เป็นโซลูชันการวิเคราะห์ในด้านความปลอดภัยของข้อมูลที่ให้การตรวจสอบภัยคุกคามในเครือข่ายแบบกระจายอย่างครอบคลุม StealthWatch ขึ้นอยู่กับการรวบรวม NetFlow และ IPFIX จากเราเตอร์ สวิตช์ และอุปกรณ์เครือข่ายอื่นๆ เป็นผลให้เครือข่ายกลายเป็นเซ็นเซอร์ที่มีความละเอียดอ่อนและช่วยให้ผู้ดูแลระบบสามารถตรวจสอบตำแหน่งที่วิธีการรักษาความปลอดภัยเครือข่ายแบบเดิมๆ เช่น Next Generation Firewall ไม่สามารถเข้าถึงได้
ในบทความก่อนหน้านี้ ฉันได้เขียนเกี่ยวกับ StealthWatch แล้ว: และ . ตอนนี้ฉันเสนอให้ดำเนินการต่อและหารือเกี่ยวกับวิธีทำงานกับสัญญาณเตือนและตรวจสอบเหตุการณ์ด้านความปลอดภัยที่โซลูชันสร้างขึ้น จะมีตัวอย่าง 6 ตัวอย่างที่ผมหวังว่าจะให้แนวคิดที่ดีเกี่ยวกับประโยชน์ของผลิตภัณฑ์
ประการแรก ควรกล่าวว่า StealthWatch มีการกระจายการแจ้งเตือนระหว่างอัลกอริธึมและฟีด อย่างแรกคือการเตือน (การแจ้งเตือน) ประเภทต่างๆ เมื่อถูกกระตุ้น คุณสามารถตรวจจับสิ่งที่ต้องสงสัยบนเครือข่ายได้ ประการที่สองคือเหตุการณ์ด้านความปลอดภัย บทความนี้จะพิจารณาตัวอย่างอัลกอริทึมที่เรียกใช้ 4 ตัวอย่างและตัวอย่างฟีด 2 รายการ
1. การวิเคราะห์ปฏิสัมพันธ์ที่ใหญ่ที่สุดภายในเครือข่าย
ขั้นตอนเริ่มต้นในการตั้งค่า StealthWatch คือการกำหนดโฮสต์และเครือข่ายออกเป็นกลุ่ม ในแท็บเว็บอินเตอร์เฟส กำหนดค่า > การจัดการกลุ่มโฮสต์ เครือข่าย โฮสต์ และเซิร์ฟเวอร์ควรจัดอยู่ในกลุ่มที่เหมาะสม คุณยังสามารถสร้างกลุ่มของคุณเองได้ อย่างไรก็ตามการวิเคราะห์การโต้ตอบระหว่างโฮสต์ใน Cisco StealthWatch นั้นค่อนข้างสะดวกเนื่องจากคุณไม่เพียงสามารถบันทึกตัวกรองการค้นหาตามสตรีมเท่านั้น แต่ยังรวมถึงผลลัพธ์ด้วย
ในการเริ่มต้นในเว็บอินเตอร์เฟสคุณควรไปที่แท็บ วิเคราะห์ > การค้นหาโฟลว์. จากนั้นคุณควรตั้งค่าพารามิเตอร์ต่อไปนี้:
- ประเภทการค้นหา - การสนทนายอดนิยม (การโต้ตอบยอดนิยม)
- ช่วงเวลา — 24 ชั่วโมง (ช่วงเวลาคุณสามารถใช้ช่วงเวลาอื่นได้)
- ชื่อการค้นหา - บทสนทนายอดนิยมทั้งภายใน-ภายใน (ชื่อที่เป็นมิตรใดก็ได้)
- หัวเรื่อง - กลุ่มโฮสต์ → โฮสต์ภายใน (ที่มา - กลุ่มของโฮสต์ภายใน)
- การเชื่อมต่อ (ระบุพอร์ต, แอพพลิเคชั่นได้)
