីការគ្រីបដែលត្រូវបានប្រើកំឡុងពេលភ្ជាប់។ មុខងារនេះមានប្រយោជន៍ជាពិសេសនៅពេលដែលអ្នកត្រូវការស្វែងរកថ្នាំងបណ្តាញដែលប្រើស្តង់ដារគ្រីបតូខ្សោយ។

ការកត់សម្គាល់៖ ដំបូងអ្នកត្រូវដំឡើងកម្មវិធីបណ្តាញនៅលើ StealthWatch - ETA សវនកម្មគ្រីបតូ.

ចូលទៅកាន់ផ្ទាំង Dashboards → ETA Cryptographic Audit ហើយជ្រើសរើសក្រុមម៉ាស៊ីនដែលយើងគ្រោងនឹងវិភាគ។ សម្រាប់រូបភាពទូទៅ ចូរយើងជ្រើសរើស ខាងក្នុងម៉ាស៊ីន.

អ្នកអាចមើលឃើញថាកំណែ TLS និងស្តង់ដារគ្រីបតូដែលត្រូវគ្នាគឺជាលទ្ធផល។ នេះបើយោងតាមគ្រោងការណ៍ធម្មតានៅក្នុងជួរឈរ បន្ទះ Actions ទៅ មើលលំហូរ ហើយការស្វែងរកចាប់ផ្តើមនៅក្នុងផ្ទាំងថ្មី។

ពីទិន្នផលវាអាចត្រូវបានគេមើលឃើញថាម៉ាស៊ីន 198.19.20.136 នៅលើ протяжении 12 ម៉ោង បានប្រើ HTTPS ជាមួយ TLS 1.2 ដែលក្បួនដោះស្រាយការអ៊ិនគ្រីប AES-256 និងមុខងារ hash SHA-384. ដូច្នេះ ETA អនុញ្ញាតឱ្យអ្នកស្វែងរកក្បួនដោះស្រាយខ្សោយនៅលើបណ្តាញ។

4. ការវិភាគភាពមិនធម្មតានៃបណ្តាញ

Cisco StealthWatch អាចទទួលស្គាល់ភាពមិនប្រក្រតីនៃចរាចរណ៍នៅលើបណ្តាញដោយប្រើឧបករណ៍បី៖ ព្រឹត្តិការណ៍ស្នូល (ព្រឹត្តិការណ៍សន្តិសុខ), ព្រឹត្តិការណ៍ទំនាក់ទំនង (ព្រឹត្តិការណ៍នៃអន្តរកម្មរវាងផ្នែក, ថ្នាំងបណ្តាញ) និង ការវិភាគអាកប្បកិរិយា.

ការវិភាគឥរិយាបទ អនុញ្ញាតឱ្យយូរ ៗ ទៅបង្កើតគំរូអាកប្បកិរិយាសម្រាប់ម៉ាស៊ីនជាក់លាក់មួយឬក្រុមនៃម៉ាស៊ីន។ ចរាចរណ៍កាន់តែច្រើនដែលឆ្លងកាត់ StealthWatch ការជូនដំណឹងកាន់តែត្រឹមត្រូវនឹងអរគុណចំពោះការវិភាគនេះ។ ដំបូងឡើយ ប្រព័ន្ធចាប់ផ្តើមដំណើរការមិនត្រឹមត្រូវ ដូច្នេះច្បាប់គួរតែត្រូវបាន "បង្វិល" ដោយដៃ។ ខ្ញុំសូមណែនាំឱ្យអ្នកមិនអើពើនឹងព្រឹត្តិការណ៍បែបនេះក្នុងរយៈពេលពីរបីសប្តាហ៍ដំបូង ដោយសារប្រព័ន្ធនឹងកែតម្រូវដោយខ្លួនឯង ឬបន្ថែមវាទៅករណីលើកលែង។

ខាងក្រោមនេះជាឧទាហរណ៍នៃច្បាប់ដែលបានកំណត់ទុកជាមុន អាណាលីដែលចែងថាព្រឹត្តិការណ៍នឹងឆេះដោយគ្មានសំឡេងរោទិ៍ប្រសិនបើ ម៉ាស៊ីននៅក្នុងក្រុម Inside Hosts ធ្វើអន្តរកម្មជាមួយក្រុម Inside Hosts ហើយក្នុងរយៈពេល 24 ម៉ោង ចរាចរណ៍នឹងលើសពី 10 មេកាបៃ.

