é uma solução analítica na área de segurança da informação que fornece monitoramento abrangente de ameaças em uma rede distribuída. StealthWatch é baseado na coleta de NetFlow e IPFIX de roteadores, switches e outros dispositivos de rede. Como resultado, a rede se torna um sensor sensível e permite que o administrador procure locais onde os métodos tradicionais de segurança de rede, como o Next Generation Firewall, não conseguem alcançar.
Em artigos anteriores já escrevi sobre StealthWatch: E . Agora proponho seguir em frente e discutir como trabalhar com alarmes e investigar incidentes de segurança que a solução gera. Serão 6 exemplos que espero que dêem uma boa ideia da utilidade do produto.
Em primeiro lugar, deve-se dizer que o StealthWatch possui alguma distribuição de alarmes entre algoritmos e feeds. Os primeiros são vários tipos de alarmes (notificações), quando acionados, você pode detectar coisas suspeitas na rede. O segundo são incidentes de segurança. Este artigo analisará 4 exemplos de algoritmos acionados e 2 exemplos de feeds.
1. Análise das maiores interações dentro da rede
A etapa inicial na configuração do StealthWatch é definir hosts e redes em grupos. Na guia da interface da web Configurar > Gerenciamento de grupo de hosts Redes, hosts e servidores devem ser classificados em grupos apropriados. Você também pode criar seus próprios grupos. A propósito, analisar as interações entre hosts no Cisco StealthWatch é bastante conveniente, pois você pode salvar não apenas os filtros de pesquisa por fluxo, mas também os próprios resultados.
Para começar, na interface web você deve ir até a aba Analyze > Flow Search. Então você deve definir os seguintes parâmetros:
- Tipo de pesquisa - Principais conversas (interações mais populares)
- Intervalo de tempo – 24 horas (período de tempo, você pode usar outro)
- Nome de pesquisa - Principais conversas internas (qualquer nome amigável)
- Assunto - Grupos de hosts → Hosts internos (fonte - grupo de hosts internos)
- Conexão (você pode especificar portas, aplicativos)
- Peer - Grupos de Hosts → Hosts Internos (destino - grupo de nós internos)
- Nas Opções Avançadas, você também pode especificar o coletor a partir do qual os dados são visualizados, classificando a saída (por bytes, fluxos, etc.). Vou deixar como padrão.
Depois de apertar o botão Pesquisar é exibida uma lista de interações que já estão classificadas pela quantidade de dados transferidos.
No meu exemplo, o host 10.150.1.201 (servidor) transmitido em apenas um thread 1.5 GB tráfego para hospedar 10.150.1.200 (cliente) por protocolo mysql. Botão Gerenciar colunas permite adicionar mais colunas aos dados de saída.
A seguir, a critério do administrador, você pode criar uma regra personalizada que sempre acionará esse tipo de interação e notificará você via SNMP, e-mail ou Syslog.
2. Análise das interações cliente-servidor mais lentas na rede quanto a atrasos
etiquetas SRT (tempo de resposta do servidor), RTT (tempo de ida e volta) permitem que você descubra atrasos no servidor e atrasos gerais na rede. Essa ferramenta é especialmente útil quando você precisa encontrar rapidamente a causa das reclamações dos usuários sobre um aplicativo de execução lenta.
Nota: quase todos os exportadores Netflow não sei como envie tags SRT, RTT, com frequência, para ver esses dados no FlowSensor, você precisa configurar o envio de uma cópia do tráfego dos dispositivos de rede. O FlowSensor, por sua vez, envia o IPFIX estendido para o FlowCollector.
É mais conveniente realizar esta análise no aplicativo StealtWatch java, que está instalado no computador do administrador.
Botão direito do mouse ativado Hosts internos e vá para a aba Tabela de Fluxo.
Clique em filtros e defina os parâmetros necessários. Como um exemplo:
- Data/Hora - Nos últimos 3 dias
- Desempenho — Tempo médio de ida e volta >=50ms
Após a exibição dos dados, devemos adicionar os campos RTT e SRT que nos interessam. Para fazer isso, clique na coluna da captura de tela e selecione com o botão direito do mouse Gerenciar colunas. Em seguida, clique em RTT, parâmetros SRT.
Depois de processar a solicitação, classifiquei pela média RTT e vi as interações mais lentas.
Para obter informações detalhadas, clique com o botão direito no stream e selecione Visualização rápida do fluxo.