- เพียร์ - กลุ่มโฮสต์ → ภายในโฮสต์ (ปลายทาง - กลุ่มของโหนดภายใน)
- ในตัวเลือกขั้นสูง คุณสามารถระบุตัวรวบรวมข้อมูลเพิ่มเติมสำหรับการดูข้อมูล โดยเรียงลำดับเอาต์พุต (ตามไบต์ สตรีม ฯลฯ) ฉันจะปล่อยให้มันเป็นค่าเริ่มต้น
หลังจากกดปุ่ม ค้นหา รายการการโต้ตอบจะปรากฏขึ้นซึ่งจัดเรียงตามจำนวนข้อมูลที่ถ่ายโอนแล้ว
ในตัวอย่างของฉันโฮสต์ 10.150.1.201 (เซิร์ฟเวอร์) ส่งภายในเธรดเดียวเท่านั้น 1.5 กิกะไบต์ การรับส่งข้อมูลไปยังโฮสต์ 10.150.1.200 (ลูกค้า) ตามโปรโตคอล MySQL. ปุ่ม จัดการคอลัมน์ ช่วยให้คุณสามารถเพิ่มคอลัมน์เพิ่มเติมลงในข้อมูลเอาต์พุตได้
ถัดไป คุณสามารถสร้างกฎแบบกำหนดเองที่จะทริกเกอร์การโต้ตอบประเภทนี้เสมอ และแจ้งให้คุณทราบผ่าน SNMP อีเมล หรือ Syslog ขึ้นอยู่กับดุลยพินิจของผู้ดูแลระบบ
2. การวิเคราะห์การโต้ตอบระหว่างไคลเอนต์และเซิร์ฟเวอร์ที่ช้าที่สุดภายในเครือข่ายเพื่อหาความล่าช้า
แท็ก SRT (เวลาตอบสนองของเซิร์ฟเวอร์), RTT (รอบเวลา) ช่วยให้คุณค้นหาความล่าช้าของเซิร์ฟเวอร์และความล่าช้าของเครือข่ายทั่วไป เครื่องมือนี้มีประโยชน์อย่างยิ่งเมื่อคุณต้องการค้นหาสาเหตุของการร้องเรียนของผู้ใช้เกี่ยวกับแอปพลิเคชันที่ทำงานช้าอย่างรวดเร็ว
หมายเหตุ: ผู้ส่งออก Netflow เกือบทั้งหมด ไม่ทราบวิธีการ ส่งแท็ก SRT, RTT บ่อยครั้งเพื่อดูข้อมูลดังกล่าวบน FlowSensor คุณต้องกำหนดค่าการส่งสำเนาการรับส่งข้อมูลจากอุปกรณ์เครือข่าย FlowSensor จะส่ง IPFIX แบบขยายไปยัง FlowCollector
สะดวกกว่าที่จะดำเนินการวิเคราะห์นี้ในแอปพลิเคชัน StealtWatch java ซึ่งติดตั้งบนคอมพิวเตอร์ของผู้ดูแลระบบ
ปุ่มเมาส์ขวาเปิดอยู่ ภายในเจ้าภาพ และไปที่แท็บ ตารางการไหล.
คลิกที่ ตัวกรอง และตั้งค่าพารามิเตอร์ที่จำเป็น ตัวอย่างเช่น:
- วันที่/เวลา - ในช่วง 3 วันที่ผ่านมา
- ประสิทธิภาพ — เวลาไปกลับโดยเฉลี่ย >=50ms
หลังจากแสดงข้อมูลแล้ว เราควรเพิ่มช่อง RTT และ SRT ที่เราสนใจ โดยคลิกที่คอลัมน์ในภาพหน้าจอแล้วเลือกด้วยปุ่มเมาส์ขวา จัดการคอลัมน์. จากนั้นคลิกพารามิเตอร์ RTT, SRT
หลังจากประมวลผลคำขอแล้ว ฉันจัดเรียงตามค่าเฉลี่ย RTT และเห็นการโต้ตอบที่ช้าที่สุด
หากต้องการดูข้อมูลโดยละเอียด ให้คลิกขวาที่สตรีมแล้วเลือก มุมมองด่วนสำหรับการไหล.
