I nga tuhinga o mua kua tuhia e au mo StealthWatch:
Tuatahi, me kii kei a StealthWatch etahi tohatoha o nga keu i waenga i nga algorithms me nga whangai. Ko te tuatahi ko nga momo puoho (whakamōhiotanga), ka paohohia, ka kitea nga mea whakapae i runga i te whatunga. Ko te tuarua ko nga raruraru haumaru. Ka titiro tenei tuhinga ki nga tauira e 4 o nga algorithms i whakaohohia me nga tauira e 2 o nga whangai.
1. Te tātari i nga taunekeneke nui rawa atu i roto i te whatunga
Ko te mahi tuatahi ki te whakatu StealthWatch ko te tautuhi i nga kaihautu me nga whatunga ki roto i nga roopu. I roto i te ripa atanga tukutuku Whirihora > Whakahaere Rōpū Kaihautū Ko nga whatunga, nga kaihautu, me nga kaitoro me wehewehe ki nga roopu e tika ana. Ka taea hoki e koe te hanga i a koe ake roopu. Ma te ara, ko te tātari i nga taunekeneke i waenga i nga kaihautu i Cisco StealthWatch he tino watea, na te mea kaore e taea e koe anake te penapena i nga whiriwhiringa rapu ma te awa, engari ko nga hua ano.
Hei timata, i roto i te atanga tukutuku me haere koe ki te ripa Tātari > Rere Rapu. Na me whakarite e koe nga tawhā e whai ake nei:
- Momo Rapu - Nga Korero Runga Rawa (te nuinga o nga taunekeneke rongonui)
- Awhe Wā — 24 haora (wā wā, ka taea e koe te whakamahi i tetahi atu)
- Rapu Ingoa - Nga Korero Runga Rawa Roto-Roto (tetahi ingoa hoa)
- Kaupapa - Roopu Kaihautu → Nga Kaihautu o Roto (puna - roopu o nga kaihautu o roto)
- Hononga (ka taea e koe te tohu tauranga, tono)
- Hoa - Roopu Kaihautu → Roto Kaihautū (taunga - roopu o nga pona o roto)
- I roto i nga Kōwhiringa Arā Atu Anō, ka taea e koe te whakapūtā te kaikohi i tirohia ai te raraunga, te kōmaka i te putanga (ma te paita, nga awa, me etahi atu). Ka waiho e ahau hei taunoa.
I muri i te pehi i te paatene Kimihia ka whakaatuhia he rarangi o nga taunekeneke kua tohua e te nui o nga raraunga kua whakawhitia.
I roto i toku tauira te ope 10.150.1.201 (tūmau) ka tukuna i roto i te miro kotahi anake 1.5 GB waka ki te manaaki 10.150.1.200 (kiritaki) ma te kawa mysql. Pātene Whakahaerehia nga Tiwae ka taea e koe te taapiri atu i nga pou ki nga raraunga whakaputa.
I muri mai, i runga i te whakaaro o te kaiwhakahaere, ka taea e koe te hanga i tetahi ture ritenga ka whakaoho i tenei momo taunekeneke me te whakamohio ki a koe ma te SNMP, te imeera, te Syslog ranei.
2. Te tātari i te puhoi o nga taunekeneke a te kiritaki-tūmau i roto i te whatunga mo te whakaroa
Tapanga SRT (Wā Whakautu Tūmau), RTT (Wā Haerenga Hurihuri) ka taea e koe te kimi i nga wa roa o te tūmau me te roa o te whatunga. He tino whai hua tenei taputapu ina hiahia koe ki te rapu tere i te take o nga amuamu a nga kaiwhakamahi mo te tono puhoi haere.
parau: tata ki te katoa Netflow kaweake kaore e mohio ki te pehea tukuna nga tohu SRT, RTT, he maha tonu, kia kite ai i aua raraunga i runga i te FlowSensor, me whirihora e koe te tuku kape o nga waka mai i nga taputapu whatunga. Ka tukuna e FlowSensor te IPFIX roa ki te FlowCollector.
He pai ake te whakahaere i tenei tātaritanga i roto i te tono java StealtWatch, kua whakauruhia ki te rorohiko a te kaiwhakahaere.
