është një zgjidhje analitike në fushën e sigurisë së informacionit që ofron monitorim të plotë të kërcënimeve në një rrjet të shpërndarë. StealthWatch bazohet në mbledhjen e NetFlow dhe IPFIX nga ruterat, çelsat dhe pajisjet e tjera të rrjetit. Si rezultat, rrjeti bëhet një sensor i ndjeshëm dhe i lejon administratorit të shikojë vendet ku metodat tradicionale të sigurisë së rrjetit, si Firewall-i i Gjeneratës tjetër, nuk mund të arrijnë.
Në artikujt e mëparshëm kam shkruar tashmë për StealthWatch: Dhe . Tani unë propozoj të vazhdojmë dhe të diskutojmë se si të punojmë me alarmet dhe të hetojmë incidentet e sigurisë që gjeneron zgjidhja. Do të ketë 6 shembuj të cilët shpresoj të japin një ide të mirë të dobisë së produktit.
Së pari, duhet thënë se StealthWatch ka një farë shpërndarje të alarmeve midis algoritmeve dhe furnizimeve. E para janë lloje të ndryshme alarmesh (njoftime), kur aktivizohen, mund të zbuloni gjëra të dyshimta në rrjet. E dyta janë incidentet e sigurisë. Ky artikull do të shikojë 4 shembuj të algoritmeve të aktivizuara dhe 2 shembuj të furnizimeve.
1. Analiza e ndërveprimeve më të mëdha brenda rrjetit
Hapi fillestar në konfigurimin e StealthWatch është përcaktimi i hosteve dhe rrjeteve në grupe. Në skedën e ndërfaqes së internetit Konfiguro > Menaxhimi i grupit pritës Rrjetet, hostet dhe serverët duhet të klasifikohen në grupe të përshtatshme. Ju gjithashtu mund të krijoni grupet tuaja. Nga rruga, analizimi i ndërveprimeve midis hosteve në Cisco StealthWatch është mjaft i përshtatshëm, pasi nuk mund të ruani vetëm filtrat e kërkimit sipas transmetimit, por edhe vetë rezultatet.
Për të filluar, në ndërfaqen e internetit duhet të shkoni te skeda Analiza > Kërkimi i rrjedhës. Pastaj duhet të vendosni parametrat e mëposhtëm:
- Lloji i kërkimit - Bisedat kryesore (ndërveprimet më të njohura)
- Gama kohore - 24 orë (periudhë kohore, mund të përdorni një tjetër)
- Kërko emrin - Bisedat kryesore brenda-brenda (çdo emër miqësor)
- Subjekti - Grupet pritëse → Hostët e brendshëm (burimi - grupi i hosteve të brendshëm)
- Lidhja (mund të specifikoni portet, aplikacionet)
- Peer - Grupet pritëse → Hostët e brendshëm (destinacioni - grupi i nyjeve të brendshme)
- Te Opsionet e Avancuara, mund të specifikoni gjithashtu koleksionuesin nga i cili shikohen të dhënat, duke renditur rezultatet (sipas bajt, transmetime, etj.). Do ta lë si parazgjedhje.
Pas shtypjes së butonit Kërko shfaqet një listë e ndërveprimeve që tashmë janë të renditura sipas sasisë së të dhënave të transferuara.
Në shembullin tim pritësi 10.150.1.201 (server) transmetohet brenda vetëm një thread 1.5 GB trafiku drejt hostit 10.150.1.200 (klient) sipas protokollit MySQL. Butoni Menaxho kolonat ju lejon të shtoni më shumë kolona në të dhënat e daljes.
Më pas, sipas gjykimit të administratorit, mund të krijoni një rregull të personalizuar që gjithmonë do të shkaktojë këtë lloj ndërveprimi dhe do t'ju njoftojë përmes SNMP, email ose Syslog.
2. Analiza e ndërveprimeve më të ngadalta klient-server brenda rrjetit për vonesat
Tags SRT (Koha e përgjigjes së serverit), RTT (Koha vajtje-ardhje) ju lejon të zbuloni vonesat e serverit dhe vonesat e përgjithshme të rrjetit. Ky mjet është veçanërisht i dobishëm kur ju duhet të gjeni shpejt shkakun e ankesave të përdoruesve për një aplikacion që funksionon ngadalë.
