ialah penyelesaian analitikal dalam bidang keselamatan maklumat yang menyediakan pemantauan menyeluruh terhadap ancaman dalam rangkaian teragih. StealthWatch adalah berdasarkan pengumpulan NetFlow dan IPFIX daripada penghala, suis dan peranti rangkaian lain. Akibatnya, rangkaian menjadi penderia sensitif dan membolehkan pentadbir melihat ke tempat yang kaedah keselamatan rangkaian tradisional, seperti Tembok Api Generasi Seterusnya, tidak dapat dicapai.
Dalam artikel sebelum ini saya sudah menulis tentang StealthWatch: Dan . Sekarang saya mencadangkan untuk meneruskan dan membincangkan cara mengendalikan penggera dan menyiasat insiden keselamatan yang dijana oleh penyelesaian. Akan ada 6 contoh yang saya harap akan memberikan gambaran yang baik tentang kegunaan produk.
Pertama, harus dikatakan bahawa StealthWatch mempunyai beberapa pengedaran penggera antara algoritma dan suapan. Yang pertama ialah pelbagai jenis penggera (pemberitahuan), apabila dicetuskan, anda boleh mengesan perkara yang mencurigakan pada rangkaian. Yang kedua ialah insiden keselamatan. Artikel ini akan melihat 4 contoh algoritma yang dicetuskan dan 2 contoh suapan.
1. Analisis interaksi terbesar dalam rangkaian
Langkah awal dalam menyediakan StealthWatch adalah untuk menentukan hos dan rangkaian ke dalam kumpulan. Dalam tab antara muka web Konfigurasikan > Pengurusan Kumpulan Hos Rangkaian, hos dan pelayan harus dikelaskan ke dalam kumpulan yang sesuai. Anda juga boleh membuat kumpulan anda sendiri. Ngomong-ngomong, menganalisis interaksi antara hos dalam Cisco StealthWatch agak mudah, kerana anda bukan sahaja boleh menyimpan penapis carian mengikut aliran, tetapi juga keputusan itu sendiri.
Untuk bermula, dalam antara muka web anda harus pergi ke tab Analisis > Carian Aliran. Kemudian anda harus menetapkan parameter berikut:
- Jenis Carian - Perbualan Teratas (interaksi paling popular)
- Julat Masa β 24 jam (tempoh masa, anda boleh menggunakan yang lain)
- Nama Carian - Perbualan Teratas Dalam-Dalam (sebarang nama mesra)
- Subjek - Kumpulan Hos β Hos Dalam (sumber - kumpulan hos dalaman)
- Sambungan (anda boleh menentukan port, aplikasi)
- Peer - Kumpulan Hos β Hos Dalam (destinasi - kumpulan nod dalaman)
- Dalam Pilihan Lanjutan, anda juga boleh menentukan pengumpul dari mana data dilihat, mengisih output (mengikut bait, aliran, dll.). Saya akan biarkan ia sebagai lalai.
Selepas menekan butang Cari senarai interaksi dipaparkan yang telah diisih mengikut jumlah data yang dipindahkan.
Dalam contoh saya hos 10.150.1.201 (pelayan) dihantar dalam satu utas sahaja 1.5 GB trafik ke hos 10.150.1.200 (pelanggan) mengikut protokol mysql. Butang Urus Lajur membolehkan anda menambah lebih banyak lajur pada data output.
Seterusnya, mengikut budi bicara pentadbir, anda boleh membuat peraturan tersuai yang akan sentiasa mencetuskan jenis interaksi ini dan memberitahu anda melalui SNMP, e-mel atau Syslog.
2. Analisis interaksi pelanggan-pelayan yang paling perlahan dalam rangkaian untuk kelewatan
Label SRT (Masa Respons Pelayan), RTT (Masa Pergi Balik) membolehkan anda mengetahui kelewatan pelayan dan kelewatan rangkaian umum. Alat ini amat berguna apabila anda perlu mencari dengan cepat punca aduan pengguna tentang aplikasi yang berjalan perlahan.
