StealthWatch: సంఘటన విశ్లేషణ మరియు పరిశోధన. పార్ట్ 3

సిస్కో స్టెల్త్ వాచ్ పంపిణీ చేయబడిన నెట్‌వర్క్‌లో బెదిరింపుల సమగ్ర పర్యవేక్షణను అందించే సమాచార భద్రత రంగంలో విశ్లేషణాత్మక పరిష్కారం. StealthWatch రౌటర్లు, స్విచ్‌లు మరియు ఇతర నెట్‌వర్క్ పరికరాల నుండి NetFlow మరియు IPFIX సేకరించడంపై ఆధారపడి ఉంటుంది. ఫలితంగా, నెట్‌వర్క్ సున్నితమైన సెన్సార్‌గా మారుతుంది మరియు నెక్స్ట్ జనరేషన్ ఫైర్‌వాల్ వంటి సాంప్రదాయ నెట్‌వర్క్ భద్రతా పద్ధతులు చేరుకోలేని ప్రదేశాలను చూసేందుకు నిర్వాహకుడిని అనుమతిస్తుంది.

మునుపటి కథనాలలో నేను ఇప్పటికే StealthWatch గురించి వ్రాసాను: మొదటి పరిచయం మరియు అవకాశాలుమరియు విస్తరణ మరియు ఆకృతీకరణ. ఇప్పుడు నేను ముందుకు వెళ్లాలని మరియు అలారాలతో ఎలా పని చేయాలో చర్చించాలని మరియు పరిష్కారం సృష్టించే భద్రతా సంఘటనలను పరిశోధించాలని ప్రతిపాదిస్తున్నాను. ఉత్పత్తి యొక్క ఉపయోగం గురించి మంచి ఆలోచన ఇస్తుందని నేను ఆశిస్తున్న 6 ఉదాహరణలు ఉన్నాయి.

ముందుగా, StealthWatch అల్గారిథమ్‌లు మరియు ఫీడ్‌ల మధ్య అలారంల పంపిణీని కలిగి ఉందని చెప్పాలి. మొదటిది వివిధ రకాల అలారాలు (నోటిఫికేషన్‌లు), ప్రేరేపించబడినప్పుడు, మీరు నెట్‌వర్క్‌లో అనుమానాస్పద విషయాలను గుర్తించవచ్చు. రెండవది భద్రతా సంఘటనలు. ఈ కథనం ట్రిగ్గర్ చేయబడిన అల్గారిథమ్‌ల యొక్క 4 ఉదాహరణలు మరియు ఫీడ్‌ల యొక్క 2 ఉదాహరణలను పరిశీలిస్తుంది.

1. నెట్‌వర్క్‌లోని అతిపెద్ద పరస్పర చర్యల విశ్లేషణ

స్టెల్త్‌వాచ్‌ను సెటప్ చేయడంలో ప్రారంభ దశ హోస్ట్‌లు మరియు నెట్‌వర్క్‌లను సమూహాలుగా నిర్వచించడం. వెబ్ ఇంటర్‌ఫేస్ ట్యాబ్‌లో కాన్ఫిగర్ > హోస్ట్ గ్రూప్ మేనేజ్‌మెంట్ నెట్‌వర్క్‌లు, హోస్ట్‌లు మరియు సర్వర్‌లను తగిన సమూహాలుగా వర్గీకరించాలి. మీరు మీ స్వంత సమూహాలను కూడా సృష్టించవచ్చు. మార్గం ద్వారా, Cisco StealthWatchలో హోస్ట్‌ల మధ్య పరస్పర చర్యలను విశ్లేషించడం చాలా సౌకర్యవంతంగా ఉంటుంది, ఎందుకంటే మీరు స్ట్రీమ్ ద్వారా శోధన ఫిల్టర్‌లను మాత్రమే సేవ్ చేయలేరు, కానీ ఫలితాలను కూడా సేవ్ చేయవచ్చు.