Shënim: pothuajse të gjithë eksportuesit e Netflow nuk di si dërgoni etiketat SRT, RTT, kështu që shpesh, për të parë të dhëna të tilla në FlowSensor, duhet të konfiguroni dërgimin e një kopje të trafikut nga pajisjet e rrjetit. FlowSensor nga ana tjetër dërgon IPFIX-in e zgjeruar te FlowCollector.
Është më i përshtatshëm për të kryer këtë analizë në aplikacionin java StealtWatch, i cili është i instaluar në kompjuterin e administratorit.
Butoni i djathtë i miut aktivizohet Pret brenda dhe shkoni te skeda Tabela e rrjedhës.
Klikoni mbi filtra dhe vendosni parametrat e nevojshëm. Si nje shembull:
- Data/Ora - Për 3 ditët e fundit
- Performanca — Koha mesatare e udhëtimit vajtje-ardhje >=50 ms
Pas shfaqjes së të dhënave, duhet të shtojmë fushat RTT dhe SRT që na interesojnë. Për ta bërë këtë, klikoni në kolonën në pamjen e ekranit dhe zgjidhni me butonin e djathtë të miut Menaxho kolonat. Tjetra, klikoni RTT, parametrat SRT.
Pas përpunimit të kërkesës, rendita sipas mesatares RTT dhe pashë ndërveprimet më të ngadalta.
Për të hyrë në informacion të detajuar, kliko me të djathtën në transmetim dhe zgjidhni Pamje e shpejtë për rrjedhën.
Ky informacion tregon se hosti 10.201.3.59 nga grupi Shitje dhe Marketing me protokoll NFS apelon tek Server DNS për një minutë e 23 sekonda dhe ka vetëm një vonesë të tmerrshme. Në skedën Interfaces mund të zbuloni se nga cili eksportues i të dhënave Netflow është marrë informacioni. Në skedën Tryezë Tregohet informacion më i detajuar rreth ndërveprimit.
Më pas, duhet të zbuloni se cilat pajisje dërgojnë trafik te FlowSensor dhe problemi ka shumë të ngjarë të qëndrojë atje.
Për më tepër, StealthWatch është unik në atë që kryen dedublikim të dhëna (kombinon të njëjtat rrjedha). Prandaj, mund të mbledhni pothuajse nga të gjitha pajisjet Netflow dhe të mos keni frikë se do të ketë shumë të dhëna të kopjuara. Përkundrazi, në këtë skemë do të ndihmojë për të kuptuar se cili hop ka vonesat më të mëdha.
3. Auditimi i protokolleve kriptografike HTTPS
ETA (Analiza e koduar e trafikut) është një teknologji e zhvilluar nga Cisco që ju lejon të zbuloni lidhjet me qëllim të keq në trafikun e koduar pa e deshifruar atë. Për më tepër, kjo teknologji ju lejon të "analizoni" HTTPS në versionet TLS dhe protokollet kriptografike që përdoren gjatë lidhjeve. Ky funksionalitet është veçanërisht i dobishëm kur ju duhet të zbuloni nyjet e rrjetit që përdorin standarde të dobëta kripto.
Shënim: Së pari duhet të instaloni aplikacionin e rrjetit në StealthWatch - Auditimi Kriptografik ETA.
Shkoni te skeda Paneli → Auditimi Kriptografik ETA dhe zgjidhni grupin e hosteve që planifikojmë të analizojmë. Për tablonë e përgjithshme, le të zgjedhim Pret brenda.
Ju mund të shihni se versioni TLS dhe standardi përkatës i kriptos janë dalë. Sipas skemës së zakonshme në kolonë Veprimet shkoni në Shiko Flukset dhe kërkimi fillon në një skedë të re.
Nga dalja shihet se hosti 198.19.20.136 mbi Orë 12 përdorur HTTPS me TLS 1.2, ku algoritmi i enkriptimit AES-256 dhe funksioni hash SHA-384. Kështu, ETA ju lejon të gjeni algoritme të dobëta në rrjet.
4. Analiza e anomalive të rrjetit
Cisco StealthWatch mund të njohë anomalitë e trafikut në rrjet duke përdorur tre mjete: Ngjarjet kryesore (ngjarjet e sigurisë), Ngjarjet e Marrëdhënieve (ngjarjet e ndërveprimeve ndërmjet segmenteve, nyjeve të rrjetit) dhe analiza e sjelljes.