Esta informação indica que o host 10.201.3.59 do grupo Vendas e Marketing protocolo NFS apela para Servidor dns por um minuto e 23 segundos e tem um atraso terrível. Na aba Interfaces você pode descobrir de qual exportador de dados do Netflow as informações foram obtidas. Na aba mesa Informações mais detalhadas sobre a interação são mostradas.
A seguir, você deve descobrir quais dispositivos enviam tráfego para o FlowSensor e o problema provavelmente está aí.
Além disso, o StealthWatch é único na medida em que conduz desduplicação dados (combina os mesmos fluxos). Portanto, você pode coletar dados de quase todos os dispositivos Netflow e não ter medo de que haja muitos dados duplicados. Muito pelo contrário, neste esquema ajudará a entender qual salto tem maiores atrasos.
3. Аудит криптографических протоколов HTTPS
ETA (análise de tráfego criptografado) é uma tecnologia desenvolvida pela Cisco que permite detectar conexões maliciosas em tráfego criptografado sem descriptografá-lo. Além disso, esta tecnologia permite “analisar” HTTPS em versões TLS e protocolos criptográficos que são usados durante as conexões. Essa funcionalidade é especialmente útil quando você precisa detectar nós de rede que usam padrões criptográficos fracos.
Nota: Você deve primeiro instalar o aplicativo de rede no StealthWatch - Auditoria criptográfica ETA.
Ir para a aba Painéis → Auditoria Criptográfica ETA e selecione o grupo de hosts que planejamos analisar. Para o quadro geral, vamos escolher Hosts internos.
Você pode ver que a versão TLS e o padrão criptográfico correspondente são gerados. De acordo com o esquema usual na coluna Opções Vá para Ver fluxos e a pesquisa começa em uma nova aba.
Pela saída pode-se ver que o host 198.19.20.136 sobre horas 12 usou HTTPS com TLS 1.2, onde o algoritmo de criptografia AES-256 e função hash SHA-384. Assim, o ETA permite encontrar algoritmos fracos na rede.
4. Análise de anomalias de rede
O Cisco StealthWatch pode reconhecer anomalias de tráfego na rede usando três ferramentas: Eventos principais (eventos de segurança), Eventos de relacionamento (eventos de interações entre segmentos, nós da rede) e análise comportamental.
A análise comportamental, por sua vez, permite, ao longo do tempo, construir um modelo de comportamento para um determinado host ou grupo de hosts. Quanto mais tráfego passar pelo StealthWatch, mais precisos serão os alertas graças a esta análise. No início, o sistema aciona de forma muito incorreta, então as regras devem ser “torcidas” manualmente. Recomendo que você ignore esses eventos nas primeiras semanas, pois o sistema irá se ajustar ou adicioná-los às exceções.
Abaixo está um exemplo de uma regra predefinida Anomalia, que afirma que o evento será acionado sem alarme se um host do grupo Inside Hosts interage com o grupo Inside Hosts e dentro de 24 horas o tráfego excederá 10 megabytes.
Por exemplo, vamos pegar um alarme Acumulação de dados, o que significa que algum host de origem/destino fez upload/download de uma quantidade anormalmente grande de dados de um grupo de hosts ou de um host. Clique no evento e acesse a tabela onde estão indicados os hosts acionadores. A seguir, selecione o host de nosso interesse na coluna Acumulação de dados.
Um evento é exibido indicando que 162 mil “pontos” foram detectados e, de acordo com a política, 100 mil “pontos” são permitidos - essas são métricas internas do StealthWatch. Em uma coluna Opções Empurre Ver fluxos.
Podemos observar que dado hospedeiro interagiu com o anfitrião à noite 10.201.3.47 do departamento Sales & Marketing protocolo HTTPS e baixado 1.4 GB. Talvez este exemplo não seja totalmente bem-sucedido, mas a detecção de interações, mesmo para várias centenas de gigabytes, é realizada exatamente da mesma maneira. Portanto, uma investigação mais aprofundada das anomalias pode levar a resultados interessantes.
Nota: na interface web do SMC, os dados estão em abas Dashboards são exibidos apenas para a última semana e na guia Monitore nas últimas 2 semanas. Para analisar eventos mais antigos e gerar relatórios, é necessário trabalhar com o console java no computador do administrador.
5. Encontrando verificações de rede interna
Agora vejamos alguns exemplos de feeds – incidentes de segurança da informação. Esta funcionalidade é de maior interesse para profissionais de segurança.
