StealthWatch: incidentu analīze un izmeklēšana. 3. daļa

Cisco StealthWatch ir analītisks risinājums informācijas drošības jomā, kas nodrošina visaptverošu draudu uzraudzību izplatītajā tīklā. StealthWatch pamatā ir NetFlow un IPFIX apkopošana no maršrutētājiem, slēdžiem un citām tīkla ierīcēm. Rezultātā tīkls kļūst par jutīgu sensoru un ļauj administratoram ieskatīties vietās, kur tradicionālās tīkla drošības metodes, piemēram, nākamās paaudzes ugunsmūris, nevar sasniegt.

Iepriekšējos rakstos es jau rakstīju par StealthWatch: pirmais ievads un iespējasun izvietošana un konfigurēšana. Tagad es ierosinu virzīties uz priekšu un apspriest, kā strādāt ar trauksmes signāliem un izmeklēt drošības incidentus, ko rada risinājums. Būs 6 piemēri, kas, es ceru, sniegs labu priekšstatu par produkta lietderību.

Pirmkārt, jāsaka, ka StealthWatch ir zināms trauksmes sadalījums starp algoritmiem un plūsmām. Pirmie ir dažāda veida trauksmes signāli (paziņojumi), kurus iedarbinot, tīklā var atklāt aizdomīgas lietas. Otrais ir drošības incidenti. Šajā rakstā tiks apskatīti 4 aktivizēto algoritmu piemēri un 2 plūsmu piemēri.

1. Lielāko mijiedarbību analīze tīklā

Sākotnējais StealthWatch iestatīšanas solis ir resursdatoru un tīklu definēšana grupās. Tīmekļa saskarnes cilnē Konfigurēt > Resursdatoru grupas pārvaldība Tīkli, resursdatori un serveri ir jāklasificē atbilstošās grupās. Varat arī izveidot savas grupas. Starp citu, Cisco StealthWatch resursdatoru mijiedarbības analīze ir diezgan ērta, jo jūs varat ne tikai saglabāt meklēšanas filtrus pēc straumes, bet arī pašus rezultātus.

Lai sāktu, tīmekļa saskarnē atveriet cilni Analizēt > Plūsmas meklēšana. Pēc tam jums jāiestata šādi parametri:

• Meklēšanas veids — populārākās sarunas (vispopulārākās mijiedarbības)
• Laika diapazons - 24 stundas (laika periods, varat izmantot citu)
• Meklēšanas vārds — populārākās sarunas iekšpusē-iekšpusē (jebkurš draudzīgs nosaukums)
• Tēma — saimniekdatoru grupas → iekšējie saimniekdatori (avots — iekšējo saimniekdatoru grupa)
• Savienojums (varat norādīt portus, lietojumprogrammas)
• Vienādranga — saimniekdatoru grupas → iekšējie saimniekdatori (galamērķis — iekšējo mezglu grupa)
• Papildu opcijās varat papildus norādīt savācēju, no kura dati tiek skatīti, kārtojot izvadi (pēc baitiem, straumēm utt.). Es to atstāšu kā noklusējumu.

Pēc pogas nospiešanas Meklēt tiek parādīts mijiedarbību saraksts, kas jau ir sakārtotas pēc pārsūtīto datu apjoma.

Manā piemērā saimnieks 10.150.1.201 (serveris), kas tiek pārraidīts tikai vienā pavedienā 1.5 GB trafiku uz saimniekdatoru 10.150.1.200 (klients) pēc protokola mysql. Poga Pārvaldīt kolonnas ļauj izvaddatiem pievienot vairāk kolonnu.

Pēc tam pēc administratora ieskatiem varat izveidot pielāgotu kārtulu, kas vienmēr aktivizēs šāda veida mijiedarbību un informēs jūs, izmantojot SNMP, e-pastu vai Syslog.

2. Lēnāko klienta un servera mijiedarbības analīze tīklā, lai noteiktu aizkaves

Uzlīmes SRT (servera atbildes laiks), RTT (turp un atpakaļ) ļauj uzzināt servera aizkaves un vispārīgas tīkla aizkaves. Šis rīks ir īpaši noderīgs, ja nepieciešams ātri atrast cēloni lietotāju sūdzībām par lēnu lietojumprogrammu.