Kei runga te paatene kiore matau Roto Kaihautu ka haere ki te ripa Ripanga Rere.
Patohia Tātari me te whakarite i nga tawhā e tika ana. Hei tauira:
- Rā/Wā - Mō ngā rā e 3 kua hipa
- Mahinga — Wā Haerenga A tawhio noa >=50ms
Whai muri i te whakaatu i nga raraunga, me taapiri nga mara RTT me SRT e pai ana ki a maatau. Ki te mahi i tenei, paatohia te pou i roto i te Whakaahuamata ka kowhiri ma te paatene kiore matau Whakahaerehia nga Tiwae. Whai muri, pawhiria nga tawhā RTT, SRT.
I muri i te tukatuka i te tono, ka tohua e ahau ma te toharite RTT ka kite au i nga taunekeneke puhoi.
Hei haere ki nga korero taipitopito, pawhiri-matau ki te awa ka kowhiri Tiro Tere mo te Rere.
Ko enei korero e tohu ana ko te kaihautu 10.201.3.59 mai i te roopu Te hoko me te hokohoko ma te kawa NFS e tohu ana ki tūmau DNS mo te meneti me te 23 hēkona, he tino takamuri noa iho. I roto i te ripa atanga ka kitea e koe ko wai te Kaituku raraunga Netflow i riro mai ai nga korero. I roto i te ripa Ripanga Ka whakaatuhia etahi atu korero mo te taunekeneke.
I muri mai, me rapu koe ko wai nga taputapu e tuku waka ki FlowSensor me te raru pea kei reira.
Ano, he ahurei a StealthWatch i tana whakahaere tangohanga raraunga (ka whakakotahi i nga awa kotahi). Na reira, ka taea e koe te kohi mai i nga taputapu Netflow katoa me te kore e mataku kei nui nga raraunga taarua. He rereke, i roto i tenei kaupapa ka awhina koe ki te mohio ko tehea te hop he tino roa te roa.
3. Te arotake i nga kawa cryptographic HTTPS
ETA (Tatari Whakamuna Whakamuna) he hangarau i whakawhanakehia e Cisco e taea ai e koe te kite i nga hononga kino i roto i nga waka whakamunatia me te kore e wetemuna. I tua atu, ma tenei hangarau ka taea e koe te "parapara" HTTPS ki nga putanga TLS me nga tikanga cryptographic e whakamahia ana i nga hononga. He tino whai hua tenei mahi ina hiahia koe ki te kite i nga pona whatunga e whakamahi ana i nga paerewa crypto ngoikore.
parau: Me whakauru tuatahi koe i te taupānga whatunga ki runga StealthWatch - ETA Cryptographic Audit.
Haere ki te ripa Papatohu → ETA Cryptographic Audit ka whiriwhiri i te roopu o nga kaihautu ka whakamahere maatau ki te tātari. Mo te pikitia katoa, me whiriwhiri Roto Kaihautu.
Ka taea e koe te kite ko te putanga TLS me te paerewa crypto e rite ana he putanga. E ai ki te kaupapa o mua i te pou Hohenga haere ki Tiro Rere ka timata te rapunga ki tetahi ripa hou.
Mai i te putanga ka kitea ko te kaihautu 198.19.20.136 puta noa 12 haora whakamahia HTTPS ki TLS 1.2, i reira te hātepe whakamunatanga AES-256 me te mahi hash SHA-384. Na, ka taea e ETA te kimi i nga algorithms ngoikore i runga i te whatunga.
4. Te wetewete o te whatunga
Ka taea e Cisco StealthWatch te mohio ki nga rereke o nga waka i runga i te whatunga ma te whakamahi i nga taputapu e toru: Nga Takahanga Matua (nga kaupapa haumaru), Nga Takahanga Whanaungatanga (nga takahanga o nga taunekeneke i waenga i nga waahanga, nga waahanga whatunga) me te tātari whanonga.
Ko te tātari whanonga, ka taea e te waa te hanga tauira whanonga mo tetahi kaihautu, roopu roopu ranei. Ko te nui ake o nga waka e haere ana ma StealthWatch, ka tika ake nga matohi na tenei tātaritanga. I te tuatahi, he nui te pohehe o te punaha, no reira me "kopikopiko" nga ture ma te ringaringa. Ka tūtohu ahau kia warewarehia e koe enei huihuinga mo nga wiki tuatahi, na te mea ka whakatika te punaha i a ia ano, ka taapiri atu ranei ki etahi atu.
