is een analytische oplossing op het gebied van informatiebeveiliging die uitgebreide monitoring van bedreigingen in een gedistribueerd netwerk biedt. StealthWatch is gebaseerd op het verzamelen van NetFlow en IPFIX van routers, switches en andere netwerkapparaten. Hierdoor wordt het netwerk een gevoelige sensor en kan de beheerder op plaatsen kijken waar traditionele netwerkbeveiligingsmethoden, zoals Next Generation Firewall, niet kunnen komen.
In eerdere artikelen schreef ik al over StealthWatch: En . Nu stel ik voor om verder te gaan en te bespreken hoe met alarmen te werken en beveiligingsincidenten te onderzoeken die de oplossing genereert. Er zullen 6 voorbeelden zijn waarvan ik hoop dat ze een goed beeld geven van het nut van het product.
Ten eerste moet gezegd worden dat StealthWatch een zekere verdeling van alarmen heeft tussen algoritmen en feeds. De eerste zijn verschillende soorten alarmen (meldingen). Wanneer ze worden geactiveerd, kunt u verdachte dingen op het netwerk detecteren. De tweede zijn veiligheidsincidenten. In dit artikel worden vier voorbeelden van geactiveerde algoritmen en twee voorbeelden van feeds bekeken.
1. Analyse van de grootste interacties binnen het netwerk
De eerste stap bij het opzetten van StealthWatch is het definiëren van hosts en netwerken in groepen. Op het tabblad webinterface Configureren > Hostgroepbeheer Netwerken, hosts en servers moeten in passende groepen worden ingedeeld. Je kunt ook je eigen groepen maken. Overigens is het analyseren van interacties tussen hosts in Cisco StealthWatch best handig, omdat je niet alleen zoekfilters per stream kunt opslaan, maar ook de resultaten zelf.
Om aan de slag te gaan, gaat u in de webinterface naar het tabblad Analyseren > Stroom zoeken. Vervolgens moet u de volgende parameters instellen:
- Zoektype - Topgesprekken (meest populaire interacties)
- Tijdbereik — 24 uur (tijdsperiode, u kunt een andere gebruiken)
- Zoeknaam - Topgesprekken Inside-Inside (elke beschrijvende naam)
- Onderwerp - Hostgroepen → Inside Hosts (bron - groep interne hosts)
- Verbinding (u kunt poorten, applicaties specificeren)
- Peer - Hostgroepen → Inside Hosts (bestemming - groep interne knooppunten)
- In Geavanceerde opties kunt u bovendien de verzamelaar opgeven van waaruit de gegevens worden bekeken, waarbij u de uitvoer sorteert (op bytes, streams, enz.). Ik laat het als standaard staan.
Na het indrukken van de knop Ontdek er wordt een lijst met interacties weergegeven die al zijn gesorteerd op de hoeveelheid overgedragen gegevens.
In mijn voorbeeld de gastheer 10.150.1.201 (server) verzonden binnen slechts één thread 1.5 GB verkeer naar de host 10.150.1.200 (klant) per protocol mysql. Knop Kolommen beheren Hiermee kunt u meer kolommen aan de uitvoergegevens toevoegen.
Vervolgens kunt u, naar goeddunken van de beheerder, een aangepaste regel maken die dit soort interactie altijd activeert en u op de hoogte stelt via SNMP, e-mail of Syslog.
2. Analyse van de langzaamste client-server-interacties binnen het netwerk op vertragingen
Tags SRT (serverresponstijd), RTT (retourtijd) kunt u serververtragingen en algemene netwerkvertragingen achterhalen. Deze tool is vooral handig als u snel de oorzaak wilt achterhalen van gebruikersklachten over een langzaam draaiende applicatie.
Noot: bijna alle Netflow-exporteurs weet niet hoe verzend zo vaak SRT- en RTT-tags. Om dergelijke gegevens op FlowSensor te zien, moet u het verzenden van een kopie van verkeer vanaf netwerkapparaten configureren. FlowSensor stuurt op zijn beurt de uitgebreide IPFIX naar FlowCollector.
