to rozwiązanie analityczne z zakresu bezpieczeństwa informacji, które zapewnia kompleksowe monitorowanie zagrożeń w sieci rozproszonej. StealthWatch opiera się na zbieraniu NetFlow i IPFIX z routerów, przełączników i innych urządzeń sieciowych. W rezultacie sieć staje się czułym czujnikiem i pozwala administratorowi zajrzeć do miejsc, do których nie docierają tradycyjne metody bezpieczeństwa sieci, takie jak zapora sieciowa nowej generacji.
W poprzednich artykułach pisałem już o StealthWatch: a także . Teraz proponuję przejść dalej i omówić sposób pracy z alarmami i badania incydentów bezpieczeństwa generowanych przez rozwiązanie. Będzie 6 przykładów, które, mam nadzieję, dadzą dobre pojęcie o przydatności produktu.
Po pierwsze, należy powiedzieć, że StealthWatch ma pewien rozkład alarmów pomiędzy algorytmami i kanałami. Pierwszą z nich są różnego rodzaju alarmy (powiadomienia), po uruchomieniu można wykryć podejrzane rzeczy w sieci. Drugie to incydenty związane z bezpieczeństwem. W tym artykule omówimy 4 przykłady uruchomionych algorytmów i 2 przykłady kanałów.
1. Analiza największych interakcji w sieci
Początkowym krokiem w konfiguracji StealthWatch jest zdefiniowanie hostów i sieci w grupy. W zakładce interfejsu internetowego Konfiguracja > Zarządzanie grupą hostów Sieci, hosty i serwery należy podzielić na odpowiednie grupy. Można także tworzyć własne grupy. Nawiasem mówiąc, analizowanie interakcji między hostami w Cisco StealthWatch jest dość wygodne, ponieważ możesz nie tylko zapisywać filtry wyszukiwania według strumienia, ale także same wyniki.
Aby rozpocząć, w interfejsie internetowym należy przejść do zakładki Analizuj > Wyszukiwanie przepływu. Następnie należy ustawić następujące parametry:
- Typ wyszukiwania — najpopularniejsze rozmowy (najpopularniejsze interakcje)
- Zakres czasu — 24 godziny (okres, możesz użyć innego)
- Nazwa wyszukiwania — najpopularniejsze konwersacje Inside-Inside (dowolna przyjazna nazwa)
- Temat - Grupy hostów → Hosty wewnętrzne (źródło - grupa hostów wewnętrznych)
- Połączenie (możesz określić porty, aplikacje)
- Peer - Grupy hostów → Hosty wewnętrzne (miejsce docelowe - grupa węzłów wewnętrznych)
- W Opcjach zaawansowanych możesz dodatkowo określić kolektor, z którego będą przeglądane dane, sortując wynik (według bajtów, strumieni itp.). Zostawię to jako domyślne.
Po naciśnięciu przycisku Szukaj wyświetla się lista interakcji, które są już posortowane według ilości przesłanych danych.
W moim przykładzie host 10.150.1.201 (serwer) przesyłany tylko w jednym wątku 1.5 GB ruch do hosta 10.150.1.200 (klient) według protokołu mysql. Przycisk Zarządzaj kolumnami umożliwia dodanie większej liczby kolumn do danych wyjściowych.
Następnie, według uznania administratora, możesz utworzyć niestandardową regułę, która zawsze będzie wyzwalać tego typu interakcję i powiadamiać Cię przez SNMP, e-mail lub Syslog.
2. Analiza najwolniejszych interakcji klient-serwer w sieci pod kątem opóźnień
tagi SRT (Czas odpowiedzi serwera), RTT (czas podróży w obie strony) pozwalają sprawdzić opóźnienia serwerów i ogólne opóźnienia w sieci. Narzędzie to jest szczególnie przydatne, gdy trzeba szybko znaleźć przyczynę skarg użytkowników na wolno działającą aplikację.
