ni suluhisho la uchambuzi katika uwanja wa usalama wa habari ambao hutoa ufuatiliaji wa kina wa vitisho katika mtandao unaosambazwa. StealthWatch inategemea kukusanya NetFlow na IPFIX kutoka kwa vipanga njia, swichi na vifaa vingine vya mtandao. Kwa hivyo, mtandao unakuwa kitambuzi nyeti na kumruhusu msimamizi kuangalia mahali ambapo mbinu za jadi za usalama za mtandao, kama vile Next Generation Firewall, haziwezi kufika.
Katika nakala zilizopita tayari niliandika juu ya StealthWatch: Na . Sasa ninapendekeza kuendelea na kujadili jinsi ya kufanya kazi na kengele na kuchunguza matukio ya usalama ambayo suluhisho hutoa. Kutakuwa na mifano 6 ambayo natumaini itatoa wazo nzuri la manufaa ya bidhaa.
Kwanza, inafaa kusema kuwa StealthWatch ina usambazaji fulani wa kengele kati ya algoriti na milisho. Ya kwanza ni aina mbalimbali za kengele (arifa), zinapoanzishwa, unaweza kugundua mambo ya kutiliwa shaka kwenye mtandao. Ya pili ni matukio ya usalama. Makala haya yataangalia mifano 4 ya algorithms iliyoanzishwa na mifano 2 ya milisho.
1. Uchambuzi wa mwingiliano mkubwa ndani ya mtandao
Hatua ya awali ya kusanidi StealthWatch ni kufafanua wapangishi na mitandao katika vikundi. Katika kichupo cha kiolesura cha wavuti Sanidi > Udhibiti wa Kikundi Mitandao, seva pangishi na seva zinapaswa kuainishwa katika vikundi vinavyofaa. Unaweza pia kuunda vikundi vyako mwenyewe. Kwa njia, kuchambua mwingiliano kati ya wahudumu katika Cisco StealthWatch ni rahisi sana, kwani huwezi tu kuhifadhi vichungi vya utaftaji kwa mkondo, lakini pia matokeo yenyewe.
Ili kuanza, katika kiolesura cha wavuti unapaswa kwenda kwenye kichupo Changanua > Utafutaji wa Mtiririko. Kisha unapaswa kuweka vigezo vifuatavyo:
- Aina ya Utafutaji - Mazungumzo Maarufu (mwingiliano maarufu zaidi)
- Masafa ya Muda - masaa 24 (muda, unaweza kutumia mwingine)
- Jina la Utafutaji - Mazungumzo Maarufu Ndani-Ndani (jina lolote la kirafiki)
- Mada - Vikundi vya Wapangishi β Wapangishi Ndani (chanzo - kikundi cha wapangishi wa ndani)
- Muunganisho (unaweza kutaja bandari, programu)
- Rika - Vikundi vya Waandaji β Wenyeji Ndani (leo - kikundi cha nodi za ndani)
- Katika Chaguzi za Juu, unaweza kuongeza kutaja mtoza ambayo data hutazamwa, kupanga matokeo (kwa byte, mitiririko, nk). Nitaiacha kama chaguo-msingi.
Baada ya kubonyeza kitufe tafuta orodha ya mwingiliano inaonyeshwa ambayo tayari imepangwa kulingana na kiasi cha data iliyohamishwa.
Katika mfano wangu mwenyeji 10.150.1.201 (seva) hupitishwa ndani ya uzi mmoja tu 1.5 GB trafiki kwa mwenyeji 10.150.1.200 (mteja) kwa itifaki mysql. Kitufe Dhibiti Safu hukuruhusu kuongeza safu wima zaidi kwenye data ya towe.
Ifuatayo, kwa hiari ya msimamizi, unaweza kuunda sheria maalum ambayo itasababisha aina hii ya mwingiliano kila wakati na kukuarifu kupitia SNMP, barua pepe au Syslog.
2. Uchambuzi wa mwingiliano wa polepole zaidi wa seva ya mteja ndani ya mtandao kwa ucheleweshaji
Tags SRT (Wakati wa Kujibu Seva), RTT (Saa ya Kurudi na Kurudi) hukuruhusu kujua ucheleweshaji wa seva na ucheleweshaji wa jumla wa mtandao. Chombo hiki ni muhimu hasa wakati unahitaji kupata haraka sababu ya malalamiko ya mtumiaji kuhusu programu inayoendesha polepole.
