🥇StealthWatch: د پیښو تحلیل او څیړنه. دریمه برخه

سیسکو سټیلټ واچ د معلوماتو امنیت په برخه کې تحلیلي حل دی چې په توزیع شوي شبکه کې د ګواښونو هر اړخیز نظارت چمتو کوي. سټیلټ واچ د روټرونو ، سویچونو او نورو شبکې وسیلو څخه د NetFlow او IPFIX راټولولو پراساس دی. د پایلې په توګه، شبکه یو حساس سینسر کیږي او مدیر ته اجازه ورکوي چې هغه ځایونه وګوري چیرې چې د شبکې دودیز امنیت میتودونه، لکه د راتلونکي نسل فایروال، نشي رسیدلی.

په تیرو مقالو کې ما دمخه د سټیل واچ په اړه لیکلي: لومړی پیژندنه او فرصتونهاو همدارنګه ځای پرځای کول او ترتیب کول. اوس زه وړاندیز کوم چې پرمخ لاړ شم او بحث وکړم چې څنګه د الارمونو سره کار وکړم او هغه امنیتي پیښې وڅیړم چې حل یې رامینځته کوي. دلته به 6 مثالونه وي چې زه امید لرم چې د محصول ګټورتیا ښه نظر ورکړي.

لومړی، دا باید وویل شي چې StealthWatch د الګوریتم او فیډونو ترمنځ د الارمونو ځینې ویش لري. لومړی ډول ډول الارمونه (اطلاعات) دي ، کله چې پیل شي ، تاسو کولی شئ په شبکه کې شکمن شیان ومومئ. دویمه امنیتي پېښې دي. دا مقاله به د الګوریتم 4 مثالونه او د فیډونو 2 مثالونه وګوري.

1. په شبکه کې د لویو تعاملاتو تحلیل

د StealthWatch په ترتیب کولو کې لومړنی ګام په ګروپونو کې کوربه او شبکې تعریف کول دي. د ویب انٹرفیس ټب کې تنظیم کول> د کوربه ګروپ مدیریت شبکې، کوربه، او سرورونه باید په مناسبو ګروپونو طبقه بندي شي. تاسو کولی شئ خپل ګروپونه هم جوړ کړئ. په هرصورت ، په سیسکو سټیلټ واچ کې د کوربه توب ترمینځ تعاملات تحلیل کول خورا اسانه دي ، ځکه چې تاسو نه یوازې د جریان په واسطه د لټون فلټرونه خوندي کولی شئ ، بلکه پخپله پایلې هم.

د پیل کولو لپاره، په ویب انٹرفیس کې تاسو باید ټب ته لاړ شئ تحلیل > د جریان لټون. بیا تاسو باید لاندې پیرامیټونه تنظیم کړئ:

د لټون ډول - غوره خبرې اترې (خورا مشهور تعاملات)
د وخت حد - 24 ساعته (د وخت موده، تاسو کولی شئ بل وکاروئ)
د نوم لټون - دننه دننه غوره خبرې اترې (هر دوستانه نوم)
موضوع - د کوربه ګروپ ← دننه کوربه (سرچینه - د داخلي کوربه ګروپ)
اتصال (تاسو کولی شئ بندرونه، غوښتنلیکونه مشخص کړئ)
پییر - د کوربه ګروپونه ← دننه کوربه (منزل - د داخلي نوډونو ګروپ)
په پرمختللي اختیارونو کې، تاسو کولی شئ اضافي راټولونکی مشخص کړئ چې له هغې څخه ډاټا لیدل کیږي، د محصول ترتیب کول (د بایټ، جریان، او داسې نور). زه به یې د ډیفالټ په توګه پریږدم.

د تڼۍ فشار وروسته د لټون د تعاملاتو لیست ښودل شوی چې دمخه د لیږدول شوي معلوماتو مقدار سره ترتیب شوی.

زما په مثال کې کوربه 10.150.1.201 (سرور) یوازې په یوه تار کې لیږدول شوی 1.5 GB کوربه ته ترافیک 10.150.1.200 (پیرودونکي) د پروتوکول له مخې مای. تڼۍ کالمونه اداره کړئ تاسو ته اجازه درکوي د محصول ډاټا ته نور کالمونه اضافه کړئ.