Het is handiger om deze analyse uit te voeren in de Java-applicatie StealtWatch, die op de computer van de beheerder is geïnstalleerd.
Rechtermuisknop aan Binnen Gastheren en ga naar het tabblad Stroomtabel.
Klik op FILTER en stel de nodige parameters in. Als voorbeeld:
- Datum/tijd - Voor de afgelopen 3 dagen
- Prestaties — Gemiddelde retourtijd >=50 ms
Nadat we de gegevens hebben weergegeven, moeten we de RTT- en SRT-velden toevoegen die ons interesseren. Klik hiervoor op de kolom in de schermafbeelding en selecteer met de rechtermuisknop Kolommen beheren. Klik vervolgens op RTT, SRT-parameters.
Nadat ik het verzoek had verwerkt, sorteerde ik op RTT-gemiddelde en zag ik de langzaamste interacties.
Om gedetailleerde informatie te bekijken, klikt u met de rechtermuisknop op de stream en selecteert u Snelle weergave voor stroom.
Deze informatie geeft aan dat de host 10.201.3.59 uit de groep Verkoop en marketing volgens protocol NFS doet een beroep op DNS server gedurende een minuut en 23 seconden en heeft een verschrikkelijke vertraging. Op het tabblad interfaces u kunt achterhalen van welke Netflow-gegevensexporteur de informatie is verkregen. Op het tabblad tafel Er wordt meer gedetailleerde informatie over de interactie weergegeven.
Vervolgens moet u uitzoeken welke apparaten verkeer naar FlowSensor sturen en daar ligt het probleem waarschijnlijk.
Bovendien is StealthWatch uniek in zijn gedrag ontdubbeling gegevens (combineert dezelfde stromen). Daarom kunt u van bijna alle Netflow-apparaten verzamelen en hoeft u niet bang te zijn dat er veel dubbele gegevens zullen zijn. Integendeel, in dit schema zal het helpen begrijpen welke hop de grootste vertragingen heeft.
3. Audit van HTTPS-cryptografische protocollen
ETA (gecodeerde verkeersanalyse) is een door Cisco ontwikkelde technologie waarmee u kwaadaardige verbindingen in versleuteld verkeer kunt detecteren zonder het te ontsleutelen. Bovendien kunt u met deze technologie HTTPS ‘parseren’ in TLS-versies en cryptografische protocollen die tijdens verbindingen worden gebruikt. Deze functionaliteit is vooral handig wanneer u netwerkknooppunten moet detecteren die zwakke cryptostandaarden gebruiken.
Noot: U moet eerst de netwerkapp op StealthWatch installeren - ETA cryptografische audit.
Ga naar tabblad Dashboards → ETA cryptografische audit en selecteer de groep hosts die we willen analyseren. Laten we voor het totaalbeeld kiezen Binnen Gastheren.
U kunt zien dat de TLS-versie en de bijbehorende cryptostandaard worden uitgevoerd. Volgens het gebruikelijke schema in de kolom Acties ga naar Stromen bekijken en de zoekopdracht begint op een nieuw tabblad.
Uit de uitvoer blijkt dat de host 198.19.20.136 overal 12 uur gebruikte HTTPS met TLS 1.2, waarbij het coderingsalgoritme AES-256 en hashfunctie SHA-384. Met ETA kunt u dus zwakke algoritmen op het netwerk vinden.
4. Analyse van netwerkafwijkingen
Cisco StealthWatch kan verkeersafwijkingen op het netwerk herkennen met behulp van drie tools: Kerngebeurtenissen (beveiligingsgebeurtenissen), Relatie-evenementen (gebeurtenissen van interacties tussen segmenten, netwerkknooppunten) en gedragsanalyse.