ప్రారంభించడానికి, వెబ్ ఇంటర్‌ఫేస్‌లో మీరు ట్యాబ్‌కు వెళ్లాలి విశ్లేషించండి > ఫ్లో శోధన. అప్పుడు మీరు ఈ క్రింది పారామితులను సెట్ చేయాలి:

• శోధన రకం - అగ్ర సంభాషణలు (అత్యంత జనాదరణ పొందిన పరస్పర చర్యలు)
• సమయ పరిధి — 24 గంటలు (సమయం వ్యవధి, మీరు మరొకదాన్ని ఉపయోగించవచ్చు)
• శోధన పేరు - లోపల-లోపల అగ్ర సంభాషణలు (ఏదైనా స్నేహపూర్వక పేరు)
• విషయం - హోస్ట్ గుంపులు → ఇన్‌సైడ్ హోస్ట్‌లు (మూలం - అంతర్గత హోస్ట్‌ల సమూహం)
• కనెక్షన్ (మీరు పోర్ట్‌లు, అప్లికేషన్‌లను పేర్కొనవచ్చు)
• పీర్ - హోస్ట్ గ్రూప్‌లు → ఇన్‌సైడ్ హోస్ట్‌లు (గమ్యం - అంతర్గత నోడ్‌ల సమూహం)
• అధునాతన ఎంపికలలో, మీరు డేటాను వీక్షించే కలెక్టర్‌ను అదనంగా పేర్కొనవచ్చు, అవుట్‌పుట్‌ను క్రమబద్ధీకరించవచ్చు (బైట్‌లు, స్ట్రీమ్‌లు మొదలైనవి). నేను దానిని డిఫాల్ట్‌గా వదిలివేస్తాను.

బటన్ నొక్కిన తర్వాత శోధన బదిలీ చేయబడిన డేటా మొత్తం ద్వారా ఇప్పటికే క్రమబద్ధీకరించబడిన పరస్పర చర్యల జాబితా ప్రదర్శించబడుతుంది.

నా ఉదాహరణలో హోస్ట్ 10.150.1.201 (సర్వర్) ఒక థ్రెడ్‌లో మాత్రమే ప్రసారం చేయబడుతుంది 1.5 GB హోస్ట్ చేయడానికి ట్రాఫిక్ 10.150.1.200 (క్లయింట్) ప్రోటోకాల్ ద్వారా mysql. బటన్ నిలువు వరుసలను నిర్వహించండి అవుట్‌పుట్ డేటాకు మరిన్ని నిలువు వరుసలను జోడించడానికి మిమ్మల్ని అనుమతిస్తుంది.

తర్వాత, నిర్వాహకుని అభీష్టానుసారం, మీరు ఎల్లప్పుడూ ఈ రకమైన పరస్పర చర్యను ప్రేరేపించే అనుకూల నియమాన్ని సృష్టించవచ్చు మరియు SNMP, ఇమెయిల్ లేదా Syslog ద్వారా మీకు తెలియజేస్తుంది.

2. ఆలస్యం కోసం నెట్‌వర్క్‌లోని నెమ్మదిగా క్లయింట్-సర్వర్ పరస్పర చర్యల విశ్లేషణ

టాగ్లు SRT (సర్వర్ ప్రతిస్పందన సమయం), RTT (రౌండ్ ట్రిప్ సమయం) సర్వర్ జాప్యాలు మరియు సాధారణ నెట్‌వర్క్ జాప్యాలను కనుగొనడానికి మిమ్మల్ని అనుమతిస్తుంది. నెమ్మదిగా నడుస్తున్న అప్లికేషన్ గురించి వినియోగదారు ఫిర్యాదుల కారణాన్ని మీరు త్వరగా కనుగొనవలసి వచ్చినప్పుడు ఈ సాధనం ప్రత్యేకంగా ఉపయోగపడుతుంది.

వ్యాఖ్య: దాదాపు అన్ని నెట్‌ఫ్లో ఎగుమతిదారులు ఎలాగో తెలియదు SRT, RTT ట్యాగ్‌లను పంపండి, కాబట్టి తరచుగా, అటువంటి డేటాను ఫ్లోసెన్సర్‌లో చూడటానికి, మీరు నెట్‌వర్క్ పరికరాల నుండి ట్రాఫిక్ కాపీని పంపడాన్ని కాన్ఫిగర్ చేయాలి. FlowSensor క్రమంగా విస్తరించిన IPFIXని FlowCollectorకి పంపుతుంది.

అడ్మినిస్ట్రేటర్ కంప్యూటర్‌లో ఇన్‌స్టాల్ చేయబడిన స్టీల్ట్‌వాచ్ జావా అప్లికేషన్‌లో ఈ విశ్లేషణను నిర్వహించడం మరింత సౌకర్యవంతంగా ఉంటుంది.

