Solutio analytica est in campo securitatis informationis quae minis comprehensivam vigilantiam praebet in retiaculis distributis. StealthWatch fundatur in colligendis NetFlow et IPFIX ex iter, virgas et alias machinas retis. Quam ob rem retis fit sensorem sensitivum et administratori permittit inspicere loca ubi methodi retis traditae securitatis, ut Proxima Generatio Firewall, attingere non potest.
In articulis superioribus iam de StealthWatch scripsi: Et . Nunc propono movere ac disserere quomodo cum terroribus laborare et explorare securitatem incidentium solutionem generare. Erunt exempla quae spero utilem fructus utilitatis dabit.
Primum, dicendum est quod StealthWatch habet aliquam distributionem terrorum inter algorithmos et alimenta. Primae variae sunt terrorum species (notificationes), cum utitur, suspecta in retis deprehendere potes. Secundum securitatem sunt incidentes. Hic articulus spectabit 4 exempla algorithmorum Urguet et 2 exempla feedum.
1. Analysis maximae interationes in retiaculis
Primus gradus erigendi StealthWatch est exercituum ac retiacula in coetus definire. In interface tela Configurare > Militiae Group Management Networks, exercituum et servientes in opportunis coetibus collocari debent. Etiam coetus vestri creare potes. Obiter dividendo interactiones inter exercitum in Cisco StealthWatch satis opportunum est, cum non solum columellas per flumen quaerere, sed etiam ipsas eventus possis quaerere.
Ut incipias, interfaciei interretialem te ire ad tab Analyse > Quaerere fluunt. Deinde parametros sequentes appone:
- Quaerere Type - Top Colloquia (pleraque interationes)
- Tempus dolor - XXIV horas (tempus tempus, alio uti potes)
- Nomen Quaerere - Top Colloquia Intus-Inside (quodlibet nomen amica)
- Subiecto - Hostiae Groups β Exercituum Intus (source - coetus exercituum internorum)
- Connection (deferre potes portus, applicationes)
- PAR - Exercitus Groups β Exercituum (destinatio - coetus nodis internis)
- In Provectus Optiones, collectorem addere potes ex quo notitia spectatur, output (per bytes, rivos etc). Ut defaltam relinquam.
Post premere puga quaerere index interactionum monstratur quae iam per quantitatem notitiarum translatarum digesta sunt.
In exemplum meum exercitum 10.150.1.201 (servo) in tantum unum filum traducitur 1.5 MB traffic ad exercitum 10.150.1.200 (Cliens) by protocol MySQL. Button Curo columnarum sino te plures columnas addere ad output data.
Deinceps, de arbitrio administratoris, consuetudo regulae creare potes quae hoc genus commercii semper felis et certiorem te per SNMP, email vel Syslog.
2. Analysis tardissimi clientis server interactiones in retiacula moras
tags SRT (Servo Response Time), RTT (Round Trip Time) patiar te invenire servo moras et retis generalis moras. Hoc instrumentum maxime utile est cum opus est ut cito causam querelis usoris de applicatione tarda currente invenias.
illud: Omnes fere Netflow exporters nescio quomodo mitte SRT, RTT tags, toties, ut huiusmodi notitias in FlowSensor videas, necesse est configurare exemplum negotiationis e retis machinis mittendis. Rursus FlowSensor extensum IPFIX ad FlowCollector mittit.
Commodius est hanc explicationem exsequi in applicatione StealtWatch Java, quae in computatro administratoris inauguratus est.
Ius mus tange bullam Intra sabaoth et ad tab Fluere Tabula.
Click Filter ac parametri necessaria. Exemplum:
- Dies / Tempus - Ad ultimum III dies
- Euismod - Mediocris circa Trinus Tempus >=50ms
Postquam notitias ostendimus, RT et SRT addere debemus agros, qui nobis intersunt. Ad hoc fac, deprime in columna in screenshots elige et cum mure dextro puga Curo columnarum. Deinceps preme RTT, SRT parametri.
Post petitionem dispensando, mediocris per RT digesta sum et interationes tardissimas vidi.
Ut in detailed informationes ire, ius-click in flumine et eligere Velox View in O.