Kumbuka: karibu wasafirishaji wote wa Netflow sijui jinsi gani tuma vitambulisho vya SRT, RTT, mara nyingi, ili kuona data kama hiyo kwenye FlowSensor, unahitaji kusanidi kutuma nakala ya trafiki kutoka kwa vifaa vya mtandao. FlowSensor kwa upande wake hutuma IPFIX iliyopanuliwa kwa FlowCollector.
Ni rahisi zaidi kufanya uchambuzi huu katika programu ya java ya StealtWatch, ambayo imewekwa kwenye kompyuta ya msimamizi.
Kitufe cha kulia cha kipanya kimewashwa Ndani ya Majeshi na nenda kwenye kichupo Jedwali la Mtiririko.
Bonyeza Chuja na kuweka vigezo muhimu. Kwa mfano:
- Tarehe/Saa - Kwa siku 3 zilizopita
- Utendaji - Muda Wastani wa Safari ya Narudi >=ms50
Baada ya kuonyesha data, tunapaswa kuongeza sehemu za RTT na SRT ambazo zinatuvutia. Ili kufanya hivyo, bofya kwenye safu kwenye skrini na uchague na kifungo cha kulia cha mouse Dhibiti Safu. Ifuatayo, bofya RTT, vigezo vya SRT.
Baada ya kushughulikia ombi, nilipanga kwa wastani wa RTT na nikaona mwingiliano wa polepole zaidi.
Ili kuingia katika maelezo ya kina, bofya kulia kwenye mkondo na uchague Mwonekano wa Haraka wa Mtiririko.
Habari hii inaonyesha kuwa mwenyeji 10.201.3.59 kutoka kwa kikundi Mauzo na Masoko kwa itifaki NFS rufaa kwa Seva ya DNS kwa dakika na sekunde 23 na ina bakia mbaya tu. Katika kichupo Interfaces unaweza kujua ni msafirishaji gani wa data wa Netflow ambao habari ilipatikana kutoka. Katika kichupo Meza Maelezo ya kina zaidi kuhusu mwingiliano yanaonyeshwa.
Ifuatayo, unapaswa kujua ni vifaa gani vinavyotuma trafiki kwa FlowSensor na kuna uwezekano mkubwa kwamba shida iko hapo.
Zaidi ya hayo, StealthWatch ni ya kipekee kwa kuwa inafanya upunguzaji data (inachanganya mito sawa). Kwa hiyo, unaweza kukusanya kutoka kwa karibu vifaa vyote vya Netflow na usiogope kuwa kutakuwa na data nyingi za duplicate. Kinyume chake, katika mpango huu itasaidia kuelewa ni hop gani ina ucheleweshaji mkubwa.
3. Ukaguzi wa itifaki za kriptografia za HTTPS
ETA (Uchanganuzi Uliosimbwa wa Trafiki) ni teknolojia iliyotengenezwa na Cisco inayokuruhusu kugundua miunganisho hasidi katika trafiki iliyosimbwa bila kuisimbua. Zaidi ya hayo, teknolojia hii hukuruhusu "kuchanganua" HTTPS katika matoleo ya TLS na itifaki za kriptografia ambazo hutumiwa wakati wa miunganisho. Utendaji huu ni muhimu sana wakati unahitaji kugundua nodi za mtandao zinazotumia viwango dhaifu vya crypto.
Kumbuka: Lazima kwanza usakinishe programu ya mtandao kwenye StealthWatch - Ukaguzi wa Crystalgraphic wa ETA.
Nenda kwenye kichupo Dashibodi β Ukaguzi wa Crystalgraphic wa ETA na uchague kikundi cha waandaji tunachopanga kuchanganua. Kwa picha ya jumla, hebu tuchague Ndani ya Majeshi.
Unaweza kuona kwamba toleo la TLS na kiwango kinacholingana cha crypto ni pato. Kulingana na mpango wa kawaida kwenye safu Vitendo enda kwa Tazama Mitiririko na utafutaji unaanza kwenye kichupo kipya.
Kutoka kwa pato inaweza kuonekana kuwa mwenyeji 198.19.20.136 kote Masaa 12 ilitumia HTTPS na TLS 1.2, ambapo algoriti ya usimbaji fiche AES-256 na kazi ya hashi Sha-384. Kwa hivyo, ETA hukuruhusu kupata algorithms dhaifu kwenye mtandao.
4. Uchambuzi wa makosa ya mtandao
Cisco StealthWatch inaweza kutambua hitilafu za trafiki kwenye mtandao kwa kutumia zana tatu: Matukio ya Msingi (matukio ya usalama), Matukio ya Uhusiano (matukio ya mwingiliano kati ya sehemu, nodi za mtandao) na uchambuzi wa tabia.
