IepriekÅ”Äjos rakstos es jau rakstÄ«ju par StealthWatch:
PirmkÄrt, jÄsaka, ka StealthWatch ir zinÄms trauksmes sadalÄ«jums starp algoritmiem un plÅ«smÄm. Pirmie ir dažÄda veida trauksmes signÄli (paziÅojumi), kurus iedarbinot, tÄ«klÄ var atklÄt aizdomÄ«gas lietas. Otrais ir droŔības incidenti. Å ajÄ rakstÄ tiks apskatÄ«ti 4 aktivizÄto algoritmu piemÄri un 2 plÅ«smu piemÄri.
1. LielÄko mijiedarbÄ«bu analÄ«ze tÄ«klÄ
SÄkotnÄjais StealthWatch iestatÄ«Å”anas solis ir resursdatoru un tÄ«klu definÄÅ”ana grupÄs. TÄ«mekļa saskarnes cilnÄ KonfigurÄt > Resursdatoru grupas pÄrvaldÄ«ba TÄ«kli, resursdatori un serveri ir jÄklasificÄ atbilstoÅ”Äs grupÄs. Varat arÄ« izveidot savas grupas. Starp citu, Cisco StealthWatch resursdatoru mijiedarbÄ«bas analÄ«ze ir diezgan Ärta, jo jÅ«s varat ne tikai saglabÄt meklÄÅ”anas filtrus pÄc straumes, bet arÄ« paÅ”us rezultÄtus.
Lai sÄktu, tÄ«mekļa saskarnÄ atveriet cilni AnalizÄt > PlÅ«smas meklÄÅ”ana. PÄc tam jums jÄiestata Å”Ädi parametri:
- MeklÄÅ”anas veids ā populÄrÄkÄs sarunas (vispopulÄrÄkÄs mijiedarbÄ«bas)
- Laika diapazons - 24 stundas (laika periods, varat izmantot citu)
- MeklÄÅ”anas vÄrds ā populÄrÄkÄs sarunas iekÅ”pusÄ-iekÅ”pusÄ (jebkurÅ” draudzÄ«gs nosaukums)
- TÄma ā saimniekdatoru grupas ā iekÅ”Äjie saimniekdatori (avots ā iekÅ”Äjo saimniekdatoru grupa)
- Savienojums (varat norÄdÄ«t portus, lietojumprogrammas)
- VienÄdranga ā saimniekdatoru grupas ā iekÅ”Äjie saimniekdatori (galamÄrÄ·is ā iekÅ”Äjo mezglu grupa)
- Papildu opcijÄs varat papildus norÄdÄ«t savÄcÄju, no kura dati tiek skatÄ«ti, kÄrtojot izvadi (pÄc baitiem, straumÄm utt.). Es to atstÄÅ”u kÄ noklusÄjumu.
PÄc pogas nospieÅ”anas MeklÄt tiek parÄdÄ«ts mijiedarbÄ«bu saraksts, kas jau ir sakÄrtotas pÄc pÄrsÅ«tÄ«to datu apjoma.
ManÄ piemÄrÄ saimnieks 10.150.1.201 (serveris), kas tiek pÄrraidÄ«ts tikai vienÄ pavedienÄ 1.5 GB trafiku uz saimniekdatoru 10.150.1.200 (klients) pÄc protokola mysql. Poga PÄrvaldÄ«t kolonnas ļauj izvaddatiem pievienot vairÄk kolonnu.
PÄc tam pÄc administratora ieskatiem varat izveidot pielÄgotu kÄrtulu, kas vienmÄr aktivizÄs Å”Äda veida mijiedarbÄ«bu un informÄs jÅ«s, izmantojot SNMP, e-pastu vai Syslog.
2. LÄnÄko klienta un servera mijiedarbÄ«bas analÄ«ze tÄ«klÄ, lai noteiktu aizkaves
UzlÄ«mes SRT (servera atbildes laiks), RTT (turp un atpakaļ) ļauj uzzinÄt servera aizkaves un vispÄrÄ«gas tÄ«kla aizkaves. Å is rÄ«ks ir Ä«paÅ”i noderÄ«gs, ja nepiecieÅ”ams Ätri atrast cÄloni lietotÄju sÅ«dzÄ«bÄm par lÄnu lietojumprogrammu.
