yra analitinis sprendimas informacijos saugumo srityje, suteikiantis visapusišką grėsmių stebėjimą paskirstytame tinkle. StealthWatch yra pagrįstas NetFlow ir IPFIX rinkimu iš maršrutizatorių, jungiklių ir kitų tinklo įrenginių. Dėl to tinklas tampa jautriu jutikliu ir leidžia administratoriui pažvelgti į vietas, kur tradiciniai tinklo saugos metodai, tokie kaip Next Generation Firewall, nepasiekia.
Ankstesniuose straipsniuose jau rašiau apie StealthWatch: Ir . Dabar siūlau tęsti ir aptarti, kaip dirbti su pavojaus signalais ir ištirti saugumo incidentus, kuriuos sukelia sprendimas. Bus 6 pavyzdžiai, kurie, tikiuosi, suteiks gerą supratimą apie produkto naudingumą.
Pirma, reikėtų pasakyti, kad „StealthWatch“ turi tam tikrą aliarmų paskirstymą tarp algoritmų ir kanalų. Pirmieji yra įvairių rūšių aliarmai (pranešimai), suaktyvinus galite aptikti įtartinus dalykus tinkle. Antrasis – saugumo incidentai. Šiame straipsnyje bus nagrinėjami 4 suaktyvintų algoritmų pavyzdžiai ir 2 sklaidos kanalų pavyzdžiai.
1. Didžiausių sąveikų tinkle analizė
Pradinis „StealthWatch“ nustatymo žingsnis yra prieglobos ir tinklų suskirstymas į grupes. Žiniatinklio sąsajos skirtuke Konfigūruoti > Prieglobos grupės valdymas Tinklai, pagrindiniai kompiuteriai ir serveriai turėtų būti suskirstyti į atitinkamas grupes. Taip pat galite sukurti savo grupes. Beje, analizuoti „Cisco StealthWatch“ kompiuterių sąveiką yra gana patogu, nes galite ne tik išsaugoti paieškos filtrus pagal srautą, bet ir pačius rezultatus.
Norėdami pradėti, žiniatinklio sąsajoje turėtumėte eiti į skirtuką Analizė > Srauto paieška. Tada turėtumėte nustatyti šiuos parametrus:
- Paieškos tipas – populiariausi pokalbiai (populiariausios sąveikos)
- Laiko diapazonas - 24 valandos (laikotarpis, galite naudoti kitą)
- Paieškos pavadinimas – populiariausi pokalbiai viduje-viduje (bet koks draugiškas pavadinimas)
- Tema – prieglobos grupės → Vidiniai prieglobos įrenginiai (šaltinis – vidinių prieglobų grupė)
- Ryšys (galite nurodyti prievadus, programas)
- Peer – prieglobos grupės → Vidiniai prieglobos įrenginiai (paskirties vieta – vidinių mazgų grupė)
- Išplėstinėse parinktyse galite papildomai nurodyti rinktuvą, iš kurio peržiūrimi duomenys, rūšiuojant išvestį (pagal baitus, srautus ir pan.). Aš paliksiu jį kaip numatytąjį.
Paspaudus mygtuką Paieška rodomas sąveikų, kurios jau surūšiuotos pagal perduotų duomenų kiekį, sąrašas.
Mano pavyzdyje šeimininkas 10.150.1.201 (serveris) perduodamas tik per vieną giją 1.5 GB srautas į prieglobą 10.150.1.200 (klientas) pagal protokolą mySQL. Mygtukas Tvarkyti stulpelius leidžia pridėti daugiau stulpelių prie išvesties duomenų.
Tada administratoriaus nuožiūra galite sukurti pasirinktinę taisyklę, kuri visada suaktyvins tokio tipo sąveiką ir praneš jums per SNMP, el. paštu arba „Syslog“.
2. Lėčiausios kliento ir serverio sąveikos tinkle analizė dėl vėlavimų
Žymos SRT (serverio atsako laikas), RTT (kelionės į abi puses laikas) leidžia sužinoti serverio vėlavimus ir bendruosius tinklo vėlavimus. Šis įrankis ypač naudingas, kai reikia greitai rasti vartotojų skundų dėl lėtai veikiančios programos priežastį.
