er en analytisk løsning innen informasjonssikkerhet som gir omfattende overvåking av trusler i et distribuert nettverk. StealthWatch er basert på innsamling av NetFlow og IPFIX fra rutere, svitsjer og andre nettverksenheter. Som et resultat blir nettverket en sensitiv sensor og lar administratoren se på steder hvor tradisjonelle nettverkssikkerhetsmetoder, som for eksempel Next Generation Firewall, ikke kan nå.
I tidligere artikler har jeg allerede skrevet om StealthWatch: Og . Nå foreslår jeg å gå videre og diskutere hvordan man kan jobbe med alarmer og undersøke sikkerhetshendelser som løsningen genererer. Det vil være 6 eksempler som jeg håper vil gi en god idé om nytten av produktet.
Først skal det sies at StealthWatch har en viss fordeling av alarmer mellom algoritmer og feeds. Den første er ulike typer alarmer (varsler), når de utløses, kan du oppdage mistenkelige ting på nettverket. Det andre er sikkerhetshendelser. Denne artikkelen vil se på 4 eksempler på utløste algoritmer og 2 eksempler på innmatinger.
1. Analyse av de største interaksjonene i nettverket
Det første trinnet i å sette opp StealthWatch er å definere verter og nettverk i grupper. I fanen webgrensesnitt Konfigurer > Vertsgruppeadministrasjon Nettverk, verter og servere bør klassifiseres i passende grupper. Du kan også lage dine egne grupper. Forresten, det er ganske praktisk å analysere interaksjoner mellom verter i Cisco StealthWatch, siden du ikke bare kan lagre søkefiltre etter strøm, men også selve resultatene.
For å komme i gang bør du gå til fanen i nettgrensesnittet Analyser > Flytsøk. Deretter bør du angi følgende parametere:
- Søketype – Toppsamtaler (mest populære interaksjoner)
- Tidsområde - 24 timer (tidsperiode, du kan bruke en annen)
- Søkenavn - Toppsamtaler Inside-Inside (hvilket som helst vennlig navn)
- Emne - Vertsgrupper → Inneverter (kilde - gruppe med interne verter)
- Tilkobling (du kan spesifisere porter, applikasjoner)
- Peer - Vertsgrupper → Inside Hosts (destinasjon - gruppe med interne noder)
- I Avanserte alternativer kan du i tillegg spesifisere innsamleren som dataene skal vises fra, sortere utdataene (etter byte, strømmer osv.). Jeg lar det være standard.
Etter å ha trykket på knappen Søk en liste over interaksjoner vises som allerede er sortert etter mengden data som er overført.
I mitt eksempel verten 10.150.1.201 (server) overført innen bare én tråd 1.5 GB trafikk til vert 10.150.1.200 (klient) etter protokoll mysql. Knapp Administrer kolonner lar deg legge til flere kolonner i utdataene.
Deretter, etter administratorens skjønn, kan du opprette en egendefinert regel som alltid vil utløse denne typen interaksjon og varsle deg via SNMP, e-post eller Syslog.
2. Analyse av de tregeste klient-server-interaksjonene i nettverket for forsinkelser
Tags SRT (serverresponstid), RTT (tur-retur tid) lar deg finne ut serverforsinkelser og generelle nettverksforsinkelser. Dette verktøyet er spesielt nyttig når du raskt trenger å finne årsaken til brukerklager om et program som kjører sakte.
Note: nesten alle Netflow-eksportører vet ikke hvordan send SRT, RTT-tagger, så ofte, for å se slike data på FlowSensor, må du konfigurere sending av en kopi av trafikk fra nettverksenheter. FlowSensor sender på sin side den utvidede IPFIX til FlowCollector.
Det er mer praktisk å utføre denne analysen i StealtWatch java-applikasjonen, som er installert på administratorens datamaskin.
Høyre museknapp på Inneverter og gå til fanen Flyttabell.
Klikk på filtre og angi de nødvendige parameterne. Som et eksempel:
- Dato/klokkeslett – for de siste 3 dagene
- Ytelse — Gjennomsnittlig rundturstid >=50ms
Etter å ha vist dataene, bør vi legge til RTT- og SRT-feltene som interesserer oss. For å gjøre dette, klikk på kolonnen i skjermbildet og velg med høyre museknapp Administrer kolonner. Klikk deretter på RTT, SRT-parametere.
Etter å ha behandlet forespørselen, sorterte jeg etter RTT-gjennomsnitt og så de tregeste interaksjonene.
For å gå inn i detaljert informasjon, høyreklikk på strømmen og velg Hurtigvisning for Flow.
