är en analytisk lösning inom området informationssäkerhet som ger en omfattande övervakning av hot i ett distribuerat nätverk. StealthWatch bygger på att samla NetFlow och IPFIX från routrar, switchar och andra nätverksenheter. Som ett resultat blir nätverket en känslig sensor och gör att administratören kan titta in på platser där traditionella nätverkssäkerhetsmetoder, som Next Generation Firewall, inte kan nå.
I tidigare artiklar har jag redan skrivit om StealthWatch: Och . Nu föreslår jag att gå vidare och diskutera hur man arbetar med larm och utreder säkerhetsincidenter som lösningen genererar. Det kommer att finnas 6 exempel som jag hoppas ska ge en god uppfattning om produktens användbarhet.
Först ska det sägas att StealthWatch har en viss fördelning av larm mellan algoritmer och flöden. De första är olika typer av larm (aviseringar), när de utlöses kan du upptäcka misstänkta saker på nätverket. Det andra är säkerhetsincidenter. Den här artikeln kommer att titta på 4 exempel på utlösta algoritmer och 2 exempel på flöden.
1. Analys av de största interaktionerna inom nätverket
Det första steget i att sätta upp StealthWatch är att definiera värdar och nätverk i grupper. I webbgränssnittsfliken Konfigurera > Host Group Management Nätverk, värdar och servrar bör klassificeras i lämpliga grupper. Du kan också skapa dina egna grupper. Förresten, att analysera interaktioner mellan värdar i Cisco StealthWatch är ganska bekvämt, eftersom du inte bara kan spara sökfilter efter ström, utan också resultaten själva.
För att komma igång ska du i webbgränssnittet gå till fliken Analysera > Flödessökning. Sedan bör du ställa in följande parametrar:
- Söktyp - Toppkonversationer (mest populära interaktioner)
- Tidsintervall — 24 timmar (tidsperiod, du kan använda en annan)
- Söknamn - Toppkonversationer Inside-Inside (vilket vänligt namn som helst)
- Ämne - Värdgrupper → Inre värdar (källa - grupp av interna värdar)
- Anslutning (du kan ange portar, applikationer)
- Peer - Värdgrupper → Inside Hosts (destination - grupp av interna noder)
- I Avancerade alternativ kan du dessutom ange från vilken samlare data visas, sortera utdata (efter byte, strömmar, etc.). Jag lämnar det som standard.
Efter att ha tryckt på knappen Sök en lista över interaktioner visas som redan är sorterade efter mängden överförd data.
I mitt exempel värden 10.150.1.201 (server) överförs inom endast en tråd 1.5 GB trafik till värd 10.150.1.200 (klient) enligt protokoll mysql. Knapp Hantera kolumner låter dig lägga till fler kolumner till utdata.
Därefter, efter administratörens gottfinnande, kan du skapa en anpassad regel som alltid kommer att utlösa denna typ av interaktion och meddela dig via SNMP, e-post eller Syslog.
2. Analys av de långsammaste klient-server-interaktionerna inom nätverket för förseningar
Tags SRT (Server Response Time), RTT (Round Trip Time) låter dig ta reda på serverförseningar och allmänna nätverksförseningar. Det här verktyget är särskilt användbart när du snabbt behöver hitta orsaken till användarklagomål om ett långsamt körande program.
Notera: nästan alla Netflow-exportörer vet inte hur skicka SRT, RTT-taggar, så ofta, för att se sådan data på FlowSensor, måste du konfigurera att skicka en kopia av trafik från nätverksenheter. FlowSensor skickar i sin tur den utökade IPFIX till FlowCollector.
Det är bekvämare att utföra denna analys i StealtWatch java-applikationen, som är installerad på administratörens dator.
Höger musknapp på Inre värdar och gå till fliken Flödestabell.
Klicka på Filter och ställ in nödvändiga parametrar. Som ett exempel:
- Datum/Tid - För de senaste 3 dagarna
- Prestanda — Genomsnittlig tur och returtid >=50ms
Efter att ha visat data bör vi lägga till RTT- och SRT-fälten som intresserar oss. För att göra detta, klicka på kolumnen i skärmdumpen och välj med höger musknapp Hantera kolumner. Klicka sedan på RTT, SRT-parametrar.
Efter att ha behandlat begäran sorterade jag efter RTT-genomsnitt och såg de långsammaste interaktionerna.
För att gå in på detaljerad information, högerklicka på strömmen och välj Snabbvy för Flow.
