معلوماتي سيڪيورٽي جي شعبي ۾ هڪ تجزياتي حل آهي جيڪو ورهايل نيٽ ورڪ ۾ خطرن جي جامع نگراني مهيا ڪري ٿو. StealthWatch راؤٽرز، سوئچز ۽ ٻين نيٽ ورڪ ڊوائيسز کان نيٽ فلو ۽ IPFIX گڏ ڪرڻ تي ٻڌل آهي. نتيجي طور، نيٽ ورڪ هڪ حساس سينسر بڻجي ٿو ۽ منتظم کي اجازت ڏئي ٿو ته انهن هنڌن کي ڏسڻ لاءِ جتي روايتي نيٽ ورڪ سيڪيورٽي طريقا، جهڙوڪ Next Generation Firewall، پهچي نٿا سگهن.
پوئين مضمونن ۾ مون اڳ ۾ ئي StealthWatch بابت لکيو آهي: ، انهي سان گڏوگڏ . ھاڻي مان تجويز ڪريان ٿو ته اڳتي وڌو ۽ بحث ڪيو وڃي ته ڪيئن الارم سان ڪم ڪجي ۽ سيڪيورٽي واقعن جي تحقيق ڪجي جيڪا حل پيدا ڪري ٿي. اتي 6 مثال ھوندا جن مان اميد آھي ته پراڊڪٽ جي افاديت جو سٺو خيال ھوندو.
پهرين، اهو چوڻ گهرجي ته StealthWatch الورورٿم ۽ فيڊ جي وچ ۾ الارم جي ڪجهه تقسيم آهي. پهرين مختلف قسم جا الارم (اطلاعات) آهن، جڏهن شروع ڪيو وڃي، توهان نيٽ ورڪ تي مشڪوڪ شين کي ڳولي سگهو ٿا. ٻيو سيڪيورٽي واقعا آهن. هي آرٽيڪل 4 مثالن تي نظر ڪندو الورورٿمز جا محرڪ ۽ 2 مثالن جا فيڊ.
1. نيٽ ورڪ اندر سڀ کان وڏي رابطي جو تجزيو
StealthWatch قائم ڪرڻ ۾ ابتدائي قدم ميزبانن ۽ نيٽ ورڪن کي گروپن ۾ بيان ڪرڻ آهي. ويب انٽرفيس ٽيب ۾ ترتيب ڏيو > ميزبان گروپ مينيجمينٽ نيٽ ورڪ، ميزبان، ۽ سرورز کي مناسب گروپن ۾ ورهايو وڃي. توھان پڻ پنھنجو گروپ ٺاھي سگھو ٿا. رستي ۾، Cisco StealthWatch ۾ ميزبانن جي وچ ۾ رابطي جو تجزيو ڪرڻ بلڪل آسان آهي، ڇاڪاڻ ته توهان نه صرف ڳولا فلٽر کي وهڪرو ذريعي محفوظ ڪري سگهو ٿا، پر نتيجا پڻ پاڻ کي.
شروع ڪرڻ لاءِ، ويب انٽرفيس ۾ توھان کي وڃڻ گھرجي ٽيب تجزيو > فلو ڳولا. پوء توھان کي ھيٺ ڏنل پيراگراف مقرر ڪرڻ گھرجي:
- ڳولا جو قسم - مٿيون ڳالھيون (سڀ کان وڌيڪ مشھور ڳالھيون)
- وقت جي حد - 24 ڪلاڪ (وقت جي مدت، توھان ٻئي استعمال ڪري سگھو ٿا)
- نالو ڳولھيو - مٿيون ڳالھيون اندر-اندر (ڪنھن به دوست جو نالو)
- مضمون - ميزبان گروپ → اندروني ميزبان (ذريعو - اندروني ميزبانن جو گروپ)
- ڪنيڪشن (توهان بندرگاهن، ايپليڪيشنن جي وضاحت ڪري سگهو ٿا)
- پير - ميزبان گروپ → اندروني ميزبان (منزل - اندروني نوڊس جو گروپ)
- Advanced Options ۾، توھان اضافي طور تي ڪليڪٽر بيان ڪري سگھو ٿا جنھن مان ڊيٽا ڏٺي وڃي ٿي، ٻاھرين کي ترتيب ڏيڻ (بائٽس، اسٽريمز وغيره) ذريعي. مان ان کي ڊفالٽ طور ڇڏي ڏيندس.
