StealthWatch- အဖြစ်အပျက်ခွဲခြမ်းစိတ်ဖြာမှုနှင့် စုံစမ်းစစ်ဆေးမှု။ အပိုင်း ၃

Cisco StealthWatch ဖြန့်ဝေထားသော ကွန်ရက်အတွင်း ခြိမ်းခြောက်မှုများကို ကျယ်ကျယ်ပြန့်ပြန့် စောင့်ကြည့်စစ်ဆေးပေးသည့် သတင်းအချက်အလက် လုံခြုံရေးနယ်ပယ်တွင် ခွဲခြမ်းစိတ်ဖြာမှုဆိုင်ရာ ဖြေရှင်းချက်တစ်ခုဖြစ်သည်။ StealthWatch သည် routers များ၊ switches များနှင့် အခြားသော network devices များမှ NetFlow နှင့် IPFIX ကို စုဆောင်းခြင်းအပေါ် အခြေခံထားသည်။ ရလဒ်အနေဖြင့် ကွန်ရက်သည် ထိလွယ်ရှလွယ်အာရုံခံကိရိယာတစ်ခုဖြစ်လာပြီး စီမံခန့်ခွဲသူကို Next Generation Firewall ကဲ့သို့သော သမားရိုးကျကွန်ရက်လုံခြုံရေးနည်းလမ်းများဖြစ်သည့် Next Generation Firewall သို့ မရောက်ရှိနိုင်သည့်နေရာများကို စီမံခန့်ခွဲသူကို ကြည့်ရှုခွင့်ပေးသည်။

အရင်ဆောင်းပါးတွေမှာ StealthWatch အကြောင်းရေးထားပြီးသား။ ပထမဆုံး မိတ်ဆက်ခြင်းနှင့် အခွင့်အလမ်းများနှင့် ဖြန့်ကျက်ခြင်းနှင့် ဖွဲ့စည်းမှု. ယခု ကျွန်ုပ်သည် နှိုးစက်များနှင့် မည်သို့လုပ်ဆောင်ရမည်ကို ဆွေးနွေးရန်နှင့် ဖြေရှင်းချက်ထုတ်ပေးသည့် လုံခြုံရေးဆိုင်ရာ ဖြစ်ရပ်များကို စုံစမ်းစစ်ဆေးရန် အဆိုပြုပါသည်။ ထုတ်ကုန်၏အသုံးဝင်မှုကို ကောင်းမွန်သော အကြံဥာဏ်ပေးမည်ဟု ကျွန်ုပ်မျှော်လင့်သော ဥပမာ 6 ခုရှိပါမည်။

ပထမဦးစွာ၊ StealthWatch တွင် algorithms နှင့် feeds များအကြား နှိုးစက်များ ဖြန့်ဝေမှုအချို့ရှိသည်ဟု ဆိုရပါမည်။ ပထမအချက်မှာ အမျိုးမျိုးသော နှိုးစက်များ (သတိပေးချက်များ) ကို အစပျိုးလိုက်သောအခါ၊ သင်သည် ကွန်ရက်ပေါ်ရှိ သံသယဖြစ်ဖွယ်အရာများကို ရှာဖွေတွေ့ရှိနိုင်သည်။ ဒုတိယအချက်မှာ လုံခြုံရေးဆိုင်ရာ ဖြစ်စဉ်များဖြစ်သည်။ ဤဆောင်းပါးတွင် အစပျိုးထားသော algorithms နမူနာ 4 ခုနှင့် feeds ၏ နမူနာ 2 ခုကို ကြည့်ရှုပါမည်။

1. ကွန်ရက်အတွင်း အကြီးမားဆုံး အပြန်အလှန်တုံ့ပြန်မှုများကို ခွဲခြမ်းစိတ်ဖြာခြင်း။

StealthWatch ကို စတင်သတ်မှတ်ရာတွင် ကနဦးအဆင့်မှာ hosts နှင့် networks များကို အုပ်စုများအဖြစ် သတ်မှတ်ရန်ဖြစ်သည်။ ဝဘ်အင်တာဖေ့စ်တက်ဘ်တွင် စီစဉ်သတ်မှတ်ခြင်း > လက်ခံအုပ်စုစီမံခန့်ခွဲမှု ကွန်ရက်များ၊ ဝန်ဆောင်မှုများနှင့် ဆာဗာများကို သင့်လျော်သော အုပ်စုများအဖြစ် ခွဲခြားထားသင့်သည်။ သင့်ကိုယ်ပိုင်အဖွဲ့များကိုလည်း ဖန်တီးနိုင်သည်။ စကားမစပ်၊ Cisco StealthWatch ရှိ host များကြား အပြန်အလှန်ဆက်သွယ်မှုများကို ပိုင်းခြားစိတ်ဖြာခြင်းသည် အလွန်အဆင်ပြေသည်၊ အဘယ်ကြောင့်ဆိုသော် သင်သည် ရှာဖွေမှု filter များကို stream ဖြင့်သာမက ရလဒ်များကိုယ်တိုင်ပါ သိမ်းဆည်းနိုင်သောကြောင့်ဖြစ်သည်။

