mangrupa solusi analitik dina widang kaamanan informasi nu nyadiakeun monitoring komprehensif ngeunaan ancaman dina jaringan disebarkeun. StealthWatch dumasar kana ngumpulkeun NetFlow sareng IPFIX tina router, saklar sareng alat jaringan anu sanés. Hasilna, jaringan janten sénsor sénsitip sareng ngamungkinkeun administrator ningali tempat dimana metode kaamanan jaringan tradisional, sapertos Next Generation Firewall, henteu tiasa ngahontal.
Dina tulisan sateuacana kuring parantos nyerat ngeunaan StealthWatch: jeung . Ayeuna kuring ngajukeun pikeun ngaléngkah sareng ngabahas cara damel sareng alarm sareng nalungtik kajadian kaamanan anu dibangkitkeun ku solusi. Bakal aya 6 conto anu kuring ngarepkeun bakal masihan ide anu hadé ngeunaan mangpaat produk.
Kahiji, kudu disebutkeun yen StealthWatch boga sababaraha distribusi alarm antara algoritma jeung feed. Anu kahiji nyaéta sababaraha jinis alarm (bewara), nalika dipicu, anjeun tiasa ngadeteksi hal-hal anu curiga dina jaringan. Anu kadua nyaéta insiden kaamanan. Tulisan ieu bakal ningali 4 conto algoritma anu dipicu sareng 2 conto feed.
1. Analisis interaksi pangbadagna dina jaringan
Léngkah awal pikeun nyetél StealthWatch nyaéta netepkeun host sareng jaringan kana grup. Dina tab panganteur wéb Konpigurasikeun > Manajemén Grup Host Jaringan, host, sareng server kedah digolongkeun kana grup anu pas. Anjeun oge bisa nyieun grup anjeun sorangan. Ku jalan kitu, analisa interaksi antara host di Cisco StealthWatch cukup merenah, sabab anjeun teu ngan bisa nyimpen saringan pilarian ku stream, tapi ogé hasil sorangan.
Pikeun ngamimitian, dina antarmuka wéb anjeun kedah angkat ka tab Analisis > Paluruh Aliran. Teras anjeun kedah nyetél parameter di handap ieu:
- Jenis Pilarian - Paguneman Top (interaksi pang populerna)
- Jangkauan Waktos - 24 jam (periode waktos, anjeun tiasa nganggo anu sanés)
- Pilarian Ngaran - Paguneman Top Di jero-Di jero (sakur ngaran ramah)
- Subject - Grup Host → Inside Hosts (sumber - grup host internal)
- Sambungan (anjeun tiasa netepkeun palabuhan, aplikasi)
- Peer - Grup Host → Inside Hosts (tujuan - grup node internal)
- Dina Pilihan Lanjutan, Anjeun ogé bisa nangtukeun collector ti mana data ditempo, asihan kaluaran (ku bait, stream, jsb). Kuring gé ninggalkeun salaku standar.
Sanggeus mencet tombol neangan daptar interaksi dipintonkeun nu geus diurutkeun ku jumlah data ditransfer.
Dina conto abdi host 10.150.1.201 (server) dikirimkeun dina ngan hiji thread 1.5 GB lalulintas keur host 10.150.1.200 (klien) ku protokol MySQL. Tombol Ngatur Kolom ngidinan Anjeun pikeun nambahkeun leuwih kolom kana data kaluaran.
Salajengna, dina kawijaksanaan pangurus, anjeun tiasa nyiptakeun aturan khusus anu bakal salawasna memicu jinis interaksi ieu sareng ngabéjaan anjeun via SNMP, email atanapi Syslog.
2. Analisis interaksi klien-server slowest dina jaringan pikeun reureuh
tags SRT (Waktu Tanggapan Server), RTT (Waktos Perjalanan Pulang) ngidinan Anjeun pikeun manggihan reureuh server jeung reureuh jaringan umum. Alat ieu hususna kapaké nalika anjeun kedah gancang milari panyabab keluhan pangguna ngeunaan aplikasi anu laun-laun.
nyarios: ampir kabéh eksportir Netflow teu nyaho kumaha ngirim SRT, tag RTT, jadi mindeng, dina urutan ningali data sapertos on FlowSensor, anjeun kudu ngonpigurasikeun ngirim salinan lalulintas ti alat jaringan. FlowSensor giliran ngirimkeun IPFIX anu diperpanjang ka FlowCollector.