Denna information indikerar att värden 10.201.3.59 från gruppen Försäljning och marknadsföring enligt protokollet NFS tilltalar DNS-server i en minut och 23 sekunder och har bara fruktansvärd fördröjning. I fliken Gränssnitt kan du ta reda på vilken Netflow-dataexportör informationen erhölls från. I fliken Bord Mer detaljerad information om interaktionen visas.
Därefter bör du ta reda på vilka enheter som skickar trafik till FlowSensor och problemet ligger troligen där.
Dessutom är StealthWatch unik genom att den utför deduplicering data (kombinerar samma strömmar). Därför kan du samla in från nästan alla Netflow-enheter och inte vara rädd för att det ska finnas mycket dubblettdata. Tvärtom, i det här schemat kommer det att hjälpa till att förstå vilken hop som har störst förseningar.
3. Granskning av HTTPS kryptografiska protokoll
ETA (Encrypted Traffic Analytics) är en teknik utvecklad av Cisco som gör att du kan upptäcka skadliga anslutningar i krypterad trafik utan att dekryptera den. Dessutom tillåter denna teknik dig att "tolka" HTTPS till TLS-versioner och kryptografiska protokoll som används under anslutningar. Denna funktion är särskilt användbar när du behöver upptäcka nätverksnoder som använder svaga kryptostandarder.
Notera: Du måste först installera nätverksappen på StealthWatch - ETA kryptografisk revision.
Gå till flik Dashboards → ETA Cryptographic Audit och välj den grupp värdar som vi planerar att analysera. För den övergripande bilden, låt oss välja Inre värdar.
Du kan se att TLS-versionen och motsvarande kryptostandard matas ut. Enligt det vanliga schemat i kolumnen Handlingar gå till Visa flöden och sökningen startar på en ny flik.
Från utgången kan man se att värden 198.19.20.136 över 12 timmar använde HTTPS med TLS 1.2, där krypteringsalgoritmen AES-256 och hashfunktion SHA-384. Således låter ETA dig hitta svaga algoritmer på nätverket.
4. Analys av nätverksavvikelser
Cisco StealthWatch kan känna igen trafikavvikelser i nätverket med hjälp av tre verktyg: Kärnhändelser (säkerhetshändelser), Förhållandehändelser (händelser av interaktioner mellan segment, nätverksnoder) och beteendeanalys.
Beteendeanalys gör det i sin tur möjligt att över tid bygga en beteendemodell för en viss värd eller grupp av värdar. Ju mer trafik som passerar genom StealthWatch, desto mer exakta blir varningarna tack vare denna analys. Till en början utlöser systemet mycket felaktigt, så reglerna bör "vridas" för hand. Jag rekommenderar att du ignorerar sådana händelser under de första veckorna, eftersom systemet kommer att justera sig själv, eller lägga till dem till undantag.
Nedan är ett exempel på en fördefinierad regel Anomali, som säger att händelsen kommer att utlösas utan larm om en värd i Inside Hosts-gruppen interagerar med Inside Hosts-gruppen och inom 24 timmar kommer trafiken att överstiga 10 megabyte.
Låt oss till exempel ta ett larm Datahamstring, vilket betyder att någon källa/destinationsvärd har laddat upp/laddat ner en onormalt stor mängd data från en grupp värdar eller en värd. Klicka på händelsen och gå till tabellen där de utlösande värdarna anges. Välj sedan den värd vi är intresserade av i kolumnen Datahamstring.
En händelse visas som indikerar att 162 100 "poäng" upptäcktes, och enligt policyn är XNUMX XNUMX "poäng" tillåtna - det här är interna StealthWatch-mått. I en kolumn Handlingar skjuta på Visa flöden.
Det kan vi observera given värd interagerade med värden på natten 10.201.3.47 från avdelningen Försäljning och marknadsföring enligt protokollet HTTPS och laddade ner 1.4 GB. Kanske är det här exemplet inte helt framgångsrikt, men detektering av interaktioner även för flera hundra gigabyte utförs på exakt samma sätt. Därför kan ytterligare undersökning av anomalierna leda till intressanta resultat.
Notera: i SMC-webbgränssnittet finns data i flikar Instrumentpaneler visas endast för den senaste veckan och på fliken Övervaka under de senaste 2 veckorna. För att analysera äldre händelser och generera rapporter måste du arbeta med java-konsolen på administratörens dator.
5. Hitta interna nätverksskanningar
Låt oss nu titta på några exempel på flöden – informationssäkerhetsincidenter. Denna funktion är av mer intresse för säkerhetspersonal.