Gedragsanalyse maakt het op zijn beurt mogelijk om in de loop van de tijd een gedragsmodel op te bouwen voor een bepaalde gastheer of groep gastheren. Hoe meer verkeer er via StealthWatch passeert, hoe nauwkeuriger de waarschuwingen zullen zijn dankzij deze analyse. In eerste instantie activeert het systeem veel verkeerd, dus de regels moeten met de hand worden “verdraaid”. Ik raad u aan dergelijke gebeurtenissen de eerste paar weken te negeren, omdat het systeem zichzelf zal aanpassen of ze aan uitzonderingen zal toevoegen.
Hieronder ziet u een voorbeeld van een vooraf gedefinieerde regel Afwijking, waarin staat dat de gebeurtenis zonder alarm zal afgaan als een host in de Inside Hosts-groep communiceert met de Inside Hosts-groep en binnen 24 uur zal het verkeer groter zijn dan 10 megabytes.
Laten we bijvoorbeeld een alarm nemen Gegevens hamsteren, wat betekent dat een bron-/bestemmingshost een abnormaal grote hoeveelheid gegevens van een groep hosts of een host heeft geüpload/gedownload. Klik op de gebeurtenis en ga naar de tabel waar de triggerende hosts worden aangegeven. Selecteer vervolgens de host waarin we geïnteresseerd zijn in de kolom Gegevens hamsteren.
Er wordt een gebeurtenis weergegeven die aangeeft dat er 162 “punten” zijn gedetecteerd, en volgens het beleid zijn 100 “punten” toegestaan - dit zijn interne StealthWatch-statistieken. In een kolom Acties ажимаем Stromen bekijken.
Dat kunnen wij waarnemen gegeven gastheer 's nachts contact gehad met de gastheer 10.201.3.47 van de afdeling Verkoop & Marketing volgens protocol HTTPS en gedownload 1.4 GB. Misschien is dit voorbeeld niet helemaal succesvol, maar de detectie van interacties, zelfs voor enkele honderden gigabytes, wordt op precies dezelfde manier uitgevoerd. Daarom kan verder onderzoek naar de afwijkingen tot interessante resultaten leiden.
Noot: in de SMC-webinterface staan de gegevens in tabbladen Dashboards worden alleen voor de afgelopen week en op het tabblad weergegeven monitor gedurende de afgelopen 2 weken. Om oudere gebeurtenissen te analyseren en rapporten te genereren, moet u werken met de Java-console op de computer van de beheerder.
5. Interne netwerkscans vinden
Laten we nu eens kijken naar een paar voorbeelden van feeds: informatiebeveiligingsincidenten. Deze functionaliteit is van meer belang voor beveiligingsprofessionals.
Er zijn verschillende vooraf ingestelde typen scangebeurtenissen in StealthWatch:
- Poortscan: de bron scant meerdere poorten op de bestemmingshost.
- Addr tcp-scan - de bron scant het hele netwerk op dezelfde TCP-poort, waarbij het bestemmings-IP-adres wordt gewijzigd. In dit geval ontvangt de bron TCP Reset-pakketten of ontvangt deze helemaal geen antwoorden.
- Addr udp-scan - de bron scant het hele netwerk op dezelfde UDP-poort, terwijl het bestemmings-IP-adres wordt gewijzigd. In dit geval ontvangt de bron ICMP Port Unreachable-pakketten of ontvangt hij helemaal geen antwoorden.
- Ping Scan - de bron verzendt ICMP-verzoeken naar het hele netwerk om naar antwoorden te zoeken.
- Stealth Scan tсp/udp - de bron gebruikte dezelfde poort om tegelijkertijd verbinding te maken met meerdere poorten op het bestemmingsknooppunt.
Om het makkelijker te maken om alle interne scanners in één keer te vinden, is er een netwerkapp voor StealthWatch - Zichtbaarheidsbeoordeling. Naar het tabblad gaan Dashboards → Zichtbaarheidsbeoordeling → Interne netwerkscanners u zult de afgelopen twee weken scangerelateerde beveiligingsincidenten zien.