Atkreipti dėmesį: beveik visi Netflow eksportuotojai nežinau kaip siųsti SRT, RTT žymas, todėl dažnai norint matyti tokius duomenis FlowSensor, reikia sukonfigūruoti srauto kopijos siuntimą iš tinklo įrenginių. „FlowSensor“ savo ruožtu siunčia išplėstinį IPFIX į „FlowCollector“.
Šią analizę patogiau atlikti StealtWatch java programoje, kuri yra įdiegta administratoriaus kompiuteryje.
Dešinysis pelės mygtukas įjungtas Vidiniai šeimininkai ir eikite į skirtuką Srauto lentelė.
Spustelėkite Filtruoti ir nustatyti reikiamus parametrus. Pavyzdžiui:
- Data/Laikas – paskutines 3 dienas
- Našumas – vidutinis kelionės pirmyn ir atgal laikas >=50 ms
Parodžius duomenis, turėtume pridėti mus dominančius RTT ir SRT laukus. Norėdami tai padaryti, spustelėkite stulpelį ekrano kopijoje ir pasirinkite dešiniuoju pelės mygtuku Tvarkyti stulpelius. Tada spustelėkite RTT, SRT parametrai.
Apdorojęs užklausą, surūšiavau pagal RTT vidurkį ir pamačiau lėčiausias sąveikas.
Norėdami gauti išsamią informaciją, dešiniuoju pelės mygtuku spustelėkite srautą ir pasirinkite Greita srauto peržiūra.
Ši informacija rodo, kad šeimininkas 10.201.3.59 iš grupės Pardavimų ir rinkodaros pagal protokolą NFS kreipiasi į DNS serveris minutę ir 23 sekundes ir turi tiesiog siaubingą atsilikimą. Skirtuke sąsajos galite sužinoti, iš kurio Netflow duomenų eksportuotojo informacija buvo gauta. Skirtuke Lentelė Rodoma išsamesnė informacija apie sąveiką.
Tada turėtumėte išsiaiškinti, kurie įrenginiai siunčia srautą į „FlowSensor“, ir problema greičiausiai slypi ten.
Be to, „StealthWatch“ yra unikalus tuo, kad jis vadovauja deduplikacija duomenis (sujungia tuos pačius srautus). Todėl galite rinkti beveik iš visų „Netflow“ įrenginių ir nesibaiminti, kad bus daug pasikartojančių duomenų. Priešingai, šioje schemoje tai padės suprasti, kuris apynys vėluoja daugiausiai.
3. HTTPS kriptografinių protokolų auditas
ETA (šifruoto srauto analizė) yra Cisco sukurta technologija, leidžianti aptikti kenkėjiškus ryšius šifruotame sraute jo neiššifruojant. Be to, ši technologija leidžia „išanalizuoti“ HTTPS į TLS versijas ir kriptografinius protokolus, kurie naudojami prisijungiant. Ši funkcija ypač naudinga, kai reikia aptikti tinklo mazgus, kurie naudoja silpnus šifravimo standartus.
Atkreipti dėmesį: Pirmiausia turite įdiegti tinklo programą „StealthWatch“ - ETA kriptografinis auditas.
Eikite į skirtuką Prietaisų skydeliai → ETA kriptografinis auditas ir pasirinkite prieglobos grupę, kurią planuojame analizuoti. Bendram vaizdui išsirinkime Vidiniai šeimininkai.
Matote, kad išvesta TLS versija ir atitinkamas šifravimo standartas. Pagal įprastą schemą stulpelyje Veiksmai eiti į Žiūrėti srautus ir paieška pradedama naujame skirtuke.
Iš išvesties matyti, kad šeimininkas 198.19.20.136 virš 12 valandos naudojamas HTTPS su TLS 1.2, kur šifravimo algoritmas AES-256 ir maišos funkcija SHA-384. Taigi ETA leidžia tinkle rasti silpnus algoritmus.
4. Tinklo anomalijų analizė
„Cisco StealthWatch“ gali atpažinti srauto anomalijas tinkle naudodama tris įrankius: Pagrindiniai įvykiai (saugumo įvykiai), Santykių įvykiai (sąveikos tarp segmentų, tinklo mazgų įvykiai) ir elgesio analizė.
