- ke tharollo ea tlhahlobo lefapheng la ts'ireletso ea tlhahisoleseding e fanang ka tlhokomelo e feletseng ea litšokelo ho marang-rang a ajoang. StealthWatch e ipapisitse le pokello ea NetFlow le IPFIX ho tsoa ho lirouter, li-switches le lisebelisoa tse ling tsa marang-rang. Ka lebaka leo, marang-rang a fetoha sensor e nang le kutloelo-bohloko 'me a lumella mookameli hore a shebe moo mekhoa e tloaelehileng ea tšireletso ea marang-rang, e kang Next Generation Firewall, e ke keng ea fihla teng.
Lingoliloeng tse fetileng ke se ke ngotse ka StealthWatch: , hammoho le . Hona joale ke etsa tlhahiso ea ho tsoela pele le ho buisana ka mokhoa oa ho sebetsa ka li-alarm le ho batlisisa liketsahalo tsa ts'ireletso tse hlahisoang ke tharollo. Ke tla fana ka mehlala ea 6, eo ke tšepang hore e tla fana ka maikutlo a matle a molemo oa sehlahisoa.
Taba ea pele, ho lokela ho boleloa hore StealthWatch e na le kabo e itseng ea lintho tse susumetsang ho li-algorithms le liphepelo. Ea pele ke mefuta e fapaneng ea lialamo (litemoso), ha li hlahisoa, u ka bona lintho tse belaetsang marang-rang. Tse latelang ke liketsahalo tsa ts'ireletso. Sengoliloeng sena se tla nahana ka mehlala e 4 ea li-triggers tsa algorithm le mehlala e 2 ea lijo.
1. Tlhahlobo ea litšebelisano tse kholo ka ho fetisisa ka har'a marang-rang
Mohato oa pele oa ho hlophisa StealthWatch ke ho hlalosa baamoheli le marang-rang ka lihlopha. Sehokelong sa webo, tab Hlophisa > Tsamaiso ea Sehlopha sa Host marang-rang, mabotho, li-server li lokela ho aroloa ka lihlopha tse loketseng. U ka iketsetsa lihlopha tsa hau. Ka tsela, tlhahlobo ea litšebelisano lipakeng tsa baamoheli ba Cisco StealthWatch e bonolo haholo, kaha o ka se boloke feela li-filters tsa patlo ka phallo, empa le liphetho ka botsona.
Ho qala, o lokela ho ea ho tab ea sebopeho sa webo Hlahloba > Phatlalatso ea Phallo. Ka mor'a moo, o lokela ho beha paramente tse latelang:
- Mofuta oa ho Batla - Lipuisano tse holimo (litšebelisano tse tsebahalang haholo)
- Nako Range - lihora tse 24 (nako, u ka sebelisa e 'ngoe)
- Batla Lebitso - Lipuisano tse ka Sehloohong Hare-Ka Hare (lebitso lefe kapa lefe la botsoalle)
- Sehlooho - Lihlopha tsa Host → Inside Hosts (mohloli - sehlopha sa baeti ba ka hare)
- Khokahano (o ka hlakisa likou, lits'ebetso)
- Lithaka - Lihlopha tsa Baamoheli → Baeti ba ka Hare (morero - sehlopha sa li-node tse ka hare)
- Ho Likhetho tse Tsoetseng Pele, o ka hlakisa moqokeleli eo data e shebiloeng ho eona, ho hlophisoa ha lihlahisoa (ka li-byte, melapo, joalo-joalo). Ke tla e tlohela ka ho sa feleng.
Ka mor'a ho tobetsa konopo Search lethathamo la litšebelisano li bonts'oa, tse seng li hlophisoa ka bongata ba data e fetisitsoeng.
Mohlala oa ka moamoheli 10.150.1.201 (server) e fetisoa ka har'a molatsoana o le mong feela 1.5 GB traffic to host 10.150.1.200 (moreki) ho latela protocol MySQL. Konopo Laola Likholomo E o lumella ho eketsa likholomo tse ling ho data e hlahisoang.
