ҳалли таҳлилӣ дар соҳаи амнияти иттилоотӣ мебошад, ки мониторинги ҳамаҷонибаи таҳдидҳоро дар шабакаи тақсимшуда таъмин менамояд. StealthWatch ба ҷамъоварии NetFlow ва IPFIX аз роутерҳо, коммутаторҳо ва дигар дастгоҳҳои шабакавӣ асос ёфтааст. Дар натиҷа, шабака ба як сенсори ҳассос табдил меёбад ва ба маъмур имкон медиҳад, ки ба ҷойҳое назар кунад, ки усулҳои анъанавии амнияти шабакавӣ, ба монанди Next Generation Firewall, дастрас нестанд.
Дар мақолаҳои қаблӣ ман аллакай дар бораи StealthWatch навишта будам: , инчунин . Ҳоло ман пешниҳод мекунам, ки идома диҳам ва муҳокима кунам, ки чӣ гуна кор бо ҳушдорҳо ва таҳқиқи ҳодисаҳои амниятӣ, ки ҳалли онро ба вуҷуд меорад. 6 мисол оварда мешавад, ки ман умедворам, ки дар бораи фоиданокии маҳсулот тасаввуроти хуб медиҳанд.
Аввалан, бояд гуфт, ки StealthWatch дорои баъзе тақсимоти ҳушдорҳо байни алгоритмҳо ва каналҳо мебошад. Якум навъҳои гуногуни ҳушдорҳо (огоҳиҳо) мебошанд, ки ҳангоми фаъол шудан шумо метавонед чизҳои шубҳанокро дар шабака ошкор кунед. Дуюм ҳодисаҳои амниятӣ мебошанд. Ин мақола 4 мисоли алгоритмҳои фаъолшуда ва 2 мисоли каналҳоро дида мебарояд.
1. Таҳлили бузургтарин мутақобила дар дохили шабака
Қадами аввал дар таъсиси StealthWatch ин муайян кардани ҳостҳо ва шабакаҳо ба гурӯҳҳо мебошад. Дар ҷадвали интерфейси веб Танзимот > Идоракунии гурӯҳи мизбон Шабакаҳо, ҳостҳо ва серверҳо бояд ба гурӯҳҳои мувофиқ тасниф карда шаванд. Шумо инчунин метавонед гурӯҳҳои худро эҷод кунед. Дар омади гап, таҳлили ҳамкории байни ҳостҳо дар Cisco StealthWatch хеле қулай аст, зеро шумо на танҳо филтрҳои ҷустуҷӯро тавассути ҷараён захира карда метавонед, балки худи натиҷаҳоро низ захира кунед.
Барои оғоз кардан, дар интерфейси веб шумо бояд ба ҷадвал равед Таҳлил > Ҷустуҷӯи ҷараён. Пас шумо бояд параметрҳои зеринро таъин кунед:
- Навъи ҷустуҷӯ - Сӯҳбатҳои беҳтарин (муомилаҳои маъмултарин)
- Диапазони вақт — 24 соат (давраи вақт, шумо метавонед дигарашро истифода баред)
- Номи ҷустуҷӯ - Сӯҳбатҳои беҳтарин дар дохили дохилӣ (ҳар номи дӯстона)
- Мавзӯъ - Гурӯҳҳои мизбон → Хостҳои дохили (манбаъ - гурӯҳи ҳостҳои дохилӣ)
- Пайвастшавӣ (шумо метавонед портҳо, барномаҳоро муайян кунед)
- Ҳамсол - Гурӯҳҳои мизбон → Хостҳои дохили (макон - гурӯҳи гиреҳҳои дохилӣ)
- Дар Options Advanced, шумо метавонед ба таври илова коллектореро, ки аз он маълумот дида мешавад, муайян кунед, натиҷаҳоро (аз рӯи байтҳо, ҷараёнҳо ва ғ.) ҷудо кунед. Ман онро ҳамчун пешфарз мегузорам.
Пас аз пахш кардани тугма кофтуков рӯйхати амалҳои мутақобила намоиш дода мешавад, ки аллакай аз рӯи ҳаҷми маълумоти интиқолшуда мураттаб шудаанд.