PiezÄ«me: gandrÄ«z visi Netflow eksportÄtÄji nezinu kÄ sÅ«tÄ«t SRT, RTT tagus, tÄpÄc bieži, lai redzÄtu Å”Ädus datus FlowSensor, ir jÄkonfigurÄ trafika kopijas nosÅ«tÄ«Å”ana no tÄ«kla ierÄ«cÄm. SavukÄrt FlowSensor nosÅ«ta paplaÅ”inÄto IPFIX uz FlowCollector.
Å o analÄ«zi ir ÄrtÄk veikt StealtWatch java lietojumprogrammÄ, kas ir instalÄta administratora datorÄ.
Peles labÄ poga ieslÄgta Inside Hosts un dodieties uz cilni PlÅ«smas tabula.
KlikŔķiniet uz filtrs un iestatiet nepiecieÅ”amos parametrus. KÄ piemÄrs:
- Datums/Laiks ā par pÄdÄjÄm 3 dienÄm
- VeiktspÄja ā vidÄjais turp un atpakaļ laiks >=50 ms
PÄc datu parÄdÄ«Å”anas mums jÄpievieno mÅ«s interesÄjoÅ”ie RTT un SRT lauki. Lai to izdarÄ«tu, noklikŔķiniet uz kolonnas ekrÄnuzÅÄmumÄ un atlasiet to ar peles labo pogu PÄrvaldÄ«t kolonnas. PÄc tam noklikŔķiniet uz RTT, SRT parametri.
PÄc pieprasÄ«juma apstrÄdes es sakÄrtoju pÄc RTT vidÄjÄ un redzÄju lÄnÄko mijiedarbÄ«bu.
Lai iegÅ«tu detalizÄtu informÄciju, ar peles labo pogu noklikŔķiniet uz straumes un atlasiet Ätrais plÅ«smas skats.
Å Ä« informÄcija norÄda, ka saimniekdators 10.201.3.59 no grupas PÄrdoÅ”anas un mÄrketinga pÄc protokola NFS aicina DNS serveris uz minÅ«ti un 23 sekundÄm, un ir vienkÄrÅ”i briesmÄ«ga nobÄ«de. CilnÄ Saskarnes varat uzzinÄt, no kura Netflow datu eksportÄtÄja informÄcija iegÅ«ta. CilnÄ Tabula Tiek parÄdÄ«ta detalizÄtÄka informÄcija par mijiedarbÄ«bu.
TÄlÄk jums vajadzÄtu noskaidrot, kuras ierÄ«ces nosÅ«ta trafiku uz FlowSensor, un problÄma, visticamÄk, ir tur.
TurklÄt StealthWatch ir unikÄls ar to, ka tas vada dublÄÅ”anÄs dati (apvieno tÄs paÅ”as straumes). TÄpÄc jÅ«s varat vÄkt no gandrÄ«z visÄm Netflow ierÄ«cÄm un nebaidÄ«ties, ka bÅ«s daudz datu dublikÄtu. Gluži pretÄji, Å”ajÄ shÄmÄ tas palÄ«dzÄs saprast, kuram apiÅam ir vislielÄkÄ kavÄÅ”anÄs.
3. HTTPS kriptogrÄfisko protokolu audits
ETA (Å”ifrÄtÄs satiksmes analÄ«ze) ir Cisco izstrÄdÄta tehnoloÄ£ija, kas ļauj atklÄt ļaunprÄtÄ«gus savienojumus Å”ifrÄtÄ trafikÄ, to neatÅ”ifrÄjot. TurklÄt Ŕī tehnoloÄ£ija ļauj āparsÄtā HTTPS TLS versijÄs un kriptogrÄfiskajos protokolos, kas tiek izmantoti savienojumu laikÄ. Å Ä« funkcionalitÄte ir Ä«paÅ”i noderÄ«ga, ja nepiecieÅ”ams noteikt tÄ«kla mezglus, kas izmanto vÄjus Å”ifrÄÅ”anas standartus.
PiezÄ«me: vispirms ir jÄinstalÄ tÄ«kla lietotne pakalpojumÄ StealthWatch - ETA kriptogrÄfiskais audits.