စတင်ရန် ဝဘ်အင်တာဖေ့စ်တွင် သင်တက်ဘ်သို့ သွားသင့်သည်။ ခွဲခြမ်းစိတ်ဖြာခြင်း > စီးဆင်းမှုရှာဖွေမှု. ထို့နောက် အောက်ပါ parameters များကို သတ်မှတ်သင့်သည် ။

• ရှာဖွေမှု အမျိုးအစား - ထိပ်တန်း စကားဝိုင်းများ (ရေပန်းအစားဆုံး အပြန်အလှန် ပြောဆိုမှုများ)
• အချိန်အပိုင်းအခြား — 24 နာရီ (အချိန်ကာလ၊ သင်နောက်ထပ်သုံးနိုင်သည်)
• ရှာဖွေမှုအမည် - ထိပ်တန်းစကားဝိုင်းများအတွင်းပိုင်း-အတွင်းပိုင်း (မည်သည့်ရင်းနှီးသောအမည်မဆို)
• ဘာသာရပ် - လက်ခံသူအုပ်စုများ → Inside Hosts (ရင်းမြစ် - အတွင်းအိမ်ရှင်များအုပ်စု)
• ချိတ်ဆက်မှု (ဆိပ်ကမ်းများ၊ အပလီကေးရှင်းများကို သင်သတ်မှတ်နိုင်သည်)
• သက်တူရွယ်တူ - လက်ခံသူအုပ်စုများ → Inside Hosts (ဦးတည်ချက် - အတွင်းပိုင်းဆုံမှတ်အုပ်စုများ)
• Advanced Options တွင်၊ ဒေတာကြည့်ရှုသည့်စုဆောင်းသူကို ထပ်လောင်းသတ်မှတ်နိုင်ပြီး အထွက်ကိုစီခြင်း (bytes၊ streams စသည်ဖြင့်)။ မူရင်းအတိုင်း ထားခဲ့ပါမယ်။

ခလုတ်ကိုနှိပ်ပြီးနောက် ရှာရန် လွှဲပြောင်းပေးသည့်ဒေတာပမာဏအလိုက် စီခွဲထားပြီးဖြစ်သည့် အပြန်အလှန်တုံ့ပြန်မှုစာရင်းကို ပြသထားသည်။

ငါ့စံနမူနာအရ အိမ်ရှင် 10.150.1.201 (ဆာဗာ) သည် thread တစ်ခုတည်းအတွင်းသာ ကူးစက်သည်။ 1.5 GB အထိ လက်ခံရန်လမ်းကြောင်း 10.150.1.200 ပရိုတိုကောအားဖြင့် (ဖောက်သည်) mysql. ခလုတ် ကော်လံများကို စီမံပါ။ output data တွင် ကော်လံများကို ထပ်ထည့်နိုင်စေပါသည်။

ထို့နောက်၊ စီမံခန့်ခွဲသူ၏ ဆုံးဖြတ်ချက်အရ၊ သင်သည် SNMP၊ အီးမေးလ် သို့မဟုတ် Syslog မှတစ်ဆင့် ဤအပြန်အလှန်တုံ့ပြန်မှုအမျိုးအစားကို အမြဲတမ်းဖြစ်ပေါ်စေမည့် စိတ်ကြိုက်စည်းမျဉ်းတစ်ခုကို ဖန်တီးနိုင်သည်။

2. နှောင့်နှေးမှုများအတွက် ကွန်ရက်အတွင်း အနှေးကွေးဆုံး ကလိုင်းယင့်-ဆာဗာ အပြန်အလှန်တုံ့ပြန်မှုများကို လေ့လာခြင်း။

Tags: SRT (ဆာဗာတုံ့ပြန်ချိန်), RTT (အသွားအပြန် အချိန်) ဆာဗာနှောင့်နှေးမှုနှင့် အထွေထွေကွန်ရက်နှောင့်နှေးမှုများကို သင်ရှာဖွေနိုင်စေပါသည်။ နှေးကွေးသောအပလီကေးရှင်းတစ်ခုနှင့်ပတ်သက်၍ အသုံးပြုသူတိုင်ကြားချက်များ၏ အကြောင်းရင်းကို လျင်မြန်စွာရှာဖွေရန် လိုအပ်သည့်အခါ ဤကိရိယာသည် အထူးအသုံးဝင်ပါသည်။