Haec notitia indicat exercitum 10.201.3.59 ex coetus Sales et Venalicium per protocol NFS refertur ad DNS server pro minutis et 23 secundis et modo terribili lag. In tab Interfaces invenire potes ex qua notitia exportatoris Netflow in notitia impetrata est. In tab Mensa Accuratior notitia de commercio ostenditur.
Deinde, quaeres quae machinae negotiationes ad Fluvium Sensorem mittant et quaestionem ibi maxime probabilem iacentem.
Praeterea, StealthWatch unicum est in eo quod agit deduplicatio data (idem rivi coniungit). Ergo ex omnibus fere Netflow machinis colligere potes et noli timere ne multum duplicata notitia erit. Immo in hoc consilio juvabit intelligere quas maximas moras salit.
3. Audit de HTTPS cryptographic protocolla
ETA (Encrypted Traffic Analytics) ars technica a Cisco evoluta est, quae te permittit ut malignos hospites in encrypto negotiationis deprehendere sine decrypting sinat. Praeterea haec technica haec technologia tibi permittit ut "parse" HTTPS in TLS versionibus et protocolla cryptographica quae in iunctio adhibentur. Haec functionalitas maxime utilis est cum nodi retis deprehendere debes qui signis crypto infirma utuntur.
illud: Debes primum install retis app in StealthWatch - ETA Cryptographic Audit.
Vade ad tab Dashboards β ETA Cryptographic Audit catervam exercituum elige quam resolvere disponimus. Pro altiore pictura, eligamus Intra sabaoth.
Potes videre versionem TLS et vexillum crypto respondentem esse output. Secundum consuetudinem in columna Actions ire ad View fluit et incipit quaerere in nova tab.
Ex output videri potest quod exercitum 198.19.20.136 super 12 horis usus est HTTPS cum TLS 1.2, ubi encryption algorithmus Aes, 256 et Nullam munus HA-384. Sic, ETA permittit te algorithms debile in retiaculis invenire.
4. Network anomalia analysis
Cisco StealthWatch cognoscere potest anomaliae negotiationis in retiaculis utens tria instrumenta: Core Events (Securitatem rerum); Relatio Events (eventa interactiones inter segmenta, nodorum network) et modus analysis.
Analysis morum vicissim permittit tempus agendi exemplar agendi pro certo exercitui vel catervae exercituum aedificandi. Quanto negotiatio quae per StealthWatch transit, eo accuratius summae gratiae huic analysi erunt. In primo, ratio triggers multum male, ut normae "torqueri" debeant manu. Suadeo tibi ut eiusmodi eventus in primis paucis septimanis ignores, prout ratio se componet, vel exceptionibus adiciet.
Infra exemplum regulae praefinitae anomaliaequos eventus sine terrore incendet hospes in Inside Exercitationis coetus interacts cum catervae In medio Hostiae et intra 24 horas negotiatio superabit 10 megabytas..
Exempli gratia: terrorem capiamus Data Hoarding, quod significat aliquem fontem/destinationis exercitum imposuistis/download enormis magna copia notitiarum e coetu exercituum vel hospitis. Deprime eventum et vade ad mensam, ubi excitandae hostiae indicantur. Deinde eligite exercitum quem interest in columna Data Hoarding.
Eventus monstratur significans 162k "puncta" detecta esse, et secundum consilium 100k "punctorum" permitti - haec sunt metrica interna StealthWatch. In collumn Actions dis View fluit.
Non possumus videre quod data host interacted nocturno exercitu 10.201.3.47 a department Venditio & Venalicium per protocol HTTPS ac downloaded 1.4 MB. Fortasse hoc exemplum non omnino proficit, sed detectio interactionum etiam plurium centum gigabytarum eodem modo exercetur. Ergo ulterior investigatio anomaliae ad eventus iucundos perduci potest.
illud: in interface SMC, data in tabs Dashboards monstrantur tantum ultima septimana et in tab monitor in novissimo II weeks. Ad res maiora resolvere et relationes generare, debes cum Java console in computatro administratoris operari.
5 invenit internum network lustrat
Nunc inspiciamus pauca exempla feedum - rerum notitiarum securitatis. Haec functionality plus interest ad professionales securitatem.
Plures figurae eventus scan preset in StealthWatch:
- Portus Scan-fons perlustrat plures portus in locum desideratum exercitum.