Éta langkung gampang pikeun ngalaksanakeun analisa ieu dina aplikasi java StealtWatch, anu dipasang dina komputer administrator.
Tombol mouse katuhu hurung Jero Hosts tur buka tab Méja Aliran.
Klik dina saringan tur nyetel parameter diperlukeun. Salaku conto:
- Tanggal / Waktos - Kanggo 3 dinten terakhir
- Kinerja - Rata-rata Waktos Perjalanan Babak > = 50ms
Saatos ningalikeun data, urang kedah nambihan widang RTT sareng SRT anu dipikaresep ku urang. Jang ngalampahkeun ieu, klik dina kolom dina layar tur pilih kalayan tombol mouse katuhu Ngatur Kolom. Salajengna, klik RTT, parameter SRT.
Saatos ngolah pamundut, kuring diurutkeun ku rata-rata RTT sareng ningali interaksi anu paling laun.
Pikeun lebet kana inpormasi lengkep, klik-katuhu dina aliran sareng pilih Témbongkeun Gancang pikeun Aliran.
Inpormasi ieu nunjukkeun yén host 10.201.3.59 ti grup Jualan na Marketing ku protokol NFS nujul kana server DNS pikeun menit na 23 detik sarta boga ngan lag dahsyat. Dina tab interfaces anjeun tiasa mendakan eksportir data Netflow mana inpormasi anu dicandak. Dina tab meja Inpo nu leuwih wincik ngeunaan interaksi ditémbongkeun.
Salajengna, anjeun kedah terang alat mana anu ngirim lalu lintas ka FlowSensor sareng masalahna paling dipikaresep aya di dinya.
Sumawona, StealthWatch unik sabab ngalaksanakeun deduplikasi data (ngagabungkeun aliran sarua). Ku alatan éta, anjeun tiasa ngumpulkeun ampir sadaya alat Netflow sareng henteu sieun yén bakal aya seueur duplikat data. Sabalikna, dina skéma ieu bakal ngabantosan ngartos hop mana anu paling telat.
3. Inok protokol kriptografi HTTPS
ETA (Analisis Lalu Lintas Énkripsi) mangrupakeun téhnologi dikembangkeun ku Cisco nu ngidinan Anjeun pikeun ngadeteksi sambungan jahat dina lalulintas énkripsi tanpa decrypting eta. Leuwih ti éta, téhnologi ieu ngidinan Anjeun pikeun "parse" HTTPS kana versi TLS jeung protokol cryptographic nu dipaké salila sambungan. Fungsionalitas ieu hususna kapaké nalika anjeun kedah ngadeteksi titik jaringan anu nganggo standar crypto anu lemah.
nyarios: Anjeun mimitina kudu masang aplikasi jaringan dina StealthWatch - ETA Kriptografi Audit.
Pindah ka tab Dasbor → Audit Kriptografi ETA tur pilih grup sarwa nu urang rencanana analisa. Pikeun gambar sakabéh, hayu urang milih Jero Hosts.
Anjeun tiasa ningali yén versi TLS sareng standar crypto anu saluyu mangrupikeun kaluaran. Numutkeun skéma biasa dina kolom lampah indit ka Témbongkeun Aliran jeung pilarian dimimitian dina tab anyar.
Tina kaluaran éta tiasa katingali yén host 198.19.20.136 sapanjang jam 12 dipaké HTTPS kalawan TLS 1.2, dimana algoritma enkripsi AES-256 jeung fungsi hash Sha-384. Ku kituna, ETA ngidinan Anjeun pikeun manggihan algoritma lemah dina jaringan.
4. Analisis anomali jaringan
Cisco StealthWatch tiasa mikawanoh anomali lalu lintas dina jaringan nganggo tilu alat: Acara Inti (acara kaamanan), Kajadian Hubungan (kajadian interaksi antara bagéan, titik jaringan) jeung analisis behavioral.