Piezīme: gandrīz visi Netflow eksportētāji nezinu kā sūtīt SRT, RTT tagus, tāpēc bieži, lai redzētu šādus datus FlowSensor, ir jākonfigurē trafika kopijas nosūtīšana no tīkla ierīcēm. Savukārt FlowSensor nosūta paplašināto IPFIX uz FlowCollector.

Šo analīzi ir ērtāk veikt StealtWatch java lietojumprogrammā, kas ir instalēta administratora datorā.

Peles labā poga ieslēgta Inside Hosts un dodieties uz cilni Plūsmas tabula.

Klikšķiniet uz filtrs un iestatiet nepieciešamos parametrus. Kā piemērs:

• Datums/Laiks — par pēdējām 3 dienām
• Veiktspēja — vidējais turp un atpakaļ laiks >=50 ms

Pēc datu parādīšanas mums jāpievieno mūs interesējošie RTT un SRT lauki. Lai to izdarītu, noklikšķiniet uz kolonnas ekrānuzņēmumā un atlasiet to ar peles labo pogu Pārvaldīt kolonnas. Pēc tam noklikšķiniet uz RTT, SRT parametri.

Pēc pieprasījuma apstrādes es sakārtoju pēc RTT vidējā un redzēju lēnāko mijiedarbību.

Lai iegūtu detalizētu informāciju, ar peles labo pogu noklikšķiniet uz straumes un atlasiet Ātrais plūsmas skats.

Šī informācija norāda, ka saimniekdators 10.201.3.59 no grupas Pārdošanas un mārketinga pēc protokola NFS aicina DNS serveris uz minūti un 23 sekundēm, un ir vienkārši briesmīga nobīde. Cilnē Saskarnes varat uzzināt, no kura Netflow datu eksportētāja informācija iegūta. Cilnē Tabula Tiek parādīta detalizētāka informācija par mijiedarbību.

Tālāk jums vajadzētu noskaidrot, kuras ierīces nosūta trafiku uz FlowSensor, un problēma, visticamāk, ir tur.

Turklāt StealthWatch ir unikāls ar to, ka tas vada dublēšanās dati (apvieno tās pašas straumes). Tāpēc jūs varat vākt no gandrīz visām Netflow ierīcēm un nebaidīties, ka būs daudz datu dublikātu. Gluži pretēji, šajā shēmā tas palīdzēs saprast, kuram apiņam ir vislielākā kavēšanās.

3. HTTPS kriptogrāfisko protokolu audits

ETA (šifrētās satiksmes analīze) ir Cisco izstrādāta tehnoloģija, kas ļauj atklāt ļaunprātīgus savienojumus šifrētā trafikā, to neatšifrējot. Turklāt šī tehnoloģija ļauj “parsēt” HTTPS TLS versijās un kriptogrāfiskajos protokolos, kas tiek izmantoti savienojumu laikā. Šī funkcionalitāte ir īpaši noderīga, ja nepieciešams noteikt tīkla mezglus, kas izmanto vājus šifrēšanas standartus.

Piezīme: vispirms ir jāinstalē tīkla lietotne pakalpojumā StealthWatch - ETA kriptogrāfiskais audits.

Dodieties uz cilni Informācijas paneļi → ETA kriptogrāfijas audits un atlasiet saimniekdatoru grupu, kuru plānojam analizēt. Lai iegūtu kopējo attēlu, izvēlamies Inside Hosts.

Var redzēt, ka tiek izvadīta TLS versija un atbilstošais šifrēšanas standarts. Saskaņā ar parasto shēmu kolonnā Iespējas iet uz Skatīt plūsmas un meklēšana sākas jaunā cilnē.

No izejas var redzēt, ka saimnieks 198.19.20.136 pa visu 12 stundas izmantots HTTPS ar TLS 1.2, kur šifrēšanas algoritms AES-256 un jaucējfunkciju SHA-384. Tādējādi ETA ļauj tīklā atrast vājus algoritmus.

4. Tīkla anomāliju analīze

Cisco StealthWatch var atpazīt trafika anomālijas tīklā, izmantojot trīs rīkus: Pamatnotikumi (drošības pasākumi), Attiecību notikumi (segmentu, tīkla mezglu mijiedarbības notikumi) un uzvedības analīze.