- Addr tcp scan - fons retis totam in eodem TCP portum lustrat, mutato destinatione IP oratio. Hoc in casu, fons TCP Reset fasciculos accipit vel responsa omnino non recipit.
- Addr udp scan - fons retis totam in eodem UDP portum perlustrat, mutato destinatione IP oratio. Hoc in casu, fons IMP Portus inreachabiles fasciculos accipit vel responsa omnino non recipit.
- Ping Scan - fons ICMP petitiones mittit retis totius ut responsa quaerant.
- Furtim Scan tΡp/udp - fons eundem portum ad plures portus nodi destinatum simul coniungere.
Quo commodius ut omnes simul interni emicantes inveniantur, app retis est StealthWatch - Visibilitas aestimatione. Ad tab Dashboards β Visibilitas aestimatione β Internus Network Scanners securitatis relatas ad ultimas 2 septimanas intuens videbis.
Clicking in puga pyga Details, initium intuendi cuiusque retis, negotiationis trend et congruentia terroribus videbis.
Deinde, "deficere" potes in exercitu e tab in tortore priore et videre eventus securitatis, necnon actionem per hebdomadam proximam huius exercitus.
Exemplum, eventus resolvere Portus Scan ex host 10.201.3.149 on 10.201.0.72, instans Actionibus> Associated fluit. Quaesitum filum emissum est et informationes tali ostenditur.
Quomodo hunc exercitum ex uno portubus videmus 51508 / TCP lustrabat lumine III horis ante locum desideratum exercitum per portum 22, 28, 42, 41, 36, 40;. Nonnulli agri informationes non ostendunt vel quia non omnes agros Netflow in exportatoriis Netflow sustinentur.
6. Analysis malware per CTA downloaded
CTA (Cognitiva comminatio Analytics) β Cisco nubem analyticam, quae perfecte cum Cisco StealthWatch integrat et te permittit ut analysin liberam subscriptionem compleat cum analysi signature. Quo fit, ut Troianos deprehendas, vermiculos retis, malware zephyros et alia malware et in retiaculis distribuas. Etiam, antedicta ETA technologiae technologiae te permittit ut eiusmodi malitiosas communicationes in encrypto negotiationis resolvere.
Ad litteram in primo tab in interfaciei interretiali peculiaris est vestigatio Cognitiva comminatio Analytics. Brevis summatim indicat minas deprehensas in usoris exercituum: Troiana, fraudulenta programmata, cautela molestissima. Verbum "Encrypted" opus ETA indicat. Strepitando in hospite omnia de eo informationes, eventus securitatis, CTA acta, apparet.
In singulis gradibus CTA volitando eventus ostendit accuratam informationem de commercio. Ad analytica completa, preme hic View incident Detailset ad solatium separatum eris Cognitiva comminatio Analytics.
In angulo dextro dextro, filtrum per severitatem planum eventa ostendere sinit. Cum anomalia specifica designes, tigna apparent in fundo scrinii cum debita timeline dextra. Ita notitiae securitatis artifex clare intellegit quae hospes infectis, post quos actiones, quas actiones praestare incepit.
Infra exemplum est - faenus Troianus qui exercitum infecit 198.19.30.36. Exercitus hic cum malitiosis ditionibus se agere coepit, et tigna notitias ostendere super harum interactionibus fluxum.
Deinde optimarum solutionum quae possunt esse ad quarentenam exercitum agentes in patria apud Cisco ISE pro ulteriori curatione et analysi.
conclusio,
Solutio in Cisco StealthWatch una e ducibus retis vigilantia productorum tam in analysi retis quam in notitia securitatis. Propter hoc, commercium illegitimum deprehendere potes intra retis, applicationis moras, acerrimas utentes, anomalias, malware et aptas. Praeterea invenire potes scannatores, penentestres, et crypto-audium HTTPS mercaturae perducere potes. Etiam pluribus casibus uti potes .
Si in retiaculis tuis opera omnia quam blande et efficaciter inspicias velim, mitte .
In proximo futuro, plura technicae publicationes excogitamus in variis informationibus securitatis productorum. Si interesse in hoc loco, sequere in canalibus nostris updates (, , , )!
Source: www.habr.com