Analisis behavioral, kahareupna ngamungkinkeun kana waktu ngawangun model kabiasaan pikeun host tinangtu atawa grup host. Langkung seueur lalulintas anu ngalangkungan StealthWatch, langkung akurat panggeuing bakal berkat analisa ieu. Dina awalna, sistem micu loba salah, jadi aturan kudu "dipintal" ku leungeun. Abdi nyarankeun yén anjeun teu malire acara sapertos pikeun sababaraha minggu kahiji, sabab sistem bakal nyaluyukeun sorangan, atawa tambahkeun ka pengecualian.
Di handap ieu conto aturan nu geus ditangtukeun Anomali, nu nyatakeun yén acara bakal seuneu tanpa alarm lamun host dina grup Inside Hosts berinteraksi sareng grup Inside Hosts sareng dina 24 jam lalulintas bakal ngaleuwihan 10 megabyte.
Contona, hayu urang nyandak alarm Panyimpenan Data, nu hartina sababaraha sumber / tujuan host geus diunggah / diundeur jumlah abnormally badag data ti grup host atawa host a. Pencét kana acara sareng angkat ka méja dimana host anu nyababkeun dituduhkeun. Salajengna, pilih host anu kami dipikaresep dina kolom Panyimpenan Data.
Acara ditampilkeun nunjukkeun yén 162k "titik" dideteksi, sareng numutkeun kabijakan éta, 100k "titik" diidinan - ieu mangrupikeun métrik StealthWatch internal. Dina hiji kolom lampah Teken Témbongkeun Aliran.
Urang bisa niténan éta dibéré host berinteraksi sareng host peuting 10.201.3.47 ti jurusan Jualan & Pamasaran ku protokol HTTPS tur diundeur 1.4 GB. Panginten conto ieu henteu sapinuhna suksés, tapi deteksi interaksi bahkan pikeun sababaraha ratus gigabyte dilaksanakeun dina cara anu sami. Ku alatan éta, panalungtikan satuluyna ngeunaan anomali bisa ngakibatkeun hasil metot.
nyarios: dina panganteur web SMC, data aya dina tab Dashboards dipintonkeun ngan pikeun minggu kamari sareng dina tab Monitor leuwih 2 minggu panungtungan. Pikeun nganalisis kajadian anu lami sareng ngahasilkeun laporan, anjeun kedah damel sareng konsol java dina komputer administrator.
5. Manggihan scan jaringan internal
Ayeuna hayu urang nempo sababaraha conto feed - information security incidents . Pungsi ieu leuwih dipikaresep ku professional kaamanan.
Aya sababaraha jinis acara scan prasetél dina StealthWatch:
- Port Scan-sumberna nyeken sababaraha palabuhan dina host tujuan.
- Addr tcp scan - sumber nyeken sakabéh jaringan dina port TCP sarua, ngarobah alamat IP tujuan. Dina hal ieu, sumberna nampi pakét TCP Reset atanapi henteu nampi réspon pisan.
- Addr udp scan - sumber nyeken sakabéh jaringan dina port UDP sarua, bari ngarobah alamat IP tujuan. Dina hal ieu, sumberna nampi pakét ICMP Port Unreachable atanapi henteu nampi réspon pisan.
- Ping Scan - sumberna ngirimkeun pamundut ICMP ka sakumna jaringan pikeun milarian jawaban.
- Stealth Scan tсp/udp - sumberna ngagunakeun port anu sarua pikeun nyambung ka sababaraha port dina titik tujuan dina waktos anu sareng.
Sangkan leuwih merenah pikeun manggihan sagala scanner internal sakaligus, aya hiji aplikasi jaringan pikeun StealthWatch - Penilaian pisibilitas. Bade ka tab Dasbor → Penilaian Visibilitas → Panyeken Jaringan Internal Anjeun bakal ningali insiden kaamanan nu patali scanning salila 2 minggu panungtungan.