بٽڻ دٻائڻ کان پوء ڳولا رابطي جي هڪ فهرست ڏيکاريل آهي جيڪي اڳ ۾ ئي ترتيب ڏنل ڊيٽا جي مقدار سان ترتيب ڏنل آهن.
منهنجي مثال ۾ ميزبان 10.150.1.201 (سرور) صرف ھڪڙي سلسلي ۾ منتقل ٿيل 1.5 GB ميزبان ڏانهن ٽرئفڪ 10.150.1.200 (ڪلائنٽ) پروٽوڪول طرفان هن MySQL. بٽڻ ڪالمن کي منظم ڪريو توهان کي وڌيڪ ڪالمن شامل ڪرڻ جي اجازت ڏئي ٿي آئوٽ پٽ ڊيٽا ۾.
اڳيون، منتظم جي صوابديد تي، توهان ٺاهي سگهو ٿا هڪ ڪسٽم قاعدو جيڪو هميشه هن قسم جي رابطي کي متحرڪ ڪندو ۽ توهان کي SNMP، اي ميل يا Syslog ذريعي اطلاع ڏيندو.
2. دير جي لاءِ نيٽ ورڪ اندر سڀ کان سست ڪلائنٽ-سرور رابطي جو تجزيو
ليبل SRT (سرور جوابي وقت), RTT (گول سفر جو وقت) توهان کي سرور جي دير ۽ عام نيٽ ورڪ تاخير ڳولڻ جي اجازت ڏيو. ھي اوزار خاص طور تي مفيد آھي جڏھن توھان کي تڪڙو تڪڙو تڪڙو ھلندڙ ايپليڪيشن بابت صارف جي شڪايتن جو سبب ڳولڻ جي ضرورت آھي.
ويچاري: لڳ ڀڳ سڀ Netflow برآمد ڪندڙ خبر ناهي ڪيئن SRT، RTT ٽيگ موڪليو، اڪثر ڪري، FlowSensor تي اهڙي ڊيٽا ڏسڻ لاء، توهان کي ترتيب ڏيڻ جي ضرورت آهي نيٽ ورڪ ڊوائيسز کان ٽرئفڪ جي ڪاپي موڪلڻ. FlowSensor بدلي ۾ وڌايل IPFIX FlowCollector ڏانهن موڪلي ٿو.
StealtWatch جاوا ايپليڪيشن ۾ هي تجزيو ڪرڻ وڌيڪ آسان آهي، جيڪو منتظم جي ڪمپيوٽر تي نصب ٿيل آهي.
ساڄي مائوس بٽڻ تي Inside Hosts ۽ ٽيب ڏانھن وڃو فلو ٽيبل.
تي ڪلڪ ڪريو چڪاس ڪريو ۽ ضروري پيرا ميٽر مقرر ڪريو. مثال طور:
- تاريخ/وقت - آخري 3 ڏينهن لاءِ
- ڪارڪردگي - سراسري گول سفر جو وقت > = 50ms
ڊيٽا کي ظاهر ڪرڻ کان پوء، اسان کي RTT ۽ SRT فيلڊ شامل ڪرڻ گهرجي جيڪي اسان جي دلچسپي رکن ٿا. هن کي ڪرڻ لاء، اسڪرين شاٽ ۾ ڪالمن تي ڪلڪ ڪريو ۽ ساڄي مائوس جي بٽڻ سان چونڊيو ڪالمن کي منظم ڪريو. اڳيون، ڪلڪ ڪريو RTT، SRT parameters.
درخواست تي عمل ڪرڻ کان پوء، مون آر ٽي ٽي اوسط جي ترتيب سان ترتيب ڏني ۽ ڏٺم تمام سست گفتگو.
تفصيلي ڄاڻ ۾ وڃڻ لاء، وهڪرو تي صحيح ڪلڪ ڪريو ۽ چونڊيو فلو لاءِ تڪڙو ڏيک.