Дар мисоли ман мизбон 10.150.1.201 (сервер) танҳо дар дохили як ришта интиқол дода мешавад 1.5 GB трафик ба мизбон 10.150.1.200 (муштарӣ) аз рӯи протокол MySQL. Тугма Идоракунии сутунҳо ба шумо имкон медиҳад, ки ба маълумоти баромад сутунҳои бештар илова кунед.
Баъдан, бо салоҳдиди мудир, шумо метавонед як қоидаи фармоиширо эҷод кунед, ки ҳамеша ин навъи муоширатро ба вуҷуд меорад ва шуморо тавассути SNMP, почтаи электронӣ ё Syslog огоҳ мекунад.
2. Таҳлили сусттарин ҳамкории муштарӣ ва сервер дар дохили шабака барои таъхирҳо
Labels SRT (Вақти вокуниши сервер), RTT (Вақти сафар) ба шумо имкон медиҳад, ки таъхирҳои сервер ва таъхирҳои умумии шабакаро пайдо кунед. Ин асбоб махсусан вақте муфид аст, ки ба шумо лозим аст, ки сабаби шикоятҳои корбаронро дар бораи барномаи суст коркунанда зуд пайдо кунед.
эрод гирифтан: қариб ҳама содиркунандагони Netflow намедонам чи тавр барчаспҳои SRT, RTT фиристед, бинобар ин аксар вақт барои дидани чунин маълумот дар FlowSensor, шумо бояд фиристодани нусхаи трафикро аз дастгоҳҳои шабака танзим кунед. FlowSensor дар навбати худ IPFIX-и васеъшударо ба FlowCollector мефиристад.
Гузаронидани ин таҳлил дар барномаи StealtWatch java, ки дар компютери администратор насб шудааст, қулайтар аст.
Тугмаи рости муш фаъол аст Хостҳои дохили ва ба ҷадвал равед Ҷадвали ҷараён.
Пахш кунед Филтр ва параметрҳои заруриро муқаррар кунед. Ба унвони мисол:
- Сана/Вақт - Дар 3 рӯзи охир
- Иҷрои - Вақти миёнаи сафар >=50ms
Пас аз намоиш додани маълумот, мо бояд майдонҳои RTT ва SRT-ро илова кунем, ки ба мо таваҷҷӯҳ доранд. Барои ин, сутунеро, ки дар скриншот оварда шудааст, клик кунед ва бо тугмаи рости муш интихоб кунед Идоракунии сутунҳо. Баъдан, параметрҳои RTT, SRT -ро клик кунед.
Пас аз коркарди дархост, ман аз рӯи миёнаи RTT мураттаб кардам ва сусттарин муоширатро дидам.
Барои ворид шудан ба маълумоти муфассал, дар ҷараён бо тугмаи рости муш клик кунед ва интихоб кунед Намоиши зуд барои ҷараён.
Ин маълумот нишон медиҳад, ки мизбон 10.201.3.59 аз гурух Фурӯш ва маркетинг бо протокол NFS ишора мекунад сервери DNS як дақиқаю 23 сония ва танҳо ақибмонии даҳшатнок дорад. Дар ҷадвал интерфейсҳои шумо метавонед бифаҳмед, ки маълумот аз кадом содиркунандаи маълумоти Netflow гирифта шудааст. Дар ҷадвал Љадвали Маълумоти муфассалтар дар бораи ҳамкорӣ нишон дода мешавад.
Баъдан, шумо бояд фаҳмед, ки кадом дастгоҳҳо трафикро ба FlowSensor мефиристанд ва мушкилот эҳтимолан дар он ҷост.
Гузашта аз ин, StealthWatch беназир аст, ки он мегузаронад нусхабардорӣ маълумот (як ҷараёнҳоро муттаҳид мекунад). Аз ин рӯ, шумо метавонед қариб аз ҳама дастгоҳҳои Netflow ҷамъоварӣ кунед ва натарсед, ки маълумоти такрорӣ зиёд мешавад. Баръакс, дар ин схема он барои фаҳмидани он, ки кадом хоп таъхирҳои бештар дорад, кӯмак мекунад.