కుడి మౌస్ బటన్ ఆన్ హోస్ట్‌ల లోపల మరియు ట్యాబ్‌కి వెళ్లండి ఫ్లో టేబుల్.

నొక్కండి వడపోత మరియు అవసరమైన పారామితులను సెట్ చేయండి. ఉదాహరణకు:

• తేదీ/సమయం - గత 3 రోజులు
• పనితీరు — సగటు రౌండ్ ట్రిప్ సమయం >=50ms

డేటాను ప్రదర్శించిన తర్వాత, మనకు ఆసక్తి ఉన్న RTT మరియు SRT ఫీల్డ్‌లను జోడించాలి. దీన్ని చేయడానికి, స్క్రీన్‌షాట్‌లోని కాలమ్‌పై క్లిక్ చేసి, కుడి మౌస్ బటన్‌తో ఎంచుకోండి నిలువు వరుసలను నిర్వహించండి. తరువాత, RTT, SRT పారామితులను క్లిక్ చేయండి.

అభ్యర్థనను ప్రాసెస్ చేసిన తర్వాత, నేను RTT సగటు ద్వారా క్రమబద్ధీకరించాను మరియు నెమ్మదిగా పరస్పర చర్యలను చూశాను.

వివరణాత్మక సమాచారంలోకి వెళ్లడానికి, స్ట్రీమ్‌పై కుడి-క్లిక్ చేసి, ఎంచుకోండి ఫ్లో కోసం త్వరిత వీక్షణ.

ఈ సమాచారం హోస్ట్ అని సూచిస్తుంది 10.201.3.59 సమూహం నుండి అమ్మకాలు మరియు మార్కెటింగ్ ప్రోటోకాల్ ద్వారా NFS విన్నపాలు DNS సర్వర్ ఒక నిమిషం మరియు 23 సెకన్లు మరియు కేవలం భయంకరమైన లాగ్ ఉంది. ట్యాబ్‌లో ఇంటర్ఫేసెస్ ఏ నెట్‌ఫ్లో డేటా ఎగుమతిదారు నుండి సమాచారం పొందబడిందో మీరు కనుగొనవచ్చు. ట్యాబ్‌లో టేబుల్ పరస్పర చర్య గురించి మరింత వివరణాత్మక సమాచారం చూపబడింది.

తర్వాత, ఫ్లోసెన్సర్‌కి ఏ పరికరాలు ట్రాఫిక్‌ను పంపుతాయో మీరు కనుగొనాలి మరియు సమస్య ఎక్కువగా ఉంటుంది.

అంతేకాకుండా, StealthWatch నిర్వహించడంలో ప్రత్యేకత ఉంది నకిలీ డేటా (అదే స్ట్రీమ్‌లను మిళితం చేస్తుంది). అందువల్ల, మీరు దాదాపు అన్ని నెట్‌ఫ్లో పరికరాల నుండి సేకరించవచ్చు మరియు చాలా నకిలీ డేటా ఉంటుందని భయపడవద్దు. దీనికి విరుద్ధంగా, ఈ స్కీమ్‌లో ఏ హాప్‌లో ఎక్కువ ఆలస్యం ఉందో అర్థం చేసుకోవడానికి ఇది సహాయపడుతుంది.

3. HTTPS క్రిప్టోగ్రాఫిక్ ప్రోటోకాల్‌ల ఆడిట్

ETA (ఎన్‌క్రిప్టెడ్ ట్రాఫిక్ అనలిటిక్స్) గుప్తీకరించిన ట్రాఫిక్‌లో హానికరమైన కనెక్షన్‌లను డీక్రిప్ట్ చేయకుండానే గుర్తించడానికి మిమ్మల్ని అనుమతించే సిస్కో అభివృద్ధి చేసిన సాంకేతికత. అంతేకాకుండా, ఈ సాంకేతికత HTTPSని TLS వెర్షన్‌లు మరియు కనెక్షన్‌ల సమయంలో ఉపయోగించే క్రిప్టోగ్రాఫిక్ ప్రోటోకాల్‌లలోకి "అన్వయించడానికి" మిమ్మల్ని అనుమతిస్తుంది. బలహీనమైన క్రిప్టో ప్రమాణాలను ఉపయోగించే నెట్‌వర్క్ నోడ్‌లను మీరు గుర్తించాల్సిన అవసరం వచ్చినప్పుడు ఈ కార్యాచరణ ప్రత్యేకంగా ఉపయోగపడుతుంది.