ข้อมูลนี้บ่งชี้ว่าโฮสต์ 10.201.3.59 จากกลุ่ม ขายและการตลาด ตามระเบียบการ NFS อุทธรณ์ไปยัง เซิร์ฟเวอร์ DNS เป็นเวลาหนึ่งนาที 23 วินาทีและมีความล่าช้าอย่างมาก ในแท็บ อินเตอร์เฟซ คุณสามารถค้นหาได้ว่าข้อมูลดังกล่าวได้รับมาจากผู้ส่งออกข้อมูล Netflow รายใด ในแท็บ ตาราง ข้อมูลรายละเอียดเพิ่มเติมเกี่ยวกับการโต้ตอบจะแสดงขึ้น
ถัดไป คุณควรค้นหาว่าอุปกรณ์ใดส่งการรับส่งข้อมูลไปยัง FlowSensor และปัญหาน่าจะอยู่ที่นั่น
ยิ่งไปกว่านั้น StealthWatch ยังมีเอกลักษณ์เฉพาะตัวในการดำเนินการอีกด้วย การขจัดข้อมูลซ้ำซ้อน ข้อมูล (รวมสตรีมเดียวกัน) ดังนั้นคุณจึงสามารถรวบรวมจากอุปกรณ์ Netflow เกือบทั้งหมดและไม่ต้องกลัวว่าจะมีข้อมูลซ้ำซ้อนจำนวนมาก ในทางตรงกันข้าม ในรูปแบบนี้จะช่วยให้เข้าใจว่าฮอปใดมีความล่าช้ามากที่สุด
3. การตรวจสอบโปรโตคอลการเข้ารหัส HTTPS
ETA (การวิเคราะห์การรับส่งข้อมูลที่เข้ารหัส) เป็นเทคโนโลยีที่พัฒนาโดย Cisco ซึ่งช่วยให้คุณตรวจจับการเชื่อมต่อที่เป็นอันตรายในการรับส่งข้อมูลที่เข้ารหัสโดยไม่ต้องถอดรหัส นอกจากนี้ เทคโนโลยีนี้ยังช่วยให้คุณ “แยกวิเคราะห์” HTTPS เป็นเวอร์ชัน TLS และโปรโตคอลการเข้ารหัสที่ใช้ระหว่างการเชื่อมต่อได้ ฟังก์ชันนี้มีประโยชน์อย่างยิ่งเมื่อคุณต้องการตรวจจับโหนดเครือข่ายที่ใช้มาตรฐานการเข้ารหัสลับที่อ่อนแอ
หมายเหตุ: คุณต้องติดตั้งแอปเครือข่ายบน StealthWatch ก่อน - การตรวจสอบการเข้ารหัสลับของ ETA.
ไปที่แท็บ แดชบอร์ด → การตรวจสอบการเข้ารหัส ETA และเลือกกลุ่มโฮสต์ที่เราวางแผนจะวิเคราะห์ สำหรับภาพรวมให้เลือกกันนะครับ ภายในเจ้าภาพ.
คุณจะเห็นว่าเวอร์ชัน TLS และมาตรฐานการเข้ารหัสลับที่เกี่ยวข้องนั้นถูกส่งออก ตามรูปแบบปกติในคอลัมน์ สถานะ ไปที่ ดูโฟลว์ และการค้นหาจะเริ่มต้นในแท็บใหม่
จากเอาท์พุตจะเห็นว่าโฮสต์ 198.19.20.136 ตลอด ชั่วโมง 12 ใช้ HTTPS กับ TLS 1.2 โดยที่อัลกอริธึมการเข้ารหัส AES-256 และฟังก์ชันแฮช SHA-384. ดังนั้น ETA จึงช่วยให้คุณค้นหาอัลกอริธึมที่อ่อนแอบนเครือข่ายได้
4. การวิเคราะห์ความผิดปกติของเครือข่าย
Cisco StealthWatch สามารถรับรู้ความผิดปกติของการรับส่งข้อมูลบนเครือข่ายโดยใช้เครื่องมือสามประการ: เหตุการณ์หลัก (เหตุการณ์ด้านความปลอดภัย) เหตุการณ์ความสัมพันธ์ (เหตุการณ์ของการโต้ตอบระหว่างเซ็กเมนต์ โหนดเครือข่าย) และ การวิเคราะห์พฤติกรรม.
ในทางกลับกัน การวิเคราะห์พฤติกรรมจะช่วยให้สามารถสร้างแบบจำลองพฤติกรรมสำหรับโฮสต์เฉพาะหรือกลุ่มของโฮสต์เมื่อเวลาผ่านไป ยิ่งปริมาณการรับส่งข้อมูลผ่าน StealthWatch มากเท่าใด การแจ้งเตือนก็จะยิ่งแม่นยำยิ่งขึ้นด้วยการวิเคราะห์นี้ ในตอนแรก ระบบทริกเกอร์ไม่ถูกต้องมาก ดังนั้นกฎควร "บิด" ด้วยมือ ฉันขอแนะนำให้คุณเพิกเฉยต่อเหตุการณ์ดังกล่าวในช่วงสองสามสัปดาห์แรก เนื่องจากระบบจะปรับเปลี่ยนตัวเองหรือเพิ่มเหตุการณ์เหล่านั้นลงในข้อยกเว้น
ด้านล่างนี้เป็นตัวอย่างของกฎที่กำหนดไว้ล่วงหน้า ความผิดปกติซึ่งระบุว่าเหตุการณ์จะเกิดขึ้นโดยไม่มีสัญญาณเตือนหาก โฮสต์ในกลุ่ม Inside Hosts โต้ตอบกับกลุ่ม Inside Hosts และภายใน 24 ชั่วโมงการรับส่งข้อมูลจะเกิน 10 เมกะไบต์.