ပွောဆို: Netflow တင်ပို့သူအားလုံးနီးပါး ဘယ်လိုလဲမသိဘူး။ SRT၊ RTT တဂ်များ ပေးပို့ပါ၊ ထို့ကြောင့် FlowSensor တွင် ထိုကဲ့သို့သော ဒေတာများကို မကြာခဏ မြင်တွေ့နိုင်ရန်၊ သင်သည် ကွန်ရက်စက်ပစ္စည်းများမှ လမ်းကြောင်းမိတ္တူကို ပေးပို့ရန် စီစဉ်သတ်မှတ်ရန် လိုအပ်ပါသည်။ FlowSensor သည် တိုးချဲ့ IPFIX ကို FlowCollector သို့ ပို့ပေးသည်။

စီမံခန့်ခွဲသူ၏ကွန်ပျူတာပေါ်တွင် ထည့်သွင်းထားသည့် StealtWatch java အပလီကေးရှင်းတွင် ဤခွဲခြမ်းစိတ်ဖြာမှုကို လုပ်ဆောင်ရန် ပို၍အဆင်ပြေသည်။

ညာဘက်မောက်စ်ခလုတ်ကို ဖွင့်ပါ။ Hosts အတွင်းပိုင်း ပြီးလျှင် tab ကိုသွားပါ။ စီးဆင်းမှုဇယား.

ကိုနှိပ်ပါ။ ရေစစ် လိုအပ်သော parameters များကိုသတ်မှတ်ပါ။ ဥပမာအနေနဲ့-

• ရက်စွဲ/အချိန် - နောက်ဆုံး 3 ရက်
• စွမ်းဆောင်ရည် — ပျမ်းမျှ အသွားအပြန် အချိန် >=50ms

ဒေတာကိုပြသပြီးနောက်၊ ကျွန်ုပ်တို့စိတ်ဝင်စားသော RTT နှင့် SRT အကွက်များကို ထည့်သင့်သည်။ ဒါကိုလုပ်ဖို့၊ ဖန်သားပြင်ရှိ ကော်လံကို နှိပ်ပြီး ညာဘက်မောက်စ်ခလုတ်ကို ရွေးချယ်ပါ။ ကော်လံများကို စီမံပါ။. ထို့နောက် RTT၊ SRT ဘောင်များကို နှိပ်ပါ။

တောင်းဆိုမှုကို လုပ်ဆောင်ပြီးနောက်၊ ကျွန်ုပ်သည် RTT ပျမ်းမျှအားဖြင့် စီစစ်ပြီး အနှေးဆုံး အပြန်အလှန်တုံ့ပြန်မှုများကို တွေ့ခဲ့ရသည်။

အသေးစိတ်အချက်အလက်များသို့ သွားရန်အတွက် stream ပေါ်တွင် right-click နှိပ်ပြီး ရွေးချယ်ပါ။ စီးဆင်းမှုအတွက် အမြန်ကြည့်ရန်.

ဤအချက်အလက်သည် အိမ်ရှင်ကို ညွှန်ပြသည်။ 10.201.3.59 အုပ်စုထဲက အရောင်းနှင့်စျေးကွက် protocol အားဖြင့် NFS ပန်ကြားသည်။ DNS ဆာဗာ တစ်မိနစ်နှင့် ၂၃ စက္ကန့်မျှသာရှိပြီး ဆိုးရွားလွန်းလှသည်။ တက်ဘ်ထဲမှာ interfaces Netflow data exporter မှ ရရှိသော အချက်အလက်များကို သင်ရှာဖွေနိုင်ပါသည်။ တက်ဘ်ထဲမှာ စားပှဲ အပြန်အလှန်ဆက်သွယ်မှုဆိုင်ရာ အသေးစိတ်အချက်အလက်များကို ပြသထားသည်။

ထို့နောက်၊ မည်သည့်စက်ပစ္စည်းများသည် FlowSensor သို့ အသွားအလာများပို့သည်ကို သင်ရှာဖွေသင့်ပြီး ပြဿနာမှာ ဖြစ်နိုင်ခြေအရှိဆုံးဖြစ်သည်။

ထို့အပြင်၊ StealthWatch သည်၎င်း၏လုပ်ဆောင်မှုတွင်ထူးခြားသည်။ ထုတ်ယူခြင်း ဒေတာ (တူညီသောလမ်းကြောင်းများကို ပေါင်းစပ်ထားသည်)။ ထို့ကြောင့်၊ သင်သည် Netflow စက်ပစ္စည်းအားလုံးနီးပါးမှ စုဆောင်းနိုင်ပြီး ပွားနေသောဒေတာများစွာရှိမည်ကို မကြောက်ပါ။ ဆန့်ကျင်ဘက်အနေနှင့်၊ ဤအစီအစဥ်တွင် မည်သည့် hop တွင် အကြီးမားဆုံးနှောင့်နှေးမှုများရှိသည်ကို နားလည်ရန် ကူညီပေးပါမည်။