اها معلومات ظاهر ڪري ٿي ته ميزبان 10.201.3.59 گروپ کان سيلز ۽ مارڪيٽنگ پروٽوڪول جي ذريعي اين ايف ايس کي اپيل ڪري ٿو DNS سرور هڪ منٽ ۽ 23 سيڪنڊن لاءِ ۽ صرف خوفناڪ وقفو آهي. ٽئب ۾ Interfaces توھان ڳولھي سگھوٿا Netflow ڊيٽا برآمد ڪندڙ کان معلومات حاصل ڪئي وئي. ٽئب ۾ جدول رابطي جي باري ۾ وڌيڪ تفصيلي معلومات ڏيکاريل آهي.
اڳيون، توهان کي اهو معلوم ڪرڻ گهرجي ته ڪهڙا ڊوائيس FlowSensor ڏانهن ٽرئفڪ موڪليندا آهن ۽ اهو مسئلو گهڻو ڪري اتي موجود آهي.
ان کان علاوه، StealthWatch ان ۾ منفرد آهي ته اهو هلائي ٿو نقل ڪرڻ ڊيٽا (ساڳئي اسٽريم کي گڏ ڪري ٿو). تنهن ڪري، توهان تقريبا سڀني نيٽ فلو ڊوائيسز مان گڏ ڪري سگهو ٿا ۽ ڊپ نه ٿيو ته اتي تمام گهڻو نقل ٿيل ڊيٽا هوندو. ان جي ابتڙ، هن اسڪيم ۾ اهو سمجهڻ ۾ مدد ڪندو ته ڪهڙي هاپ ۾ تمام گهڻي دير آهي.
3. HTTPS cryptographic protocols جو آڊٽ
ETA (انڪريپٹ ٿيل ٽرئفڪ تجزياتي) Cisco پاران تيار ڪيل هڪ ٽيڪنالاجي آهي جيڪا توهان کي انڪريپٽ ٿيل ٽريفڪ ۾ خراب ڪنيڪشن ڳولڻ جي اجازت ڏئي ٿي ان کي ڊڪرپٽ ڪرڻ کان سواءِ. ان کان علاوه، هي ٽيڪنالاجي توهان کي اجازت ڏئي ٿي ته "پارس" HTTPS ۾ TLS نسخن ۽ cryptographic پروٽوڪول جيڪي ڪنيڪشن دوران استعمال ڪيا ويندا آهن. هي ڪارڪردگي خاص طور تي مفيد آهي جڏهن توهان نيٽ ورڪ نوڊس کي ڳولڻ جي ضرورت آهي جيڪي ڪمزور crypto معيار استعمال ڪن ٿا.
ويچاري: توهان کي پهريان نيٽ ورڪ ايپ انسٽال ڪرڻ گهرجي StealthWatch - ETA Cryptographic آڊٽ.
ٽيب ڏانھن وڃو ڊيش بورڊز → ETA Cryptographic Audit ۽ لشڪر جو گروپ چونڊيو جنهن جو اسان تجزيو ڪرڻ جو منصوبو ٺاهيو. مجموعي تصوير لاء، اچو ته چونڊيو Inside Hosts.
توهان ڏسي سگهو ٿا ته TLS نسخو ۽ لاڳاپيل crypto معيار پيداوار آهن. ڪالمن ۾ معمولي اسڪيم مطابق ڪارناما ڏانهن وڃو وهڪرو ڏسو ۽ ڳولا نئين ٽيب ۾ شروع ٿئي ٿي.
پيداوار مان اهو ڏسي سگھجي ٿو ته ميزبان 198.19.20.136 سڄي ۾ 12 ڪلاڪ TLS 1.2 سان HTTPS استعمال ڪيو، جتي انڪرپشن الگورٿم اي ايس ايڪس اينڪس ۽ hash فنڪشن SHA-384. اهڙيء طرح، ETA توهان کي نيٽ ورڪ تي ڪمزور الگورتھم ڳولڻ جي اجازت ڏئي ٿي.
4. نيٽورڪ انومالي تجزيي
Cisco StealthWatch ٽن اوزارن کي استعمال ڪندي نيٽ ورڪ تي ٽريفڪ جي بي ضابطگين کي سڃاڻي سگھي ٿو: بنيادي واقعا (سيڪيورٽي واقعا) رشتي جا واقعا (حصن جي وچ ۾ رابطي جا واقعا، نيٽ ورڪ نوڊس) ۽ رويي جو تجزيو.