Analiza e sjelljes, nga ana tjetër, lejon me kalimin e kohës të ndërtohet një model sjelljeje për një host të caktuar ose grup hostesh. Sa më shumë trafik të kalojë përmes StealthWatch, aq më të sakta do të jenë sinjalizimet falë kësaj analize. Në fillim, sistemi shkakton shumë gabimisht, kështu që rregullat duhet të "përdredhen" me dorë. Unë rekomandoj që të injoroni ngjarje të tilla për javët e para, pasi sistemi do të rregullohet vetë ose do t'i shtojë ato në përjashtime.
Më poshtë është një shembull i një rregulli të paracaktuar Anomali, i cili thekson se ngjarja do të ndizet pa alarm nëse një host në grupin Inside Hosts ndërvepron me grupin Inside Hosts dhe brenda 24 orëve trafiku do të kalojë 10 megabajt.
Për shembull, le të marrim një alarm Mbajtja e të dhënave, që do të thotë se një host burimi/destinacioni ka ngarkuar/shkarkuar një sasi anormalisht të madhe të dhënash nga një grup hostesh ose një host. Klikoni mbi ngjarjen dhe shkoni te tabela ku tregohen hostet nxitës. Tjetra, zgjidhni hostin që na intereson në kolonë Mbajtja e të dhënave.
Shfaqet një ngjarje që tregon se janë zbuluar 162 mijë "pika" dhe sipas politikës, lejohen 100 mijë "pika" - këto janë metrika të brendshme StealthWatch. Në një kolonë Veprimet shtytje Shiko Flukset.
Ne mund ta vëzhgojmë atë pritës i dhënë ndërveproi me mikpritësin gjatë natës 10.201.3.47 nga departamenti Shitje me protokoll HTTPS dhe të shkarkuar 1.4 GB. Ndoshta ky shembull nuk është plotësisht i suksesshëm, por zbulimi i ndërveprimeve edhe për disa qindra gigabajt kryhet saktësisht në të njëjtën mënyrë. Prandaj, hetimi i mëtejshëm i anomalive mund të çojë në rezultate interesante.
Shënim: në ndërfaqen e internetit SMC, të dhënat janë në skeda Dashboards shfaqen vetëm për javën e fundit dhe në skedën Monitor gjatë 2 javëve të fundit. Për të analizuar ngjarjet e vjetra dhe për të gjeneruar raporte, duhet të punoni me tastierën java në kompjuterin e administratorit.
5. Gjetja e skanimeve të rrjetit të brendshëm
Tani le të shohim disa shembuj të burimeve - incidente të sigurisë së informacionit. Ky funksion është më me interes për profesionistët e sigurisë.
Ekzistojnë disa lloje të ngjarjeve të skanimit të paracaktuar në StealthWatch:
- Skanimi i portit—burimi skanon porta të shumta në hostin e destinacionit.
- Adr tcp scan - burimi skanon të gjithë rrjetin në të njëjtën port TCP, duke ndryshuar adresën IP të destinacionit. Në këtë rast, burimi merr paketa TCP Reset ose nuk merr fare përgjigje.
- Adr udp scan - burimi skanon të gjithë rrjetin në të njëjtën portë UDP, ndërsa ndryshon adresën IP të destinacionit. Në këtë rast, burimi merr paketa ICMP Port Unreachable ose nuk merr përgjigje fare.
- Ping Scan - burimi dërgon kërkesa ICMP në të gjithë rrjetin për të kërkuar përgjigje.
- Skanimi i fshehtë tсp/udp - burimi përdori të njëjtin port për t'u lidhur me porte të shumta në nyjen e destinacionit në të njëjtën kohë.
Për ta bërë më të përshtatshëm gjetjen e të gjithë skanerëve të brendshëm menjëherë, ekziston një aplikacion rrjeti për të StealthWatch - Vlerësimi i dukshmërisë. Duke shkuar te skeda Paneli → Vlerësimi i Dukshmërisë → Skanerët e Rrjetit të Brendshëm do të shihni incidente sigurie të lidhura me skanimin për 2 javët e fundit.
Duke shtypur butonin Detaje, do të shihni fillimin e skanimit të çdo rrjeti, trendin e trafikut dhe alarmet përkatëse.
