
dia vahaolana famakafakana eo amin'ny sehatry ny fiarovana ny fampahalalam-baovao izay manome fanaraha-maso feno ny fandrahonana amin'ny tambajotra mizara. StealthWatch dia mifototra amin'ny fanangonana NetFlow sy IPFIX avy amin'ny router, switch ary fitaovana tambajotra hafa. Vokatr'izany, lasa sensor saro-pady ny tambajotra ary ahafahan'ny mpitantana mijery ireo toerana tsy ahafahan'ny fomba fiarovana ny tambajotra nentim-paharazana, toy ny Next Generation Firewall.
Tao amin'ny lahatsoratra teo aloha dia efa nanoratra momba ny StealthWatch aho: , ary koa . Ankehitriny dia manolotra soso-kevitra aho ny handroso sy hifanakalo hevitra momba ny fomba fiasa miaraka amin'ny fanairana sy ny fanadihadiana ireo trangan-javatra fiarovana izay ateraky ny vahaolana. Hisy ohatra 6 izay antenaiko fa hanome hevitra tsara momba ny maha-ilaina ny vokatra.
Voalohany, tokony lazaina fa ny StealthWatch dia manana fizarana fanairana eo anelanelan'ny algorithm sy ny sakafo. Ny voalohany dia karazana fanairana (fampandrenesana) isan-karazany, rehefa voadona dia afaka mahita zavatra mampiahiahy ianao ao amin'ny tambajotra. Ny faharoa kosa dia ny resaka fiarovana. Ity lahatsoratra ity dia hijery ohatra 4 momba ny algorithm natsangana ary ohatra 2 momba ny famahanana.
1. Famakafakana ny fifandraisana lehibe indrindra ao anatin'ny tambajotra
Ny dingana voalohany amin'ny fametrahana StealthWatch dia ny famaritana ireo mpampiantrano sy tambajotra ho vondrona. Ao amin'ny tabilao web interface Tefeo > Fitantanana vondrona mpampiantrano Ny tambajotra, mpampiantrano ary mpizara dia tokony sokajiana ho vondrona mety. Azonao atao ihany koa ny mamorona vondrona anao manokana. Raha ny tokony ho izy, ny famakafakana ny fifandraisan'ny mpampiantrano ao amin'ny Cisco StealthWatch dia mety tsara, satria tsy vitan'ny hoe mitahiry sivana fikarohana amin'ny alΓ lan'ny stream ianao, fa ny valiny ihany koa.
Hanombohana, ao amin'ny interface web dia tokony handeha amin'ny tabilao ianao Mamakafaka > Flow Search. Avy eo dia tokony hametraka ireto parameter manaraka ireto ianao:
- Karazana fikarohana - Resadresaka ambony indrindra (fifandraisana malaza indrindra)
- Fe-potoana - 24 ora (fotoana, azonao ampiasaina hafa)
- Anaran'ny Fikarohana - Resadresaka ambony ao anatiny (izay anarana sariaka)
- Lohahevitra - Vondrona mpampiantrano β Mpampiantrano anatiny (loharano - vondrona mpampiantrano anatiny)
- Fifandraisana (azonao atao ny manondro seranana, fampiharana)
- Peer - Groups Host β Inside Hosts
- Ao amin'ny Advanced Options, azonao atao koa ny mamaritra ny mpanangona izay ijerena ny angon-drakitra, mandamina ny vokatra (amin'ny bytes, streams, sns.). Avelako ho default.

Rehefa avy nanindry ny bokotra Mitady misy lisitry ny fifaneraserana aseho izay efa nalahatra araka ny habetsaky ny angona nafindra.