Kei raro nei he tauira o te ture kua tautuhia Korekau, e kii ana ka pupuhi te huihuinga me te kore he whakaoho mena he kaihautu i roto i te roopu Inside Hosts e taunekeneke ana me te roopu Inside Hosts a i roto i nga haora 24 ka neke ake te waka ki te 10 megabytes.
Hei tauira, me tango he whakaoho Pupuri Raraunga, ko te tikanga kua tuku ake/tangohia e etahi o nga kaihautu puna/whakahaerenga te nui o nga raraunga mai i te roopu kaihautu, i tetahi kaihautu ranei. Paatohia te huihuinga ka haere ki te ripanga e tohuhia ana nga kaihautu whakaoho. I muri mai, tohua te kaihautu e hiahia ana matou ki te pou Pupuri Raraunga.
Ka whakaatuhia he huihuinga e tohu ana he 162k nga "tohu" i kitea, e ai ki te kaupapa here, 100k "nga tohu" ka whakaaetia - he inenga StealthWatch o roto. I roto i te tīwae Hohenga pana Tiro Rere.
Ka taea e tatou te titiro ki tera hoatu te ope i taunekeneke ki te kaihautu i te po 10.201.3.47 mai i te tari Hokohoko & Hokohoko ma te kawa HTTPS ka tikiake 1.4 GB. Kaore pea tenei tauira i tino angitu, engari ko te kitenga o nga taunekeneke ahakoa mo nga rau gigabytes ka rite tonu te mahi. No reira, ka puta mai pea nga hua whakamere ki te tirotiro ano mo nga kohikore.
parau: i roto i te atanga tukutuku SMC, ko nga raraunga kei roto i nga ripa Papamahi ka whakaatuhia mo te wiki whakamutunga me te ripa Kaupane i roto i nga wiki e 2 kua hipa. Hei tātari i nga kaupapa tawhito me te whakaputa purongo, me mahi koe me te papatohu java i runga i te rorohiko a te kaiwhakahaere.
5. Te kimi matawai whatunga o roto
Inaianei ka titiro tatou ki etahi tauira o te whangai - information security incidents. He pai ake tenei mahi ki nga tohunga ngaio haumaru.
He maha nga momo takahanga karapa tatūkē i StealthWatch:
- Tauranga Matawai—ka matawai te puna i nga tauranga maha ki te kaihautu haerenga.
- Addr tcp scan - ka matawai te puna i te whatunga katoa i runga i te tauranga TCP kotahi, ka huri i te wahitau IP whainga. I tenei take, ka whiwhi te puna i nga paakete Tautuhi TCP, kaore ranei e whiwhi whakautu.
- Addr udp scan - ka matawai te puna i te whatunga katoa i runga i te tauranga UDP kotahi, i te huri i te wahitau IP ūnga. I tenei keehi, ka whiwhi te puna i nga paakete ICMP Port Unreachable, kaore ranei e whiwhi whakautu.
- Matawai Ping - ka tukuna e te puna nga tono ICMP ki te whatunga katoa hei rapu whakautu.
- Stealth Scan tсp/udp - i whakamahia e te puna te tauranga kotahi hei hono atu ki nga tauranga maha i runga i te node ūnga i te wa kotahi.
Kia pai ake ai te kimi i nga matawai o roto katoa i te wa kotahi, he taupānga whatunga mo StealthWatch - Aromatawai Tirohanga. Haere ki te ripa Papatohu → Aromatawai Tirohanga → Matawai Whatunga Roto ka kite koe i nga maiki haumaru e pa ana ki te matawai mo nga wiki e 2 kua hipa.
Te panui i te paatene taipitopito, ka kite koe i te timatanga o te matawai o ia whatunga, te ia o nga waka me nga whakaoho e rite ana.
I muri mai, ka taea e koe te "rahua" ki te kaihautu mai i te ripa i te whakaahua o mua ka kite i nga huihuinga haumarutanga, me nga mahi i te wiki whakamutunga mo tenei kaihautu.