ជាឧទាហរណ៍ ចូរយើងយកសំឡេងរោទិ៍ ការផ្ទុកទិន្នន័យដែលមានន័យថាម៉ាស៊ីនប្រភព/គោលដៅមួយចំនួនបានបង្ហោះ/ទាញយកទិន្នន័យចំនួនច្រើនមិនធម្មតាពីក្រុមម៉ាស៊ីន ឬម៉ាស៊ីនមួយ។ ចុចលើព្រឹត្តិការណ៍ ហើយចូលទៅកាន់តារាងដែលម៉ាស៊ីនកេះត្រូវបានចង្អុលបង្ហាញ។ បន្ទាប់មកជ្រើសរើសម៉ាស៊ីនដែលយើងចាប់អារម្មណ៍នៅក្នុងជួរឈរ ការផ្ទុកទិន្នន័យ.

ព្រឹត្តិការណ៍មួយត្រូវបានបង្ហាញដោយបង្ហាញថា 162k "ពិន្ទុ" ត្រូវបានរកឃើញ ហើយយោងទៅតាមគោលការណ៍ 100k "ពិន្ទុ" ត្រូវបានអនុញ្ញាត - ទាំងនេះគឺជាម៉ែត្រ StealthWatch ខាងក្នុង។ នៅក្នុងជួរឈរមួយ។ បន្ទះ Actions ажимаем មើលលំហូរ.

យើងអាចសង្កេតបាន។ ម៉ាស៊ីនដែលបានផ្តល់ឱ្យ អន្តរកម្មជាមួយម្ចាស់ផ្ទះនៅពេលយប់ 10.201.3.47 ពីនាយកដ្ឋាន ការលក់និងទីផ្សារ ដោយពិធីការ HTTPS និងបានទាញយក 1.4 GB. ប្រហែលជាឧទាហរណ៍នេះមិនជោគជ័យទាំងស្រុងទេ ប៉ុន្តែការរកឃើញអន្តរកម្មសូម្បីតែរាប់រយជីហ្គាបៃត្រូវបានអនុវត្តតាមវិធីដូចគ្នាយ៉ាងពិតប្រាកដ។ ដូច្នេះ ការស៊ើបអង្កេតបន្ថែមលើភាពមិនប្រក្រតីអាចនាំឱ្យមានលទ្ធផលគួរឱ្យចាប់អារម្មណ៍។

ការកត់សម្គាល់៖ នៅក្នុងចំណុចប្រទាក់បណ្ដាញ SMC ទិន្នន័យស្ថិតនៅក្នុងផ្ទាំង ផ្ទាំងគ្រប់គ្រង ត្រូវបានបង្ហាញសម្រាប់តែសប្តាហ៍ចុងក្រោយ និងនៅក្នុងផ្ទាំងប៉ុណ្ណោះ។ កម្មវិធីត្រួតពិនិត្យ ក្នុងរយៈពេល 2 សប្តាហ៍ចុងក្រោយនេះ។ ដើម្បីវិភាគព្រឹត្តិការណ៍ចាស់ៗ និងបង្កើតរបាយការណ៍ អ្នកត្រូវធ្វើការជាមួយ java console នៅលើកុំព្យូទ័ររបស់អ្នកគ្រប់គ្រង។

5. ស្វែងរកការស្កេនបណ្តាញខាងក្នុង

ឥឡូវនេះសូមមើលឧទាហរណ៍មួយចំនួននៃមតិព័ត៌មាន - ឧប្បត្តិហេតុសុវត្ថិភាពព័ត៌មាន។ មុខងារនេះមានការចាប់អារម្មណ៍ច្រើនចំពោះអ្នកជំនាញផ្នែកសន្តិសុខ។

មានប្រភេទព្រឹត្តិការណ៍ស្កេនដែលបានកំណត់ជាមុនជាច្រើននៅក្នុង StealthWatch៖

• ច្រកស្កេន - ប្រភពស្កេនច្រកជាច្រើននៅលើម៉ាស៊ីនគោលដៅ។
• Addr tcp scan - ប្រភពស្កេនបណ្តាញទាំងមូលនៅលើច្រក TCP ដូចគ្នាដោយផ្លាស់ប្តូរអាសយដ្ឋាន IP ទិសដៅ។ ក្នុងករណីនេះ ប្រភពទទួលបានកញ្ចប់ TCP Reset ឬមិនទទួលបានការឆ្លើយតបទាល់តែសោះ។
• Addr udp scan - ប្រភពស្កេនបណ្តាញទាំងមូលនៅលើច្រក UDP ដូចគ្នា ខណៈពេលដែលផ្លាស់ប្តូរអាសយដ្ឋាន IP ទិសដៅ។ ក្នុងករណីនេះ ប្រភពទទួលបានកញ្ចប់ព័ត៌មាន ICMP Port Unreachable ឬមិនទទួលបានការឆ្លើយតបទាល់តែសោះ។
• Ping Scan - ប្រភពផ្ញើសំណើ ICMP ទៅបណ្តាញទាំងមូលដើម្បីស្វែងរកចម្លើយ។
• Stealth Scan tсp/udp - ប្រភពបានប្រើច្រកដូចគ្នាដើម្បីភ្ជាប់ទៅច្រកជាច្រើននៅលើថ្នាំងទិសដៅក្នុងពេលតែមួយ។