رويي جي تجزيي، موڙ ۾، وقت سان گڏ هڪ خاص ميزبان يا ميزبان جي گروپ لاء رويي جي نموني ٺاهڻ جي اجازت ڏئي ٿي. وڌيڪ ٽريفڪ جيڪو StealthWatch ذريعي گذري ٿو، وڌيڪ صحيح الرٽ هن تجزيي جي مهرباني. پهرين ۾، سسٽم تمام گهڻو غلط طور تي هلائي ٿو، تنهنڪري ضابطن کي هٿ سان "موڙي" هجڻ گهرجي. مان سفارش ڪريان ٿو ته توهان اهڙن واقعن کي پهرين ڪجهه هفتن تائين نظر انداز ڪريو، جيئن سسٽم پاڻ کي ترتيب ڏئي، يا انهن کي استثناء ۾ شامل ڪري.
هيٺ بيان ڪيل اصول جو هڪ مثال آهي بدنامي، جنهن ۾ چيو ويو آهي ته واقعو بغير ڪنهن الارم جي فائر ڪندو جيڪڏهن Inside Hosts گروپ ۾ ھڪ ھوسٽ Inside Hosts گروپ سان رابطو ڪري ٿو ۽ 24 ڪلاڪن اندر ٽريفڪ 10 ميگا بائيٽ کان وڌي ويندي.
مثال طور، اچو ته هڪ الارم وٺو ڊيٽا گڏ ڪرڻ، جنهن جو مطلب آهي ته ڪجهه ماخذ/منزل هوسٽ اپ لوڊ/ڊائون لوڊ ڪيو آهي غير معمولي وڏي مقدار ۾ ڊيٽا جي هڪ گروپ يا ميزبان مان. ايونٽ تي ڪلڪ ڪريو ۽ ٽيبل ڏانھن وڃو جتي ٽريگرنگ ھوسٽ اشارو ڪيو ويو آھي. اڳيون، ھوسٽ چونڊيو جيڪو اسان کي ڪالمن ۾ دلچسپي آھي ڊيٽا گڏ ڪرڻ.
ھڪڙو واقعو ڏيکاريو ويو آھي جيڪو ظاھر ڪيو ويو آھي 162k "پوائنٽس" ڳوليا ويا آھن، ۽ پاليسي جي مطابق، 100k "پوائنٽس" جي اجازت آھي - اھي اندروني StealthWatch ميٽرڪ آھن. هڪ ڪالمن ۾ ڪارناما َ وهڪرو ڏسو.
اسان اهو مشاهدو ڪري سگهون ٿا ڏنل ميزبان رات جو ميزبان سان ڳالهايو 10.201.3.47 ڊپارٽمينٽ کان وڪرو ۽ مارڪيٽنگ پروٽوڪول جي ذريعي اي ٽي پي پي ۽ ڊائون لوڊ ڪيو 1.4 GB. ٿي سگهي ٿو ته هي مثال مڪمل طور تي ڪامياب نه هجي، پر ڪيترن ئي سؤ گيگا بائيٽ جي وچ ۾ رابطي جو پتو به ساڳئي طريقي سان ڪيو ويندو آهي. تنهن ڪري، انضمام جي وڌيڪ تحقيق دلچسپ نتيجا ڏئي سگهي ٿي.
ويچاري: SMC ويب انٽرفيس ۾، ڊيٽا ٽيب ۾ آهي ڊيش بورڊ صرف آخري هفتي ۽ ٽيب ۾ ڏيکاريا ويا آهن جي نگراني گذريل 2 هفتن ۾. پراڻن واقعن جو تجزيو ڪرڻ ۽ رپورٽون ٺاهڻ لاءِ، توهان کي ايڊمنسٽريٽر جي ڪمپيوٽر تي جاوا ڪنسول سان ڪم ڪرڻو پوندو.
5. اندروني نيٽ ورڪ اسڪين ڳولڻ
ھاڻي اچو ته چند مثالن تي نظر وجهون فيڊز - انفارميشن سيڪيورٽي واقعن. هي ڪارڪردگي سيڪيورٽي پروفيسر لاء وڌيڪ دلچسپي آهي.
StealthWatch ۾ ڪيترائي اڳواٽ اسڪين واقعن جا قسم آھن:
- پورٽ اسڪين - اهو ذريعو ڪيترن ئي بندرگاهن کي اسڪين ڪري ٿو منزل جي ميزبان تي.