Operacja: prawie wszyscy eksporterzy Netflow nie wiem jak wysyłaj tagi SRT, RTT, dlatego aby takie dane widzieć na FlowSensorze trzeba skonfigurować wysyłanie kopii ruchu z urządzeń sieciowych. FlowSensor z kolei wysyła rozszerzony IPFIX do FlowCollector.
Wygodniej jest przeprowadzić tę analizę w aplikacji Java StealtWatch, która jest zainstalowana na komputerze administratora.
Prawy przycisk myszy włączony Wewnątrz gospodarzy i przejdź do zakładki Tabela przepływu.
Kliknij FILTRY i ustaw niezbędne parametry. Jako przykład:
- Data/godzina — z ostatnich 3 dni
- Wydajność — średni czas podróży w obie strony >= 50 ms
Po wyświetleniu danych powinniśmy dodać interesujące nas pola RTT i SRT. Aby to zrobić, kliknij kolumnę na zrzucie ekranu i wybierz prawym przyciskiem myszy Zarządzaj kolumnami. Następnie kliknij RTT, parametry SRT.
Po przetworzeniu żądania posortowałem według średniej RTT i zauważyłem najwolniejsze interakcje.
Aby przejść do szczegółowych informacji, kliknij strumień prawym przyciskiem myszy i wybierz Szybki podgląd przepływu.
Informacje te wskazują, że host 10.201.3.59 z grupy Sprzedaż i marketing protokołem NFS apeluje do serwer DNS przez minutę i 23 sekundy i ma po prostu straszne opóźnienie. W zakładce interfejsy możesz dowiedzieć się, od którego eksportera danych Netflow uzyskano informacje. W zakładce Stół Wyświetlane są bardziej szczegółowe informacje na temat interakcji.
Następnie powinieneś dowiedzieć się, które urządzenia wysyłają ruch do FlowSensor i najprawdopodobniej tam leży problem.
Co więcej, StealthWatch jest wyjątkowy pod tym względem, że przewodzi deduplikacja danych (łączy te same strumienie). Dzięki temu możesz zbierać dane z niemal wszystkich urządzeń Netflow i nie obawiać się, że będzie dużo zduplikowanych danych. Wręcz przeciwnie, w tym schemacie pomoże zrozumieć, który przeskok ma największe opóźnienia.
3. Audyt protokołów kryptograficznych HTTPS
ETA (Analityka ruchu szyfrowanego) to technologia opracowana przez firmę Cisco, która umożliwia wykrywanie szkodliwych połączeń w zaszyfrowanym ruchu bez jego deszyfrowania. Co więcej, technologia ta pozwala „parsować” HTTPS na wersje TLS i protokoły kryptograficzne używane podczas połączeń. Ta funkcjonalność jest szczególnie przydatna, gdy trzeba wykryć węzły sieciowe stosujące słabe standardy kryptograficzne.
Operacja: Najpierw musisz zainstalować aplikację sieciową na StealthWatch - Audyt kryptograficzny ETA.
Przejdź do zakładki Panele → Audyt kryptograficzny ETA i wybierz grupę hostów, którą mamy zamiar analizować. Dla ogólnego obrazu wybierzmy Wewnątrz gospodarzy.
Widać, że wyświetlana jest wersja TLS i odpowiedni standard kryptograficzny. Według zwykłego schematu w kolumnie Akcje iść do Wyświetl przepływy a wyszukiwanie rozpocznie się w nowej karcie.
Z danych wyjściowych widać, że host 198.19.20.136 przez 12 godzin używany HTTPS z TLS 1.2, gdzie algorytm szyfrowania AES-256 i funkcję skrótu SHA-384. W ten sposób ETA pozwala znaleźć słabe algorytmy w sieci.
4. Analiza anomalii sieci
Cisco StealthWatch może rozpoznawać anomalie w ruchu w sieci za pomocą trzech narzędzi: Podstawowe wydarzenia (zdarzenia związane z bezpieczeństwem), Wydarzenia w związku (zdarzenia interakcji pomiędzy segmentami, węzłami sieci) i analiza behawioralna.