3. HTTPS ကုဒ်ဝှက်ပရိုတိုကောများကို စစ်ဆေးခြင်း။

ETA (ကုဒ်ဝှက်ထားသော လမ်းကြောင်းဆိုင်ရာ ပိုင်းခြားစိတ်ဖြာချက်) Cisco မှ ဖန်တီးထားသည့် နည်းပညာတစ်ခုဖြစ်ပြီး ၎င်းကို ကုဒ်ဝှက်ခြင်းမပြုဘဲ ကုဒ်ဝှက်ထားသော အသွားအလာတွင် အန္တရာယ်ရှိသော ချိတ်ဆက်မှုများကို ရှာဖွေနိုင်စေပါသည်။ ထို့အပြင်၊ ဤနည်းပညာသည် သင့်အား ချိတ်ဆက်မှုများအတွင်း အသုံးပြုသည့် TLS ဗားရှင်းများနှင့် ကုဒ်ဝှက်ပရိုတိုကောများသို့ “ခွဲခြမ်းစိတ်ဖြာခြင်း” လုပ်နိုင်စေမည်ဖြစ်သည်။ အားနည်းသော crypto စံနှုန်းများကို အသုံးပြုသည့် network node များကို ရှာဖွေတွေ့ရှိသည့်အခါ ဤလုပ်ဆောင်ချက်သည် အထူးသဖြင့် အသုံးဝင်ပါသည်။

ပွောဆို- သင် StealthWatch တွင် ကွန်ရက်အက်ပ်ကို ဦးစွာ ထည့်သွင်းရပါမည်။ ETA Cryptographic စာရင်းစစ်.

တက်ဘ်သို့သွားပါ။ ဒက်ရှ်ဘုတ်များ → ETA ရေးပုံရေးနည်း စာရင်းစစ် ခွဲခြမ်းစိတ်ဖြာရန် စီစဉ်ထားသော အိမ်ရှင်အုပ်စုကို ရွေးပါ။ ပုံတစ်ခုလုံးအတွက်၊ ရွေးကြပါစို့ Hosts အတွင်းပိုင်း.

TLS ဗားရှင်းနှင့် သက်ဆိုင်သော crypto စံနှုန်းများသည် output ဖြစ်ကြောင်း သင်တွေ့မြင်နိုင်ပါသည်။ ကော်လံမှာ ထုံးစံအတိုင်း လုပ်ဆောင်ချက်များ သွားပါ။ Flows ကိုကြည့်ပါ။ ရှာဖွေမှုသည် တက်ဘ်အသစ်တစ်ခုတွင် စတင်သည်။

output မှ host ကိုမြင်နိုင်သည်။ 198.19.20.136 ကျော် 12 နာရီ ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်ရှိရာ TLS 1.2 ဖြင့် HTTPS ကို အသုံးပြုခဲ့သည်။ AES-256 နှင့် hash လုပ်ဆောင်ချက် SHA-384. ထို့ကြောင့် ETA သည် သင့်အား ကွန်ရက်ပေါ်တွင် အားနည်းသော အယ်လဂိုရီသမ်များကို ရှာဖွေနိုင်စေပါသည်။

4. ကွန်ရက်ကွဲလွဲမှု ခွဲခြမ်းစိတ်ဖြာခြင်း။

Cisco StealthWatch သည် ကိရိယာသုံးခုကို အသုံးပြု၍ ကွန်ရက်ပေါ်ရှိ ယာဉ်ကြောပိတ်ဆို့မှုများကို မှတ်သားနိုင်သည်- အဓိကဖြစ်ရပ်များ (လုံခြုံရေးဖြစ်ရပ်များ)၊ ဆက်ဆံရေးဖြစ်ရပ်များ (အပိုင်းများ၊ ကွန်ရက်ဆုံမှတ်များကြား အပြန်အလှန်အကျိုးသက်ရောက်မှုများ) နှင့် အပြုအမူပိုင်းခြားစိတ်ဖြာမှု.