Dodieties uz cilni InformÄcijas paneļi ā ETA kriptogrÄfijas audits un atlasiet saimniekdatoru grupu, kuru plÄnojam analizÄt. Lai iegÅ«tu kopÄjo attÄlu, izvÄlamies Inside Hosts.
Var redzÄt, ka tiek izvadÄ«ta TLS versija un atbilstoÅ”ais Å”ifrÄÅ”anas standarts. SaskaÅÄ ar parasto shÄmu kolonnÄ IespÄjas iet uz SkatÄ«t plÅ«smas un meklÄÅ”ana sÄkas jaunÄ cilnÄ.
No izejas var redzÄt, ka saimnieks 198.19.20.136 pa visu 12 stundas izmantots HTTPS ar TLS 1.2, kur Å”ifrÄÅ”anas algoritms AES-256 un jaucÄjfunkciju SHA-384. TÄdÄjÄdi ETA ļauj tÄ«klÄ atrast vÄjus algoritmus.
4. TÄ«kla anomÄliju analÄ«ze
Cisco StealthWatch var atpazÄ«t trafika anomÄlijas tÄ«klÄ, izmantojot trÄ«s rÄ«kus: Pamatnotikumi (droŔības pasÄkumi), AttiecÄ«bu notikumi (segmentu, tÄ«kla mezglu mijiedarbÄ«bas notikumi) un uzvedÄ«bas analÄ«ze.
UzvedÄ«bas analÄ«ze savukÄrt ļauj laika gaitÄ izveidot uzvedÄ«bas modeli konkrÄtam saimniekdatoram vai saimniekdatoru grupai. Jo vairÄk trafika ŔķÄrso StealthWatch, jo precÄ«zÄki brÄ«dinÄjumi bÅ«s, pateicoties Å”ai analÄ«zei. SÄkumÄ sistÄma daudz ko iedarbina nepareizi, tÄpÄc noteikumus vajadzÄtu āsagrieztā ar roku. Iesaku pirmajÄs nedÄļÄs Å”Ädus notikumus ignorÄt, jo sistÄma pati pielÄgosies vai pievienos tos izÅÄmumiem.
TÄlÄk ir sniegts iepriekÅ” definÄta noteikuma piemÄrs AnomÄlija, kurÄ teikts, ka pasÄkums aizdegsies bez trauksmes, ja resursdators grupÄ Inside Hosts mijiedarbojas ar Inside Hosts grupu, un 24 stundu laikÄ trafiks pÄrsniegs 10 megabaitus.
PiemÄram, Åemsim modinÄtÄju Datu uzkrÄÅ”ana, kas nozÄ«mÄ, ka kÄds avota/galamÄrÄ·a saimniekdators ir augÅ”upielÄdÄjis/lejupielÄdÄjis neparasti lielu datu apjomu no saimniekdatoru grupas vai resursdatora. NoklikŔķiniet uz notikuma un dodieties uz tabulu, kurÄ ir norÄdÄ«ti aktivizÄtÄji. PÄc tam kolonnÄ atlasiet mÅ«s interesÄjoÅ”o saimniekdatoru Datu uzkrÄÅ”ana.
Tiek parÄdÄ«ts notikums, kas norÄda, ka tika atklÄti 162 100 punktu, un saskaÅÄ ar politiku ir atļauti XNUMX XNUMX punkti ā tie ir iekÅ”Äjie StealthWatch metrika. KolonnÄ IespÄjas spiediet SkatÄ«t plÅ«smas.
MÄs to varam novÄrot dots saimnieks naktÄ« sazinÄjÄs ar saimnieku 10.201.3.47 no nodaļas PÄrdoÅ”ana un MÄrketings pÄc protokola HTTPS un lejupielÄdÄts 1.4 GB. VarbÅ«t Å”is piemÄrs nav pilnÄ«bÄ veiksmÄ«gs, taÄu mijiedarbÄ«bas noteikÅ”ana pat vairÄkiem simtiem gigabaitu tiek veikta tieÅ”i tÄdÄ paÅ”Ä veidÄ. TÄpÄc turpmÄka anomÄliju izpÄte var radÄ«t interesantus rezultÄtus.