Nota: hampir semua pengeksport Netflow tidak tahu bagaimana hantar teg SRT, RTT, selalunya, untuk melihat data sedemikian pada FlowSensor, anda perlu mengkonfigurasi penghantaran salinan trafik daripada peranti rangkaian. FlowSensor seterusnya menghantar IPFIX lanjutan kepada FlowCollector.
Adalah lebih mudah untuk menjalankan analisis ini dalam aplikasi java StealtWatch, yang dipasang pada komputer pentadbir.
Butang kanan tetikus hidup Hos Dalaman dan pergi ke tab Jadual Aliran.
Klik pada Saring dan tetapkan parameter yang diperlukan. Sebagai contoh:
- Tarikh/Masa - Untuk 3 hari terakhir
- Prestasi β Purata Masa Pergi Balik >=50ms
Selepas memaparkan data, kami harus menambah medan RTT dan SRT yang menarik minat kami. Untuk melakukan ini, klik pada lajur dalam tangkapan skrin dan pilih dengan butang tetikus kanan Urus Lajur. Seterusnya, klik parameter RTT, SRT.
Selepas memproses permintaan, saya mengisih mengikut purata RTT dan melihat interaksi paling perlahan.
Untuk masuk ke maklumat terperinci, klik kanan pada strim dan pilih Pandangan Pantas untuk Aliran.
Maklumat ini menunjukkan bahawa hos 10.201.3.59 daripada kumpulan itu Jualan dan Pemasaran mengikut protokol NFS merujuk kepada pelayan DNS selama seminit dan 23 saat dan hanya mengalami ketinggalan yang teruk. Dalam tab Antaramuka anda boleh mengetahui pengeksport data Netflow yang mana maklumat diperolehi. Dalam tab Jadual Maklumat lebih terperinci tentang interaksi ditunjukkan.
Seterusnya, anda harus mengetahui peranti yang menghantar trafik ke FlowSensor dan masalahnya kemungkinan besar terletak di sana.
Selain itu, StealthWatch adalah unik kerana ia berfungsi deduplikasi data (menggabungkan aliran yang sama). Oleh itu, anda boleh mengumpul daripada hampir semua peranti Netflow dan jangan takut akan terdapat banyak data pendua. Sebaliknya, dalam skema ini ia akan membantu untuk memahami hop mana yang mempunyai kelewatan paling besar.
3. Audit protokol kriptografi HTTPS
ETA (Analitis Trafik Disulitkan) ialah teknologi yang dibangunkan oleh Cisco yang membolehkan anda mengesan sambungan berniat jahat dalam trafik yang disulitkan tanpa menyahsulitnya. Selain itu, teknologi ini membolehkan anda "menghuraikan" HTTPS ke dalam versi TLS dan protokol kriptografi yang digunakan semasa sambungan. Fungsi ini amat berguna apabila anda perlu mengesan nod rangkaian yang menggunakan piawaian kripto yang lemah.
Nota: Anda mesti memasang apl rangkaian pada StealthWatch - Audit Kriptografi ETA.
Pergi ke tab Papan pemuka β Audit Kriptografi ETA dan pilih kumpulan hos yang kami rancang untuk menganalisis. Untuk gambaran keseluruhan, mari pilih Hos Dalaman.
Anda boleh melihat bahawa versi TLS dan standard crypto yang sepadan adalah output. Mengikut skema biasa dalam lajur Tindakan pergi ke Lihat Aliran dan carian bermula dalam tab baharu.
Daripada output dapat dilihat bahawa hos 198.19.20.136 sepanjang masa Jam 12 menggunakan HTTPS dengan TLS 1.2, di mana algoritma penyulitan AES-256 dan fungsi hash SHA-384. Oleh itu, ETA membolehkan anda mencari algoritma yang lemah pada rangkaian.
4. Analisis anomali rangkaian
Cisco StealthWatch boleh mengenali anomali trafik pada rangkaian menggunakan tiga alat: Acara Teras (acara keselamatan), Peristiwa Perhubungan (peristiwa interaksi antara segmen, nod rangkaian) dan analisis tingkah laku.