بیا ، د مدیر په اختیار کې ، تاسو کولی شئ یو دودیز قاعده رامینځته کړئ چې تل به دا ډول تعامل رامینځته کړي او تاسو ته د SNMP ، بریښنالیک یا Syslog له لارې خبر درکړي.

2. د ځنډ لپاره په شبکه کې د پیرودونکي - سرور ورو ورو تعاملاتو تحلیل

لیبلونه SRT (د سرور ځواب وخت), RTT (د دورې سفر وخت) تاسو ته اجازه درکوي چې د سرور ځنډونه او د شبکې عمومي ځنډونه ومومئ. دا وسیله په ځانګړي توګه ګټوره ده کله چې تاسو اړتیا لرئ په چټکۍ سره د سست چلونکي غوښتنلیک په اړه د کاروونکو شکایتونو لامل ومومئ.

تبصره: نږدې ټول Netflow صادرونکي نه پوهیږم څنګه د SRT، RTT ټاګونه واستوئ، نو ډیری وختونه، په FlowSensor کې د داسې معلوماتو لیدلو لپاره، تاسو اړتیا لرئ چې د شبکې وسیلو څخه د ټرافیک کاپي لیږلو ترتیب کړئ. FlowSensor په بدل کې غزیدلی IPFIX FlowCollector ته لیږي.

دا د سټیل واچ جاوا غوښتنلیک کې د دې تحلیل ترسره کول خورا اسانه دي ، کوم چې د مدیر په کمپیوټر کې نصب شوی.

د ښي موږک تڼۍ فعاله دننه کوربه او ټب ته لاړ شئ د جریان جدول.

کلیک وکړه Filter او اړین پیرامیټونه تنظیم کړئ. د مثال په توګه:

نیټه / وخت - د تیرو 3 ورځو لپاره
کارکردګي — د دورې اوسط وخت>=50ms

د معلوماتو ښودلو وروسته، موږ باید د RTT او SRT ساحې اضافه کړو چې زموږ سره علاقه لري. د دې کولو لپاره، په سکرین شاټ کې کالم باندې کلیک وکړئ او د ښي موږک تڼۍ سره غوره کړئ کالمونه اداره کړئ. بیا، RTT، SRT پیرامیټونه کلیک وکړئ.

د غوښتنې پروسس کولو وروسته، ما د RTT اوسط ترتیب کړی او تر ټولو ورو تعاملات مې ولیدل.

تفصيلي معلوماتو ته د تګ لپاره، په جریان کې ښي کلیک وکړئ او غوره کړئ د جریان لپاره چټک لید.

دا معلومات په ګوته کوي چې کوربه 10.201.3.59 له ډلې څخه خرڅلاو او بازار موندنه د پروتوکول له مخې NFS غوښتنه کوي د DNS سرور د یوې دقیقې او 23 ثانیو لپاره او یوازې سخت ځنډ لري. په ټب کې انټرنیټونه تاسو کولی شئ ومومئ چې د کوم Netflow ډیټا صادرونکي څخه معلومات ترلاسه شوي. په ټب کې جدول د متقابل عمل په اړه نور تفصيلي معلومات ښودل شوي.

بل ، تاسو باید ومومئ چې کوم وسیلې FlowSensor ته ترافیک لیږي او ستونزه خورا احتمال شتون لري.

سربیره پردې ، سټیلټ واچ ځانګړی دی چې دا ترسره کوي نقل کول ډاټا (د ورته جریانونو سره یوځای کوي). له همدې امله ، تاسو کولی شئ د نږدې ټولو Netflow وسیلو څخه راټول کړئ او ویره مه کوئ چې ډیری نقل شوي ډیټا به وي. برعکس، په دې سکیم کې دا به مرسته وکړي چې پوه شي چې کوم هپ ترټولو لوی ځنډ لري.