Denne informasjonen indikerer at verten 10.201.3.59 fra gruppen Salg og markedsføring etter protokoll NFS appellerer til DNS-server i et minutt og 23 sekunder og har bare forferdelig etterslep. I fanen Grensesnitt kan du finne ut hvilken Netflow-dataeksportør informasjonen ble hentet fra. I fanen Bord Mer detaljert informasjon om interaksjonen vises.
Deretter bør du finne ut hvilke enheter som sender trafikk til FlowSensor, og problemet ligger mest sannsynlig der.
Dessuten er StealthWatch unik ved at den utfører deduplisering data (kombinerer de samme strømmene). Derfor kan du samle inn fra nesten alle Netflow-enheter og ikke være redd for at det blir mye dupliserte data. Tvert imot, i denne ordningen vil det hjelpe å forstå hvilken hop som har størst forsinkelser.
3. Revisjon av HTTPS kryptografiske protokoller
ETA (kryptert trafikkanalyse) er en teknologi utviklet av Cisco som lar deg oppdage ondsinnede forbindelser i kryptert trafikk uten å dekryptere den. Dessuten lar denne teknologien deg "parse" HTTPS til TLS-versjoner og kryptografiske protokoller som brukes under tilkoblinger. Denne funksjonaliteten er spesielt nyttig når du trenger å oppdage nettverksnoder som bruker svake kryptostandarder.
Note: Du må først installere nettverksappen på StealthWatch - ETA kryptografisk revisjon.
Gå til fanen Dashboards → ETA Cryptographic Audit og velg gruppen med verter som vi planlegger å analysere. For det generelle bildet, la oss velge Inneverter.
Du kan se at TLS-versjonen og den tilsvarende kryptostandarden sendes ut. Etter vanlig opplegg i spalten handlinger gå til Se flyter og søket starter i en ny fane.
Fra utgangen kan det sees at verten 198.19.20.136 over 12 timer brukte HTTPS med TLS 1.2, hvor krypteringsalgoritmen AES-256 og hash-funksjon SHA-384. Dermed lar ETA deg finne svake algoritmer på nettverket.
4. Nettverksavviksanalyse
Cisco StealthWatch kan gjenkjenne trafikkavvik på nettverket ved hjelp av tre verktøy: Kjernehendelser (sikkerhetshendelser), Relasjonshendelser (hendelser av interaksjoner mellom segmenter, nettverksnoder) og atferdsanalyse.
Atferdsanalyse lar på sin side over tid bygge en atferdsmodell for en bestemt vert eller gruppe verter. Jo mer trafikk som passerer gjennom StealthWatch, jo mer nøyaktige vil varslene være takket være denne analysen. Til å begynne med utløser systemet mye feil, så reglene bør "vridd" for hånd. Jeg anbefaler at du ignorerer slike hendelser de første ukene, da systemet vil justere seg selv, eller legge dem til unntak.
Nedenfor er et eksempel på en forhåndsdefinert regel Anomali, som sier at hendelsen vil avfyres uten alarm hvis en vert i Inside Hosts-gruppen samhandler med Inside Hosts-gruppen og innen 24 timer vil trafikken overstige 10 megabyte.
La oss for eksempel ta en alarm Datahamstring, som betyr at en kilde-/destinasjonsvert har lastet opp/lastet ned en unormalt stor mengde data fra en gruppe verter eller en vert. Klikk på hendelsen og gå til tabellen der de utløsende vertene er indikert. Deretter velger du verten vi er interessert i i kolonnen Datahamstring.
En hendelse vises som indikerer at 162 100 "poeng" ble oppdaget, og i henhold til retningslinjene er XNUMX XNUMX "poeng" tillatt - dette er interne StealthWatch-målinger. I en kolonne handlinger trykk Se flyter.
Det kan vi observere gitt vert samhandlet med verten om natten 10.201.3.47 fra avdelingen Salg og markedsføring etter protokoll HTTPS og lastet ned 1.4 GB. Kanskje dette eksemplet ikke er helt vellykket, men deteksjon av interaksjoner selv for flere hundre gigabyte utføres på nøyaktig samme måte. Derfor kan ytterligere undersøkelser av anomaliene føre til interessante resultater.
Note: i SMC-nettgrensesnittet er data i faner Instrumentbord vises bare for den siste uken og i fanen Overvåke i løpet av de siste 2 ukene. For å analysere eldre hendelser og generere rapporter, må du jobbe med java-konsollen på administratorens datamaskin.
5. Finne interne nettverksskanninger
La oss nå se på noen få eksempler på feeds – informasjonssikkerhetshendelser. Denne funksjonaliteten er mer interessant for sikkerhetseksperter.
Det er flere forhåndsinnstilte skanningshendelsestyper i StealthWatch:
- Portskanning – kilden skanner flere porter på målverten.