వ్యాఖ్య: మీరు ముందుగా StealthWatchలో నెట్‌వర్క్ యాప్‌ను ఇన్‌స్టాల్ చేయాలి - ETA క్రిప్టోగ్రాఫిక్ ఆడిట్.

ట్యాబ్‌కి వెళ్లండి డాష్‌బోర్డ్‌లు → ETA క్రిప్టోగ్రాఫిక్ ఆడిట్ మరియు మేము విశ్లేషించడానికి ప్లాన్ చేసే హోస్ట్‌ల సమూహాన్ని ఎంచుకోండి. మొత్తం చిత్రం కోసం, ఎంచుకుందాం హోస్ట్‌ల లోపల.

మీరు TLS వెర్షన్ మరియు సంబంధిత క్రిప్టో స్టాండర్డ్ అవుట్‌పుట్ అని చూడవచ్చు. కాలమ్‌లోని సాధారణ పథకం ప్రకారం చర్యలు వెళ్ళండి ప్రవాహాలను వీక్షించండి మరియు శోధన కొత్త ట్యాబ్‌లో ప్రారంభమవుతుంది.

అవుట్పుట్ నుండి అది హోస్ట్ అని చూడవచ్చు 198.19.20.136 పైగా గంటలు TLS 1.2తో HTTPS ఉపయోగించబడింది, ఇక్కడ ఎన్క్రిప్షన్ అల్గోరిథం AES-256 మరియు హాష్ ఫంక్షన్ SHA-384. అందువలన, ETA నెట్‌వర్క్‌లో బలహీనమైన అల్గారిథమ్‌లను కనుగొనడానికి మిమ్మల్ని అనుమతిస్తుంది.

4. నెట్‌వర్క్ క్రమరాహిత్యం విశ్లేషణ

Cisco StealthWatch మూడు సాధనాలను ఉపయోగించి నెట్‌వర్క్‌లో ట్రాఫిక్ క్రమరాహిత్యాలను గుర్తించగలదు: కోర్ ఈవెంట్స్ (భద్రతా సంఘటనలు), రిలేషన్షిప్ ఈవెంట్స్ (విభాగాలు, నెట్‌వర్క్ నోడ్‌ల మధ్య పరస్పర చర్యల సంఘటనలు) మరియు ప్రవర్తనా విశ్లేషణ.

ప్రవర్తనా విశ్లేషణ, కాలక్రమేణా నిర్దిష్ట హోస్ట్ లేదా హోస్ట్‌ల సమూహం కోసం ప్రవర్తన నమూనాను రూపొందించడానికి అనుమతిస్తుంది. StealthWatch గుండా ఎక్కువ ట్రాఫిక్ వెళుతుంది, ఈ విశ్లేషణకు కృతజ్ఞతలు తెలుపుతూ హెచ్చరికలు మరింత ఖచ్చితమైనవిగా ఉంటాయి. మొదట, సిస్టమ్ చాలా తప్పుగా ప్రేరేపిస్తుంది, కాబట్టి నియమాలు చేతితో "వక్రీకృతమై" ఉండాలి. మొదటి కొన్ని వారాలపాటు మీరు అలాంటి ఈవెంట్‌లను విస్మరించమని నేను సిఫార్సు చేస్తున్నాను, ఎందుకంటే సిస్టమ్ స్వయంగా సర్దుబాటు చేస్తుంది లేదా వాటిని మినహాయింపులకు జోడిస్తుంది.

క్రింద ముందే నిర్వచించబడిన నియమానికి ఉదాహరణ అసాధారణ, ఒకవేళ ఈవెంట్ అలారం లేకుండా కాల్పులు జరుపుతుందని పేర్కొంది ఇన్‌సైడ్ హోస్ట్‌ల గ్రూప్‌లోని హోస్ట్ ఇన్‌సైడ్ హోస్ట్‌ల గ్రూప్‌తో ఇంటరాక్ట్ అవుతుంది మరియు 24 గంటల్లో ట్రాఫిక్ 10 మెగాబైట్‌లను మించిపోతుంది.