Door op de knop te drukken Detailsziet u het begin van het scannen van elk netwerk, de verkeerstrend en de bijbehorende alarmen.
Vervolgens kunt u vanaf het tabblad in de vorige schermafdruk de host "failen" en beveiligingsgebeurtenissen bekijken, evenals de activiteit van de afgelopen week voor deze host.
Laten we als voorbeeld de gebeurtenis analyseren Poortscan van gastheer 10.201.3.149 op 10.201.0.72, Drukken op Acties > Gekoppelde stromen. Er wordt een draadzoekopdracht gestart en relevante informatie wordt weergegeven.
Hoe we deze host zien vanuit een van zijn poorten 51508 / TCP 3 uur geleden gescand de bestemmingshost per poort 22, 28, 42, 41, 36, 40 (TCP). Sommige velden geven ook geen informatie weer omdat niet alle Netflow-velden worden ondersteund in de Netflow-exporteur.
6. Analyse van gedownloade malware met behulp van CTA
CTA (Cognitieve dreigingsanalyse) — Cisco cloud analytics, dat perfect integreert met Cisco StealthWatch en waarmee u handtekeningvrije analyse kunt aanvullen met handtekeninganalyse. Hierdoor is het mogelijk om Trojans, netwerkwormen, zero-day malware en andere malware te detecteren en binnen het netwerk te verspreiden. Bovendien kunt u met de eerder genoemde ETA-technologie dergelijke kwaadaardige communicatie in gecodeerd verkeer analyseren.
Letterlijk op het allereerste tabblad in de webinterface staat een speciale widget Cognitieve dreigingsanalyse. Een korte samenvatting geeft de bedreigingen aan die zijn gedetecteerd op gebruikershosts: Trojaanse paarden, frauduleuze software, vervelende adware. Het woord “Encrypted” duidt feitelijk op het werk van ETA. Door op een host te klikken, verschijnt alle informatie daarover, beveiligingsgebeurtenissen, inclusief CTA-logboeken.
Door over elke fase van de CTA te bewegen, geeft de gebeurtenis gedetailleerde informatie over de interactie weer. Voor volledige analyses, klik hier Bekijk incidentdetails, en je wordt naar een aparte console gebracht Cognitieve dreigingsanalyse.
In de rechterbovenhoek kunt u met een filter gebeurtenissen weergeven op ernstniveau. Wanneer u naar een specifieke afwijking wijst, verschijnen er logboeken onder aan het scherm met aan de rechterkant een bijbehorende tijdlijn. Zo begrijpt de informatiebeveiligingsspecialist duidelijk welke geïnfecteerde host, waarna welke acties, welke acties begon uit te voeren.
Hieronder ziet u nog een voorbeeld: een banktrojan die de host heeft geïnfecteerd 198.19.30.36. Deze host begon te communiceren met kwaadaardige domeinen en de logbestanden tonen informatie over de stroom van deze interacties.
Vervolgens is een van de beste oplossingen die mogelijk zijn, het in quarantaine plaatsen van de host dankzij de native met Cisco ISE voor verdere behandeling en analyse.
Conclusie
De Cisco StealthWatch-oplossing is een van de leiders onder de netwerkmonitoringproducten, zowel op het gebied van netwerkanalyse als informatiebeveiliging. Dankzij dit kunt u onwettige interacties binnen het netwerk, applicatievertragingen, de meest actieve gebruikers, afwijkingen, malware en APT's detecteren. Bovendien kunt u scanners en pentesters vinden en een crypto-audit van HTTPS-verkeer uitvoeren. Nog meer gebruiksscenario's vindt u op .
Wilt u controleren hoe soepel en efficiënt alles op uw netwerk werkt, stuur dan een bericht .
In de nabije toekomst plannen we nog een aantal technische publicaties over verschillende informatiebeveiligingsproducten. Als je geïnteresseerd bent in dit onderwerp, volg dan de updates in onze kanalen (, , , )!
Bron: www.habr.com