Uchanganuzi wa tabia, kwa upande wake, unaruhusu baada ya muda kuunda muundo wa tabia kwa mwenyeji fulani au kikundi cha waandaji. Kadiri trafiki inavyozidi kupitia StealthWatch, ndivyo arifa zitakavyokuwa sahihi zaidi kutokana na uchanganuzi huu. Mara ya kwanza, mfumo unasababisha mengi kwa usahihi, hivyo sheria zinapaswa "kupotoshwa" kwa mkono. Ninapendekeza kwamba upuuze matukio kama haya kwa wiki chache za kwanza, kwani mfumo utajirekebisha, au utayaongeza kwa vighairi.
Chini ni mfano wa sheria iliyoainishwa mapema Ajabu, ambayo inasema kuwa tukio hilo litawaka bila kengele ikiwa mwenyeji katika kikundi cha Wapangishaji Ndani hutangamana na kikundi cha Wenyeji Ndani na ndani ya saa 24 trafiki itazidi megabaiti 10.
Kwa mfano, hebu tuchukue kengele Uhifadhi Data, ambayo ina maana kwamba baadhi ya chanzo/lengwa la seva pangishi amepakia/kupakua kiasi kikubwa cha data kutoka kwa kundi la wapangishi au wapangishi. Bofya kwenye tukio na uende kwenye meza ambapo majeshi ya kuchochea yanaonyeshwa. Ifuatayo, chagua mwenyeji tunayependezwa naye kwenye safu Uhifadhi Data.
Tukio linaonyeshwa linaloonyesha kuwa "pointi" 162k ziligunduliwa, na kulingana na sera, "pointi" 100k zinaruhusiwa - hizi ni vipimo vya ndani vya StealthWatch. Katika safu Vitendo sukuma Tazama Mitiririko.
Tunaweza kuchunguza hilo aliyepewa mwenyeji aliingiliana na mwenyeji usiku 10.201.3.47 kutoka idara Uuzaji na Uuzaji kwa itifaki HTTPS na kupakuliwa 1.4 GB. Labda mfano huu haufanikiwa kabisa, lakini kugundua mwingiliano hata kwa gigabytes mia kadhaa hufanyika kwa njia sawa. Kwa hiyo, uchunguzi zaidi wa makosa unaweza kusababisha matokeo ya kuvutia.
Kumbuka: katika kiolesura cha wavuti cha SMC, data iko kwenye vichupo Dashibodi huonyeshwa kwa wiki iliyopita na kwenye kichupo pekee Kufuatilia katika wiki 2 zilizopita. Ili kuchanganua matukio ya zamani na kutoa ripoti, unahitaji kufanya kazi na kiweko cha java kwenye kompyuta ya msimamizi.
5. Kutafuta uchunguzi wa mtandao wa ndani
Sasa hebu tuangalie mifano michache ya milisho - matukio ya usalama wa habari. Utendaji huu ni wa manufaa zaidi kwa wataalamu wa usalama.
Kuna aina kadhaa za matukio ya utambazaji yaliyowekwa awali katika StealthWatch:
- Uchanganuzi wa Portβchanzo huchanganua milango mingi kwenye seva pangishi lengwa.
- Scan ya Addr tcp - chanzo hutafuta mtandao mzima kwenye bandari sawa ya TCP, kubadilisha anwani ya IP ya mwisho. Katika kesi hii, chanzo hupokea pakiti za TCP Rudisha au haipati majibu kabisa.
- Uchanganuzi wa Addr udp - chanzo huchanganua mtandao mzima kwenye bandari sawa ya UDP, huku kikibadilisha anwani ya IP lengwa. Katika hali hii, chanzo hupokea pakiti za ICMP Port Haipatikani au haipokei majibu kabisa.
- Ping Scan - chanzo hutuma maombi ya ICMP kwa mtandao mzima ili kutafuta majibu.
- Stealth Scan tΡp/udp - chanzo kilitumia mlango huo kuunganisha kwenye milango mingi kwenye nodi lengwa kwa wakati mmoja.
Ili kurahisisha kupata vichanganuzi vyote vya ndani mara moja, kuna programu ya mtandao ya StealthWatch - Tathmini ya Mwonekano. Kwenda kwenye kichupo Dashibodi β Tathmini ya Mwonekano β Vichanganuzi vya Mtandao wa Ndani utaona matukio ya usalama yanayohusiana na skanning kwa wiki 2 zilizopita.
Kubofya kitufe Maelezo, utaona mwanzo wa skanning ya kila mtandao, mwenendo wa trafiki na kengele zinazofanana.