3. Аудити протоколҳои криптографии HTTPS
ETA (Таҳлили трафики рамзгузорӣ) технологияест, ки аз ҷониби Cisco таҳия шудааст, ки ба шумо имкон медиҳад пайвастҳои зарароварро дар трафики рамзшуда бидуни рамзкушоӣ ошкор кунед. Ғайр аз он, ин технология ба шумо имкон медиҳад, ки HTTPS-ро ба версияҳои TLS ва протоколҳои криптографие, ки ҳангоми пайвастшавӣ истифода мешаванд, "таҳлил" кунед. Ин функсия махсусан вақте муфид аст, ки ба шумо лозим аст, ки гиреҳҳои шабакавиро, ки стандартҳои заиф крипторо истифода мебаранд, ошкор кунед.
эрод гирифтан: Шумо бояд аввал барномаи шабакавиро дар StealthWatch насб кунед - Аудити криптографии ETA.
Ба ҷадвал равед Панели идоракунӣ → Аудити криптографии ETA ва гурӯҳи мизбонҳоро интихоб кунед, ки мо нақша дорем таҳлил кунем. Барои тасвири умумӣ, биёед интихоб кунем Хостҳои дохили.
Шумо мебинед, ки версияи TLS ва стандарти мувофиқи криптографӣ бароварда шудааст. Аз руи схемаи мукаррарй дар колонна Амалиётҳо равед Намоиши ҷараёнҳо ва ҷустуҷӯ дар ҷадвали нав оғоз меёбад.
Аз баромадхо дида мешавад, ки мизбон 198.19.20.136 дар болои Соатҳои 12 HTTPS-ро бо TLS 1.2 истифода бурд, ки дар он алгоритми рамзгузорӣ AES-256 ва функсияи hash ША-384. Ҳамин тариқ, ETA ба шумо имкон медиҳад, ки алгоритмҳои заифро дар шабака пайдо кунед.
4. Таҳлили аномалияи шабака
Cisco StealthWatch метавонад аномалияҳои трафикро дар шабака бо истифода аз се асбоб эътироф кунад: Ҳодисаҳои асосӣ (ҳодисаҳои амниятӣ), Ҳодисаҳои муносибатҳо (ҳодисаҳои таъсири мутақобилаи байни сегментҳо, гиреҳҳои шабака) ва таҳлили рафтор.
Таҳлили рафтор, дар навбати худ, имкон медиҳад, ки бо мурури замон модели рафторро барои як мизбон ё гурӯҳи мизбонҳо сохта шавад. Чӣ қадаре ки трафик аз StealthWatch гузарад, ба шарофати ин таҳлил ҳушдорҳо дақиқтар мешаванд. Дар аввал, система бисёр нодуруст ангеза медиҳад, бинобар ин, қоидаҳоро дастӣ "каҷ кардан" лозим аст. Ман тавсия медиҳам, ки шумо ин гуна рӯйдодҳоро дар чанд ҳафтаи аввал сарфи назар кунед, зеро система худашро танзим мекунад ё онҳоро ба истисноҳо илова мекунад.
Дар зер намунаи қоидаи пешакӣ муайяншуда оварда шудааст Аномалия, ки дар он гуфта мешавад, ки чорабинй бе сигнал оташ мешавад, агар ҳост дар гурӯҳи Inside Hosts бо гурӯҳи Inside Hosts ҳамкорӣ мекунад ва дар давоми 24 соат трафик аз 10 мегабайт зиёд мешавад.
Масалан, биёед сигналро гирем Ҷамъоварии маълумот, ки маънои онро дорад, ки баъзе мизбони манбаъ/таъинот миқдори ғайримуқаррарии маълумотро аз як гурӯҳи ҳостҳо ё ҳост бор кардааст/зер кардааст. Ҳодисаро клик кунед ва ба ҷадвал равед, ки дар он ҳостҳои триггер нишон дода шудаанд. Баъдан, хостеро интихоб кунед, ки мо дар сутун манфиатдорем Ҷамъоварии маълумот.
Ҳодиса нишон дода мешавад, ки 162k "нуқтаҳо" ошкор шудааст ва тибқи сиёсат, 100k "нуқтаҳо" иҷозат дода шудааст - инҳо ченакҳои дохилии StealthWatch мебошанд. Дар колонна Амалиётҳо Тела Намоиши ҷараёнҳо.