Analisis tingkah laku, seterusnya, membolehkan dari masa ke masa untuk membina model tingkah laku untuk hos atau kumpulan hos tertentu. Lebih banyak trafik yang melalui StealthWatch, lebih tepat makluman adalah hasil daripada analisis ini. Pada mulanya, sistem mencetuskan banyak secara tidak betul, jadi peraturan harus "diputar belit" dengan tangan. Saya mengesyorkan agar anda mengabaikan acara sedemikian untuk beberapa minggu pertama, kerana sistem akan menyesuaikan dirinya sendiri atau menambahkannya pada pengecualian.
Di bawah ialah contoh peraturan yang dipratentukan Anomaly, yang menyatakan bahawa acara itu akan berlaku tanpa penggera jika hos dalam kumpulan Inside Hosts berinteraksi dengan kumpulan Inside Hosts dan dalam masa 24 jam trafik akan melebihi 10 megabait.
Sebagai contoh, mari kita ambil penggera Penimbunan Data, yang bermaksud bahawa sesetengah hos sumber/destinasi telah memuat naik/memuat turun jumlah data yang luar biasa besar daripada sekumpulan hos atau hos. Klik pada acara dan pergi ke jadual di mana hos pencetus ditunjukkan. Seterusnya, pilih hos yang kami minati dalam lajur Penimbunan Data.
Peristiwa dipaparkan menunjukkan bahawa 162k "mata" telah dikesan dan mengikut dasar, 100k "mata" dibenarkan - ini adalah metrik StealthWatch dalaman. Dalam lajur Tindakan menolak Lihat Aliran.
Kita boleh perhatikan itu hos yang diberikan berinteraksi dengan tuan rumah pada waktu malam 10.201.3.47 daripada jabatan Jualan & Pemasaran mengikut protokol HTTPS dan dimuat turun 1.4 GB. Mungkin contoh ini tidak berjaya sepenuhnya, tetapi pengesanan interaksi walaupun untuk beberapa ratus gigabait dilakukan dengan cara yang sama. Oleh itu, penyiasatan lanjut mengenai anomali boleh membawa kepada keputusan yang menarik.
Nota: dalam antara muka web SMC, data berada dalam tab Pemuka dipaparkan hanya untuk minggu lepas dan dalam tab Pantau sepanjang 2 minggu lepas. Untuk menganalisis peristiwa lama dan menjana laporan, anda perlu bekerja dengan konsol java pada komputer pentadbir.
5. Mencari imbasan rangkaian dalaman
Sekarang mari kita lihat beberapa contoh suapan - insiden keselamatan maklumat. Fungsi ini lebih menarik minat profesional keselamatan.
Terdapat beberapa jenis acara imbasan pratetap dalam StealthWatch:
- Port Scanβsumber mengimbas berbilang port pada hos destinasi.
- Imbasan tcp Addr - sumber mengimbas keseluruhan rangkaian pada port TCP yang sama, menukar alamat IP destinasi. Dalam kes ini, sumber menerima paket TCP Reset atau tidak menerima respons sama sekali.
- Imbasan udp Addr - sumber mengimbas keseluruhan rangkaian pada port UDP yang sama, sambil menukar alamat IP destinasi. Dalam kes ini, sumber menerima paket ICMP Port Unreachable atau tidak menerima respons sama sekali.
- Imbasan Ping - sumber menghantar permintaan ICMP ke seluruh rangkaian untuk mencari jawapan.
- Stealth Scan tΡp/udp - sumber menggunakan port yang sama untuk menyambung ke berbilang port pada nod destinasi pada masa yang sama.
Untuk menjadikannya lebih mudah untuk mencari semua pengimbas dalaman sekaligus, terdapat aplikasi rangkaian untuk StealthWatch - Penilaian Keterlihatan. Pergi ke tab Papan pemuka β Penilaian Keterlihatan β Pengimbas Rangkaian Dalaman anda akan melihat insiden keselamatan yang berkaitan dengan pengimbasan selama 2 minggu yang lalu.
Mengklik pada butang Butiran, anda akan melihat permulaan pengimbasan setiap rangkaian, aliran trafik dan penggera yang sepadan.