ఉదాహరణకు, అలారం తీసుకుందాం డేటా హోర్డింగ్, అంటే కొన్ని సోర్స్/గమ్యస్థాన హోస్ట్ హోస్ట్‌ల సమూహం లేదా హోస్ట్ నుండి అసాధారణంగా పెద్ద మొత్తంలో డేటాను అప్‌లోడ్ చేసింది/డౌన్‌లోడ్ చేసింది. ఈవెంట్‌పై క్లిక్ చేసి, ట్రిగ్గరింగ్ హోస్ట్‌లు సూచించబడిన పట్టికకు వెళ్లండి. తరువాత, కాలమ్‌లో మనకు ఆసక్తి ఉన్న హోస్ట్‌ని ఎంచుకోండి డేటా హోర్డింగ్.

162k “పాయింట్‌లు” కనుగొనబడినట్లు సూచించే ఈవెంట్ ప్రదర్శించబడుతుంది మరియు విధానం ప్రకారం, 100k “పాయింట్‌లు” అనుమతించబడతాయి - ఇవి అంతర్గత StealthWatch మెట్రిక్‌లు. కాలమ్‌లో చర్యలు ఐ ప్రవాహాలను వీక్షించండి.

దానిని మనం గమనించవచ్చు ఇచ్చిన హోస్ట్ రాత్రి హోస్ట్‌తో సంభాషించారు 10.201.3.47 శాఖ నుండి సేల్స్ & మార్కెటింగ్ ప్రోటోకాల్ ద్వారా HTTPS మరియు డౌన్‌లోడ్ చేయబడింది 1.4 GB. బహుశా ఈ ఉదాహరణ పూర్తిగా విజయవంతం కాకపోవచ్చు, కానీ అనేక వందల గిగాబైట్ల కోసం కూడా పరస్పర చర్యలను గుర్తించడం సరిగ్గా అదే విధంగా నిర్వహించబడుతుంది. అందువల్ల, క్రమరాహిత్యాల తదుపరి పరిశోధన ఆసక్తికరమైన ఫలితాలకు దారితీయవచ్చు.

వ్యాఖ్య: SMC వెబ్ ఇంటర్‌ఫేస్‌లో, డేటా ట్యాబ్‌లలో ఉంటుంది డాష్బోర్డ్లను గత వారం మరియు ట్యాబ్‌లో మాత్రమే ప్రదర్శించబడతాయి మానిటర్ గత 2 వారాలుగా. పాత ఈవెంట్‌లను విశ్లేషించడానికి మరియు నివేదికలను రూపొందించడానికి, మీరు నిర్వాహకుని కంప్యూటర్‌లోని జావా కన్సోల్‌తో పని చేయాలి.

5. అంతర్గత నెట్‌వర్క్ స్కాన్‌లను కనుగొనడం

ఇప్పుడు ఫీడ్‌ల యొక్క కొన్ని ఉదాహరణలను చూద్దాం - సమాచార భద్రతా సంఘటనలు. ఈ కార్యాచరణ భద్రతా నిపుణులకు మరింత ఆసక్తిని కలిగిస్తుంది.

StealthWatchలో అనేక ప్రీసెట్ స్కాన్ ఈవెంట్ రకాలు ఉన్నాయి:

• పోర్ట్ స్కాన్-మూలం డెస్టినేషన్ హోస్ట్‌లోని బహుళ పోర్ట్‌లను స్కాన్ చేస్తుంది.
• Addr tcp స్కాన్ - మూలం మొత్తం నెట్‌వర్క్‌ను ఒకే TCP పోర్ట్‌లో స్కాన్ చేస్తుంది, గమ్యం IP చిరునామాను మారుస్తుంది. ఈ సందర్భంలో, మూలం TCP రీసెట్ ప్యాకెట్‌లను అందుకుంటుంది లేదా ప్రతిస్పందనలను స్వీకరించదు.
• Addr udp స్కాన్ - డెస్టినేషన్ IP అడ్రస్‌ను మారుస్తున్నప్పుడు సోర్స్ మొత్తం నెట్‌వర్క్‌ను అదే UDP పోర్ట్‌లో స్కాన్ చేస్తుంది. ఈ సందర్భంలో, మూలం ICMP పోర్ట్ అన్‌రీచబుల్ ప్యాకెట్‌లను అందుకుంటుంది లేదా ప్రతిస్పందనలను స్వీకరించదు.
• పింగ్ స్కాన్ - సమాధానాల కోసం శోధించడానికి మూలం మొత్తం నెట్‌వర్క్‌కు ICMP అభ్యర్థనలను పంపుతుంది.
• స్టెల్త్ స్కాన్ tсp/udp - ఒకే సమయంలో డెస్టినేషన్ నోడ్‌లోని బహుళ పోర్ట్‌లకు కనెక్ట్ చేయడానికి మూలం ఒకే పోర్ట్‌ను ఉపయోగించింది.