Ao amin'ny ohatra ahy ny mpampiantrano 10.150.1.201 (server) alefa ao anatin'ny kofehy iray ihany 1.5 GB fifamoivoizana mankany amin'ny mpampiantrano 10.150.1.200 (mpanjifa) amin'ny protocol MySQL. bokotra Mitantana Columns ahafahanao manampy tsanganana bebe kokoa amin'ny angona mivoaka.
Manaraka, amin'ny fahendren'ny mpitantana, dia afaka mamorona fitsipika manokana izay hanetsika foana ny karazana fifaneraserana sy mampahafantatra anao amin'ny alalan'ny SNMP, mailaka na Syslog.
2. Famakafakana ny fifandraisana miadana indrindra amin'ny mpizara mpanjifa ao anatin'ny tambajotra noho ny fahatarana
Tags SRT (Fotoan'ny famaliana mpizara), RTT (Fotoam-pihodinana) mamela anao hahita ny fahataran'ny mpizara sy ny fahatarana amin'ny tambajotra ankapobeny. Ity fitaovana ity dia ilaina indrindra rehefa mila mitady haingana ny anton'ny fitarainan'ny mpampiasa momba ny fampiharana miadana ianao.
fanamarihana: saika ny mpanondrana Netflow rehetra tsy haiko hoe ahoana mandefa SRT, RTT tags, matetika, mba hahitana ny angona toy izany ao amin'ny FlowSensor, dia mila manitsy ny fandefasana dika mitovy amin'ny fifamoivoizana avy amin'ny fitaovana tambajotra ianao. FlowSensor indray dia mandefa ny IPFIX miitatra mankany amin'ny FlowCollector.
Mora kokoa ny manao izany famakafakana izany amin'ny fampiharana java StealtWatch, izay apetraka amin'ny solosain'ny mpitantana.
Ny bokotra havanana amin'ny totozy dia mandeha Inside Hosts ary mandehana any amin'ny tabilao Flow Table.

Tsindrio eo Sivana ary mametraka ny masontsivana ilaina. Ohatra:
- Daty/ora - Nandritra ny 3 andro farany
- Fampisehoana β Salan'isan'ny Dia Mihodina >=50ms


Aorian'ny fanehoana ny angon-drakitra dia tokony ampiana ny saha RTT sy SRT izay mahaliana antsika. Mba hanaovana izany, tsindrio ny tsanganana eo amin'ny pikantsary ary mifidiana amin'ny bokotra havanana amin'ny totozy Mitantana Columns. Avy eo, tsindrio RTT, SRT parameters.

Taorian'ny fikarakarana ny fangatahana dia nalahatra araka ny salan'isa RTT aho ary nahita ny fifandraisana miadana indrindra.

Raha te hiditra amin'ny fampahalalana amin'ny antsipiriany, tsindrio havanana amin'ny stream ary safidio Quick View for Flow.

Ity fampahalalana ity dia manondro fa ny mpampiantrano 10.201.3.59 avy amin'ny vondrona Sales sy ny Marketing amin'ny alΓ lan'ny protokolola NFS manondro ny mpizara DNS mandritra ny iray minitra sy 23 segondra ary misy fahatarana mahatsiravina. Ao amin'ny tabilao interface azonao fantarina hoe avy amin'ny mpanondrana data Netflow no nahazoana ny vaovao. Ao amin'ny tabilao table Aseho ny fampahalalana misimisy kokoa momba ny fifandraisana.

Manaraka, tokony ho fantatrao hoe iza amin'ireo fitaovana mandefa fifamoivoizana amin'ny FlowSensor ary ny olana mety hitranga any.
Ankoatra izany, ny StealthWatch dia miavaka amin'ny fitarihana azy deduplication data (manambatra ny renirano mitovy). Noho izany, afaka manangona saika avy amin'ny fitaovana Netflow rehetra ianao ary aza matahotra fa hisy angon-drakitra dika mitovy. Ny mifanohitra amin'izany aza, amin'ity tetika ity dia hanampy amin'ny fahafantarana hoe iza no hop manana fahatarana lehibe indrindra.
3. Fanamarinana ny protocoles cryptographic HTTPS
ETA (Encrypted Traffic Analytics) dia teknΓ΄lΓ΄jia novolavolain'ny Cisco izay mamela anao hamantatra fifandraisana ratsy amin'ny fifamoivoizana misy miafina nefa tsy manafoana izany. Ankoatra izany, ity teknΓ΄lΓ΄jia ity dia ahafahanao "mandefa" HTTPS amin'ny dikan-teny TLS sy ny protocoles cryptographic izay ampiasaina mandritra ny fifandraisana. Ity fampiasa ity dia tena ilaina indrindra rehefa mila mamantatra ny node tambajotra izay mampiasa fenitry crypto malemy ianao.
fanamarihana: Tsy maintsy mametraka ny fampiharana tambajotra amin'ny StealthWatch aloha ianao - ETA Cryptographic Audit.
Mandehana any amin'ny tabilao Dashboards β ETA Cryptographic Audit ary safidio ny vondrona mpampiantrano izay kasainay hodinihina. Ho an'ny sary ankapobeny, andao hisafidy Inside Hosts.

