ass eng analytesch Léisung am Beräich vun Informatiounssécherheet déi eng ëmfaassend Iwwerwaachung vu Geforen an engem verdeelt Netzwierk ubitt. StealthWatch baséiert op Sammelen NetFlow an IPFIX vu Router, Schalter an aner Netzwierkapparater. Als Resultat gëtt d'Netz e sensiblen Sensor an erlaabt den Administrateur op Plazen ze kucken wou traditionell Netzwierksécherheetsmethoden, wéi Next Generation Firewall, net erreechen kënnen.
A fréieren Artikelen hunn ech schonn iwwer StealthWatch geschriwwen: , wéi och . Elo proposéieren ech weider ze goen an ze diskutéieren wéi een mat Alarmer schafft an d'Sécherheetsvirfäll z'ënnersichen déi d'Léisung generéiert. Et ginn 6 Beispiller déi ech hoffen eng gutt Iddi vun der Nëtzlechkeet vum Produkt ginn.
Als éischt sollt et gesot ginn datt StealthWatch e puer Verdeelung vun Alarmer tëscht Algorithmen a Feeds huet. Déi éischt si verschidden Aarte vun Alarmer (Notifikatiounen), wann se ausgeléist ginn, kënnt Dir verdächteg Saachen am Netz erkennen. Déi zweet ass Sécherheet Tëschefäll. Dësen Artikel wäert kucken op 4 Beispiller vun Algorithmen ausgeléist an 2 Beispiller vun fidderen.
1. Analyse vun de gréissten Interaktiounen am Netz
Den éischte Schrëtt beim Opbau vun StealthWatch ass Hosten an Netzwierker a Gruppen ze definéieren. An der Web Interface Tab Configuréieren> Host Group Management Netzwierker, Hosten a Servere sollen an entspriechend Gruppen klasséiert ginn. Dir kënnt och Är eege Gruppen erstellen. Iwwregens, d'Analyse vun Interaktiounen tëscht Hosten an Cisco StealthWatch ass ganz bequem, well Dir kënnt net nëmmen Sichfiltere per Stream späicheren, awer och d'Resultater selwer.
Fir unzefänken, an der Webinterface sollt Dir op d'Tab goen Analyséieren> Flow Sich. Da sollt Dir déi folgend Parameter setzen:
- Sichtyp - Top Gespréicher (populärste Interaktiounen)
- Zäitbereich - 24 Stonnen (Zäitperiod, Dir kënnt eng aner benotzen)
- Sichnumm - Top Gespréicher Inside-Inside (all frëndlechen Numm)
- Sujet - Host Groups → Inside Hosts (Quell - Grupp vun internen Hosten)
- Verbindung (Dir kënnt Ports, Uwendungen spezifizéieren)
- Peer - Host Groups → Inside Hosts (Destinatioun - Grupp vun internen Noden)
- An Advanced Options kënnt Dir zousätzlech de Sammler spezifizéieren, aus deem d'Donnéeën gekuckt ginn, d'Ausgab sortéieren (no Bytes, Streamen, etc.). Ech loossen et als Default.
Nodeems Dir de Knäppchen dréckt Sich eng Lëscht vun Interaktiounen gëtt ugewisen, déi schonn no der Quantitéit vun den transferéierten Donnéeën zortéiert sinn.
A mengem Beispill de Host 10.150.1.201 (Server) bannent nëmmen engem thread iwwerdroen 1.5 GB Traffic op Host 10.150.1.200 (Client) duerch Protokoll MySQL. Knäppchen Spalten verwalten erlaabt Iech méi Kolonnen un d'Ausgabdaten ze addéieren.
Als nächstes, no der Diskretioun vum Administrateur, kënnt Dir eng personaliséiert Regel erstellen déi ëmmer dës Zort Interaktioun ausléist an Iech iwwer SNMP, E-Mail oder Syslog informéiert.
2. Analyse vun de luesste Client-Server Interaktiounen am Netz fir Verspéidungen
Labels SRT (Server Response Time), RTT (Round Trip Time) erlaabt Iech Server Verspéidungen an allgemeng Reseau Verspéidungen erauszefannen. Dëst Tool ass besonnesch nëtzlech wann Dir séier d'Ursaach vu Benotzerbeschwerden iwwer eng lues lafend Applikatioun muss fannen.