Joale, ka bohlale ba molaoli, ho ka etsoa molao oa tloaelo o tla tsosoa kamehla bakeng sa mofuta ona oa ho sebelisana le ho tsebisa ka SNMP, imeile kapa Syslog.
2. Hlahloba litšebelisano tse liehang ka ho fetisisa tsa bareki le seva ka har'a marang-rang bakeng sa tieho
Labels SRT (Nako ea Karabelo ea Seva), RTT (Nako ea ho Tsamaea le ho Khutla) e u lumella ho fumana tieho ea seva le tieho ea marang-rang ka kakaretso. Sesebelisoa sena se bohlokoa haholo ha o hloka ho fumana kapele sesosa sa litletlebo tsa basebelisi mabapi le ts'ebeliso e sebetsang butle.
mantsoe: hoo e batlang e le barekisi bohle ba Netflow ha ke tsebe joang romela SRT, matšoao a RTT, hangata, ho bona data e joalo ho FlowSensor, o hloka ho hlophisa ho romella kopi ea sephethephethe ho tsoa lisebelisoa tsa marang-rang. FlowSensor, le eona, e fana ka IPFIX e atolositsoeng ho FlowCollector.
Ho bonolo haholoanyane ho etsa tlhahlobo ena ts'ebelisong ea StealtWatch Java, e kentsoeng komporong ea motsamaisi.
Tobetsa ho le letona Ka hare ho Baamoheli ebe u ea ho tab Tafole ea Phallo.
Tobetsa ho filthara ebe u beha li-parameter tse hlokahalang. Ka mohlala:
- Letsatsi/Nako - Matsatsing a 3 a fetileng
- Tshebetso - Karolelano ea Nako ea ho Eta ho Rōna> = 50ms
Kamora hore data e hlahisoe, o lokela ho eketsa libaka tsa RTT le SRT tse u khahlang. Ho etsa sena, tobetsa konopo skrineng ebe u tobetsa ka ho le letona ho khetha Laola Likholomo. E latelang, tobetsa ho RTT, SRT parameters.
Kamora ho sebetsa kopo, ke ile ka hlophisa ka karolelano ea RTT mme ka bona litšebelisano tse liehang ka ho fetesisa.
Ho fumana lintlha tse qaqileng, tobetsa ka ho le letona ho molapo ebe u khetha Pono e Potlakileng bakeng sa Phallo.
Litaba tsena li bontša hore moamoheli 10.201.3.59 ho tsoa sehlopheng Sales le Marketing ka protocol NFS boipiletso ho Seva ea DNS motsotso le metsotsoana e 23 mme e na le tieho e mpe feela. Ka har'a tab likarolo u ka fumana hore na tlhahisoleseling e fumanoe ho tsoa ho morekisi oa data oa Netflow. Ka har'a tab Lethathamo lintlha tse qaqileng haholoanyane mabapi le tšebelisano e bontšitsoe.
E latelang, o lokela ho fumana hore na ke lisebelisoa life tse romellang sephethephethe ho FlowSensor mme bothata bo ka ba teng moo.
Ho feta moo, StealthWatch e ikhethile ka hore e tsamaisa deduplication data (e kopanya phallo e tšoanang). Ka hona, o ka bokella hoo e batlang e le lisebelisoa tsohle tsa Netflow mme u se ke ua tšaba hore ho tla ba le lintlha tse ngata tse pheta-phetoang. Ho fapana le hoo, morerong ona ho tla thusa ho utloisisa hore na tieho e kholo ka ho fetisisa ke efe.