Existem vários tipos de eventos de varredura predefinidos no StealthWatch:
- Port Scan – a origem verifica múltiplas portas no host de destino.
- Addr tcp scan - a origem verifica toda a rede na mesma porta TCP, alterando o endereço IP de destino. Nesse caso, a origem recebe pacotes TCP Reset ou não recebe nenhuma resposta.
- Addr udp scan - a origem verifica toda a rede na mesma porta UDP, enquanto altera o endereço IP de destino. Nesse caso, a origem recebe pacotes ICMP de porta inacessível ou não recebe nenhuma resposta.
- Ping Scan - a fonte envia solicitações ICMP para toda a rede em busca de respostas.
- Stealth Scan tсp/udp - a origem usou a mesma porta para se conectar a várias portas no nó de destino ao mesmo tempo.
Para tornar mais conveniente encontrar todos os scanners internos de uma só vez, existe um aplicativo de rede para StealthWatch - Avaliação de Visibilidade. Indo para a guia Painéis → Avaliação de Visibilidade → Scanners de Rede Interna você verá incidentes de segurança relacionados à verificação nas últimas 2 semanas.
Ao pressionar o botão Adicionar ao carrinho, você verá o início da varredura de cada rede, a tendência do tráfego e os alarmes correspondentes.
Em seguida, você pode “falhar” no host na guia da captura de tela anterior e ver os eventos de segurança, bem como a atividade da última semana para este host.
Como exemplo, vamos analisar o evento Porta de digitalização do anfitrião 10.201.3.149 em 10.201.0.72, Pressionando Ações > Fluxos Associados. Uma pesquisa de tópicos é iniciada e informações relevantes são exibidas.
Como vemos este host de uma de suas portas 51508 / TCP verificado há 3 horas o host de destino por porta 22, 28, 42, 41, 36, 40 (TCP). Alguns campos também não exibem informações porque nem todos os campos do Netflow são suportados no exportador do Netflow.
6. Análise de malware baixado usando CTA
CTA (Análise Cognitiva de Ameaças) — Cisco Cloud Analytics, que se integra perfeitamente ao Cisco StealthWatch e permite complementar a análise sem assinatura com a análise de assinatura. Isso torna possível detectar cavalos de Tróia, worms de rede, malware de dia zero e outros malwares e distribuí-los na rede. Além disso, a tecnologia ETA mencionada anteriormente permite analisar essas comunicações maliciosas em tráfego criptografado.
Literalmente na primeira guia da interface da web há um widget especial Análise Cognitiva de Ameaças. Um breve resumo indica ameaças detectadas em hosts de usuários: Trojan, software fraudulento, adware irritante. A palavra “Criptografado” na verdade indica o trabalho do ETA. Ao clicar em um host, todas as informações sobre ele, eventos de segurança, incluindo logs de CTA, aparecem.
Ao passar o mouse sobre cada etapa do CTA, o evento exibe informações detalhadas sobre a interação. Para análises completas, clique aqui Ver detalhes do incidente, e você será levado para um console separado Análise Cognitiva de Ameaças.
No canto superior direito, um filtro permite exibir eventos por nível de gravidade. Quando você aponta para uma anomalia específica, os registros aparecem na parte inferior da tela com uma linha do tempo correspondente à direita. Assim, o especialista em segurança da informação entende claramente qual host infectado, após quais ações, começou a realizar quais ações.
Abaixo está outro exemplo - um Trojan bancário que infectou o host 198.19.30.36. Esse host passou a interagir com domínios maliciosos e os logs mostram informações sobre o fluxo dessas interações.
A seguir, uma das melhores soluções possíveis é colocar o host em quarentena graças ao nativo com o Cisco ISE para tratamento e análise adicionais.
Conclusão
A solução Cisco StealthWatch é uma das líderes entre os produtos de monitoramento de rede, tanto em termos de análise de rede quanto de segurança da informação. Graças a ele, você pode detectar interações ilegítimas na rede, atrasos em aplicativos, usuários mais ativos, anomalias, malware e APTs. Além disso, você pode encontrar scanners, pentesters e realizar uma auditoria criptográfica do tráfego HTTPS. Você pode encontrar ainda mais casos de uso em .
Se você quiser verificar como tudo funciona de maneira suave e eficiente em sua rede, envie .
Num futuro próximo, estamos planejando diversas outras publicações técnicas sobre vários produtos de segurança da informação. Se você se interessa por este tema, acompanhe as atualizações em nossos canais (, , , )!
Fonte: habr.com