Remarque: bal all Netflow Exporter weess net wéi schéckt SRT, RTT Tags, sou dacks, fir esou Donnéeën op FlowSensor ze gesinn, musst Dir eng Kopie vum Traffic aus Netzwierkapparater konfiguréieren. FlowSensor schéckt am Tour den erweiderten IPFIX op FlowCollector.
Et ass méi praktesch dës Analyse an der StealtWatch Java Applikatioun auszeféieren, déi um Computer vum Administrator installéiert ass.
Riets Maus Knäppchen op Bannen Hosten a gitt op d'Tab Flow Dësch.
Klickt op Filter a setzen déi néideg Parameteren. Als Beispill:
- Datum / Zäit - Fir déi lescht 3 Deeg
- Leeschtung — Duerchschnëtt Ronn Rees Zäit >=50ms
Nodeems mir d'Donnéeën ugewisen hunn, sollte mir d'RTT- an SRT-Felder addéieren déi eis interesséieren. Fir dëst ze maachen, klickt op d'Kolonn am Screenshot a wielt mat der rietser Maus Knäppchen Spalten verwalten. Als nächst klickt op RTT, SRT Parameteren.
No der Veraarbechtung vun der Ufro hunn ech no RTT-Duerchschnëtt zortéiert an déi luesst Interaktiounen gesinn.
Fir an detailléiert Informatioun ze goen, klickt riets op de Stream a wielt Quick View fir Flow.
Dës Informatioun weist datt de Host 10.201.3.59 aus dem Grupp Sales a Marketing duerch Protokoll NFS appelléiert un DNS Server fir eng Minutt an 23 Sekonnen an huet just schrecklech Lag. An der Tab Schnëttplazen Dir kënnt erausfannen aus wéi engem Netflow Datenexporter d'Informatioun kritt gouf. An der Tab Dësch Méi detailléiert Informatioun iwwer d'Interaktioun gëtt gewisen.
Als nächst sollt Dir erausfannen wéi eng Apparater de Verkéier op FlowSensor schécken an de Problem läit wahrscheinlech do.
Ausserdeem ass StealthWatch eenzegaarteg datt et féiert deduplication Daten (kombinéiert déiselwecht Streamen). Dofir kënnt Dir vu bal all Netflow-Geräter sammelen an net fäerten datt et vill Duplikatdaten gëtt. Ganz am Géigendeel, an dësem Schema hëlleft et ze verstoen wat Hop déi gréisste Verspéidungen huet.
3. Audit vun HTTPS cryptographic Protokoller
ETA (Encrypted Traffic Analytics) ass eng Technologie entwéckelt vu Cisco, déi Iech erlaabt béisaarteg Verbindungen am verschlësselten Traffic z'entdecken ouni et ze entschlësselen. Ausserdeem erlaabt dës Technologie Iech HTTPS an TLS Versiounen a kryptografesch Protokoller ze "parséieren" déi während Verbindungen benotzt ginn. Dës Funktionalitéit ass besonnesch nëtzlech wann Dir Netzwierkknäppchen z'entdecken déi schwaach Krypto-Standarden benotzen.
Remarque: Dir musst éischt d'Netzwierk App op StealthWatch installéieren - ETA Kryptografesch Audit.
Gitt op d'Tab Dashboards → ETA Cryptographic Audit a wielt de Grupp vun Hosten déi mir plangen ze analyséieren. Fir d'Gesamtbild, loosst eis wielen Bannen Hosten.
Dir kënnt gesinn datt d'TLS Versioun an den entspriechende Krypto Standard erausginn. No der gewinnt Schema an der Kolonn Aktiounen géi op View Flows an d'Sich fänkt an engem neien Tab un.
Vun der Ausgab kann ee gesinn datt de Host 198.19.20.136 uechter 12 Stonnen benotzt HTTPS mat TLS 1.2, wou d'Verschlësselung Algorithmus AES-256 an Hash Funktioun SHA-384. Also, ETA erlaabt Iech schwaach Algorithmen am Netz ze fannen.
4. Network Anomalie Analyse
Cisco StealthWatch kann Traffic Anomalien am Netz erkennen mat dräi Tools: Kär Evenementer (Sécherheetsevenementer), Relatioun Evenementer (Evenementer vun Interaktiounen tëscht Segmenter, Reseau Wirbelen) an Verhalensanalyse.