Det finns flera förinställda avsökningshändelsetyper i StealthWatch:
- Port Scan – källan skannar flera portar på målvärden.
- Addr tcp scan - källan skannar hela nätverket på samma TCP-port och ändrar destinationens IP-adress. I det här fallet tar källan emot TCP Reset-paket eller tar inte emot svar alls.
- Addr udp scan - källan skannar hela nätverket på samma UDP-port, samtidigt som destinationens IP-adress ändras. I det här fallet tar källan emot ICMP Port Unreachable-paket eller tar inte emot svar alls.
- Ping Scan - källan skickar ICMP-förfrågningar till hela nätverket för att söka efter svar.
- Stealth Scan tсp/udp - källan använde samma port för att ansluta till flera portar på destinationsnoden samtidigt.
För att göra det bekvämare att hitta alla interna skannrar på en gång finns det en nätverksapp för StealthWatch - Synlighetsbedömning. Går till fliken Dashboards → Synlighetsbedömning → Interna nätverksskannrar du kommer att se skanningsrelaterade säkerhetsincidenter under de senaste 2 veckorna.
Klicka på knappen Detaljer, kommer du att se början av skanningen av varje nätverk, trafiktrenden och motsvarande larm.
Därefter kan du "misslyckas" till värden från fliken i föregående skärmdump och se säkerhetshändelser, såväl som aktivitet under den senaste veckan för den här värden.
Låt oss som ett exempel analysera händelsen Port Scan från värd 10.201.3.149 på 10.201.0.72, Trycker på Åtgärder > Associerade flöden. En trådsökning startas och relevant information visas.
Hur vi ser denna värd från en av dess hamnar 51508 / TCP skannade för 3 timmar sedan destinationsvärden efter port 22, 28, 42, 41, 36, 40 (TCP). Vissa fält visar inte heller information eftersom inte alla Netflow-fält stöds av Netflow-exportören.
6. Analys av nedladdad skadlig programvara med CTA
CTA (Cognitive Threat Analytics) — Cisco molnanalys, som integreras perfekt med Cisco StealthWatch och låter dig komplettera signaturfri analys med signaturanalys. Detta gör det möjligt att upptäcka trojaner, nätverksmaskar, zero-day malware och annan skadlig kod och distribuera dem inom nätverket. Den tidigare nämnda ETA-tekniken låter dig också analysera sådan skadlig kommunikation i krypterad trafik.
Bokstavligen på den allra första fliken i webbgränssnittet finns en speciell widget Kognitiv hotanalys. En kort sammanfattning indikerar hot som upptäckts på användarvärdar: trojaner, bedräglig programvara, irriterande adware. Ordet "krypterad" indikerar faktiskt ETA:s arbete. Genom att klicka på en värd visas all information om den, säkerhetshändelser, inklusive CTA-loggar.
Genom att hålla muspekaren över varje steg i CTA:n visar händelsen detaljerad information om interaktionen. För fullständig analys, klicka här Visa incidentdetaljer, och du kommer att tas till en separat konsol Kognitiv hotanalys.
I det övre högra hörnet låter ett filter dig visa händelser efter svårighetsgrad. När du pekar på en specifik anomali visas loggar längst ner på skärmen med motsvarande tidslinje till höger. Informationssäkerhetsspecialisten förstår alltså tydligt vilken infekterad värd, efter vilka åtgärder som började utföra vilka åtgärder.
Nedan är ett annat exempel - en banktrojan som infekterade värden 198.19.30.36. Den här värden började interagera med skadliga domäner och loggarna visar information om flödet av dessa interaktioner.
Därefter är en av de bästa lösningarna som kan vara att sätta värden i karantän tack vare den infödda med Cisco ISE för vidare behandling och analys.
Slutsats
Cisco StealthWatch-lösningen är en av de ledande bland nätverksövervakningsprodukter både när det gäller nätverksanalys och informationssäkerhet. Tack vare det kan du upptäcka illegitima interaktioner inom nätverket, applikationsförseningar, de mest aktiva användarna, anomalier, skadlig programvara och APT. Dessutom kan du hitta skannrar, pentestare och genomföra en kryptogranskning av HTTPS-trafik. Du kan hitta ännu fler användningsfall på .
Om du vill kontrollera hur smidigt och effektivt allt fungerar i ditt nätverk, skicka .
Inom en snar framtid planerar vi ytterligare flera tekniska publikationer om olika informationssäkerhetsprodukter. Om du är intresserad av detta ämne, följ då uppdateringarna i våra kanaler (, , , )!
Källa: will.com