StealthWatch: tātaritanga me te whakatewhatewha. Wāhanga 3

Cisco StealthWatch he otinga tātari i roto i te mara o te haumarutanga korero e whakarato ana i te aro turuki matawhānui o nga tuma i roto i te whatunga tohatoha. Ko te StealthWatch i ahu mai i te kohi NetFlow me te IPFIX mai i nga pouara, whakawhiti me etahi atu taputapu whatunga. Ko te mutunga, ka noho te whatunga hei pukoro tairongo, ka taea e te kaiwhakahaere te titiro ki nga waahi kaore e taea e nga tikanga haumaru whatunga tuku iho, penei i te Paahi Whakatupuranga Panuku.

I nga tuhinga o mua kua tuhia e au mo StealthWatch: whakataki tuatahi me nga whai wāhitangaA te horahanga me te whirihoranga. Inaianei ka whakaaro ahau ki te neke me te matapaki me pehea te mahi me nga whakaohooho me te tirotiro i nga maiki haumarutanga ka mahia e te otinga. E 6 nga tauira e tumanako ana ahau ka whai whakaaro pai mo te whaihua o te hua.

Tuatahi, me kii kei a StealthWatch etahi tohatoha o nga keu i waenga i nga algorithms me nga whangai. Ko te tuatahi ko nga momo puoho (whakamōhiotanga), ka paohohia, ka kitea nga mea whakapae i runga i te whatunga. Ko te tuarua ko nga raruraru haumaru. Ka titiro tenei tuhinga ki nga tauira e 4 o nga algorithms i whakaohohia me nga tauira e 2 o nga whangai.

1. Te tātari i nga taunekeneke nui rawa atu i roto i te whatunga

Ko te mahi tuatahi ki te whakatu StealthWatch ko te tautuhi i nga kaihautu me nga whatunga ki roto i nga roopu. I roto i te ripa atanga tukutuku Whirihora > Whakahaere Rōpū Kaihautū Ko nga whatunga, nga kaihautu, me nga kaitoro me wehewehe ki nga roopu e tika ana. Ka taea hoki e koe te hanga i a koe ake roopu. Ma te ara, ko te tātari i nga taunekeneke i waenga i nga kaihautu i Cisco StealthWatch he tino watea, na te mea kaore e taea e koe anake te penapena i nga whiriwhiringa rapu ma te awa, engari ko nga hua ano.

Hei timata, i roto i te atanga tukutuku me haere koe ki te ripa Tātari > Rere Rapu. Na me whakarite e koe nga tawhā e whai ake nei:

• Momo Rapu - Nga Korero Runga Rawa (te nuinga o nga taunekeneke rongonui)
• Awhe Wā — 24 haora (wā wā, ka taea e koe te whakamahi i tetahi atu)
• Rapu Ingoa - Nga Korero Runga Rawa Roto-Roto (tetahi ingoa hoa)
• Kaupapa - Roopu Kaihautu → Nga Kaihautu o Roto (puna - roopu o nga kaihautu o roto)
• Hononga (ka taea e koe te tohu tauranga, tono)
• Hoa - Roopu Kaihautu → Roto Kaihautū (taunga - roopu o nga pona o roto)
• I roto i nga Kōwhiringa Arā Atu Anō, ka taea e koe te whakapūtā te kaikohi i tirohia ai te raraunga, te kōmaka i te putanga (ma te paita, nga awa, me etahi atu). Ka waiho e ahau hei taunoa.

I muri i te pehi i te paatene Kimihia ka whakaatuhia he rarangi o nga taunekeneke kua tohua e te nui o nga raraunga kua whakawhitia.

I roto i toku tauira te ope 10.150.1.201 (tūmau) ka tukuna i roto i te miro kotahi anake 1.5 GB waka ki te manaaki 10.150.1.200 (kiritaki) ma te kawa mysql. Pātene Whakahaerehia nga Tiwae ka taea e koe te taapiri atu i nga pou ki nga raraunga whakaputa.

I muri mai, i runga i te whakaaro o te kaiwhakahaere, ka taea e koe te hanga i tetahi ture ritenga ka whakaoho i tenei momo taunekeneke me te whakamohio ki a koe ma te SNMP, te imeera, te Syslog ranei.