PiezÄ«me: SMC tÄ«mekļa saskarnÄ dati ir cilnÄs Paneļi tiek rÄdÄ«ti tikai par pÄdÄjo nedÄļu un cilnÄ KontrolÄt pÄdÄjo 2 nedÄļu laikÄ. Lai analizÄtu vecÄkus notikumus un Ä£enerÄtu atskaites, administratora datorÄ ir jÄstrÄdÄ ar Java konsoli.
5. IekÅ”ÄjÄ tÄ«kla skenÄÅ”anas atraÅ”ana
Tagad apskatÄ«sim dažus plÅ«smu piemÄrus ā informÄcijas droŔības incidentus. Å Ä« funkcionalitÄte vairÄk interesÄ droŔības speciÄlistus.
StealthWatch ir vairÄki iepriekÅ” iestatÄ«ti skenÄÅ”anas notikumu veidi:
- Portu skenÄÅ”ana ā avots skenÄ vairÄkus mÄrÄ·a resursdatora portus.
- Addr tcp scan ā avots skenÄ visu tÄ«klu tajÄ paÅ”Ä TCP portÄ, mainot galamÄrÄ·a IP adresi. Å ajÄ gadÄ«jumÄ avots saÅem TCP atiestatÄ«Å”anas paketes vai nesaÅem atbildes vispÄr.
- Addr udp scan ā avots skenÄ visu tÄ«klu tajÄ paÅ”Ä UDP portÄ, vienlaikus mainot galamÄrÄ·a IP adresi. Å ajÄ gadÄ«jumÄ avots saÅem ICMP porta nesasniedzamÄs paketes vai nesaÅem atbildes vispÄr.
- Ping Scan - avots nosÅ«ta ICMP pieprasÄ«jumus visam tÄ«klam, lai meklÄtu atbildes.
- Stealth Scan tŃp/udp ā avots izmantoja vienu un to paÅ”u portu, lai vienlaikus izveidotu savienojumu ar vairÄkiem galamÄrÄ·a mezgla portiem.
Lai bÅ«tu ÄrtÄk atrast visus iekÅ”Äjos skenerus vienlaikus, ir pieejama tÄ«kla lietotne StealthWatch ā redzamÄ«bas novÄrtÄjums. Dodoties uz cilni InformÄcijas paneļi ā RedzamÄ«bas novÄrtÄjums ā IekÅ”ÄjÄ tÄ«kla skeneri jÅ«s redzÄsit ar skenÄÅ”anu saistÄ«tos droŔības incidentus pÄdÄjo 2 nedÄļu laikÄ.
NoklikŔķinot uz pogas SÄ«kÄka informÄcija, jÅ«s redzÄsiet katra tÄ«kla skenÄÅ”anas sÄkumu, trafika tendenci un atbilstoÅ”os trauksmes signÄlus.
PÄc tam no iepriekÅ”ÄjÄ ekrÄnuzÅÄmuma cilnes varat piekļūt saimniekdatoram un skatÄ«t droŔības notikumus, kÄ arÄ« pÄdÄjÄs nedÄļas darbÄ«bas Å”im saimniekdatoram.
PiemÄram, analizÄsim notikumu Portu skenÄÅ”ana no saimnieka 10.201.3.149 par 10.201.0.72, SpieÅ”ana DarbÄ«bas > SaistÄ«tÄs plÅ«smas. Tiek uzsÄkta pavedienu meklÄÅ”ana un tiek parÄdÄ«ta atbilstoÅ”Ä informÄcija.
KÄ mÄs redzam Å”o saimniekdatoru no vienas no tÄ ostÄm 51508 / TCP skenÄts pirms 3 stundÄm galamÄrÄ·a saimniekdators pÄc porta 22, 28, 42, 41, 36, 40 (TCP). Dažos laukos netiek rÄdÄ«ta informÄcija, jo ne visi Netflow lauki tiek atbalstÄ«ti Netflow eksportÄtÄjÄ.