Elgsenos analizė, savo ruožtu, leidžia laikui bėgant sukurti elgesio modelį konkrečiam šeimininkui ar šeimininkų grupei. Kuo daugiau srauto praeina per „StealthWatch“, tuo tikslesni įspėjimai bus šios analizės dėka. Iš pradžių sistema daug ką suveikia neteisingai, todėl taisykles reikėtų „sukti“ ranka. Rekomenduoju pirmosiomis savaitėmis į tokius įvykius nekreipti dėmesio, nes sistema prisitaikys pati arba pridės juos prie išimčių.
Žemiau pateikiamas iš anksto nustatytos taisyklės pavyzdys Anomalija, kuriame teigiama, kad įvykis užsidegs be signalizacijos, jei „Inside Hosts“ grupės pagrindinis kompiuteris sąveikauja su „Inside Hosts“ grupe ir per 24 valandas srautas viršys 10 megabaitų.
Pavyzdžiui, paimkime žadintuvą Duomenų kaupimas, o tai reiškia, kad kai kurie šaltinio / paskirties kompiuteriai įkėlė / atsisiuntė neįprastai daug duomenų iš prieglobos grupės arba pagrindinio kompiuterio. Spustelėkite įvykį ir eikite į lentelę, kurioje nurodyti suaktyvinantys šeimininkai. Tada stulpelyje pasirinkite mus dominantį pagrindinį kompiuterį Duomenų kaupimas.
Rodomas įvykis, nurodantis, kad buvo aptikta 162 100 „taškų“, o pagal politiką leidžiama XNUMX XNUMX taškų – tai yra vidinė „StealthWatch“ metrika. Stulpelyje Veiksmai stumti Žiūrėti srautus.
Galime tai pastebėti duotas šeimininkas naktį bendravo su šeimininku 10.201.3.47 iš skyriaus Pardavimai ir rinkodara pagal protokolą HTTPS ir atsisiųstas 1.4 GB. Galbūt šis pavyzdys ir ne visai sėkmingas, bet sąveikų aptikimas net ir už kelių šimtų gigabaitų atliekamas lygiai taip pat. Todėl tolesnis anomalijų tyrimas gali duoti įdomių rezultatų.
Atkreipti dėmesį: SMC žiniatinklio sąsajoje duomenys yra skirtukuose Panelės rodomi tik paskutinę savaitę ir skirtuke monitorius per paskutines 2 savaites. Norėdami analizuoti senesnius įvykius ir generuoti ataskaitas, administratoriaus kompiuteryje turite dirbti su java konsole.
5. Vidinio tinklo nuskaitymo paieška
Dabar pažvelkime į kelis informacijos santraukų pavyzdžius – informacijos saugumo incidentus. Ši funkcija labiau domina saugos specialistus.
„StealthWatch“ yra keletas iš anksto nustatytų nuskaitymo įvykių tipų:
- Port Scan – šaltinis nuskaito kelis paskirties pagrindinio kompiuterio prievadus.
- Addr tcp scan – šaltinis nuskaito visą tinklą tame pačiame TCP prievade, pakeisdamas paskirties IP adresą. Tokiu atveju šaltinis gauna TCP Reset paketus arba iš viso negauna atsakymų.
- Addr udp scan – šaltinis nuskaito visą tinklą tame pačiame UDP prievade, keisdamas paskirties IP adresą. Tokiu atveju šaltinis gauna ICMP Port Unreachable paketus arba iš viso negauna atsakymų.
- Ping Scan – šaltinis siunčia ICMP užklausas visam tinklui, kad galėtų ieškoti atsakymų.
- Stealth Scan tсp/udp – šaltinis naudojo tą patį prievadą, kad tuo pačiu metu prisijungtų prie kelių paskirties mazgo prievadų.
Kad būtų patogiau rasti visus vidinius skaitytuvus vienu metu, yra tinklo programa StealthWatch – matomumo įvertinimas. Eikite į skirtuką Prietaisų skydeliai → Matomumo įvertinimas → Vidiniai tinklo skaitytuvai matysite su nuskaitymu susijusius saugumo incidentus per pastarąsias 2 savaites.
Spustelėjus mygtuką Detalės, pamatysite kiekvieno tinklo nuskaitymo pradžią, srauto tendencijas ir atitinkamus pavojaus signalus.