2. Te tātari i te puhoi o nga taunekeneke a te kiritaki-tūmau i roto i te whatunga mo te whakaroa

Tapanga SRT (Wā Whakautu Tūmau), RTT (Wā Haerenga Hurihuri) ka taea e koe te kimi i nga wa roa o te tūmau me te roa o te whatunga. He tino whai hua tenei taputapu ina hiahia koe ki te rapu tere i te take o nga amuamu a nga kaiwhakamahi mo te tono puhoi haere.

parau: tata ki te katoa Netflow kaweake kaore e mohio ki te pehea tukuna nga tohu SRT, RTT, he maha tonu, kia kite ai i aua raraunga i runga i te FlowSensor, me whirihora e koe te tuku kape o nga waka mai i nga taputapu whatunga. Ka tukuna e FlowSensor te IPFIX roa ki te FlowCollector.

He pai ake te whakahaere i tenei tātaritanga i roto i te tono java StealtWatch, kua whakauruhia ki te rorohiko a te kaiwhakahaere.

Kei runga te paatene kiore matau Roto Kaihautu ka haere ki te ripa Ripanga Rere.

Patohia Tātari me te whakarite i nga tawhā e tika ana. Hei tauira:

• Rā/Wā - Mō ngā rā e 3 kua hipa
• Mahinga — Wā Haerenga A tawhio noa >=50ms

Whai muri i te whakaatu i nga raraunga, me taapiri nga mara RTT me SRT e pai ana ki a maatau. Ki te mahi i tenei, paatohia te pou i roto i te Whakaahuamata ka kowhiri ma te paatene kiore matau Whakahaerehia nga Tiwae. Whai muri, pawhiria nga tawhā RTT, SRT.

I muri i te tukatuka i te tono, ka tohua e ahau ma te toharite RTT ka kite au i nga taunekeneke puhoi.

Hei haere ki nga korero taipitopito, pawhiri-matau ki te awa ka kowhiri Tiro Tere mo te Rere.

Ko enei korero e tohu ana ko te kaihautu 10.201.3.59 mai i te roopu Te hoko me te hokohoko ma te kawa NFS e tohu ana ki tūmau DNS mo te meneti me te 23 hēkona, he tino takamuri noa iho. I roto i te ripa atanga ka kitea e koe ko wai te Kaituku raraunga Netflow i riro mai ai nga korero. I roto i te ripa Ripanga Ka whakaatuhia etahi atu korero mo te taunekeneke.

I muri mai, me rapu koe ko wai nga taputapu e tuku waka ki FlowSensor me te raru pea kei reira.

Ano, he ahurei a StealthWatch i tana whakahaere tangohanga raraunga (ka whakakotahi i nga awa kotahi). Na reira, ka taea e koe te kohi mai i nga taputapu Netflow katoa me te kore e mataku kei nui nga raraunga taarua. He rereke, i roto i tenei kaupapa ka awhina koe ki te mohio ko tehea te hop he tino roa te roa.

3. Te arotake i nga kawa cryptographic HTTPS

ETA (Tatari Whakamuna Whakamuna) he hangarau i whakawhanakehia e Cisco e taea ai e koe te kite i nga hononga kino i roto i nga waka whakamunatia me te kore e wetemuna. I tua atu, ma tenei hangarau ka taea e koe te "parapara" HTTPS ki nga putanga TLS me nga tikanga cryptographic e whakamahia ana i nga hononga. He tino whai hua tenei mahi ina hiahia koe ki te kite i nga pona whatunga e whakamahi ana i nga paerewa crypto ngoikore.

parau: Me whakauru tuatahi koe i te taupānga whatunga ki runga StealthWatch - ETA Cryptographic Audit.

Haere ki te ripa Papatohu → ETA Cryptographic Audit ka whiriwhiri i te roopu o nga kaihautu ka whakamahere maatau ki te tātari. Mo te pikitia katoa, me whiriwhiri Roto Kaihautu.

Ka taea e koe te kite ko te putanga TLS me te paerewa crypto e rite ana he putanga. E ai ki te kaupapa o mua i te pou Hohenga haere ki Tiro Rere ka timata te rapunga ki tetahi ripa hou.

Mai i te putanga ka kitea ko te kaihautu 198.19.20.136 puta noa 12 haora whakamahia HTTPS ki TLS 1.2, i reira te hātepe whakamunatanga AES-256 me te mahi hash SHA-384. Na, ka taea e ETA te kimi i nga algorithms ngoikore i runga i te whatunga.

4. Te wetewete o te whatunga

Ka taea e Cisco StealthWatch te mohio ki nga rereke o nga waka i runga i te whatunga ma te whakamahi i nga taputapu e toru: Nga Takahanga Matua (nga kaupapa haumaru), Nga Takahanga Whanaungatanga (nga takahanga o nga taunekeneke i waenga i nga waahanga, nga waahanga whatunga) me te tātari whanonga.