3. Ho hlahlojoa ha liprothokholo tsa HTTPS tsa cryptographic
ETA (Encrypted Traffic Analytics) - theknoloji e ntlafalitsoeng ke Cisco e lumellang ho bona likhokahano tse mpe ho sephethephethe se patiloeng ntle le ho e hlakola. Ho feta moo, theknoloji ena e lumella "ho arola" HTTPS ho liphetolelo tsa TLS le li-protocol tsa cryptographic tse sebelisoang ho hokahanya. Ts'ebetso ena e bohlokoa haholo ha ho hlokahala ho lemoha li-node tsa marang-rang tse sebelisang litekanyetso tse fokolang tsa crypto.
mantsoe: o tlameha ho qala ho kenya sesebelisoa sa marang-rang ho StealthWatch ea hau - ETA Cryptographic Audit.
Eya ho tab Li-dashboards → ETA Cryptographic Audit ebe u khetha sehlopha sa baeti seo re rerileng ho se hlahloba. Bakeng sa setšoantšo se akaretsang, re tla khetha Ka hare ho Baamoheli.
U ka bona hore mofuta oa TLS le maemo a tšoanang a crypto a bonts'itsoe. Ho ea ka morero o tloaelehileng kholomong liketso re fetela pele ho Sheba Phallo 'me patlo e qala ho tab e ncha.
Ho tsoa ho sephetho ho hlakile hore moamoheli 198.19.20.136 hohle Lihora tsa 12 e sebelisitse HTTPS e nang le TLS 1.2, moo algorithm ea encryption AES-256 le mosebetsi oa hash SHA-384Kahoo, ETA e lumella ho fumana li-algorithms tse fokolang marang-rang.
4. Tlhahlobo ea anomaly ea marang-rang
Cisco StealthWatch e ka bona liphoso tsa sephethephethe sa marang-rang ka lisebelisoa tse tharo: Liketsahalo tsa mantlha (liketsahalo tsa ts'ireletso), Liketsahalo Tsa Kamano (liketsahalo tsa likamano pakeng tsa likarolo, li-network nodes) le tlhahlobo ea boitšoaro.
Tlhahlobo ea boitšoaro, ka lehlakoreng le leng, e u lumella ho haha mohlala oa boitšoaro bakeng sa moamoheli ea itseng kapa sehlopha sa mabotho ka nako. Ha sephethephethe se ntse se feta StealthWatch, lintho tse susumetsang li tla nepahala haholoanyane ka tlhahlobo ena. Qalong, tsamaiso e baka lintho tse ngata tse fosahetseng, kahoo melao e lokela ho "tweaked" ka letsoho. Ke khothaletsa ho se ele hloko liketsahalo tse joalo bakeng sa libeke tse 'maloa tsa pele, kaha tsamaiso e tla itlhophisa, kapa e li kenye ho tse ling.
Ka tlase ke mohlala oa molao o boletsoeng esale pele. Ho hlasela, e bolelang hore ketsahalo e tla thunya ntle le alamo haeba moamoheli sehlopheng sa Inside Hosts o sebelisana le sehlopha sa Inside Hosts mme sephethephethe se feta 24 megabytes ka lihora tse 10..
Ha re nke alamo e le mohlala Ho bokella lintlha, e leng se bolelang hore moamoheli ea itseng o kentse/jarolohile boitsebiso bo bongata bo sa tloaelehang ho tsoa ho sehlopha sa baamoheli kapa moamoheli. Tobetsa ketsahalong eo 'me u oele ka har'a tafole, moo ho bontšitsoeng mabotho a susumetsang. Ka mor'a moo, khetha moamoheli eo re mo thahasellang kholomong Ho bokella lintlha.
Ketsahalo e hlahisoa e bontšang hore "lintlha" tse 162k li fumanoe, athe pholisi e lumella "lintlha" tse 100k - tsena ke metrics ea ka hare ea StealthWatch. Kholong liketso Sututsa Sheba Phallo.