- Addr tcp scan - kilden skanner hele nettverket på samme TCP-port, og endrer destinasjons-IP-adressen. I dette tilfellet mottar kilden TCP Reset-pakker eller mottar ikke svar i det hele tatt.
- Addr udp-skanning - kilden skanner hele nettverket på samme UDP-port, mens den endrer destinasjons-IP-adressen. I dette tilfellet mottar kilden ICMP Port Unreachable-pakker eller mottar ikke svar i det hele tatt.
- Ping Scan - kilden sender ICMP-forespørsler til hele nettverket for å søke etter svar.
- Stealth Scan tсp/udp - kilden brukte samme port for å koble til flere porter på destinasjonsnoden samtidig.
For å gjøre det mer praktisk å finne alle interne skannere samtidig, finnes det en nettverksapp for StealthWatch - Synlighetsvurdering. Går til fanen Dashboards → Synlighetsvurdering → Interne nettverksskannere du vil se sikkerhetshendelser relatert til skanning de siste 2 ukene.
Ved å klikke på knappen Detaljer, vil du se starten på skanningen av hvert nettverk, trafikktrenden og de tilsvarende alarmene.
Deretter kan du "mislykkes" til verten fra fanen i forrige skjermbilde og se sikkerhetshendelser, samt aktivitet den siste uken for denne verten.
La oss som et eksempel analysere hendelsen Port scan fra vert 10.201.3.149 på 10.201.0.72, Trykker Handlinger > Tilknyttede flyter. Et trådsøk startes og relevant informasjon vises.
Hvordan vi ser denne verten fra en av portene 51508/TCP skannet for 3 timer siden destinasjonsverten etter port 22, 28, 42, 41, 36, 40 (TCP). Noen felt viser heller ikke informasjon fordi ikke alle Netflow-felt støttes av Netflow-eksportøren.
6. Analyse av nedlastet skadelig programvare ved hjelp av CTA
CTA (Cognitive Threat Analytics) — Cisco cloud analytics, som integreres perfekt med Cisco StealthWatch og lar deg komplettere signaturfri analyse med signaturanalyse. Dette gjør det mulig å oppdage trojanere, nettverksormer, zero-day malware og annen malware og distribuere dem i nettverket. Den tidligere nevnte ETA-teknologien lar deg også analysere slik ondsinnet kommunikasjon i kryptert trafikk.
Bokstavelig talt på den aller første fanen i webgrensesnittet er det en spesiell widget Kognitiv trusselanalyse. En kort oppsummering indikerer trusler som er oppdaget på brukerverter: trojanere, uredelig programvare, irriterende adware. Ordet "kryptert" indikerer faktisk arbeidet til ETA. Ved å klikke på en vert, vises all informasjon om den, sikkerhetshendelser, inkludert CTA-logger.
Ved å holde musepekeren over hvert trinn i CTAen, viser hendelsen detaljert informasjon om interaksjonen. For fullstendig analyse, klikk her Se hendelsesdetaljer, og du vil bli tatt til en egen konsoll Kognitiv trusselanalyse.
I øvre høyre hjørne lar et filter deg vise hendelser etter alvorlighetsgrad. Når du peker på en spesifikk anomali, vises logger nederst på skjermen med en tilsvarende tidslinje til høyre. Dermed forstår informasjonssikkerhetsspesialisten tydelig hvilken infisert vert, etter hvilke handlinger, begynte å utføre hvilke handlinger.
Nedenfor er et annet eksempel - en banktrojaner som infiserte verten 198.19.30.36. Denne verten begynte å samhandle med ondsinnede domener, og loggene viser informasjon om flyten av disse interaksjonene.
Deretter er en av de beste løsningene som kan være å sette verten i karantene takket være den innfødte med Cisco ISE for videre behandling og analyse.
Konklusjon
Cisco StealthWatch-løsningen er en av lederne blant nettverksovervåkingsprodukter både når det gjelder nettverksanalyse og informasjonssikkerhet. Takket være det kan du oppdage illegitime interaksjoner i nettverket, applikasjonsforsinkelser, de mest aktive brukerne, uregelmessigheter, skadelig programvare og APT-er. Dessuten kan du finne skannere, pentestere og gjennomføre en kryptorevisjon av HTTPS-trafikk. Du finner enda flere brukstilfeller på .
Hvis du vil sjekke hvor smidig og effektivt alt fungerer på nettverket ditt, send .
I nær fremtid planlegger vi flere tekniske publikasjoner om ulike informasjonssikkerhetsprodukter. Hvis du er interessert i dette emnet, så følg oppdateringene i våre kanaler (, , , )!
Kilde: www.habr.com