Мо инро мушохида карда метавонем мизбон дода шудааст шабона бо сохибхона хамсухбат шуд 10.201.3.47 аз кафедра Фурӯш ва маркетинг бо протокол HTTPS ва зеркашӣ карда шуд 1.4 GB. Шояд ин мисол комилан муваффақ набошад, аммо ошкор кардани робитаҳо ҳатто барои чандсад гигабайт маҳз ҳамин тавр сурат мегирад. Аз ин рӯ, таҳқиқи минбаъдаи аномалияҳо метавонад ба натиҷаҳои ҷолиб оварда расонад.
эрод гирифтан: дар интерфейси веби SMC, маълумот дар ҷадвалҳо ҷойгир аст Департаментҳо танҳо барои ҳафтаи охир ва дар ҷадвал нишон дода мешаванд Monitor дар давоми 2 ҳафтаи охир. Барои таҳлили рӯйдодҳои кӯҳна ва эҷоди гузоришҳо, шумо бояд бо консоли java дар компютери администратор кор кунед.
5. Ҷустуҷӯи сканҳои шабакаи дохилӣ
Акнун биёед якчанд мисоли каналҳоро дида бароем - ҳодисаҳои амнияти иттилоотӣ. Ин функсия барои мутахассисони амният бештар таваҷҷӯҳ дорад.
Дар StealthWatch якчанд намуди ҳодисаҳои скании пешакӣ муқарраршуда мавҷуданд:
- Скани порт-манбаъ портҳои сершуморро дар хости таъинот скан мекунад.
- Addr tcp скан - манбаъ тамоми шабакаро дар як порти TCP скан мекунад ва суроғаи IP-и таъинотро иваз мекунад. Дар ин ҳолат, манбаъ бастаҳои TCP Reset -ро қабул мекунад ё умуман посух намегирад.
- Addr udp scan - манбаъ ҳангоми тағир додани суроғаи IP-и таъинот тамоми шабакаро дар як бандари UDP скан мекунад. Дар ин ҳолат, манбаъ бастаҳои ICMP Port Unreachable -ро қабул мекунад ё умуман посух намегирад.
- Ping Scan - манбаъ дархостҳои ICMP-ро ба тамоми шабака барои ҷустуҷӯи ҷавоб мефиристад.
- Stealth Scan tсp/udp - манбаъ як портро барои пайваст шудан ба якчанд бандарҳои гиреҳи таъинот дар як вақт истифода бурд.
Барои осонтар кардани ёфтани ҳама сканерҳои дохилӣ якбора як барномаи шабакавӣ мавҷуд аст StealthWatch - Арзёбии намоён. Ба ҷадвал равед Панели идоракунӣ → Арзёбии намоён → Сканерҳои шабакавии дохилӣ шумо дар давоми 2 ҳафтаи охир ҳодисаҳои бехатарии марбут ба сканерро хоҳед дид.
Пахш кардани тугма Cохта шуд, шумо оғози сканкунии ҳар як шабака, тамоюли трафик ва ҳушдорҳои мувофиқро хоҳед дид.
Баъдан, шумо метавонед аз ҷадвали скриншоти қаблӣ ба мизбон "ноком" кунед ва рӯйдодҳои амниятӣ, инчунин фаъолиятро дар ҳафтаи охир барои ин мизбон бубинед.
Барои мисол вокеаро тахлил мекунем Сканкунии порт аз мизбон 10.201.3.149 ба 10.201.0.72, Пахш кардан Амалҳо > Ҷараёнҳои алоқаманд. Ҷустуҷӯи ришта оғоз мешавад ва маълумоти дахлдор нишон дода мешавад.
Чӣ тавр мо ин мизбонро аз яке аз бандарҳои он мебинем 51508/TCP 3 соат пеш мизбони таъинот тавассути бандар скан карда шуд 22, 28, 42, 41, 36, 40 (TCP). Баъзе майдонҳо низ маълумотро намоиш намедиҳанд, зеро на ҳама майдонҳои Netflow дар содиркунандаи Netflow дастгирӣ мешаванд.