Verhalensanalyse, am Tour, erlaabt mat der Zäit e Verhalensmodell fir e bestëmmte Host oder Grupp vu Hosten ze bauen. Wat méi Traffic duerch StealthWatch passéiert, wat méi genee d'Alarme sinn dank dëser Analyse. Am Ufank huet de System vill falsch ausgeléist, sou datt d'Regele mat der Hand "verdréit" ginn. Ech recommandéieren datt Dir esou Eventer fir déi éischt puer Wochen ignoréiert, well de System sech selwer ajustéiert oder se op Ausnahmen bäidréit.
Drënner ass e Beispill vun enger virdefinéierter Regel Anomalie, déi seet datt d'Evenement ouni Alarm brennt wann en Host an der Inside Hosts Grupp interagéiert mat der Inside Hosts Grupp a bannent 24 Stonnen wäert de Traffic 10 Megabytes iwwerschreiden.
Zum Beispill, loosst eis en Alarm huelen Daten Hoarding, dat heescht datt e puer Quell/Destinatiounshost eng anormal grouss Quantitéit un Daten vun enger Grupp vu Hosten oder engem Host eropgelueden/download huet. Klickt op d'Evenement a gitt op den Dësch wou déi ausléisende Hosten uginn. Als nächst wielt de Host deen mir an der Kolonn interesséiert sinn Daten Hoarding.
En Event gëtt ugewisen wat beweist datt 162k "Punkten" entdeckt goufen, an no der Politik sinn 100k "Punkten" erlaabt - dëst sinn intern StealthWatch Metriken. An enger Kolonn Aktiounen dréckt View Flows.
Mir kënnen dat beobachten gëtt Host interagéiert mam Host an der Nuecht 10.201.3.47 aus dem Departement Verkaf & Marketing duerch Protokoll Majo an erofgeluede 1.4 GB. Vläicht ass dëst Beispill net ganz erfollegräich, awer d'Detektioun vun Interaktiounen och fir e puer honnert Gigabyte gëtt op genau déiselwecht Manéier duerchgefouert. Dofir kann weider Untersuchung vun den Anomalien zu interessante Resultater féieren.
Remarque: an der SMC Web Interface, Daten sinn an Tabs Dashboards ginn nëmme fir déi lescht Woch an am Tab ugewisen Monitor an de leschten 2 Wochen. Fir eeler Evenementer ze analyséieren a Berichter ze generéieren, musst Dir mat der Java Konsole um Computer vum Administrator schaffen.
5. Fannen intern Reseau scannt
Loosst eis elo e puer Beispiller vu Feeds kucken - Informatiounssécherheetsfäll. Dës Funktionalitéit ass méi interessant fir Sécherheetsfachleit.
Et gi verschidde Preset Scan Event Typen am StealthWatch:
- Port Scan - d'Quell scannt verschidde Ports um Destinatiounshost.
- Addr tcp Scan - d'Quell scannt de ganze Netz um selwechten TCP Hafen, ännert d'Destinatioun IP Adress. An dësem Fall kritt d'Quell TCP Reset-Päckchen oder kritt guer keng Äntwerten.
- Addr udp Scan - d'Quell scannt de ganze Netz um selwechten UDP Hafen, wärend d'Destinatioun IP Adress ännert. An dësem Fall kritt d'Quell ICMP Port Unreachable Päckchen oder kritt guer keng Äntwerten.
- Ping Scan - d'Quell schéckt ICMP Ufroen un de ganze Netzwierk fir no Äntwerten ze sichen.
- Stealth Scan tсp/udp - d'Quell huet dee selwechte Port benotzt fir gläichzäiteg mat multiple Ports op der Destinatiounsknuet ze verbannen.
Fir et méi bequem ze maachen all intern Scanner gläichzäiteg ze fannen, gëtt et eng Reseau App fir StealthWatch - Visibilitéit Bewäertung. Gitt op d'Tab Dashboards → Visibilitéit Bewäertung → Intern Netzwierk Scanner Dir gesitt Scannen-Zesummenhang Sécherheet Tëschefäll fir déi lescht 2 Wochen.
Klickt op de Knäppchen Detailer, Dir gesitt den Ufank vum Scannen vun all Netzwierk, den Traffic Trend an déi entspriechend Alarmer.