Z kolei analiza behawioralna pozwala z czasem zbudować model zachowania dla konkretnego gospodarza lub grupy gospodarzy. Im więcej ruchu przechodzi przez StealthWatch, tym dokładniejsze będą alerty dzięki tej analizie. Na początku system uruchamia się bardzo niepoprawnie, więc zasady należy „przekręcać” ręcznie. Radzę ignorować tego typu zdarzenia przez pierwsze kilka tygodni, gdyż system sam się dostosuje, lub dodać je do wyjątków.
Poniżej znajduje się przykład predefiniowanej reguły Anomalia, który stwierdza, że zdarzenie zostanie uruchomione bez alarmu if host w grupie Inside Hosts wchodzi w interakcję z grupą Inside Hosts i w ciągu 24 godzin ruch przekroczy 10 megabajtów.
Weźmy na przykład alarm Gromadzenie danych, co oznacza, że jakiś host źródłowy/docelowy przesłał/pobrał nienormalnie dużą ilość danych z grupy hostów lub hosta. Kliknij na wydarzenie i przejdź do tabeli, w której wskazane są hosty wywołujące. Następnie w kolumnie zaznaczamy hosta, który nas interesuje Gromadzenie danych.
Wyświetla się zdarzenie wskazujące, że wykryto 162 tys. „punktów”, a zgodnie z polityką dozwolone jest 100 tys. „punktów” – są to wewnętrzne wskaźniki StealthWatch. W kolumnie Akcje naciskać Wyświetl przepływy.
Możemy to zaobserwować dany gospodarz w nocy kontaktowałem się z gospodarzem 10.201.3.47 z działu Sprzedaż i Marketing protokołem HTTPS i pobrane 1.4 GB. Może ten przykład nie jest do końca udany, ale wykrywanie interakcji nawet dla kilkuset gigabajtów odbywa się dokładnie w ten sam sposób. Dlatego dalsze badanie anomalii może prowadzić do interesujących wyników.
Operacja: w interfejsie sieciowym SMC dane znajdują się w zakładkach Pulpity wyświetlane są tylko za ostatni tydzień i w zakładce monitor w ciągu ostatnich 2 tygodni. Aby analizować starsze zdarzenia i generować raporty, należy pracować z konsolą Java na komputerze administratora.
5. Znajdowanie skanów sieci wewnętrznej
Przyjrzyjmy się teraz kilku przykładom kanałów - incydentów związanych z bezpieczeństwem informacji. Ta funkcja jest bardziej interesująca dla specjalistów ds. bezpieczeństwa.
W StealthWatch dostępnych jest kilka wstępnie ustawionych typów zdarzeń skanowania:
- Skanowanie portów — źródło skanuje wiele portów na hoście docelowym.
- Addr tcp scan - źródło skanuje całą sieć na tym samym porcie TCP, zmieniając docelowy adres IP. W takim przypadku źródło otrzymuje pakiety resetowania protokołu TCP lub w ogóle nie otrzymuje odpowiedzi.
- Addr udp scan - źródło skanuje całą sieć na tym samym porcie UDP, zmieniając jednocześnie docelowy adres IP. W takim przypadku źródło otrzymuje pakiety ICMP Port Unreachable lub w ogóle nie otrzymuje odpowiedzi.
- Ping Scan - źródło wysyła żądania ICMP do całej sieci w celu wyszukania odpowiedzi.
- Stealth Scan tсp/udp — źródło używało tego samego portu do jednoczesnego łączenia się z wieloma portami węzła docelowego.
Aby ułatwić jednoczesne znalezienie wszystkich skanerów wewnętrznych, dostępna jest aplikacja sieciowa StealthWatch - Ocena widoczności. Przechodzę do zakładki Pulpity → Ocena widoczności → Wewnętrzne skanery sieciowe w ciągu ostatnich 2 tygodni będziesz widzieć zdarzenia związane z bezpieczeństwem związane ze skanowaniem.
Naciskając przycisk Szczegóły, zobaczysz początek skanowania każdej sieci, trend ruchu i odpowiednie alarmy.