Hitanao fa ny dikan-tLS sy ny fenitra crypto mifanaraka amin'izany dia mivoaka. Araka ny tetika mahazatra ao amin'ny tsanganana Actions mandeha Jereo ny Flows ary manomboka amin'ny tabilao vaovao ny fikarohana.


Avy amin'ny famoahana dia azo jerena fa ny mpampiantrano 198.19.20.136 HO AN'NY Ora 12 nampiasa HTTPS miaraka amin'ny TLS 1.2, izay misy ny algorithm encryption AES-256 ary ny hash function Sha-384. Noho izany, ny ETA dia ahafahanao mahita algorithm malemy amin'ny tambajotra.
4. Famakafakana ny anomaly tambajotra
Ny Cisco StealthWatch dia afaka mamantatra ny tsy fahombiazan'ny fifamoivoizana amin'ny tambajotra amin'ny alΓ lan'ny fitaovana telo: Hetsika fototra (hetsika fiarovana), Hetsika Fifandraisana (hetsika amin'ny fifaneraserana eo amin'ny fizarana, nodes tambajotra) ary fandalinana fitondran-tena.
Ny famakafakana ny fitondran-tena, indray, dia mamela ny fotoana hananganana modely amin'ny fitondran-tena ho an'ny mpampiantrano na vondron'olona iray manokana. Arakaraka ny fifamoivoizana mandalo amin'ny StealthWatch no marina kokoa ny fampandrenesana noho ity fanadihadiana ity. Amin'ny voalohany, ny rafitra dia miteraka tsy mety, noho izany dia tokony "hihodina" amin'ny tanana ny fitsipika. Manoro hevitra aho ny tsy hiraharaha ny hetsika toy izany mandritra ny herinandro vitsivitsy voalohany, satria ny rafitra dia hanitsy ny tenany, na hanampy azy ireo amin'ny maningana.
Ity ambany ity ny ohatra iray momba ny fitsipika efa voafaritra mialoha mahazatra, izay milaza fa hirehitra tsy misy fanairana ny hetsika raha mpampiantrano iray ao amin'ny vondrona Inside Hosts dia mifandray amin'ny vondrona Inside Hosts ary ao anatin'ny 24 ora dia hihoatra ny 10 megabytes ny fifamoivoizana.

Andeha, ohatra, ny fanairana Data fitahirizana, izay midika fa nampiakatra/nampidina angona be dia be avy amin'ny vondron'ny mpampiantrano na mpampiantrano iray ny mpampiantrano loharano/fitetezana sasany. Kitiho ny hetsika ary mankanesa any amin'ny latabatra misy ireo mpampiantrano mandrisika. Avy eo, safidio ny mpampiantrano mahaliana antsika ao amin'ny tsanganana Data fitahirizana.


Misy hetsika miseho milaza fa 162k βpointsβ no hita, ary araka ny politika, 100k βpointsβ no avela - ireo dia metrika StealthWatch anatiny. Ao anaty tsanganana Actions Atoseho Jereo ny Flows.