Ngaklik tombol rincian, Anjeun bakal ningali mimiti scanning unggal jaringan, trend lalulintas sarta alarm pakait.
Salajengna, anjeun tiasa "gagal" kana host tina tab dina screenshot saméméhna tur tingal acara kaamanan, kitu ogé aktivitas dina minggu panungtungan pikeun host ieu.
Salaku conto, hayu urang nganalisis acara Port Scan ti host 10.201.3.149 dina 10.201.0.72, Mencét Aksi > Aliran Patali. A pilarian thread dibuka sarta informasi relevan dipintonkeun.
Kumaha urang tingali host ieu tina salah sahiji palabuhan na 51508/TCP discan 3 hours ago host tujuan ku port 22, 28, 42, 41, 36, 40 (TCP). Sababaraha widang teu nembongkeun informasi boh sabab teu sakabeh widang Netflow dirojong dina eksportir Netflow.
6. Analisis malware diundeur maké CTA
CTA (Cognitive Threat Analytics) - analytics awan Cisco, nu integrates sampurna kalawan Cisco StealthWatch tur ngidinan Anjeun pikeun ngalengkepan analisis signature bébas kalawan analisis signature. Ieu ngamungkinkeun pikeun ngadeteksi Trojans, cacing jaringan, malware enol dinten sareng malware anu sanés sareng nyebarkeunana dina jaringan. Ogé, téhnologi ETA disebutkeun saméméhna ngidinan Anjeun pikeun nganalisis komunikasi jahat misalna dina lalulintas énkripsi.
Sacara harfiah dina tab anu pangheulana dina antarmuka wéb aya widget khusus Analisis Ancaman Kognitif. A kasimpulan ringkes nunjukkeun ancaman kauninga dina host pamaké: Trojan, software curang, adware bangor. Kecap "Énkripsi" sabenerna nunjukkeun karya ETA. Ku ngaklik host, sadaya inpormasi ngeunaan éta, acara kaamanan, kalebet log CTA, muncul.
Ku hovering leuwih unggal tahapan CTA, acara mintonkeun inpo wincik tentang interaksi. Pikeun analytics lengkep, klik di dieu Nempo Rincian Kajadian, tur anjeun bakal dibawa ka konsol misah Analisis Ancaman Kognitif.
Di pojok katuhu luhur, saringan ngamungkinkeun anjeun pikeun ningalikeun acara dumasar kana tingkat parah. Lamun anjeun nunjuk ka anomali husus, log nembongan di bagean handap layar kalawan timeline pakait di katuhu. Ku kituna, spesialis kaamanan informasi jelas understands nu host kainféksi, sanggeus nu lampah, mimiti ngalakukeun lampah nu.
Di handap ieu conto sejen - a Trojan perbankan nu kainféksi host teh 198.19.30.36. Host ieu mimiti berinteraksi sareng domain jahat, sareng log nunjukkeun inpormasi ngeunaan aliran interaksi ieu.
Salajengna, salah sahiji solusi anu pangsaéna nyaéta karantina host berkat pribumi kalawan Cisco ISE pikeun pengobatan salajengna jeung analisis.
kacindekan
Solusi Cisco StealthWatch mangrupikeun salah sahiji pamimpin di antara produk ngawaskeun jaringan boh dina hal analisa jaringan sareng kaamanan inpormasi. Hatur nuhun kana éta, anjeun tiasa ngadeteksi interaksi anu henteu sah dina jaringan, telat aplikasi, pangguna anu paling aktip, anomali, malware sareng APT. Leuwih ti éta, anjeun bisa manggihan scanner, pentesters, sarta ngalaksanakeun crypto-audit lalulintas HTTPS. Anjeun tiasa mendakan langkung seueur kasus panggunaan di .
Upami anjeun hoyong mariksa kumaha lancar sareng éfisién sadayana jalan dina jaringan anjeun, kirimkeun .
Dina mangsa nu bakal datang, urang ngarencanakeun sababaraha publikasi teknis ngeunaan rupa produk kaamanan informasi. Upami anjeun resep kana topik ieu, teras turutan apdet dina saluran kami (, , , )!
sumber: www.habr.com