Uzvedības analīze savukārt ļauj laika gaitā izveidot uzvedības modeli konkrētam saimniekdatoram vai saimniekdatoru grupai. Jo vairāk trafika šķērso StealthWatch, jo precīzāki brīdinājumi būs, pateicoties šai analīzei. Sākumā sistēma daudz ko iedarbina nepareizi, tāpēc noteikumus vajadzētu “sagriezt” ar roku. Iesaku pirmajās nedēļās šādus notikumus ignorēt, jo sistēma pati pielāgosies vai pievienos tos izņēmumiem.

Tālāk ir sniegts iepriekš definēta noteikuma piemērs Anomālija, kurā teikts, ka pasākums aizdegsies bez trauksmes, ja resursdators grupā Inside Hosts mijiedarbojas ar Inside Hosts grupu, un 24 stundu laikā trafiks pārsniegs 10 megabaitus.

Piemēram, ņemsim modinātāju Datu uzkrāšana, kas nozīmē, ka kāds avota/galamērķa saimniekdators ir augšupielādējis/lejupielādējis neparasti lielu datu apjomu no saimniekdatoru grupas vai resursdatora. Noklikšķiniet uz notikuma un dodieties uz tabulu, kurā ir norādīti aktivizētāji. Pēc tam kolonnā atlasiet mūs interesējošo saimniekdatoru Datu uzkrāšana.

Tiek parādīts notikums, kas norāda, ka tika atklāti 162 100 punktu, un saskaņā ar politiku ir atļauti XNUMX XNUMX punkti — tie ir iekšējie StealthWatch metrika. Kolonnā Iespējas spiediet Skatīt plūsmas.

Mēs to varam novērot dots saimnieks naktī sazinājās ar saimnieku 10.201.3.47 no nodaļas Pārdošana un Mārketings pēc protokola HTTPS un lejupielādēts 1.4 GB. Varbūt šis piemērs nav pilnībā veiksmīgs, taču mijiedarbības noteikšana pat vairākiem simtiem gigabaitu tiek veikta tieši tādā pašā veidā. Tāpēc turpmāka anomāliju izpēte var radīt interesantus rezultātus.

Piezīme: SMC tīmekļa saskarnē dati ir cilnēs Paneļi tiek rādīti tikai par pēdējo nedēļu un cilnē Kontrolēt pēdējo 2 nedēļu laikā. Lai analizētu vecākus notikumus un ģenerētu atskaites, administratora datorā ir jāstrādā ar Java konsoli.

5. Iekšējā tīkla skenēšanas atrašana

Tagad apskatīsim dažus plūsmu piemērus — informācijas drošības incidentus. Šī funkcionalitāte vairāk interesē drošības speciālistus.

StealthWatch ir vairāki iepriekš iestatīti skenēšanas notikumu veidi:

• Portu skenēšana — avots skenē vairākus mērķa resursdatora portus.
• Addr tcp scan — avots skenē visu tīklu tajā pašā TCP portā, mainot galamērķa IP adresi. Šajā gadījumā avots saņem TCP atiestatīšanas paketes vai nesaņem atbildes vispār.
• Addr udp scan — avots skenē visu tīklu tajā pašā UDP portā, vienlaikus mainot galamērķa IP adresi. Šajā gadījumā avots saņem ICMP porta nesasniedzamās paketes vai nesaņem atbildes vispār.
• Ping Scan - avots nosūta ICMP pieprasījumus visam tīklam, lai meklētu atbildes.
• Stealth Scan tсp/udp — avots izmantoja vienu un to pašu portu, lai vienlaikus izveidotu savienojumu ar vairākiem galamērķa mezgla portiem.

Lai būtu ērtāk atrast visus iekšējos skenerus vienlaikus, ir pieejama tīkla lietotne StealthWatch — redzamības novērtējums. Dodoties uz cilni Informācijas paneļi → Redzamības novērtējums → Iekšējā tīkla skeneri jūs redzēsit ar skenēšanu saistītos drošības incidentus pēdējo 2 nedēļu laikā.

Noklikšķinot uz pogas Sīkāka informācija, jūs redzēsiet katra tīkla skenēšanas sākumu, trafika tendenci un atbilstošos trauksmes signālus.