Kisha, unaweza "kushindwa" kuingia kwenye seva pangishi kutoka kwenye kichupo katika picha ya skrini iliyotangulia na kuona matukio ya usalama, pamoja na shughuli za wiki iliyopita kwa seva pangishi hii.
Kwa mfano, hebu tuchambue tukio hilo Scan ya bandari kutoka kwa mwenyeji 10.201.3.149 juu ya 10.201.0.72, Kubonyeza Vitendo > Mitiririko Husika. Utafutaji wa thread unazinduliwa na taarifa muhimu huonyeshwa.
Jinsi tunavyomwona mwenyeji huyu kutoka kwa moja ya bandari zake 51508/TCP ilichanganuliwa saa 3 zilizopita mwenyeji lengwa kwa bandari 22, 28, 42, 41, 36, 40 (TCP). Baadhi ya sehemu pia hazionyeshi maelezo kwa sababu si sehemu zote za Netflow zinazotumika kwenye kisafirishaji cha Netflow.
6. Uchambuzi wa programu hasidi iliyopakuliwa kwa kutumia CTA
CTA (Uchanganuzi wa Tishio Utambuzi) β Uchanganuzi wa wingu wa Cisco, ambao unaunganishwa kikamilifu na Cisco StealthWatch na hukuruhusu kukamilisha uchanganuzi bila saini kwa uchanganuzi sahihi. Hii huwezesha kutambua Trojans, minyoo ya mtandao, programu hasidi ya siku sifuri na programu hasidi nyingine na kuzisambaza ndani ya mtandao. Pia, teknolojia ya ETA iliyotajwa hapo awali inakuwezesha kuchambua mawasiliano hayo mabaya katika trafiki iliyosimbwa.
Kwa kweli kwenye kichupo cha kwanza kabisa kwenye kiolesura cha wavuti kuna wijeti maalum Uchanganuzi wa Tishio la Utambuzi. Muhtasari mfupi unaonyesha vitisho vilivyotambuliwa kwa seva pangishi za watumiaji: Trojan, programu ya ulaghai, adware ya kuudhi. Neno "Usimbo fiche" kwa kweli linaonyesha kazi ya ETA. Kwa kubofya mwenyeji, taarifa zote kuhusu hilo, matukio ya usalama, ikiwa ni pamoja na kumbukumbu za CTA, inaonekana.
Kwa kuelea juu ya kila hatua ya CTA, tukio linaonyesha maelezo ya kina kuhusu mwingiliano. Kwa uchanganuzi kamili, bofya hapa Tazama Maelezo ya Tukio, na utachukuliwa kwa koni tofauti Uchanganuzi wa Tishio la Utambuzi.
Katika kona ya juu kulia, kichujio hukuruhusu kuonyesha matukio kwa kiwango cha ukali. Unapoelekeza kwenye hitilafu fulani, kumbukumbu huonekana chini ya skrini na rekodi ya matukio inayolingana upande wa kulia. Kwa hivyo, mtaalam wa usalama wa habari anaelewa wazi ni mwenyeji gani aliyeambukizwa, baada ya hapo vitendo vilianza kufanya vitendo gani.
Chini ni mfano mwingine - Trojan ya benki ambayo iliambukiza mwenyeji 198.19.30.36. Mpangishi huyu alianza kuingiliana na vikoa hasidi, na kumbukumbu zinaonyesha habari juu ya mtiririko wa mwingiliano huu.
Ifuatayo, mojawapo ya suluhu bora zaidi inayoweza kuwa ni kumweka karantini mwenyeji kwa shukrani kwa mwenyeji na Cisco ISE kwa matibabu na uchambuzi zaidi.
Hitimisho
Suluhisho la Cisco StealthWatch ni mojawapo ya viongozi kati ya bidhaa za ufuatiliaji wa mtandao katika suala la uchambuzi wa mtandao na usalama wa habari. Shukrani kwa hilo, unaweza kugundua mwingiliano haramu ndani ya mtandao, ucheleweshaji wa programu, watumiaji wanaofanya kazi zaidi, hitilafu, programu hasidi na APT. Zaidi ya hayo, unaweza kupata scanners, pentesters, na kufanya ukaguzi wa crypto wa trafiki ya HTTPS. Unaweza kupata kesi zaidi za utumiaji kwa .
Ikiwa ungependa kuangalia jinsi kila kitu kinavyofanya kazi vizuri na kwa ufanisi kwenye mtandao wako, tuma .
Katika siku za usoni, tunapanga machapisho kadhaa zaidi ya kiufundi kuhusu bidhaa mbalimbali za usalama wa habari. Ikiwa una nia ya mada hii, basi fuata sasisho katika chaneli zetu (, , , )!
Chanzo: mapenzi.com