Als nächst kënnt Dir "Feele" an den Host vun der Tab am virege Screenshot a Sécherheetsevenementer gesinn, souwéi Aktivitéit an der leschter Woch fir dësen Host.
Als Beispill, loosst eis d'Evenement analyséieren Port Scan vum Host 10.201.3.149 op 10.201.0.72, Drock Aktiounen> Associéierten Flows. Eng Thread Sich gëtt gestart an relevant Informatioun gëtt ugewisen.
Wéi mir dësen Host vun engem vu senge Ports gesinn 51508/TCP gescannt virun 3 Stonnen den Destinatiounshost vum Hafen 22, 28, 42, 41, 36, 40 (TCP). E puer Felder weisen och keng Informatioun, well net all Netflow Felder um Netflow Exporter ënnerstëtzt ginn.
6. Analyse vun erofgeluede Malware benotzt CTA
CTA (Cognitive Threat Analytics) - Cisco Cloud Analyse, déi perfekt integréiert mat Cisco StealthWatch an erlaabt Iech Ënnerschrëft-gratis Analyse mat Ënnerschrëft Analyse ze ergänzen. Dëst mécht et méiglech Trojaner, Netzwierkwürmer, Zero-Day Malware an aner Malware z'entdecken an se am Netz ze verdeelen. Och déi virdru ernimmt ETA Technologie erlaabt Iech esou béiswëlleg Kommunikatiounen am verschlësselten Traffic ze analyséieren.
Wuertwiertlech op der alleréischt Tab an der Webinterface gëtt et e spezielle Widget Kognitiv Bedrohungsanalyse. E kuerze Resumé weist op Bedrohungen, déi op Benotzerhost festgestallt goufen: Trojaner, betrügeresch Software, lästeg Adware. D'Wuert "Verschlësselte" weist tatsächlech d'Aarbecht vun der ETA un. Andeems Dir op e Host klickt, erschéngt all Informatioun doriwwer, Sécherheetsevenementer, dorënner CTA Logbicher.
Andeems Dir iwwer all Etapp vun der CTA hänkt, weist d'Evenement detailléiert Informatioun iwwer d'Interaktioun. Fir komplett Analyse, klickt hei View Tëschefall Detailer, an Dir wäert op eng separat Konsol geholl ginn Kognitiv Bedrohungsanalyse.
Am Eck uewe riets erlaabt e Filter Iech Eventer no Gravitéitsniveau ze weisen. Wann Dir op eng spezifesch Anomalie weist, erschéngen Logbicher um Enn vum Écran mat enger entspriechender Timeline op der rietser Säit. Also versteet den Informatiounssécherheetsspezialist kloer wéi eng infizéiert Host, no wéi eng Aktiounen ugefaang hunn, wéi eng Aktiounen auszeféieren.
Drënner ass en anert Beispill - e Bank Trojaner deen den Host infizéiert huet 198.19.30.36. Dëse Host huet ugefaang mat béiswëllegen Domainen ze interagéieren, an d'Logbicher weisen Informatioun iwwer de Flux vun dësen Interaktiounen.
Als nächst ass eng vun de beschten Léisungen, déi kënne sinn, de Host ze quarantinéieren dank dem gebiertege mat Cisco ISE fir weider Behandlung an Analyse.
Konklusioun
D'Cisco StealthWatch-Léisung ass ee vun de Leader ënner Netz-Iwwerwaachungsprodukter souwuel wat d'Netzwierkanalyse an d'Informatiounssécherheet ugeet. Dank et kënnt Dir illegitim Interaktiounen am Netz erkennen, Applikatiounsverzögerungen, déi aktivste Benotzer, Anomalie, Malware an APTs. Ausserdeem kënnt Dir Scanner, Pentesters fannen an e Krypto-Audit vum HTTPS Traffic maachen. Dir kënnt nach méi Benotzungsfäll fannen op .
Wann Dir wëllt iwwerpréiwen wéi glat an effizient alles an Ärem Netz funktionnéiert, schéckt .
An nächster Zukunft plangen mir e puer méi technesch Publikatiounen iwwer verschidden Informatiounssécherheetsprodukter. Wann Dir un dësem Thema interesséiert sidd, da befollegt d'Aktualiséierungen an eise Kanäl (, , , )!
Source: will.com