Pēc tam no iepriekšējā ekrānuzņēmuma cilnes varat piekļūt saimniekdatoram un skatīt drošības notikumus, kā arī pēdējās nedēļas darbības šim saimniekdatoram.

Piemēram, analizēsim notikumu Portu skenēšana no saimnieka 10.201.3.149 par 10.201.0.72, Spiešana Darbības > Saistītās plūsmas. Tiek uzsākta pavedienu meklēšana un tiek parādīta atbilstošā informācija.

Kā mēs redzam šo saimniekdatoru no vienas no tā ostām 51508 / TCP skenēts pirms 3 stundām galamērķa saimniekdators pēc porta 22, 28, 42, 41, 36, 40 (TCP). Dažos laukos netiek rādīta informācija, jo ne visi Netflow lauki tiek atbalstīti Netflow eksportētājā.

6. Lejupielādētas ļaunprātīgas programmatūras analīze, izmantojot CTA

CTA (kognitīvo draudu analīze) — Cisco mākoņa analītika, kas lieliski integrējas ar Cisco StealthWatch un ļauj papildināt analīzi bez paraksta ar parakstu analīzi. Tas ļauj atklāt Trojas zirgus, tīkla tārpus, nulles dienas ļaunprātīgu programmatūru un citas ļaunprogrammatūras un izplatīt tās tīklā. Arī iepriekš minētā ETA tehnoloģija ļauj analizēt šādus ļaunprātīgus sakarus šifrētā trafikā.

Burtiski pirmajā tīmekļa saskarnes cilnē ir īpašs logrīks Kognitīvā draudu analīze. Īss kopsavilkums norāda uz lietotāju resursdatoros atklātajiem draudiem: Trojas zirgi, krāpnieciska programmatūra, kaitinoša reklāmprogrammatūra. Vārds “šifrēts” faktiski norāda uz ETA darbu. Noklikšķinot uz saimniekdatora, tiek parādīta visa informācija par to, drošības notikumiem, tostarp CTA žurnāli.

Virzot kursoru virs katra CTA posma, notikums parāda detalizētu informāciju par mijiedarbību. Lai iegūtu pilnīgu analīzi, noklikšķiniet šeit Skatiet informāciju par incidentu, un jūs tiksit novirzīts uz atsevišķu konsoli Kognitīvā draudu analīze.

Augšējā labajā stūrī filtrs ļauj parādīt notikumus pēc smaguma pakāpes. Kad norādāt uz noteiktu anomāliju, ekrāna apakšā tiek parādīti žurnāli ar atbilstošu laika skalu labajā pusē. Tādējādi informācijas drošības speciālists skaidri saprot, kurš inficētais saimnieks, pēc kādām darbībām kādas darbības sāka veikt.

Zemāk ir vēl viens piemērs – bankas Trojas zirgs, kas inficēja saimniekdatoru 198.19.30.36. Šis resursdators sāka mijiedarboties ar ļaunprātīgiem domēniem, un žurnāli parāda informāciju par šo mijiedarbību plūsmu.

Tālāk viens no labākajiem risinājumiem ir saimnieka karantīna, pateicoties vietējam integrācija ar Cisco ISE turpmākai apstrādei un analīzei.

Secinājums

Cisco StealthWatch risinājums ir viens no tīkla uzraudzības produktu līderiem gan tīkla analīzes, gan informācijas drošības ziņā. Pateicoties tam, jūs varat atklāt nelikumīgu mijiedarbību tīklā, lietojumprogrammu aizkavēšanos, aktīvākos lietotājus, anomālijas, ļaunprātīgu programmatūru un APT. Turklāt jūs varat atrast skenerus, testētājus un veikt HTTPS trafika kriptoauditu. Vēl vairāk lietošanas gadījumu varat atrast vietnē saite.

Ja vēlaties pārbaudīt, cik gludi un efektīvi viss darbojas jūsu tīklā, nosūtiet pieteikumu.
Tuvākajā laikā plānojam vēl vairākas tehniskas publikācijas par dažādiem informācijas drošības produktiem. Ja jūs interesē šī tēma, sekojiet jaunumiem mūsu kanālos (Telegram, Facebook, VK, TS risinājumu emuārs)!

Avots: www.habr.com