အပြုအမူပိုင်းခြားစိတ်ဖြာချက်၊ တစ်ဖန်၊ တစ်ဖန် အိမ်ရှင်တစ်ဦး သို့မဟုတ် အိမ်ရှင်အုပ်စုအတွက် အပြုအမူပုံစံတစ်ခုကို အချိန်ကြာလာသည်နှင့်အမျှ ဖန်တီးနိုင်စေသည်။ StealthWatch မှတစ်ဆင့် ဖြတ်သန်းသွားလာမှု ပိုများလေ၊ ဤသုံးသပ်ချက်ကြောင့် သတိပေးချက်များ ပိုမိုတိကျလေဖြစ်သည်။ အစပိုင်းတွင်၊ စနစ်သည် မှားယွင်းစွာ အစပျိုးလာသောကြောင့် စည်းမျဉ်းများကို လက်ဖြင့် "လိမ်" ရပါမည်။ စနစ်က သူ့ဘာသာသူ ချိန်ညှိပေးမည် သို့မဟုတ် ခြွင်းချက်အဖြစ် ၎င်းတို့ကို ထည့်သွင်းမည်ဖြစ်သောကြောင့် ပထမရက်သတ္တပတ်အနည်းငယ်အတွင်း ယင်းဖြစ်ရပ်များကို လျစ်လျူရှုရန် အကြံပြုလိုပါသည်။

အောက်တွင် ကြိုတင်သတ်မှတ်ထားသော စည်းကမ်းတစ်ခု၏ ဥပမာတစ်ခုဖြစ်သည်။ Anomalyအကယ်၍ အဖြစ်အပျက်သည် အချက်ပေးသံမပါဘဲ မီးလောင်သွားမည်ဖြစ်ကြောင်း ဖော်ပြသည်။ Inside Hosts အုပ်စုရှိ host သည် Inside Hosts အဖွဲ့နှင့် အပြန်အလှန်ဆက်သွယ်ပြီး 24 နာရီအတွင်း traffic သည် 10 megabytes ကျော်လွန်သွားလိမ့်မည်.

ဥပမာ၊ နှိုးစက်တစ်ခုယူကြပါစို့ ဒေတာ စုဆောင်းခြင်း။ဆိုလိုသည်မှာ အချို့သော ရင်းမြစ်/ခရီးဆုံးနေရာ လက်ခံသူသည် လက်ခံသူအုပ်စု သို့မဟုတ် လက်ခံသူတစ်စုထံမှ ပုံမှန်မဟုတ်သော ဒေတာပမာဏကို အများအပြား အပ်လုဒ်လုပ်ထားသည်/ဒေါင်းလုဒ်လုပ်ထားသည်။ ပွဲပေါ်တွင် ကလစ်နှိပ်ပြီး ပေါ်ပေါက်လာသော host များကို ညွှန်ပြသည့် ဇယားသို့ သွားပါ။ ထို့နောက်၊ ကော်လံကို စိတ်ဝင်စားသည့် အိမ်ရှင်ကို ရွေးပါ။ ဒေတာ စုဆောင်းခြင်း။.

162k "မှတ်" ကို တွေ့ရှိကြောင်း ညွှန်ပြပြီး မူဝါဒအရ 100k "မှတ်" ကို ခွင့်ပြုထားသည် - ၎င်းတို့သည် အတွင်းပိုင်း StealthWatch မက်ထရစ်များဖြစ်သည်။ ကော်လံတစ်ခုတွင် လုပ်ဆောင်ချက်များ တွန်း Flows ကိုကြည့်ပါ။.

အဲဒါကို ကျွန်တော်တို့ စောင့်ကြည့်နိုင်ပါတယ်။ လက်ခံပေးသည်။ ညဘက်တွင် အိမ်ရှင်နှင့် ဆက်ဆံသည်။ 10.201.3.47 ဌာနမှ အရောင်းနှင့်စျေးကွက် protocol အားဖြင့် HTTPS ကို ဒေါင်းလုဒ်လုပ်ပါ။ 1.4 GB အထိ. ဤနမူနာသည် လုံး၀အောင်မြင်မည်မဟုတ်သော်လည်း ရာဂဏန်းဂစ်ဂါဘိုက်အထိပင် အပြန်အလှန်တုံ့ပြန်မှုများကို ရှာဖွေတွေ့ရှိခြင်းသည် အတူတူပင်ဖြစ်ပါသည်။ ထို့ကြောင့် ကွဲလွဲချက်များကို ထပ်မံစုံစမ်းခြင်းသည် စိတ်ဝင်စားဖွယ်ရလဒ်များ ဖြစ်ပေါ်လာနိုင်သည်။

ပွောဆို: SMC ဝဘ်အင်တာဖေ့စ်တွင်၊ ဒေတာသည် တက်ဘ်များထဲတွင် ရှိနေသည်။ Dashboard နောက်ဆုံးအပတ်နှင့် tab တွင်သာပြသထားသည်။ စောငျ့ရှောကျ ပြီးခဲ့သည့် 2 ပတ်အတွင်း။ ဖြစ်ရပ်ဟောင်းများကိုခွဲခြမ်းစိတ်ဖြာပြီး အစီရင်ခံစာများထုတ်ပေးရန်၊ စီမံခန့်ခွဲသူ၏ကွန်ပျူတာရှိ java console နှင့် လုပ်ဆောင်ရန် လိုအပ်သည်။