3. د HTTPS کریپټوګرافیک پروتوکولونو پلټنه

ETA (کوډ شوي ترافیک تحلیلونه) د سیسکو لخوا رامینځته شوی ټیکنالوژي ده چې تاسو ته اجازه درکوي په کوډ شوي ترافیک کې ناوړه اړیکې کشف کړئ پرته لدې چې دا کوډ کړئ. برسېره پردې، دا ټیکنالوژي تاسو ته اجازه درکوي چې د TLS نسخو او کریپټوګرافیک پروتوکولونو کې HTTPS "پارس" کړئ چې د اړیکو پرمهال کارول کیږي. دا فعالیت په ځانګړي توګه ګټور دی کله چې تاسو اړتیا لرئ د شبکې نوډونه کشف کړئ چې ضعیف کریپټو معیارونه کاروي.

تبصره: تاسو باید لومړی په StealthWatch کې د شبکې ایپ نصب کړئ - د ETA کریپټوګرافیک پلټنه.

ټب ته لاړ شئ ډشبورډونه → ETA کریپټوګرافیک پلټنه او د کوربه ګروپ غوره کړئ چې موږ یې د تحلیل کولو پلان لرو. د ټولیز انځور لپاره، راځئ چې غوره کړو دننه کوربه.

تاسو کولی شئ وګورئ چې د TLS نسخه او اړونده کریپټو معیاري محصول دی. په کالم کې د معمول سکیم مطابق کړنې ورتګ جریان وګورئ او لټون په نوي ټب کې پیل کیږي.

د محصول څخه دا لیدل کیدی شي چې کوربه 198.19.20.136 په اوږدو کې د 12 ساعته د TLS 1.2 سره HTTPS کارول شوی، چیرته چې د کوډ کولو الګوریتم AES-256 او د هش فعالیت SHA-384. پدې توګه ، ETA تاسو ته اجازه درکوي په شبکه کې ضعیف الګوریتم ومومئ.

4. د شبکې انومالی تحلیل

Cisco StealthWatch کولی شي د دریو وسیلو په کارولو سره په شبکه کې ټرافيکي بې نظمۍ وپیژني: اصلي پیښې (امنیتي پیښې) د اړیکو پیښې (د برخو ترمنځ د متقابل عمل پیښې، د شبکې نوډونه) او د چلند تحلیل.

د چلند تحلیل، په بدل کې، د وخت په تیریدو سره اجازه ورکوي چې د یو ځانګړي کوربه یا د کوربه ګروپ لپاره د چلند ماډل رامینځته کړي. هرڅومره چې ترافیک د سټیلټ واچ له لارې تیریږي ، هومره دقیق خبرتیاوې به د دې تحلیل څخه مننه وي. په لومړي سر کې، سیسټم ډیر غلط حرکت کوي، نو مقررات باید د لاس په واسطه "منحل" وي. زه وړاندیز کوم چې تاسو د لومړیو څو اونیو لپاره دا ډول پیښې له پامه غورځوئ، ځکه چې سیسټم به خپل ځان تنظیم کړي، یا یې په استثناوو کې اضافه کړي.

لاندې د پخوانۍ ټاکل شوې قاعدې یوه بیلګه ده انډالی، کوم چې وايي چې پیښه به پرته له الارم څخه ډزې وکړي که د دننه کوربه ګروپ کې کوربه د دننه کوربه ګروپ سره اړیکه لري او په 24 ساعتونو کې ترافیک به له 10 میګابایټ څخه ډیر شي.

د مثال په توګه، راځئ چې یو الارم واخلو د معلوماتو ذخیره کول، دا پدې مانا ده چې ځینې سرچینې / منزل کوربه د کوربه یا کوربه ګروپ څخه غیر معمولي لوی مقدار ډیټا اپلوډ / ډاونلوډ کړی دی. په پیښه کلیک وکړئ او میز ته لاړ شئ چیرې چې د محرک کوربه په نښه شوي. بیا، هغه کوربه وټاکئ چې موږ یې په کالم کې لیوالتیا لرو د معلوماتو ذخیره کول.

یوه پیښه ښودل کیږي چې 162k "پوائنټونه" کشف شوي، او د پالیسۍ له مخې، 100k "پوائنټونه" ته اجازه ورکول کیږي - دا د سټیلټ واچ داخلي میټریکونه دي. په یوه کالم کې کړنې د جریان وګورئ.