Afaka mandinika izany isika nomena mpampiantrano nifanerasera tamin'ny mpampiantrano tamin'ny alina 10.201.3.47 avy amin'ny departemanta Varotra sy varotra amin'ny alΓ lan'ny protokolola HTTPS ary alaina 1.4 GB. Angamba ity ohatra ity dia tsy mahomby tanteraka, fa ny fitadiavana fifandraisana na dia an-jatony gigabytes aza dia atao amin'ny fomba mitovy. Noho izany, ny fanadihadiana bebe kokoa momba ny anomalia dia mety hitondra vokatra mahaliana.

fanamarihana: ao amin'ny SMC web interface, ny angona dia ao anaty tabilao Dashboards dia aseho amin'ny herinandro farany sy amin'ny tabilao ihany Monitor nandritra ny herinandro 2 farany. Raha te hamakafaka ny hetsika taloha sy hamokatra tatitra dia mila miara-miasa amin'ny console java amin'ny solosain'ny mpitantana ianao.
5. Fikarohana ny tambajotra anatiny
Andeha hojerentsika ohatra vitsivitsy momba ny fahana - tranga momba ny fiarovana ny fampahalalana. Ity fampiasa ity dia mahaliana kokoa ny matihanina amin'ny fiarovana.
Misy karazana hetsika scan preset maromaro ao amin'ny StealthWatch:
- Port Scan β ny loharano dia mijery seranana marobe amin'ny mpampiantrano toerana haleha.
- Addr tcp scan - ny loharano dia mijery ny tambajotra iray manontolo amin'ny seranan-tsambo TCP iray ihany, manova ny adiresy IP. Amin'ity tranga ity, ny loharano dia mahazo TCP Reset fonosana na tsy mahazo valiny mihitsy.
- Addr udp scan - ny loharano dia mijery ny tambajotra manontolo amin'ny seranan-tsambo UDP iray ihany, raha manova ny adiresy IP alehany. Amin'ity tranga ity, ny loharano dia mahazo fonosana ICMP Port Unreachable na tsy mahazo valiny mihitsy.
- Ping Scan - ny loharano dia mandefa fangatahana ICMP amin'ny tambajotra manontolo mba hitadiavana valiny.
- Stealth Scan tΡp/udp - ny loharano dia nampiasa seranana iray ihany mba hifandraisana amin'ny seranana maro amin'ny node alehana amin'ny fotoana iray ihany.
Mba hahamora kokoa ny fitadiavana ireo scanner anatiny rehetra indray mandeha dia misy fampiharana tambajotra ho an'ny StealthWatch - Fanombanana ny fahitana. Mandeha amin'ny tabilao Dashboards β Fanombanana ny fahitana β Scanners Network anatiny ho hitanao ireo trangan-javatra fiarovana mifandraika amin'ny fitarafana nandritra ny herinandro 2 farany.

Tsindrio ny bokotra Details, ho hitanao ny fanombohan'ny fisavana ny tambajotra tsirairay, ny fironan'ny fifamoivoizana ary ny fanairana mifandraika amin'izany.

Manaraka, afaka "tsy nahomby" ianao ao amin'ny mpampiantrano avy amin'ny tabilao ao amin'ny pikantsary teo aloha ary mahita hetsika fiarovana, ary koa ny hetsika nandritra ny herinandro farany ho an'ity mpampiantrano ity.


Ohatra, andeha hodinihintsika ny zava-nitranga Port Scan avy amin'ny mpampiantrano 10.201.3.149 amin'ny 10.201.0.72, Manindry Actions > Flows mifandraika. Atomboka ny fikarohana kofehy ary aseho ny fampahalalana mifandraika.