5. အတွင်းပိုင်းကွန်ရက်စကင်န်များကိုရှာဖွေခြင်း။

ယခု feeds ၏နမူနာအနည်းငယ်ကိုကြည့်ပါ - သတင်းအချက်အလက်လုံခြုံရေးဖြစ်ရပ်များ။ ဤလုပ်ဆောင်ချက်သည် လုံခြုံရေးပညာရှင်များအတွက် ပိုမိုစိတ်ဝင်စားဖွယ်ဖြစ်ပါသည်။

StealthWatch တွင် ကြိုတင်သတ်မှတ်စကင်န် ဖြစ်ရပ်အမျိုးအစားများစွာ ရှိပါသည်။

• ပို့တ်စကင်န်—ရင်းမြစ်သည် ဦးတည်ရာဌာနရှိ ဆိပ်ကမ်းအများအပြားကို စကင်န်ဖတ်သည်။
• Addr tcp စကင်န် - အရင်းအမြစ်သည် တူညီသော TCP အပေါက်တွင် ကွန်ရက်တစ်ခုလုံးကို စကင်န်ဖတ်ပြီး ဦးတည်ရာ IP လိပ်စာကို ပြောင်းလဲသည်။ ဤကိစ္စတွင်၊ အရင်းအမြစ်သည် TCP ပြန်လည်သတ်မှတ်ခြင်း packets ကိုလက်ခံရရှိသည် သို့မဟုတ် တုံ့ပြန်မှုလုံးဝမရရှိပါ။
• Addr udp စကင်န် - ရင်းမြစ်သည် ဦးတည်ရာ IP လိပ်စာကို ပြောင်းလဲနေစဉ်တွင် တူညီသော UDP အပေါက်တွင် ကွန်ရက်တစ်ခုလုံးကို စကင်န်ဖတ်သည်။ ဤကိစ္စတွင်၊ အရင်းအမြစ်သည် ICMP Port Unreachable packets များကို လက်ခံရရှိသည် သို့မဟုတ် တုံ့ပြန်မှုလုံးဝမရရှိပါ။
• Ping Scan - အဖြေများကိုရှာဖွေရန်အတွက် အရင်းအမြစ်သည် ICMP တောင်းဆိုချက်များကို ကွန်ရက်တစ်ခုလုံးသို့ ပေးပို့သည်။
• Stealth Scan tсp/udp - အရင်းအမြစ်သည် destination node ပေါ်ရှိ port အများအပြားကို တစ်ချိန်တည်းတွင်ချိတ်ဆက်ရန် တူညီသော port ကိုအသုံးပြုသည်။

အတွင်းပိုင်းစကင်နာအားလုံးကို တစ်ပြိုင်နက်ရှာဖွေရန် ပိုမိုအဆင်ပြေစေရန်အတွက် ကွန်ရက်အက်ပ်တစ်ခုရှိသည်။ StealthWatch - မြင်နိုင်စွမ်း အကဲဖြတ်ခြင်း။. တက်ဘ်သို့သွားပါ။ ဒက်ရှ်ဘုတ်များ → မြင်နိုင်စွမ်း အကဲဖြတ်ခြင်း → အတွင်းပိုင်း ကွန်ရက်စကင်နာများ ပြီးခဲ့သော 2 ပတ်အတွင်း စကင်န်ဖတ်ခြင်းဆိုင်ရာ လုံခြုံရေးဖြစ်ရပ်များကို သင်တွေ့ရပါမည်။

ခလုတ်ကိုနှိပ်ပါ။ အသေးစိတ်ကွန်ရက်တစ်ခုစီ၏ စကင်န်ဖတ်ခြင်းစတင်ချိန်၊ လမ်းကြောင်းလမ်းကြောင်းနှင့် သက်ဆိုင်သည့် အချက်ပေးနှိုးစက်များကို သင်တွေ့ရပါမည်။

ထို့နောက်၊ သင်သည် ယခင်ဖန်သားပြင်ဓာတ်ပုံရှိ တဘ်မှနေရပ်သို့ “ပျက်ကွက်” နိုင်ပြီး လုံခြုံရေးဖြစ်ရပ်များအပြင် ဤအိမ်ရှင်အတွက် ပြီးခဲ့သည့်အပတ်က လုပ်ဆောင်ချက်များကို ကြည့်ရှုနိုင်သည်။