ដើម្បីធ្វើឱ្យវាកាន់តែងាយស្រួលក្នុងការស្វែងរកម៉ាស៊ីនស្កេនខាងក្នុងទាំងអស់ក្នុងពេលតែមួយ មានកម្មវិធីបណ្តាញសម្រាប់ StealthWatch - ការវាយតម្លៃភាពមើលឃើញ. ទៅផ្ទាំង ផ្ទាំងគ្រប់គ្រង → ការវាយតម្លៃលទ្ធភាពមើលឃើញ → ម៉ាស៊ីនស្កេនបណ្តាញខាងក្នុង អ្នកនឹងឃើញឧប្បត្តិហេតុសុវត្ថិភាពដែលទាក់ទងនឹងការស្កេនសម្រាប់រយៈពេល 2 សប្តាហ៍ចុងក្រោយ។

ការចុចប៊ូតុង Detailsអ្នកនឹងឃើញការចាប់ផ្តើមស្កេនបណ្តាញនីមួយៗ និន្នាការចរាចរណ៍ និងការជូនដំណឹងដែលត្រូវគ្នា។

បន្ទាប់មក អ្នកអាច "បរាជ័យ" ចូលទៅក្នុងម៉ាស៊ីនពីផ្ទាំងនៅក្នុងរូបថតអេក្រង់មុន និងមើលព្រឹត្តិការណ៍សុវត្ថិភាព ក៏ដូចជាសកម្មភាពក្នុងសប្តាហ៍ចុងក្រោយសម្រាប់ម៉ាស៊ីននេះ។

ជាឧទាហរណ៍ ចូរយើងវិភាគព្រឹត្តិការណ៍ ច្រកស្កេន ពីម្ចាស់ផ្ទះ 10.201.3.149 នៅលើ 10.201.0.72, ចុច សកម្មភាព > លំហូរដែលពាក់ព័ន្ធ. ការស្វែងរកខ្សែស្រឡាយត្រូវបានចាប់ផ្តើម ហើយព័ត៌មានពាក់ព័ន្ធត្រូវបានបង្ហាញ។

របៀបដែលយើងឃើញម៉ាស៊ីននេះពីច្រកមួយរបស់វា។ 51508/TCP បានស្កេនកាលពី 3 ម៉ោងមុន គោលដៅម៉ាស៊ីនតាមច្រក 22, 28, 42, 41, 36, 40 (TCP). វាលខ្លះមិនបង្ហាញព័ត៌មានទេ ពីព្រោះមិនមែនវាល Netflow ទាំងអស់ត្រូវបានគាំទ្រនៅលើអ្នកនាំចេញ Netflow ទេ។

6. ការវិភាគមេរោគដែលបានទាញយកដោយប្រើ CTA

CTA (ការវិភាគការគំរាមកំហែងការយល់ដឹង) - Cisco cloud analytics ដែលរួមបញ្ចូលយ៉ាងល្អឥតខ្ចោះជាមួយ Cisco StealthWatch និងអនុញ្ញាតឱ្យអ្នកបំពេញបន្ថែមការវិភាគដោយគ្មានហត្ថលេខាជាមួយនឹងការវិភាគហត្ថលេខា។ វាធ្វើឱ្យវាអាចរកឃើញ Trojan, ដង្កូវបណ្តាញ, មេរោគសូន្យថ្ងៃ និងមេរោគផ្សេងទៀត ហើយចែកចាយពួកវានៅក្នុងបណ្តាញ។ ដូចគ្នានេះផងដែរ បច្ចេកវិទ្យា ETA ដែលបានរៀបរាប់ពីមុនអនុញ្ញាតឱ្យអ្នកវិភាគទំនាក់ទំនងអាក្រក់បែបនេះនៅក្នុងចរាចរណ៍ដែលបានអ៊ិនគ្រីប។

តាមព្យញ្ជនៈនៅលើផ្ទាំងដំបូងបំផុតនៅក្នុងចំណុចប្រទាក់គេហទំព័រមានធាតុក្រាហ្វិកពិសេស ការវិភាគការគំរាមកំហែងការយល់ដឹង. សេចក្តីសង្ខេបខ្លីៗបង្ហាញពីការគំរាមកំហែងដែលបានរកឃើញនៅលើម៉ាស៊ីនអ្នកប្រើប្រាស់៖ Trojan, កម្មវិធីក្លែងបន្លំ, Adware រំខាន។ ពាក្យ "អ៊ិនគ្រីប" ពិតជាបង្ហាញពីការងាររបស់ ETA ។ ដោយចុចលើម៉ាស៊ីនមួយ ព័ត៌មានទាំងអស់អំពីវា ព្រឹត្តិការណ៍សុវត្ថិភាព រួមទាំងកំណត់ហេតុ CTA លេចឡើង។