Ahoana no fahitantsika ity mpampiantrano ity avy amin'ny seranana iray 51508 / TCP nojerena 3 ora lasa izay ny mpampiantrano toerana haleha amin'ny seranana 22, 28, 42, 41, 36, 40 (TCP). Ny saha sasany dia tsy mampiseho fampahalalana ihany koa satria tsy ny sahan'ny Netflow rehetra no tohanana amin'ny mpanondrana Netflow.
6. Famakafakana ny malware alaina mampiasa CTA
CTA (Cognitive Threat Analytics) - Cisco cloud analytics, izay mitambatra tsara amin'ny Cisco StealthWatch ary ahafahanao mameno ny famakafakana tsy misy sonia miaraka amin'ny famakafakana sonia. Izany dia ahafahana mamantatra ny Trojans, ny kankana amin'ny tambajotra, ny malware tsy misy andro ary ny malware hafa ary mizara azy ireo ao anatin'ny tambajotra. Ary koa, ny teknΓ΄lΓ΄jia ETA voalaza teo aloha dia ahafahanao mamakafaka ireo fifandraisana maloto toy izany amin'ny fifamoivoizana miafina.

Ara-bakiteny eo amin'ny tabilao voalohany indrindra amin'ny seha-pifandraisana web dia misy widget manokana Cognitive Threat Analytics. Ny famintinana fohy dia manondro fandrahonana hita amin'ny mpampiantrano mpampiasa: Trojan, rindrambaiko hosoka, adware manelingelina. Ny teny hoe "Encrypted" dia manondro ny asan'ny ETA. Amin'ny fipihana amin'ny mpampiantrano iray dia miseho ny fampahalalana rehetra momba izany, ny hetsika fiarovana, anisan'izany ny diarin'ny CTA.


Amin'ny alΓ lan'ny fanodinkodinana ny dingana tsirairay amin'ny CTA, ny hetsika dia mampiseho fampahalalana amin'ny antsipiriany momba ny fifandraisana. Raha mila fanadihadiana feno, tsindrio eto Jereo ny antsipirian'ny tranga, ary hoentina any amin'ny console mitokana ianao Cognitive Threat Analytics.

Ao amin'ny zoro havanana ambony, misy sivana mamela anao hampiseho hetsika amin'ny haavon'ny hamafin'ny. Rehefa manondro anomaliana manokana ianao, dia miseho eo amin'ny faran'ny efijery ny diary miaraka amin'ny fandaharam-potoana mifanaraka amin'izany eo ankavanana. Noho izany, ny manam-pahaizana momba ny fiarovana ny fampahalalam-baovao dia mahatakatra tsara hoe iza no tompon'andraikitra amin'ny aretina, ary avy eo ny hetsika dia nanomboka nanao izay hetsika.
Ity ambany ity ny ohatra iray hafa - Trojan banky izay nanimba ny mpampiantrano 198.19.30.36. Nanomboka nifanerasera tamin'ireo sehatra maloto ity mpampiantrano ity, ary ny diary dia mampiseho fampahalalana momba ny fandehan'ireo fifandraisana ireo.


Manaraka, ny iray amin'ireo vahaolana tsara indrindra azo atao dia ny fampiatoana ny mpampiantrano noho ny teratany miaraka amin'ny Cisco ISE ho fitsaboana sy fanadihadiana fanampiny.
famaranana
Ny vahaolana Cisco StealthWatch dia iray amin'ireo mpitarika eo amin'ny vokatra fanaraha-maso ny tambajotra na eo amin'ny sehatry ny famakafakana tambajotra sy ny fiarovana ny vaovao. Noho izany, azonao atao ny mamantatra ny fifandraisana tsy ara-dalΓ na ao anatin'ny tambajotra, ny fanemorana ny fampiharana, ny mpampiasa mavitrika indrindra, ny anomalies, ny malware ary ny APT. Ankoatra izany, afaka mahita scanner, pentesters, ary manao fanaraha-maso crypto momba ny fifamoivoizana HTTPS ianao. Afaka mahita tranga fampiasana bebe kokoa ianao ao amin'ny .
Raha te hanamarina ny fandehan'ny zava-drehetra amin'ny tambazotranao ianao dia alefaso .
Atsy ho atsy, manomana famoahana ara-teknika maro hafa momba ny vokatra fiarovana vaovao isan-karazany izahay. Raha liana amin'ity lohahevitra ity ianao dia araho ny fanavaozana ao amin'ny fantsonay (, , , )!
Source: www.habr.com