ဥပမာအနေနဲ့ အဖြစ်အပျက်ကို ခွဲခြမ်းစိတ်ဖြာကြည့်ရအောင် ဆိပ်ကမ်းစကင်န် အိမ်ရှင်ထံမှ 10.201.3.149 အပေါ် 10.201.0.72နှိပ်၊ လုပ်ဆောင်ချက်များ > ဆက်စပ်စီးဆင်းမှုများ. စာတွဲရှာဖွေမှုကို စတင်ပြီး သက်ဆိုင်ရာ အချက်အလက်များကို ပြသထားသည်။

၎င်း၏ ဆိပ်ကမ်းများထဲမှ ဤအိမ်ရှင်ကို ကျွန်ုပ်တို့ မည်သို့မြင်ရသနည်း။ 51508 / TCP လွန်ခဲ့သော ၃ နာရီက ခရီးဆုံးနေရာအား ဆိပ်ကမ်းဖြင့် စကင်န်ဖတ်ခဲ့သည်။ 22၊ 28၊ 42၊ 41၊ 36၊ 40 (TCP). Netflow တင်ပို့သူတွင် Netflow အကွက်အားလုံးကို မပံ့ပိုးနိုင်သောကြောင့် အချို့အကွက်များသည် အချက်အလက်များကို မပြသနိုင်ပါ။

6. CTA ကို အသုံးပြု၍ ဒေါင်းလုဒ်လုပ်ထားသော malware များကို လေ့လာခြင်း

CTA (အသိဥာဏ်ခြိမ်းခြောက်မှု ပိုင်းခြားစိတ်ဖြာချက်) — Cisco StealthWatch နှင့် ပြီးပြည့်စုံစွာ ပေါင်းစပ်ထားသည့် Cisco cloud ခွဲခြမ်းစိတ်ဖြာချက်သည် လက်မှတ်မပါသော ခွဲခြမ်းစိတ်ဖြာမှုကို လက်မှတ်ခွဲခြမ်းစိတ်ဖြာမှုဖြင့် ဖြည့်စွက်ခွင့်ပြုသည်။ ၎င်းသည် Trojan၊ network worms၊ zero-day malware နှင့် အခြားသော malware များကို ရှာဖွေသိရှိနိုင်ပြီး ၎င်းတို့ကို ကွန်ရက်အတွင်း ဖြန့်ဝေနိုင်စေသည်။ ထို့အပြင်၊ ယခင်ကဖော်ပြခဲ့သော ETA နည်းပညာသည် သင့်အား ကုဒ်ဝှက်ထားသော အသွားအလာတွင် ထိုကဲ့သို့သော အန္တရာယ်ရှိသော ဆက်သွယ်မှုများကို ပိုင်းခြားစိတ်ဖြာနိုင်စေပါသည်။

ဝဘ်အင်တာဖေ့စ်ရှိ ပထမဆုံး tab တွင် အထူးဝစ်ဂျက်တစ်ခုရှိသည်။ သိမှုခြိမ်းခြောက်မှု ပိုင်းခြားစိတ်ဖြာချက်. အတိုချုံး အကျဉ်းချုပ်သည် အသုံးပြုသူအိမ်ရှင်များပေါ်တွင် တွေ့ရှိရသည့် ခြိမ်းခြောက်မှုများကို ညွှန်ပြသည်- Trojan၊ အတုအယောင်ဆော့ဖ်ဝဲလ်၊ စိတ်အနှောင့်အယှက်ဖြစ်စေသော adware။ “Encrypted” ဟူသော စကားလုံးသည် ETA ၏ လုပ်ဆောင်မှုကို အမှန်တကယ် ညွှန်ပြသည်။ လက်ခံဆောင်ရွက်ပေးသူတစ်ဦးကို နှိပ်ခြင်းဖြင့်၊ ၎င်းနှင့်ပတ်သက်သည့် အချက်အလက်အားလုံး၊ CTA မှတ်တမ်းများအပါအဝင် လုံခြုံရေးဖြစ်ရပ်များ ပေါ်လာမည်ဖြစ်သည်။

CTA ၏အဆင့်တစ်ခုစီအပေါ်တွင် ပျံဝဲခြင်းဖြင့်၊ အဖြစ်အပျက်သည် အပြန်အလှန်တုံ့ပြန်မှုဆိုင်ရာ အသေးစိတ်အချက်အလက်များကို ပြသသည်။ ပြီးပြည့်စုံသော ခွဲခြမ်းစိတ်ဖြာမှုအတွက်၊ ဤနေရာကိုနှိပ်ပါ။ အဖြစ်အပျက်အသေးစိတ်များကို ကြည့်ပါ။နှင့် သင်သည် သီးခြား console သို့ ခေါ်ဆောင်သွားမည်ဖြစ်သည်။ သိမှုခြိမ်းခြောက်မှု ပိုင်းခြားစိတ်ဖြာချက်.