అన్ని అంతర్గత స్కానర్‌లను ఒకేసారి కనుగొనడం మరింత సౌకర్యవంతంగా చేయడానికి, దీని కోసం నెట్‌వర్క్ యాప్ ఉంది StealthWatch - విజిబిలిటీ అసెస్‌మెంట్. ట్యాబ్‌కి వెళుతున్నాను డాష్‌బోర్డ్‌లు → విజిబిలిటీ అసెస్‌మెంట్ → అంతర్గత నెట్‌వర్క్ స్కానర్‌లు మీరు గత 2 వారాలుగా స్కానింగ్ సంబంధిత భద్రతా సంఘటనలను చూస్తారు.

బటన్‌ను క్లిక్ చేయడం వివరాలు, మీరు ప్రతి నెట్‌వర్క్ యొక్క స్కానింగ్ ప్రారంభం, ట్రాఫిక్ ట్రెండ్ మరియు సంబంధిత అలారాలను చూస్తారు.

తర్వాత, మీరు మునుపటి స్క్రీన్‌షాట్‌లోని ట్యాబ్ నుండి హోస్ట్‌లోకి "విఫలం" చేయవచ్చు మరియు ఈ హోస్ట్ కోసం గత వారంలో భద్రతా ఈవెంట్‌లను అలాగే కార్యాచరణను చూడవచ్చు.

ఉదాహరణగా, సంఘటనను విశ్లేషిద్దాం పోర్ట్ స్కాన్ హోస్ట్ నుండి 10.201.3.149 న 10.201.0.72, నొక్కడం చర్యలు > అనుబంధ ప్రవాహాలు. థ్రెడ్ శోధన ప్రారంభించబడింది మరియు సంబంధిత సమాచారం ప్రదర్శించబడుతుంది.

మేము ఈ హోస్ట్‌ని దాని పోర్ట్‌లలో ఒకదాని నుండి ఎలా చూస్తాము 51508/TCP పోర్ట్ ద్వారా డెస్టినేషన్ హోస్ట్‌ని 3 గంటల క్రితం స్కాన్ చేసారు 22, 28, 42, 41, 36, 40 (TCP). Netflow ఎగుమతిదారులో అన్ని Netflow ఫీల్డ్‌లు మద్దతు ఇవ్వనందున కొన్ని ఫీల్డ్‌లు సమాచారాన్ని ప్రదర్శించవు.

6. CTAని ఉపయోగించి డౌన్‌లోడ్ చేయబడిన మాల్వేర్ యొక్క విశ్లేషణ

CTA (కాగ్నిటివ్ థ్రెట్ అనలిటిక్స్) — సిస్కో క్లౌడ్ అనలిటిక్స్, ఇది సిస్కో స్టెల్త్‌వాచ్‌తో సంపూర్ణంగా కలిసిపోతుంది మరియు సంతకం విశ్లేషణతో సంతకం-రహిత విశ్లేషణను పూర్తి చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. ఇది ట్రోజన్‌లు, నెట్‌వర్క్ వార్మ్‌లు, జీరో-డే మాల్వేర్ మరియు ఇతర మాల్వేర్‌లను గుర్తించడం మరియు వాటిని నెట్‌వర్క్‌లో పంపిణీ చేయడం సాధ్యపడుతుంది. అలాగే, గతంలో పేర్కొన్న ETA సాంకేతికత ఎన్‌క్రిప్టెడ్ ట్రాఫిక్‌లో ఇటువంటి హానికరమైన కమ్యూనికేషన్‌లను విశ్లేషించడానికి మిమ్మల్ని అనుమతిస్తుంది.

వెబ్ ఇంటర్‌ఫేస్‌లోని మొదటి ట్యాబ్‌లో సాహిత్యపరంగా ప్రత్యేక విడ్జెట్ ఉంది కాగ్నిటివ్ థ్రెట్ అనలిటిక్స్. సంక్షిప్త సారాంశం వినియోగదారు హోస్ట్‌లలో కనుగొనబడిన బెదిరింపులను సూచిస్తుంది: ట్రోజన్, మోసపూరిత సాఫ్ట్‌వేర్, బాధించే యాడ్‌వేర్. "ఎన్‌క్రిప్టెడ్" అనే పదం వాస్తవానికి ETA యొక్క పనిని సూచిస్తుంది. హోస్ట్‌పై క్లిక్ చేయడం ద్వారా, దాని గురించిన మొత్తం సమాచారం, CTA లాగ్‌లతో సహా భద్రతా ఈవెంట్‌లు కనిపిస్తాయి.