- Addr tcp اسڪين - ذريعو سڄي نيٽ ورڪ کي ساڳئي TCP پورٽ تي اسڪين ڪري ٿو، منزل جي IP پتي کي تبديل ڪندي. انهي صورت ۾، ماخذ وصول ڪري ٿو TCP ري سيٽ پيڪٽس يا مڪمل طور تي جواب نه ملي ٿو.
- Addr udp اسڪين - ذريعو سڄي نيٽ ورڪ کي ساڳئي UDP پورٽ تي اسڪين ڪري ٿو، جڏهن ته منزل جي IP پتي کي تبديل ڪندي. انهي صورت ۾، ماخذ ICMP پورٽ حاصل ڪري ٿو ناقابل رسيبل پيڪيٽس يا سڀني کي جواب نه ملي.
- پنگ اسڪين - ذريعو ICMP درخواستون موڪلي ٿو پوري نيٽ ورڪ کي جوابن جي ڳولا لاءِ.
- اسٽيلٿ اسڪين tсp/udp - ذريعو هڪ ئي بندرگاهه استعمال ڪيو ڪيترن ئي بندرگاهن سان ڳنڍڻ لاءِ منزل نوڊ تي ساڳئي وقت.
ان کي وڌيڪ آسان بڻائڻ لاءِ سڀ اندروني اسڪينر هڪ ئي وقت ڳولڻ لاءِ، اتي موجود آهي نيٽ ورڪ ايپ StealthWatch - ڏسڻ جي تشخيص. ٽيب ڏانهن وڃڻ ڊيش بورڊز → ويسيبلٽي اسيسمينٽ → اندروني نيٽ ورڪ اسڪينر توهان ڏسندا اسڪيننگ سان لاڳاپيل سيڪيورٽي واقعا گذريل 2 هفتن لاءِ.
بٽڻ دٻائڻ سان تفصيل، توهان ڏسندا هر نيٽ ورڪ جي اسڪيننگ جي شروعات، ٽرئفڪ جي رجحان ۽ لاڳاپيل الارم.
اڳيون، توهان "ناڪام" ڪري سگهو ٿا ميزبان ۾ ٽيب مان پوئين اسڪرين شاٽ ۽ ڏسو سيڪيورٽي واقعا، انهي سان گڏ هن ميزبان لاءِ گذريل هفتي دوران سرگرمي.
مثال طور، اچو ته واقعي جو تجزيو ڪريون پورٽ اسڪين ميزبان کان 10.201.3.149 تي 10.201.0.72، دٻائڻ عمل > لاڳاپيل وهڪري. ھڪڙي سلسلي جي ڳولا شروع ڪئي وئي آھي ۽ لاڳاپيل معلومات ڏيکاري ٿي.
اسان هن ميزبان کي ان جي بندرگاهن مان ڪيئن ڏسون ٿا 51508/ٽي سي پي 3 ڪلاڪ اڳ اسڪين ڪيو ويو منزل ميزبان بندرگاهه ذريعي 22، 28، 42، 41، 36، 40 (ٽي سي پي). ڪجھ فيلڊ معلومات نه ڏيکاريندا آھن يا نه ڇو ته سڀئي Netflow فيلڊ Netflow برآمد ڪندڙ تي سپورٽ نه آھن.
6. CTA استعمال ڪندي ڊائون لوڊ ڪيل مالويئر جو تجزيو
CTA (معرفت واري خطري جا تجزياتي) - سسڪو ڪلائوڊ اينالائيٽڪس، جيڪو مڪمل طور تي سسڪو اسٽيلٿ واچ سان ضم ٿئي ٿو ۽ توهان کي اجازت ڏئي ٿو ته توهان کي دستخطي تجزيي سان بغير دستخط جي تجزيي کي مڪمل ڪرڻ جي. اهو ممڪن بڻائي ٿو ته ٽرجن، نيٽ ورڪ ڪيڙا، صفر-ڏينهن مالويئر ۽ ٻين مالويئر کي ڳولڻ ۽ انهن کي نيٽ ورڪ ۾ ورهائڻ. انهي سان گڏ، اڳوڻو ذڪر ڪيل ETA ٽيڪنالاجي توهان کي اجازت ڏئي ٿي ته اينڪرپٽ ٿيل ٽرئفڪ ۾ اهڙي بدسلوڪي مواصلات جو تجزيو ڪرڻ.