ညာဘက်အပေါ်ထောင့်တွင်၊ စစ်ထုတ်မှုတစ်ခုသည် သင့်အား ပြင်းထန်မှုအဆင့်ဖြင့် အဖြစ်အပျက်များကို ပြသနိုင်စေပါသည်။ သတ်မှတ်ထားသော ကွဲလွဲချက်တစ်ခုကို သင်ညွှန်ပြသောအခါ၊ ညာဘက်ရှိ သက်ဆိုင်ရာ အချိန်ဇယားတစ်ခုနှင့်အတူ မှတ်တမ်းများ မျက်နှာပြင်အောက်ခြေတွင် ပေါ်လာမည်ဖြစ်သည်။ ထို့ကြောင့်၊ သတင်းအချက်အလက်လုံခြုံရေးကျွမ်းကျင်သူသည် မည်သည့်ရောဂါပိုးကူးစက်ခံရသည့်အိမ်ရှင်သည် မည်သည့်လုပ်ဆောင်ချက်များကို စတင်လုပ်ဆောင်ခဲ့ကြောင်း ရှင်းလင်းစွာနားလည်ပါသည်။

အောက်တွင် အခြားသော ဥပမာတစ်ခုသည် - host ကို ကူးစက်စေသော ဘဏ်လုပ်ငန်း Trojan တစ်ခုဖြစ်သည်။ 198.19.30.36. ဤအိမ်ရှင်သည် အန္တရာယ်ရှိသော ဒိုမိန်းများနှင့် စတင်တုံ့ပြန်ခဲ့ပြီး မှတ်တမ်းများက အဆိုပါ အပြန်အလှန်တုံ့ပြန်မှုများ၏ စီးဆင်းမှုဆိုင်ရာ အချက်အလက်များကို ပြသသည်။

နောက်တစ်ခု၊ အကောင်းဆုံးဖြေရှင်းချက်တွေထဲကတစ်ခုကတော့ ဇာတိကို ကျေးဇူးတင်တဲ့အနေနဲ့ အိမ်ရှင်ကို သီးသန့်ခွဲထားဖို့ပါပဲ။ ပေါင်းစည်းမှု နောက်ထပ်ကုသမှုနှင့် ခွဲခြမ်းစိတ်ဖြာမှုအတွက် Cisco ISE နှင့်။

ကောက်ချက်

Cisco StealthWatch ဖြေရှင်းချက်သည် ကွန်ရက်ခွဲခြမ်းစိတ်ဖြာမှုနှင့် သတင်းအချက်အလက်လုံခြုံရေးဆိုင်ရာ နှစ်ရပ်စလုံးတွင် ကွန်ရက်စောင့်ကြည့်ရေးထုတ်ကုန်များကြားတွင် ခေါင်းဆောင်တစ်ဦးဖြစ်သည်။ ၎င်းကြောင့်၊ သင်သည် ကွန်ရက်အတွင်း တရားမ၀င် အပြန်အလှန်တုံ့ပြန်မှုများ၊ အပလီကေးရှင်းနှောင့်နှေးမှုများ၊ အတက်ကြွဆုံးအသုံးပြုသူများ၊ ကွဲလွဲချက်များ၊ malware နှင့် APTs များကို ရှာဖွေတွေ့ရှိနိုင်ပါသည်။ ထို့အပြင်၊ သင်သည် စကင်နာများ၊ pentesters များကို ရှာဖွေနိုင်ပြီး HTTPS လမ်းကြောင်း၏ crypto-audit ကို လုပ်ဆောင်နိုင်သည်။ နောက်ထပ် အသုံးပြုမှုကိစ္စများကို တွင် သင်ရှာဖွေနိုင်ပါသည်။ link ကို.

သင့်ကွန်ရက်တွင် အရာအားလုံး မည်မျှချောမွေ့ပြီး ထိရောက်မှုရှိကြောင်း စစ်ဆေးလိုပါက ပေးပို့ပါ။ တောင်းပန်.
မဝေးတော့သောအနာဂတ်တွင်၊ ကျွန်ုပ်တို့သည် အမျိုးမျိုးသော သတင်းအချက်အလက်လုံခြုံရေးထုတ်ကုန်များအတွက် နောက်ထပ်နည်းပညာဆိုင်ရာ ထုတ်ဝေမှုများကို စီစဉ်နေပါသည်။ ဤအကြောင်းအရာကို စိတ်ဝင်စားပါက ကျွန်ုပ်တို့၏ချန်နယ်များရှိ အပ်ဒိတ်များကို လိုက်နာပါ (ကွေးနနျးစာ, Facebook က, VK, TS Solution Blog)!

source: www.habr.com