6. Таҳлили нармафзори зеркашидашуда бо истифода аз CTA
CTA (Таҳлили таҳдидҳои маърифатӣ) — Таҳлили абрии Cisco, ки бо Cisco StealthWatch комилан ҳамгиро мешавад ва ба шумо имкон медиҳад, ки таҳлили бидуни имзоро бо таҳлили имзо пурра кунед. Ин имкон медиҳад, ки троянҳо, кирмҳои шабакавӣ, нармафзори зараровар ва дигар барномаҳои зараровар ошкор ва дар дохили шабака паҳн карда шаванд. Инчунин, технологияи ETA, ки қаблан зикр гардид, ба шумо имкон медиҳад, ки чунин иртиботи зараровар дар трафики рамзгузорӣ таҳлил карда шавад.
Аслан дар ҷадвали аввалини интерфейси веб виҷети махсус мавҷуд аст Таҳлили таҳдидҳои маърифатӣ. Хулосаи мухтасар таҳдидҳоеро, ки дар ҳостҳои корбар ошкор шудаанд, нишон медиҳад: Троян, нармафзори қаллобӣ, таблиғоти озори. Калимаи "Encrypted" воқеан кори ETA-ро нишон медиҳад. Бо пахш кардани ҳост, ҳама маълумот дар бораи он, рӯйдодҳои амниятӣ, аз ҷумла гузоришҳои CTA пайдо мешаванд.
Бо гузариш ба ҳар як марҳилаи CTA, чорабинӣ маълумоти муфассалро дар бораи ҳамкорӣ нишон медиҳад. Барои таҳлили пурра, ин ҷо клик кунед Дидани тафсилоти ҳодиса, ва шумо ба консоли алоҳида бурда мешавед Таҳлили таҳдидҳои маърифатӣ.
Дар кунҷи рости боло филтр ба шумо имкон медиҳад, ки рӯйдодҳоро аз рӯи дараҷаи вазнинӣ нишон диҳед. Вақте ки шумо ба аномалияи мушаххас ишора мекунед, гузоришҳо дар поёни экран бо ҷадвали мувофиқ дар тарафи рост пайдо мешаванд. Ҳамин тариқ, мутахассиси амнияти иттилоотӣ ба таври возеҳ мефаҳмад, ки кадом ҳости сироятшуда, пас аз кадом амалҳо ба иҷрои кадом амалҳо шурӯъ карданд.
Дар зер мисоли дигар аст - як трояни бонкӣ, ки мизбонро сироят кардааст 198.19.30.36. Ин мизбон бо доменҳои зараровар муомила карданро оғоз кард ва гузоришҳо маълумотро дар бораи ҷараёни ин ҳамкорӣ нишон медиҳанд.
Баъдан, яке аз беҳтарин роҳи ҳалли он ин аст, ки ба шарофати ватанӣ карантини мизбон аст бо Cisco ISE барои табобат ва таҳлили минбаъда.
хулоса
Ҳалли Cisco StealthWatch яке аз пешвоёни маҳсулоти мониторинги шабака ҳам аз ҷиҳати таҳлили шабака ва ҳам амнияти иттилоотӣ мебошад. Ба шарофати он, шумо метавонед муносибатҳои ғайриқонунӣ дар дохили шабака, таъхирҳои барномаҳо, корбарони фаъолтарин, аномалияҳо, нармафзори зараровар ва APTs -ро ошкор кунед. Ғайр аз он, шумо метавонед сканерҳо, пентестерҳоро пайдо кунед ва криптоаудити трафики HTTPS гузаронед. Шумо метавонед ҳолатҳои истифодаи боз ҳам бештарро дар .
Агар шумо хоҳед, ки санҷед, ки ҳама чиз дар шабакаи шумо то чӣ андоза осон ва самаранок кор мекунад, ирсол кунед .
Дар ояндаи наздик мо якчанд нашрияҳои дигари техникӣ оид ба маҳсулоти гуногуни амнияти иттилоотиро ба нақша гирифтаем. Агар шумо ба ин мавзӯъ таваҷҷӯҳ дошта бошед, пас навсозиҳоро дар каналҳои мо пайгирӣ кунед (, , , )!
Манбаъ: will.com