Następnie możesz „włączyć się” do hosta z zakładki na poprzednim zrzucie ekranu i zobaczyć zdarzenia związane z bezpieczeństwem, a także aktywność tego hosta w ciągu ostatniego tygodnia.
Jako przykład przeanalizujmy wydarzenie Skanowanie portów od gospodarza 10.201.3.149 na 10.201.0.72, Naciśnięcie Działania > Powiązane przepływy. Rozpocznie się wyszukiwanie wątków i zostaną wyświetlone odpowiednie informacje.
Jak widzimy tego hosta z jednego z jego portów 51508/TCP przeskanowano 3 godziny temu host docelowy według portu 22, 28, 42, 41, 36, 40 (TCP). Niektóre pola również nie wyświetlają informacji, ponieważ nie wszystkie pola Netflow są obsługiwane przez eksporter Netflow.
6. Analiza pobranego złośliwego oprogramowania za pomocą CTA
CTA (kognitywna analiza zagrożeń) — Analityka w chmurze Cisco, która doskonale integruje się z Cisco StealthWatch i pozwala uzupełnić analizę bez sygnatur analizą sygnatur. Umożliwia to wykrywanie trojanów, robaków sieciowych, złośliwego oprogramowania typu zero-day i innego złośliwego oprogramowania oraz dystrybucję ich w sieci. Ponadto wspomniana wcześniej technologia ETA pozwala analizować taką złośliwą komunikację w zaszyfrowanym ruchu.
Dosłownie na pierwszej karcie interfejsu internetowego znajduje się specjalny widget Poznawcza analiza zagrożeń. Krótkie podsumowanie wskazuje zagrożenia wykryte na hostach użytkowników: trojan, fałszywe oprogramowanie, irytujące oprogramowanie reklamowe. Słowo „Zaszyfrowane” faktycznie wskazuje na pracę ETA. Klikając na hosta, pojawiają się wszystkie informacje na jego temat, zdarzenia bezpieczeństwa, w tym logi CTA.
Po najechaniu kursorem na każdy etap CTA wydarzenie wyświetla szczegółowe informacje na temat interakcji. Aby uzyskać pełną analizę, kliknij tutaj Wyświetl szczegóły zdarzeniai zostaniesz przeniesiony do osobnej konsoli Poznawcza analiza zagrożeń.
W prawym górnym rogu znajduje się filtr pozwalający na wyświetlenie zdarzeń według stopnia ważności. Kiedy wskażesz konkretną anomalię, na dole ekranu pojawią się logi z odpowiednią osią czasu po prawej stronie. W ten sposób specjalista ds. bezpieczeństwa informacji wyraźnie rozumie, który zainfekowany host, po jakich działaniach zaczął wykonywać jakie działania.
Poniżej znajduje się kolejny przykład — trojan bankowy, który zainfekował hosta 198.19.30.36. Host ten zaczął wchodzić w interakcję ze złośliwymi domenami, a dzienniki zawierają informacje o przebiegu tych interakcji.
Następnie jednym z najlepszych rozwiązań, jakie można zastosować, jest poddanie hosta kwarantannie dzięki natywnemu z Cisco ISE w celu dalszego leczenia i analizy.
wniosek
Rozwiązanie Cisco StealthWatch to jeden z liderów wśród produktów do monitorowania sieci zarówno pod kątem analizy sieci, jak i bezpieczeństwa informacji. Dzięki niemu możesz wykryć nielegalne interakcje w sieci, opóźnienia aplikacji, najbardziej aktywnych użytkowników, anomalie, złośliwe oprogramowanie i APT. Ponadto możesz znaleźć skanery, pentestery i przeprowadzić krypto-audyt ruchu HTTPS. Jeszcze więcej przypadków użycia znajdziesz na stronie .
Jeśli chcesz sprawdzić jak sprawnie i efektywnie wszystko działa w Twojej sieci, wyślij .
W najbliższej przyszłości planujemy jeszcze kilka publikacji technicznych na temat różnych produktów związanych z bezpieczeństwem informacji. Jeśli interesuje Cię ten temat, śledź aktualizacje na naszych kanałach (, , , )!
Źródło: www.habr.com