موږ کولی شو دا مشاهده کړو ورکړل شوی کوربه د شپې له کوربه سره اړیکه ونیوله 10.201.3.47 له څانګې څخه پلور او بازار موندنه د پروتوکول له مخې HTTPS او ډاونلوډ شوی 1.4 GB. شاید دا مثال په بشپړ ډول بریالی نه وي، مګر حتی د څو سوو ګیګابایټ لپاره د تعاملاتو کشف په ورته ډول ترسره کیږي. له همدې امله، د ګډوډۍ نورې څیړنې ممکن په زړه پورې پایلې رامینځته کړي.

تبصره: په SMC ویب انٹرفیس کې، ډاټا په ټبونو کې دي ډشبورډونه یوازې د تیرې اونۍ لپاره او په ټب کې ښودل شوي نظارت په تیرو 2 اونیو کې. د زړو پیښو تحلیل کولو او راپورونو رامینځته کولو لپاره ، تاسو اړتیا لرئ د مدیر کمپیوټر کې د جاوا کنسول سره کار وکړئ.

5. د داخلي شبکې سکین موندل

اوس راځئ چې د فیډونو یو څو مثالونه وګورو - د معلوماتو امنیت پیښې. دا فعالیت د امنیت متخصصینو لپاره ډیر په زړه پوری دی.

په StealthWatch کې د سکین ډیری ډولونه شتون لري:

پورټ سکین — سرچینه د منزل کوربه کې ډیری بندرونه سکین کوي.
د Addr tcp سکین - سرچینه ټوله شبکه په ورته TCP بندر کې سکین کوي، د منزل IP پته بدلوي. پدې حالت کې ، سرچینه د TCP ریسیټ پاکټونه ترلاسه کوي یا په بشپړ ډول ځوابونه نه ترلاسه کوي.
د Addr udp سکین - سرچینه ټوله شبکه په ورته UDP بندر کې سکین کوي، پداسې حال کې چې د منزل IP پته بدلوي. په دې حالت کې، سرچینه د ICMP پورټ د لاسرسي وړ پاکټونه ترلاسه کوي یا هیڅ ځواب نه ترلاسه کوي.
پینګ سکین - سرچینه د ځوابونو لټون کولو لپاره ټولې شبکې ته د ICMP غوښتنې لیږي.
سټیلټ سکین tсp/udp - سرچینه ورته بندر کارولی ترڅو په ورته وخت کې د منزل نوډ کې ډیری بندرونو سره وصل شي.

د دې لپاره چې په یوځل کې د ټولو داخلي سکینرونو موندلو لپاره خورا اسانه کړي ، د دې لپاره د شبکې ایپ شتون لري StealthWatch - د لید ارزونه. ټب ته ځي ډشبورډونه ← د لید ارزونه → د داخلي شبکې سکینرونه تاسو به د تیرو 2 اونیو لپاره د سکین کولو اړوند امنیتي پیښې وګورئ.

په تڼۍ کلیک کول په بشپړه توګه کتل، تاسو به د هرې شبکې سکین کولو پیل وګورئ ، د ترافیک رجحان او اړوند الارمونه.

بیا، تاسو کولی شئ په تیرو سکرین شاټ کې د ټب څخه کوربه ته "ناکام" شئ او امنیتي پیښې وګورئ، په بیله بیا د دې کوربه لپاره د تیرې اونۍ فعالیت.

د مثال په توګه، راځئ چې پیښه تحلیل کړو پورټ سکین له کوربه څخه 10.201.3.149 په 10.201.0.72، فشارول کړنې > مربوط جریانونه. د تار لټون پیل شوی او اړونده معلومات ښودل کیږي.

څنګه موږ دا کوربه د دې له یوه بندر څخه ګورو 51508 / TCP د بندر له لارې د منزل کوربه 3 ساعته دمخه سکین شوی 22, 28, 42, 41, 36, 40 (TCP). ځینې ساحې معلومات نه ښیې ځکه چې د Netflow ټولې ساحې د Netflow صادرونکي کې نه ملاتړ کیږي.