Tada galite „nepavykti“ patekti į pagrindinį kompiuterį iš ankstesnės ekrano kopijos skirtuko ir peržiūrėti saugos įvykius bei pastarosios savaitės veiklą.
Kaip pavyzdį išanalizuokime įvykį Port Scan nuo šeimininko 10.201.3.149 apie 10.201.0.72, Spaudimas Veiksmai > Susieti srautai. Pradedama gijų paieška ir rodoma atitinkama informacija.
Kaip matome šį pagrindinį kompiuterį iš vieno iš jo prievadų 51508/TCP nuskaityta prieš 3 valandas paskirties priegloba pagal prievadą 22, 28, 42, 41, 36, 40 (TCP). Kai kuriuose laukuose informacija taip pat nerodoma, nes „Netflow“ eksportuotojas palaiko ne visus „Netflow“ laukus.
6. Atsisiųstų kenkėjiškų programų analizė naudojant CTA
CTA (pažinimo grėsmių analizė) — „Cisco“ debesies analizė, kuri puikiai integruojasi su „Cisco StealthWatch“ ir leidžia analizę be parašo papildyti parašo analize. Tai leidžia aptikti Trojos arklys, tinklo kirminus, nulinės dienos kenkėjiškas programas ir kitas kenkėjiškas programas ir platinti jas tinkle. Taip pat anksčiau minėta ETA technologija leidžia analizuoti tokius kenkėjiškus ryšius šifruotame sraute.
Pažodžiui pačiame pirmame žiniatinklio sąsajos skirtuke yra specialus valdiklis Kognityvinė grėsmių analizė. Trumpa santrauka nurodo grėsmes, aptiktas vartotojų prieglobose: Trojos arklys, apgaulinga programinė įranga, erzinanti reklaminė programinė įranga. Žodis „šifruotas“ iš tikrųjų rodo ETA darbą. Spustelėjus prieglobą, rodoma visa informacija apie jį, saugos įvykiai, įskaitant raginimo veikti žurnalus.
Užvedus pelės žymeklį ant kiekvieno raginimo veikti etapo, įvykis rodo išsamią informaciją apie sąveiką. Norėdami gauti visą analizę, spustelėkite čia Peržiūrėkite išsamią incidento informaciją, ir būsite nukreipti į atskirą pultą Kognityvinė grėsmių analizė.
Viršutiniame dešiniajame kampe esantis filtras leidžia rodyti įvykius pagal sunkumo lygį. Kai nukreipiate žymeklį į konkrečią anomaliją, ekrano apačioje rodomi žurnalai su atitinkama laiko juosta dešinėje. Taigi informacijos saugumo specialistas aiškiai supranta, kuris užkrėstas šeimininkas, po kokių veiksmų kokius veiksmus pradėjo atlikti.
Žemiau pateikiamas kitas pavyzdys – bankinis Trojos arklys, užkrėtęs pagrindinį kompiuterį 198.19.30.36. Šis pagrindinis kompiuteris pradėjo bendrauti su kenkėjiškais domenais, o žurnaluose rodoma informacija apie šių sąveikų srautą.
Be to, vienas geriausių sprendimų, koks gali būti, yra karantinuoti šeimininką dėl gimtosios su Cisco ISE tolesniam gydymui ir analizei.
išvada
„Cisco StealthWatch“ sprendimas yra vienas iš tinklo stebėjimo produktų lyderių tiek tinklo analizės, tiek informacijos saugumo požiūriu. Jo dėka galite aptikti neteisėtą sąveiką tinkle, programų vėlavimus, aktyviausius vartotojus, anomalijas, kenkėjiškas programas ir APT. Be to, galite rasti skaitytuvus, pentesterius ir atlikti HTTPS srauto kriptoauditą. Dar daugiau naudojimo atvejų galite rasti adresu .
Jei norite patikrinti, kaip sklandžiai ir efektyviai viskas veikia jūsų tinkle, atsiųskite .
Artimiausiu metu planuojame išleisti dar keletą techninių leidinių apie įvairius informacijos saugos produktus. Jei jus domina ši tema, sekite naujienas mūsų kanaluose (, , , )!
Šaltinis: www.habr.com