Ko te tātari whanonga, ka taea e te waa te hanga tauira whanonga mo tetahi kaihautu, roopu roopu ranei. Ko te nui ake o nga waka e haere ana ma StealthWatch, ka tika ake nga matohi na tenei tātaritanga. I te tuatahi, he nui te pohehe o te punaha, no reira me "kopikopiko" nga ture ma te ringaringa. Ka tūtohu ahau kia warewarehia e koe enei huihuinga mo nga wiki tuatahi, na te mea ka whakatika te punaha i a ia ano, ka taapiri atu ranei ki etahi atu.

Kei raro nei he tauira o te ture kua tautuhia Korekau, e kii ana ka pupuhi te huihuinga me te kore he whakaoho mena he kaihautu i roto i te roopu Inside Hosts e taunekeneke ana me te roopu Inside Hosts a i roto i nga haora 24 ka neke ake te waka ki te 10 megabytes.

Hei tauira, me tango he whakaoho Pupuri Raraunga, ko te tikanga kua tuku ake/tangohia e etahi o nga kaihautu puna/whakahaerenga te nui o nga raraunga mai i te roopu kaihautu, i tetahi kaihautu ranei. Paatohia te huihuinga ka haere ki te ripanga e tohuhia ana nga kaihautu whakaoho. I muri mai, tohua te kaihautu e hiahia ana matou ki te pou Pupuri Raraunga.

Ka whakaatuhia he huihuinga e tohu ana he 162k nga "tohu" i kitea, e ai ki te kaupapa here, 100k "nga tohu" ka whakaaetia - he inenga StealthWatch o roto. I roto i te tīwae Hohenga pana Tiro Rere.

Ka taea e tatou te titiro ki tera hoatu te ope i taunekeneke ki te kaihautu i te po 10.201.3.47 mai i te tari Hokohoko & Hokohoko ma te kawa HTTPS ka tikiake 1.4 GB. Kaore pea tenei tauira i tino angitu, engari ko te kitenga o nga taunekeneke ahakoa mo nga rau gigabytes ka rite tonu te mahi. No reira, ka puta mai pea nga hua whakamere ki te tirotiro ano mo nga kohikore.

parau: i roto i te atanga tukutuku SMC, ko nga raraunga kei roto i nga ripa Papamahi ka whakaatuhia mo te wiki whakamutunga me te ripa Kaupane i roto i nga wiki e 2 kua hipa. Hei tātari i nga kaupapa tawhito me te whakaputa purongo, me mahi koe me te papatohu java i runga i te rorohiko a te kaiwhakahaere.

5. Te kimi matawai whatunga o roto

Inaianei ka titiro tatou ki etahi tauira o te whangai - information security incidents. He pai ake tenei mahi ki nga tohunga ngaio haumaru.

He maha nga momo takahanga karapa tatūkē i StealthWatch:

• Tauranga Matawai—ka matawai te puna i nga tauranga maha ki te kaihautu haerenga.
• Addr tcp scan - ka matawai te puna i te whatunga katoa i runga i te tauranga TCP kotahi, ka huri i te wahitau IP whainga. I tenei take, ka whiwhi te puna i nga paakete Tautuhi TCP, kaore ranei e whiwhi whakautu.
• Addr udp scan - ka matawai te puna i te whatunga katoa i runga i te tauranga UDP kotahi, i te huri i te wahitau IP ūnga. I tenei keehi, ka whiwhi te puna i nga paakete ICMP Port Unreachable, kaore ranei e whiwhi whakautu.
• Matawai Ping - ka tukuna e te puna nga tono ICMP ki te whatunga katoa hei rapu whakautu.
• Stealth Scan tсp/udp - i whakamahia e te puna te tauranga kotahi hei hono atu ki nga tauranga maha i runga i te node ūnga i te wa kotahi.

Kia pai ake ai te kimi i nga matawai o roto katoa i te wa kotahi, he taupānga whatunga mo StealthWatch - Aromatawai Tirohanga. Haere ki te ripa Papatohu → Aromatawai Tirohanga → Matawai Whatunga Roto ka kite koe i nga maiki haumaru e pa ana ki te matawai mo nga wiki e 2 kua hipa.

Te panui i te paatene taipitopito, ka kite koe i te timatanga o te matawai o ia whatunga, te ia o nga waka me nga whakaoho e rite ana.