Re ka hlokomela seo moamoheli enoa qoaketsana le moeti bosiu 10.201.3.47 ho tsoa lefapheng Khoebo le Khoebo ka protocol HTTPS le ho jarollwa 1.4 GB. Mohlala ona o ka 'na oa se ke oa atleha ka ho feletseng, empa ho lemoha litšebelisano tsa li-gigabyte tse makholo a' maloa ho etsoa ka mokhoa o ts'oanang. Ka hona, lipatlisiso tse ling tsa anomalies li ka lebisa liphellong tse thahasellisang.
mantsoe: ho SMC web interface, data in tab Dashboard li hlahisoa feela bekeng e fetileng le ho tab ho hlokomela bakeng sa libeke tse 2 tse fetileng. Ho sekaseka liketsahalo tsa khale le ho hlahisa litlaleho, o hloka ho sebetsa le khomphutha ea java komporong ea motsamaisi.
5. Ho Fumana Lisebelisoa tsa Inthanete tsa ka hare
Joale a re shebeng mehlala e meng ea liphepelo - liketsahalo tsa ts'ireletso ea tlhahisoleseling. Ts'ebetso ena e khahla haholo litsebi tsa ts'ireletso.
Ho na le mefuta e 'maloa ea liketsahalo tse reriloeng esale pele ho StealthWatch:
- Port Scan - Mohloli o hlahloba likou tse ngata tsa sebaka seo u eang ho sona.
- Addr tcp scan - mohloli o hlahloba marang-rang kaofela boema-kepeng bo le bong ba TCP, o fetola aterese ea IP ea moo e eang teng. Mohloli o amohela lipakete tsa TCP Reset kapa ha o fumane likarabo ho hang.
- Addr udp scan - mohloli o hlahloba marang-rang kaofela boema-kepeng bo tšoanang ba UDP, o fetola aterese ea IP ea moo e eang teng. Mohloli o amohela lipakete tsa ICMP Port Unrechable kapa ha o fumane likarabo ho hang.
- Ping Scan - mohloli o romella likopo tsa ICMP ho marang-rang kaofela e le ho fumana likarabo.
- Stealth Scan tсp/udp - mohloli o sebelisitse boema-kepe bo ts'oanang ho hokela likoung tse ngata sebakeng sa moamoheli ka nako e le 'ngoe.
Bakeng sa ho fumana li-scanner tsohle tse ka hare ka nako e le 'ngoe, ho na le app ea marang-rang bakeng sa StealthWatch - Tekolo ea Ponahalo. Ka ho ea ho tab Li-Dashboards → Tekolo ea Ponahalo → Li-Internal Network Scanners U tla bona diketsahalo tsa ts'ireletso tse amanang le ho hlahloba libeke tse 2 tse fetileng.
Ka ho tobetsa konopo Details, u tla bona qalo ea ho hlahloba marang-rang ka 'ngoe, mokhoa oa sephethephethe le lialamo tse tsamaisanang.
Ka mor'a moo, o ka "theola" ho moamoheli ho tsoa ho tab e skrineng e fetileng mme o bone liketsahalo tsa ts'ireletso, hammoho le ts'ebetso bekeng e fetileng bakeng sa moamoheli eo.
Ka mohlala, a re hlahlobeng ketsahalo eo Port Scan ho tsoa ho moamoheli 10.201.3.149 mabapi le 10.201.0.72ka ho tobetsa Liketso > Phallo e Amanang. Ho phenyekolloa ha melapo ho qalisoa 'me lintlha tse nepahetseng lia hlahisoa.
Joalokaha re bona moamoheli enoa ho tsoa ho e 'ngoe ea likou tsa eona 51508/TCP e hlahlobiloe lihora tse 3 tse fetileng sebaka seo u eang ho sona ke boema-kepe 22, 28, 42, 41, 36, 40 (TCP)Libaka tse ling ha li bontše tlhahisoleseling hobane ha se masimo ohle a Netflow a tšehetsoang ke morekisi oa Netflow.