CTA యొక్క ప్రతి దశలో హోవర్ చేయడం ద్వారా, ఈవెంట్ పరస్పర చర్య గురించి వివరణాత్మక సమాచారాన్ని ప్రదర్శిస్తుంది. పూర్తి విశ్లేషణల కోసం, ఇక్కడ క్లిక్ చేయండి సంఘటన వివరాలను చూడండి, మరియు మీరు ప్రత్యేక కన్సోల్‌కి తీసుకెళ్లబడతారు కాగ్నిటివ్ థ్రెట్ అనలిటిక్స్.

ఎగువ కుడి మూలలో, తీవ్రత స్థాయిని బట్టి ఈవెంట్‌లను ప్రదర్శించడానికి ఫిల్టర్ మిమ్మల్ని అనుమతిస్తుంది. మీరు నిర్దిష్ట క్రమరాహిత్యాన్ని సూచించినప్పుడు, కుడివైపున సంబంధిత కాలక్రమంతో స్క్రీన్ దిగువన లాగ్‌లు కనిపిస్తాయి. అందువల్ల, ఇన్ఫర్మేషన్ సెక్యూరిటీ స్పెషలిస్ట్ ఏ సోకిన హోస్ట్‌ని స్పష్టంగా అర్థం చేసుకుంటాడు, ఆ తర్వాత చర్యలు ఏ చర్యలను చేయడం ప్రారంభించాయి.

క్రింద మరొక ఉదాహరణ - హోస్ట్‌కు సోకిన బ్యాంకింగ్ ట్రోజన్ 198.19.30.36. ఈ హోస్ట్ హానికరమైన డొమైన్‌లతో పరస్పర చర్య చేయడం ప్రారంభించింది మరియు లాగ్‌లు ఈ పరస్పర చర్యల ప్రవాహంపై సమాచారాన్ని చూపుతాయి.

తర్వాత, స్థానికులకు ధన్యవాదాలు తెలిపే హోస్ట్‌ను నిర్బంధించడం ఉత్తమ పరిష్కారాలలో ఒకటి అనుసంధానం తదుపరి చికిత్స మరియు విశ్లేషణ కోసం సిస్కో ISE తో.

తీర్మానం

Cisco StealthWatch సొల్యూషన్ నెట్‌వర్క్ విశ్లేషణ మరియు సమాచార భద్రత పరంగా నెట్‌వర్క్ పర్యవేక్షణ ఉత్పత్తులలో అగ్రగామిగా ఉంది. దీనికి ధన్యవాదాలు, మీరు నెట్‌వర్క్‌లో చట్టవిరుద్ధమైన పరస్పర చర్యలు, అప్లికేషన్ జాప్యాలు, అత్యంత యాక్టివ్ యూజర్‌లు, క్రమరాహిత్యాలు, మాల్వేర్ మరియు APTలను గుర్తించవచ్చు. అంతేకాకుండా, మీరు స్కానర్‌లు, పెంటెస్టర్‌లను కనుగొనవచ్చు మరియు HTTPS ట్రాఫిక్ యొక్క క్రిప్టో-ఆడిట్‌ను నిర్వహించవచ్చు. మీరు ఇక్కడ మరిన్ని వినియోగ కేసులను కనుగొనవచ్చు లింక్.

మీ నెట్‌వర్క్‌లో ప్రతిదీ ఎంత సజావుగా మరియు సమర్ధవంతంగా పని చేస్తుందో మీరు తనిఖీ చేయాలనుకుంటే, పంపండి అప్లికేషన్.
సమీప భవిష్యత్తులో, మేము వివిధ సమాచార భద్రతా ఉత్పత్తులపై మరిన్ని సాంకేతిక ప్రచురణలను ప్లాన్ చేస్తున్నాము. మీకు ఈ అంశంపై ఆసక్తి ఉంటే, మా ఛానెల్‌లలోని నవీకరణలను అనుసరించండి (Telegram, <span style="font-family: Mandali; ">ఫేస్‌బుక్ </span>, VK, TS సొల్యూషన్ బ్లాగ్)!

మూలం: www.habr.com