I muri mai, ka taea e koe te "rahua" ki te kaihautu mai i te ripa i te whakaahua o mua ka kite i nga huihuinga haumarutanga, me nga mahi i te wiki whakamutunga mo tenei kaihautu.

Hei tauira, me tātari te kaupapa Tauranga Matawai mai i te ope 10.201.3.149 i runga i 10.201.0.72, Te pehi Nga Mahi > Rere Hononga. Ka whakarewahia he rapu miro ka whakaatuhia nga korero e tika ana.

Me pehea te kite i tenei kaihautu mai i tetahi o ona tauranga 51508/TCP karapahia 3 haora ki muri te kaihautu haerenga ma te tauranga 22, 28, 42, 41, 36, 40 (TCP). Ko etahi o nga mara kaore e whakaatu i nga korero na te mea kaore nga waahanga Netflow katoa e tautokohia ana i runga i te Kaituku Netflow.

6. Te tātaritanga o te malware i tangohia ma te whakamahi i te CTA

CTA (Tautari Whakamatau Hinengaro) — Ko nga tātaritanga kapua a Cisco, e hono pai ana ki a Cisco StealthWatch ka taea e koe te whakakii i te tātari waitohu-kore me te tātari waitohu. Ma tenei ka taea te kite i nga Torotiana, nga kutukutu whatunga, te kino kore-ra me etahi atu kino ka tohatoha ki roto i te whatunga. Ano, ko te hangarau ETA kua whakahuahia i mua ka taea e koe te tarai i nga korero kino i roto i nga waka whakamunatia.

Ko te tikanga kei runga i te ripa tuatahi i roto i te atanga paetukutuku kei reira he widget motuhake Te Taatari Whakamatau Hinengaro. He whakarāpopototanga poto e whakaatu ana i nga riri kua kitea i runga i nga kaihautu kaiwhakamahi: Torotiana, pūmanawa tinihanga, hokohoko hoha. Ko te kupu "Whakamuna" e tino tohu ana i te mahi a ETA. Ma te panui i te kaihautu, ka puta nga korero katoa mo taua mea, nga huihuinga haumarutanga, tae atu ki nga raarangi CTA.

Ma te whakakorikori i ia wahanga o te CTA, ka whakaatu te huihuinga i nga korero taipitopito mo te taunekeneke. Mo nga tātaritanga katoa, panui ki konei Tirohia nga korero mo nga aitua, ka haria koe ki tetahi papatohu motuhake Te Taatari Whakamatau Hinengaro.

I te kokonga matau o runga, he tātari ka taea e koe te whakaatu i nga huihuinga ma te taumata taumaha. Ina tohu koe ki tetahi rerekee motuhake, ka puta mai nga raarangi ki raro o te mata me te raarangi waahi ki te taha matau. No reira, ka tino mohio te tohunga mo te haumarutanga korero ko wai te kaihautu i pangia, ka mutu nga mahi, ka timata te mahi i nga mahi.

Kei raro nei tetahi tauira - he Torotiana putea i pangia te kaihautu 198.19.30.36. I timata tenei kaihautu ki te mahi tahi me nga rohe kino, a ka whakaatu nga rakau i nga korero mo te rere o enei taunekeneke.

Whai muri, ko tetahi o nga otinga pai ka taea ko te taratahi i te kaihautu me mihi ki te tangata whenua whakauru me Cisco ISE mo etahi atu maimoatanga me te tātari.

mutunga

Ko te otinga Cisco StealthWatch tetahi o nga kaihautu i waenga i nga hua aroturuki whatunga mo te tātari whatunga me te haumarutanga korero. He mihi ki a koe, ka taea e koe te kite i nga taunekeneke kore ture i roto i te whatunga, te roa o te tono, nga kaiwhakamahi tino kaha, nga kino, nga kino me nga APT. I tua atu, ka taea e koe te kimi kaitirotiro, penetesters, me te whakahaere i te crypto-audit o te hokohoko HTTPS. Ka kitea e koe etahi atu keehi whakamahi i hono.

Mena kei te pirangi koe ki te tirotiro he pehea te pai me te pai o nga mahi katoa i runga i to whatunga, tukuna mai tono.
I nga wa e heke mai nei, kei te whakamahere matou i etahi atu panui hangarau mo nga momo hua haumaru korero. Mena kei te pirangi koe ki tenei kaupapa, katahi ka whai i nga whakahoutanga i roto i o maatau hongere (waea, Facebook, VK, TS Solution Blog)!

Source: will.com