6. د CTA په کارولو سره د ډاونلوډ شوي مالویر تحلیل

CTA (د ادراکي ګواښ تحلیلونه) - د سیسکو کلاوډ تحلیلونه ، کوم چې د سیسکو سټیلټ واچ سره په بشپړ ډول مدغم کیږي او تاسو ته اجازه درکوي د لاسلیک تحلیل سره د لاسلیک وړیا تحلیل بشپړ کړئ. دا د دې امکان رامینځته کوي چې Trojans، د شبکې کیمونه، د صفر ورځ مالویر او نور مالویر کشف او په شبکه کې یې توزیع کړي. همچنان ، مخکې ذکر شوي ETA ټیکنالوژي تاسو ته اجازه درکوي په کوډ شوي ترافیک کې دا ډول ناوړه مخابرات تحلیل کړئ.

په لفظي ډول د ویب انٹرفیس په لومړي ټب کې یو ځانګړی ویجټ شتون لري د ادراکي ګواښ تحلیلونه. یو لنډ لنډیز هغه ګواښونه په ګوته کوي چې د کارونکي کوربه کې کشف شوي: ټروجن، درغلي سافټویر، ځورونکي اډویر. د "کوډ شوی" کلمه په حقیقت کې د ETA کار ته اشاره کوي. په کوربه باندې کلیک کولو سره، د دې په اړه ټول معلومات، امنیتي پیښې، د CTA لاګونو په ګډون، څرګندیږي.

د CTA هرې مرحلې ته د ځړولو سره، پیښه د متقابل عمل په اړه تفصيلي معلومات ښیې. د بشپړ تحلیل لپاره، دلته کلیک وکړئ د پیښې جزیات وګورئ، او تاسو به یو جلا کنسول ته وړل کیږئ د ادراکي ګواښ تحلیلونه.

په پورتنۍ ښیې کونج کې ، یو فلټر تاسو ته اجازه درکوي پیښې د شدت کچې سره وښیې. کله چې تاسو یو ځانګړي بې نظمۍ ته اشاره کوئ، نو لاګونه د سکرین په ښکته کې د ورته مهال ویش سره په ښي خوا کې ښکاري. په دې توګه، د معلوماتو امنیت متخصص په روښانه توګه پوهیږي چې کوم اخته کوربه، د کوم عمل وروسته، کوم عملونه پیل کړي.

لاندې یو بل مثال دی - یو بانکي ټروجن چې کوربه یې اخته کړی 198.19.30.36. دې کوربه د ناوړه ډومینونو سره تعامل پیل کړ، او لاګ د دې متقابل عمل جریان په اړه معلومات ښیې.

بل ، یو له غوره حلونو څخه چې کیدی شي د کوربه توب قرنطین کول دي د اصلي څخه مننه ادغام د نورو درملنې او تحلیل لپاره د سیسکو ISE سره.

پایلې

د سیسکو سټیلټ واچ حل د شبکې تحلیل او معلوماتو امنیت دواړو شرایطو کې د شبکې نظارت محصولاتو ترمینځ یو له مشرانو څخه دی. د دې څخه مننه ، تاسو کولی شئ په شبکه کې غیرقانوني تعاملات کشف کړئ ، د غوښتنلیک ځنډونه ، خورا فعال کارونکي ، ګډوډي ، مالویر او APTs. سربیره پردې ، تاسو کولی شئ سکینرونه ، پینټیسټران ومومئ ، او د HTTPS ترافیک کریپټو پلټنه ترسره کړئ. تاسو کولی شئ د کارونې ډیرې قضیې په کې ومومئ مخونه.

که تاسو غواړئ وګورئ چې ستاسو په شبکه کې هرڅه په اسانۍ او اغیزمنه توګه کار کوي، واستوئ بولی.
په نږدې راتلونکي کې، موږ د مختلفو معلوماتو خوندیتوب محصولاتو په اړه ډیری نور تخنیکي خپرونې پالن کوو. که تاسو پدې موضوع کې علاقه لرئ ، نو زموږ په چینلونو کې تازه معلومات تعقیب کړئ (Telegram, فیسبوک, VK, د TS حل بلاګ)!

سرچینه: www.habr.com

سټیلټ واچ: د پیښې تحلیل او تحقیق. دریمه برخه