Hei tauira, me tātari te kaupapa Tauranga Matawai mai i te ope 10.201.3.149 i runga i 10.201.0.72, Te pehi Nga Mahi > Rere Hononga. Ka whakarewahia he rapu miro ka whakaatuhia nga korero e tika ana.
Me pehea te kite i tenei kaihautu mai i tetahi o ona tauranga 51508/TCP karapahia 3 haora ki muri te kaihautu haerenga ma te tauranga 22, 28, 42, 41, 36, 40 (TCP). Ko etahi o nga mara kaore e whakaatu i nga korero na te mea kaore nga waahanga Netflow katoa e tautokohia ana i runga i te Kaituku Netflow.
6. Te tātaritanga o te malware i tangohia ma te whakamahi i te CTA
CTA (Tautari Whakamatau Hinengaro) — Ko nga tātaritanga kapua a Cisco, e hono pai ana ki a Cisco StealthWatch ka taea e koe te whakakii i te tātari waitohu-kore me te tātari waitohu. Ma tenei ka taea te kite i nga Torotiana, nga kutukutu whatunga, te kino kore-ra me etahi atu kino ka tohatoha ki roto i te whatunga. Ano, ko te hangarau ETA kua whakahuahia i mua ka taea e koe te tarai i nga korero kino i roto i nga waka whakamunatia.
Ko te tikanga kei runga i te ripa tuatahi i roto i te atanga paetukutuku kei reira he widget motuhake Te Taatari Whakamatau Hinengaro. He whakarāpopototanga poto e whakaatu ana i nga riri kua kitea i runga i nga kaihautu kaiwhakamahi: Torotiana, pūmanawa tinihanga, hokohoko hoha. Ko te kupu "Whakamuna" e tino tohu ana i te mahi a ETA. Ma te panui i te kaihautu, ka puta nga korero katoa mo taua mea, nga huihuinga haumarutanga, tae atu ki nga raarangi CTA.
Ma te whakakorikori i ia wahanga o te CTA, ka whakaatu te huihuinga i nga korero taipitopito mo te taunekeneke. Mo nga tātaritanga katoa, panui ki konei Tirohia nga korero mo nga aitua, ka haria koe ki tetahi papatohu motuhake Te Taatari Whakamatau Hinengaro.
I te kokonga matau o runga, he tātari ka taea e koe te whakaatu i nga huihuinga ma te taumata taumaha. Ina tohu koe ki tetahi rerekee motuhake, ka puta mai nga raarangi ki raro o te mata me te raarangi waahi ki te taha matau. No reira, ka tino mohio te tohunga mo te haumarutanga korero ko wai te kaihautu i pangia, ka mutu nga mahi, ka timata te mahi i nga mahi.
Kei raro nei tetahi tauira - he Torotiana putea i pangia te kaihautu 198.19.30.36. I timata tenei kaihautu ki te mahi tahi me nga rohe kino, a ka whakaatu nga rakau i nga korero mo te rere o enei taunekeneke.
Whai muri, ko tetahi o nga otinga pai ka taea ko te taratahi i te kaihautu me mihi ki te tangata whenua
mutunga
Ko te otinga Cisco StealthWatch tetahi o nga kaihautu i waenga i nga hua aroturuki whatunga mo te tātari whatunga me te haumarutanga korero. He mihi ki a koe, ka taea e koe te kite i nga taunekeneke kore ture i roto i te whatunga, te roa o te tono, nga kaiwhakamahi tino kaha, nga kino, nga kino me nga APT. I tua atu, ka taea e koe te kimi kaitirotiro, penetesters, me te whakahaere i te crypto-audit o te hokohoko HTTPS. Ka kitea e koe etahi atu keehi whakamahi i
Mena kei te pirangi koe ki te tirotiro he pehea te pai me te pai o nga mahi katoa i runga i to whatunga, tukuna mai
I nga wa e heke mai nei, kei te whakamahere matou i etahi atu panui hangarau mo nga momo hua haumaru korero. Mena kei te pirangi koe ki tenei kaupapa, katahi ka whai i nga whakahoutanga i roto i o maatau hongere (
Source: will.com