6. LejupielÄdÄtas ļaunprÄtÄ«gas programmatÅ«ras analÄ«ze, izmantojot CTA
CTA (kognitÄ«vo draudu analÄ«ze) ā Cisco mÄkoÅa analÄ«tika, kas lieliski integrÄjas ar Cisco StealthWatch un ļauj papildinÄt analÄ«zi bez paraksta ar parakstu analÄ«zi. Tas ļauj atklÄt Trojas zirgus, tÄ«kla tÄrpus, nulles dienas ļaunprÄtÄ«gu programmatÅ«ru un citas ļaunprogrammatÅ«ras un izplatÄ«t tÄs tÄ«klÄ. ArÄ« iepriekÅ” minÄtÄ ETA tehnoloÄ£ija ļauj analizÄt Å”Ädus ļaunprÄtÄ«gus sakarus Å”ifrÄtÄ trafikÄ.
Burtiski pirmajÄ tÄ«mekļa saskarnes cilnÄ ir Ä«paÅ”s logrÄ«ks KognitÄ«vÄ draudu analÄ«ze. ÄŖss kopsavilkums norÄda uz lietotÄju resursdatoros atklÄtajiem draudiem: Trojas zirgi, krÄpnieciska programmatÅ«ra, kaitinoÅ”a reklÄmprogrammatÅ«ra. VÄrds āÅ”ifrÄtsā faktiski norÄda uz ETA darbu. NoklikŔķinot uz saimniekdatora, tiek parÄdÄ«ta visa informÄcija par to, droŔības notikumiem, tostarp CTA žurnÄli.
Virzot kursoru virs katra CTA posma, notikums parÄda detalizÄtu informÄciju par mijiedarbÄ«bu. Lai iegÅ«tu pilnÄ«gu analÄ«zi, noklikŔķiniet Å”eit Skatiet informÄciju par incidentu, un jÅ«s tiksit novirzÄ«ts uz atseviŔķu konsoli KognitÄ«vÄ draudu analÄ«ze.
AugÅ”ÄjÄ labajÄ stÅ«rÄ« filtrs ļauj parÄdÄ«t notikumus pÄc smaguma pakÄpes. Kad norÄdÄt uz noteiktu anomÄliju, ekrÄna apakÅ”Ä tiek parÄdÄ«ti žurnÄli ar atbilstoÅ”u laika skalu labajÄ pusÄ. TÄdÄjÄdi informÄcijas droŔības speciÄlists skaidri saprot, kurÅ” inficÄtais saimnieks, pÄc kÄdÄm darbÄ«bÄm kÄdas darbÄ«bas sÄka veikt.
ZemÄk ir vÄl viens piemÄrs ā bankas Trojas zirgs, kas inficÄja saimniekdatoru 198.19.30.36. Å is resursdators sÄka mijiedarboties ar ļaunprÄtÄ«giem domÄniem, un žurnÄli parÄda informÄciju par Å”o mijiedarbÄ«bu plÅ«smu.
TÄlÄk viens no labÄkajiem risinÄjumiem ir saimnieka karantÄ«na, pateicoties vietÄjam
SecinÄjums
Cisco StealthWatch risinÄjums ir viens no tÄ«kla uzraudzÄ«bas produktu lÄ«deriem gan tÄ«kla analÄ«zes, gan informÄcijas droŔības ziÅÄ. Pateicoties tam, jÅ«s varat atklÄt nelikumÄ«gu mijiedarbÄ«bu tÄ«klÄ, lietojumprogrammu aizkavÄÅ”anos, aktÄ«vÄkos lietotÄjus, anomÄlijas, ļaunprÄtÄ«gu programmatÅ«ru un APT. TurklÄt jÅ«s varat atrast skenerus, testÄtÄjus un veikt HTTPS trafika kriptoauditu. VÄl vairÄk lietoÅ”anas gadÄ«jumu varat atrast vietnÄ
Ja vÄlaties pÄrbaudÄ«t, cik gludi un efektÄ«vi viss darbojas jÅ«su tÄ«klÄ, nosÅ«tiet
TuvÄkajÄ laikÄ plÄnojam vÄl vairÄkas tehniskas publikÄcijas par dažÄdiem informÄcijas droŔības produktiem. Ja jÅ«s interesÄ Å”Ä« tÄma, sekojiet jaunumiem mÅ«su kanÄlos (
Avots: www.habr.com