لفظي طور تي ويب انٽرفيس ۾ پهرين ٽيب تي هڪ خاص ويجيٽ آهي سنجيدگي واري خطري جا تجزيا. هڪ مختصر خلاصو اشارو ڪري ٿو خطرن جو پتو لڳايو ويو آهي صارف جي ميزبان تي: ٽروجن، دوکي وارو سافٽ ويئر، پريشان ڪندڙ ايڊويئر. لفظ "انڪرپٽ ٿيل" اصل ۾ ETA جي ڪم کي اشارو ڪري ٿو. ميزبان تي ڪلڪ ڪندي، ان جي باري ۾ سڀ معلومات، سيڪيورٽي واقعا، بشمول CTA لاگز، ظاهر ٿيندا آهن.
CTA جي هر اسٽيج تي هور ڪرڻ سان، واقعا رابطي بابت تفصيلي معلومات ڏيکاري ٿو. مڪمل اينالائيٽڪس لاءِ، ڪلڪ ڪريو هتي حادثن جا تفصيل ڏسو، ۽ توهان کي هڪ الڳ ڪنسول ڏانهن وٺي ويندا سنجيدگي واري خطري جا تجزيا.
مٿين ساڄي ڪنڊ ۾، هڪ فلٽر توهان کي شدت جي سطح جي واقعن کي ظاهر ڪرڻ جي اجازت ڏئي ٿو. جڏهن توهان هڪ مخصوص انمولي ڏانهن اشارو ڪندا آهيو، لاگ اسڪرين جي تري ۾ ظاهر ٿيندا آهن ساڄي پاسي هڪ لاڳاپيل ٽائم لائن سان. اهڙيء طرح، معلومات سيڪيورٽي ماهر واضح طور تي سمجهي ٿو ته متاثر ٿيل ميزبان، ڪهڙن ڪمن کان پوء، ڪهڙا ڪم ڪرڻ شروع ڪيا.
هيٺ هڪ ٻيو مثال آهي - هڪ بينڪنگ ٽروجن جيڪو ميزبان کي متاثر ڪيو 198.19.30.36. هي ميزبان بدسلوڪي ڊومينز سان رابطو ڪرڻ شروع ڪيو، ۽ لاگ ان رابطي جي وهڪري تي معلومات ڏيکاري ٿو.
اڳيون، هڪ بهترين حل جيڪو ٿي سگهي ٿو اهو آهي ميزبان کي قرنطين ڪرڻ جي مهرباني مقامي جي مهرباني وڌيڪ علاج ۽ تجزيو لاء سسڪو ISE سان.
ٿڪل
Cisco StealthWatch حل نيٽورڪ مانيٽرنگ پراڊڪٽس جي اڳواڻن مان هڪ آهي ٻنهي نيٽ ورڪ تجزيو ۽ معلومات جي حفاظت جي لحاظ کان. انهي جي مهرباني، توهان ڳولي سگهو ٿا نيٽ ورڪ اندر غير قانوني رابطي، ايپليڪيشن دير، سڀ کان وڌيڪ فعال استعمال ڪندڙ، غير معمولي، مالويئر ۽ APTs. ان کان علاوه، توهان ڳولي سگهو ٿا اسڪينر، پينٽيسٽر، ۽ HTTPS ٽرئفڪ جو هڪ crypto-آڊٽ. توھان ڳولي سگھوٿا اڃا به وڌيڪ استعمال ڪيس .
جيڪڏھن توھان چاھيو ٿا چيڪ ڪريو ته توھان جي نيٽ ورڪ تي ڪھڙيءَ ريت ۽ موثر طريقي سان ھر شيءِ ڪم ڪري ٿي، موڪليو .
ويجهي مستقبل ۾، اسان مختلف معلوماتي حفاظتي شين تي وڌيڪ ٽيڪنيڪل اشاعتن جي منصوبابندي ڪري رهيا آهيون. جيڪڏهن توهان هن موضوع ۾ دلچسپي رکو ٿا، ته پوء اسان جي چينلن ۾ تازه ڪاري جي پيروي ڪريو (, , , )!
جو ذريعو: www.habr.com