ដោយដាក់លើដំណាក់កាលនីមួយៗនៃ CTA ព្រឹត្តិការណ៍បង្ហាញព័ត៌មានលម្អិតអំពីអន្តរកម្ម។ សម្រាប់ការវិភាគពេញលេញ សូមចុចទីនេះ មើលព័ត៌មានលម្អិតអំពីឧប្បត្តិហេតុហើយអ្នកនឹងត្រូវយកទៅកុងសូលដាច់ដោយឡែក ការវិភាគការគំរាមកំហែងការយល់ដឹង.

នៅជ្រុងខាងស្តាំខាងលើ តម្រងអនុញ្ញាតឱ្យអ្នកបង្ហាញព្រឹត្តិការណ៍តាមកម្រិតនៃភាពធ្ងន់ធ្ងរ។ នៅពេលអ្នកចង្អុលទៅភាពមិនប្រក្រតីជាក់លាក់មួយ កំណត់ហេតុនឹងលេចឡើងនៅផ្នែកខាងក្រោមនៃអេក្រង់ជាមួយនឹងបន្ទាត់ពេលវេលាដែលត្រូវគ្នានៅខាងស្តាំ។ ដូច្នេះ អ្នកឯកទេសសន្តិសុខព័ត៌មានយល់យ៉ាងច្បាស់ថាម៉ាស៊ីនណាដែលឆ្លងមេរោគ បន្ទាប់ពីសកម្មភាពនោះបានចាប់ផ្តើមធ្វើសកម្មភាពណាមួយនោះ។

ខាងក្រោមនេះគឺជាឧទាហរណ៍មួយទៀត - Trojan ធនាគារដែលឆ្លងមេរោគដល់ម៉ាស៊ីន 198.19.30.36. ម៉ាស៊ីននេះបានចាប់ផ្តើមធ្វើអន្តរកម្មជាមួយដែនព្យាបាទ ហើយកំណត់ហេតុបង្ហាញព័ត៌មានអំពីលំហូរនៃអន្តរកម្មទាំងនេះ។

បន្ទាប់មក ដំណោះស្រាយដ៏ល្អបំផុតមួយដែលអាចមានគឺត្រូវដាក់ឱ្យនៅដាច់ពីគេដោយម្ចាស់ផ្ទះដោយអរគុណដល់ម្ចាស់ដើម ការរួមបញ្ចូល ជាមួយ Cisco ISE សម្រាប់ការព្យាបាល និងការវិភាគបន្ថែម។

សេចក្តីសន្និដ្ឋាន

ដំណោះស្រាយ Cisco StealthWatch គឺជាអ្នកដឹកនាំមួយក្នុងចំណោមផលិតផលត្រួតពិនិត្យបណ្តាញទាំងផ្នែកនៃការវិភាគបណ្តាញ និងសុវត្ថិភាពព័ត៌មាន។ សូមអរគុណចំពោះវា អ្នកអាចរកឃើញអន្តរកម្មមិនស្របច្បាប់នៅក្នុងបណ្តាញ ការពន្យារពេលកម្មវិធី អ្នកប្រើប្រាស់សកម្មបំផុត ភាពមិនប្រក្រតី មេរោគ និង APTs។ លើសពីនេះទៅទៀត អ្នកអាចស្វែងរកម៉ាស៊ីនស្កែន អ្នកប្រើប្រាស់ និងធ្វើសវនកម្ម crypto-audit នៃចរាចរណ៍ HTTPS ។ អ្នកអាចស្វែងរកករណីប្រើប្រាស់កាន់តែច្រើននៅ តំណភ្ជាប់.

ប្រសិនបើអ្នកចង់ពិនិត្យមើលថាតើអ្វីៗដំណើរការយ៉ាងរលូន និងមានប្រសិទ្ធភាពនៅលើបណ្តាញរបស់អ្នកយ៉ាងណា សូមផ្ញើ ដេញថ្លៃ.
នាពេលអនាគតដ៏ខ្លីខាងមុខនេះ យើងកំពុងរៀបចំផែនការបោះពុម្ពផ្សាយបច្ចេកទេសជាច្រើនទៀតលើផលិតផលសុវត្ថិភាពព័ត៌មានផ្សេងៗ។ ប្រសិនបើអ្នកចាប់អារម្មណ៍លើប្រធានបទនេះ សូមតាមដានព័ត៌មានថ្មីៗនៅក្នុងឆានែលរបស់យើង (Telegram, Facebook, VK, ប្លុក TS Solution)!

ប្រភព: www.habr.com