Seterusnya, anda boleh "gagal" masuk ke hos daripada tab dalam tangkapan skrin sebelumnya dan melihat acara keselamatan, serta aktiviti sepanjang minggu lepas untuk hos ini.
Sebagai contoh, mari analisa peristiwa tersebut Imbasan Pelabuhan daripada tuan rumah 10.201.3.149 pada 10.201.0.72, Menekan Tindakan > Aliran Berkaitan. Carian benang dilancarkan dan maklumat berkaitan dipaparkan.
Bagaimana kita melihat hos ini dari salah satu pelabuhannya 51508 / TCP diimbas 3 jam yang lalu hos destinasi melalui pelabuhan 22, 28, 42, 41, 36, 40 (TCP). Sesetengah medan tidak memaparkan maklumat sama ada kerana tidak semua medan Netflow disokong pada pengeksport Netflow.
6. Analisis perisian hasad yang dimuat turun menggunakan CTA
CTA (Analitis Ancaman Kognitif) β Analitik awan Cisco, yang disepadukan dengan sempurna dengan Cisco StealthWatch dan membolehkan anda melengkapkan analisis tanpa tandatangan dengan analisis tandatangan. Ini memungkinkan untuk mengesan Trojan, cecacing rangkaian, perisian hasad sifar hari dan perisian hasad lain dan mengedarkannya dalam rangkaian. Selain itu, teknologi ETA yang disebutkan sebelum ini membolehkan anda menganalisis komunikasi berniat jahat tersebut dalam trafik yang disulitkan.
Secara harfiah pada tab pertama dalam antara muka web terdapat widget khas Analitis Ancaman Kognitif. Ringkasan ringkas menunjukkan ancaman yang dikesan pada hos pengguna: Trojan, perisian penipuan, perisian iklan yang menjengkelkan. Perkataan "Disulitkan" sebenarnya menunjukkan kerja ETA. Dengan mengklik pada hos, semua maklumat tentangnya, acara keselamatan, termasuk log CTA, muncul.
Dengan menuding pada setiap peringkat CTA, acara memaparkan maklumat terperinci tentang interaksi. Untuk analisis lengkap, klik di sini Lihat Butiran Insiden, dan anda akan dibawa ke konsol yang berasingan Analitis Ancaman Kognitif.
Di penjuru kanan sebelah atas, penapis membolehkan anda memaparkan acara mengikut tahap keterukan. Apabila anda menunjuk pada anomali tertentu, log muncul di bahagian bawah skrin dengan garis masa yang sepadan di sebelah kanan. Oleh itu, pakar keselamatan maklumat memahami dengan jelas hos yang dijangkiti, selepas tindakan itu, mula melakukan tindakan mana.
Di bawah ialah satu lagi contoh - Trojan perbankan yang menjangkiti hos 198.19.30.36. Hos ini mula berinteraksi dengan domain berniat jahat dan log menunjukkan maklumat tentang aliran interaksi ini.
Seterusnya, salah satu penyelesaian terbaik yang boleh dilakukan ialah mengkuarantin hos terima kasih kepada orang asli dengan Cisco ISE untuk rawatan dan analisis lanjut.
Kesimpulan
Penyelesaian Cisco StealthWatch adalah salah satu peneraju dalam produk pemantauan rangkaian baik dari segi analisis rangkaian dan keselamatan maklumat. Terima kasih kepadanya, anda boleh mengesan interaksi tidak sah dalam rangkaian, kelewatan aplikasi, pengguna paling aktif, anomali, perisian hasad dan APT. Selain itu, anda boleh mencari pengimbas, pentester, dan menjalankan audit kripto trafik HTTPS. Anda boleh menemui lebih banyak kes penggunaan di .
Jika anda ingin menyemak sejauh mana lancar dan cekap semuanya berfungsi pada rangkaian anda, hantar .
Dalam masa terdekat, kami merancang beberapa lagi penerbitan teknikal mengenai pelbagai produk keselamatan maklumat. Jika anda berminat dengan topik ini, ikuti kemas kini dalam saluran kami (, , , )!
Sumber: www.habr.com