Më pas, mund të "dështoni" në host nga skeda në pamjen e mëparshme të ekranit dhe të shihni ngjarjet e sigurisë, si dhe aktivitetin gjatë javës së fundit për këtë host.
Si shembull, le të analizojmë ngjarjen Skanimi i portit nga pritësi 10.201.3.149 mbi 10.201.0.72, Shtypja Veprimet > Flukset e lidhura. Nis një kërkim për temat dhe shfaqet informacioni përkatës.
Si e shohim këtë host nga një prej porteve të tij 51508/TCP skanuar 3 orë më parë hostin e destinacionit sipas portit 22, 28, 42, 41, 36, 40 (TCP). Disa fusha gjithashtu nuk shfaqin informacion sepse jo të gjitha fushat e Netflow mbështeten në eksportuesin e Netflow.
6. Analiza e malware të shkarkuar duke përdorur CTA
CTA (Analiza e Kërcënimeve Njohëse) — Cisco cloud analitics, i cili integrohet në mënyrë të përsosur me Cisco StealthWatch dhe ju lejon të plotësoni analizën pa nënshkrime me analizën e nënshkrimit. Kjo bën të mundur zbulimin e Trojans, krimbat e rrjetit, malware zero-day dhe malware të tjerë dhe shpërndarjen e tyre brenda rrjetit. Gjithashtu, teknologjia ETA e përmendur më parë ju lejon të analizoni komunikime të tilla me qëllim të keq në trafikun e koduar.
Fjalë për fjalë në skedën e parë në ndërfaqen e internetit ekziston një widget i veçantë Analiza e Kërcënimeve Njohëse. Një përmbledhje e shkurtër tregon kërcënimet e zbuluara në hostet e përdoruesve: Trojan, softuer mashtrues, adware bezdisshëm. Fjala "E enkriptuar" në fakt tregon punën e ETA. Duke klikuar në një host, shfaqen të gjitha informacionet rreth tij, ngjarjet e sigurisë, duke përfshirë regjistrat e CTA.
Duke qëndruar pezull mbi çdo fazë të CTA, ngjarja shfaq informacion të detajuar rreth ndërveprimit. Për analitikë të plotë, klikoni këtu Shikoni detajet e incidentit, dhe do të çoheni në një tastierë të veçantë Analiza e Kërcënimeve Njohëse.
Në këndin e sipërm djathtas, një filtër ju lejon të shfaqni ngjarjet sipas nivelit të ashpërsisë. Kur tregoni një anomali specifike, regjistrat shfaqen në fund të ekranit me një afat kohor përkatës në të djathtë. Kështu, specialisti i sigurisë së informacionit e kupton qartë se cili host i infektuar, pas cilit veprime, filloi të kryejë cilat veprime.
Më poshtë është një shembull tjetër - një trojan bankar që infektoi hostin 198.19.30.36. Ky host filloi të ndërveprojë me domene me qëllim të keq, dhe regjistrat tregojnë informacion mbi rrjedhën e këtyre ndërveprimeve.
Tjetra, një nga zgjidhjet më të mira që mund të jetë është karantinimi i pritësit falë vendasve me Cisco ISE për trajtim dhe analizë të mëtejshme.
Përfundim
Zgjidhja Cisco StealthWatch është një nga liderët në mesin e produkteve të monitorimit të rrjetit si për sa i përket analizës së rrjetit ashtu edhe sigurisë së informacionit. Falë tij, ju mund të zbuloni ndërveprime të paligjshme brenda rrjetit, vonesat e aplikacioneve, përdoruesit më aktivë, anomalitë, malware dhe APT. Për më tepër, mund të gjeni skanerë, pentestues dhe të kryeni një kripto-auditim të trafikut HTTPS. Mund të gjeni edhe më shumë raste përdorimi në .
Nëse dëshironi të kontrolloni se sa mirë dhe me efikasitet funksionon gjithçka në rrjetin tuaj, dërgoni .
Në të ardhmen e afërt, ne po planifikojmë disa botime të tjera teknike për produkte të ndryshme të sigurisë së informacionit. Nëse jeni të interesuar për këtë temë, atëherë ndiqni përditësimet në kanalet tona (, , , )!
Burimi: www.habr.com