6. Ho hlahloba malware a kopilitsoeng ho sebelisa CTA
CTA (Cognitive Threat Analytics) - Cisco cloud analytics, e kopanyang hantle le Cisco StealthWatch 'me e u lumella ho tlatsetsa tlhahlobo e sa saenang ka tlhahlobo ea ho saena. Sena se etsa hore ho khonehe ho bona Trojans, liboko tsa marang-rang, malware a letsatsi la zero le malware a mang le ho li aba ka har'a marang-rang. Hape, theknoloji ea ETA e boletsoeng pejana e u lumella ho sekaseka likhokahano tse mpe joalo ka sephethephethe se patiloeng.
Ha e le hantle, ho tabo ea pele ho sehokelo sa marang-rang ho na le widget e khethehileng Litlhahlobo tsa Kotsi ea kelello. Kakaretso e khuts'oane e bua ka litšokelo tse fumanoeng ho basebelisi ba sebetsang: Trojan, software ea bolotsana, adware e tenang. Lentsoe "Encrypted" le bontša feela hore ETA ea sebetsa. Ka ho tobetsa moamoheli, tlhaiso-leseling eohle e mabapi le eona, liketsahalo tsa ts'ireletso ho kenyelletsa le li-logs tsa STA, lia hlaha.
Ka ho thella sethaleng se seng le se seng sa CTA, liketsahalo, lintlha tse qaqileng mabapi le tšebelisano li bonts'oa. Bakeng sa li-analytics tse felletseng, tlanya Sheba Lintlha tsa Ketsahalo, 'me u tla isoa ho console e arohaneng Litlhahlobo tsa Kotsi ea kelello.
K'honeng e kaholimo ho le letona, filthara e u lumella ho bonts'a liketsahalo ka boemo ba bohlokoa. Ha u supa phoso e itseng, li-log tse nang le tatellano ea nako e tsamaellanang li hlaha botlaaseng ba skrini ka letsohong le letona. Kahoo, setsebi sa ts'ireletso ea tlhahisoleseling se utloisisa ka ho hlaka hore na ke moamoheli ofe ea tšoaelitsoeng ea qalileng ho etsa ketso efe kamora moo ketso efe.
Ka tlase ke mohlala o mong - Trojan ea banka e tšoaelitseng moeti. 198.19.30.36. Moamoheli enoa o se a qalile ho sebelisana le libaka tse kotsi, 'me li-log li bonts'a tlhahisoleseling mabapi le phallo ea litšebelisano tsena.
Ka mor'a moo, e 'ngoe ea litharollo tse molemo ka ho fetisisa e ka bang ke ho behella moamoheli ka thoko ho sebelisa letsoalloa le Cisco ISE bakeng sa kalafo le tlhahlobo e eketsehileng.
fihlela qeto e
Cisco StealthWatch ke e mong oa baetapele har'a lihlahisoa tsa tlhahlobo ea marang-rang ho latela tlhahlobo ea marang-rang le ts'ireletso ea tlhahisoleseling. Ka lebaka la eona, o ka bona litšebelisano tse seng molaong ka har'a marang-rang, tieho ea ts'ebeliso, basebelisi ba sebetsang ka ho fetesisa, anomalies, malware le APT. Ho feta moo, o ka fumana li-scans, pentesters, etsa tlhahlobo ea crypto ea sephethephethe sa HTTPS. U ka fumana linyeoe tsa tšebeliso le ho feta ho .
Haeba u batla ho sheba hore na marang-rang a hau a sebetsa hantle hakae, romella .
Haufinyane, re ntse re rera likhatiso tse ling tse 'maloa tse mabapi le lihlahisoa tse fapaneng tsa ts'ireletso ea tlhahisoleseling. Haeba u thahasella sehlooho sena, latela lintlafatso tsa likanale tsa rona (, , , )!
Source: www.habr.com