เช่น เรามาตั้งปลุกกัน การกักตุนข้อมูลซึ่งหมายความว่าโฮสต์ต้นทาง/ปลายทางบางแห่งได้อัปโหลด/ดาวน์โหลดข้อมูลจำนวนมากผิดปกติจากกลุ่มโฮสต์หรือโฮสต์ คลิกที่เหตุการณ์และไปที่ตารางที่ระบุโฮสต์ที่ทริกเกอร์ จากนั้นเลือกโฮสต์ที่เราสนใจในคอลัมน์ การกักตุนข้อมูล.
เหตุการณ์จะปรากฏขึ้นโดยระบุว่าตรวจพบ “คะแนน” 162 คะแนน และตามนโยบาย อนุญาตให้ใช้ “คะแนน” ได้ 100 คะแนน ซึ่งเป็นตัวชี้วัด StealthWatch ภายใน ในคอลัมน์ สถานะ นาจิมาเม่ ดูโฟลว์.
เราสามารถสังเกตได้ว่า เป็นเจ้าภาพ พูดคุยกับเจ้าภาพในเวลากลางคืน 10.201.3.47 จากแผนก การตลาด ตามระเบียบการ HTTPS และดาวน์โหลดแล้ว 1.4 กิกะไบต์. บางทีตัวอย่างนี้อาจไม่ประสบความสำเร็จทั้งหมด แต่การตรวจจับการโต้ตอบแม้จะหลายร้อยกิกะไบต์ก็ดำเนินการในลักษณะเดียวกันทุกประการ ดังนั้นการตรวจสอบความผิดปกติเพิ่มเติมอาจนำไปสู่ผลลัพธ์ที่น่าสนใจ
หมายเหตุ: ในเว็บอินเตอร์เฟสของ SMC ข้อมูลจะอยู่ในแท็บ แผงควบคุม จะแสดงเฉพาะสัปดาห์ที่ผ่านมาและในแท็บเท่านั้น การตรวจสอบ ในช่วง 2 สัปดาห์ที่ผ่านมา ในการวิเคราะห์เหตุการณ์เก่าๆ และสร้างรายงาน คุณต้องทำงานกับคอนโซล Java บนคอมพิวเตอร์ของผู้ดูแลระบบ
5. ค้นหาการสแกนเครือข่ายภายใน
ตอนนี้เรามาดูตัวอย่างบางส่วนของฟีด - เหตุการณ์ด้านความปลอดภัยของข้อมูล ฟังก์ชั่นนี้เป็นที่สนใจของผู้เชี่ยวชาญด้านความปลอดภัยมากกว่า
มีเหตุการณ์การสแกนที่กำหนดไว้ล่วงหน้าหลายประเภทใน StealthWatch:
- การสแกนพอร์ต—ต้นทางจะสแกนหลายพอร์ตบนโฮสต์ปลายทาง
- Addr tcp scan - แหล่งที่มาจะสแกนเครือข่ายทั้งหมดบนพอร์ต TCP เดียวกันโดยเปลี่ยนที่อยู่ IP ปลายทาง ในกรณีนี้ ต้นทางจะได้รับแพ็กเก็ตการรีเซ็ต TCP หรือไม่ได้รับการตอบกลับเลย
- Addr udp scan - แหล่งที่มาจะสแกนเครือข่ายทั้งหมดบนพอร์ต UDP เดียวกันในขณะที่เปลี่ยนที่อยู่ IP ปลายทาง ในกรณีนี้ ต้นทางจะได้รับแพ็กเก็ต ICMP Port Unreachable หรือไม่ได้รับการตอบกลับเลย
- Ping Scan - แหล่งที่มาส่งคำขอ ICMP ไปยังเครือข่ายทั้งหมดเพื่อค้นหาคำตอบ
- Stealth Scan tсp/udp - ต้นทางใช้พอร์ตเดียวกันเพื่อเชื่อมต่อกับหลายพอร์ตบนโหนดปลายทางในเวลาเดียวกัน
เพื่อให้สะดวกยิ่งขึ้นในการค้นหาสแกนเนอร์ภายในทั้งหมดพร้อมกันจึงมีแอปเครือข่ายให้ StealthWatch - การประเมินการมองเห็น. กำลังไปที่แท็บ แดชบอร์ด → การประเมินการมองเห็น → เครื่องสแกนเครือข่ายภายใน คุณจะเห็นเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับการสแกนในช่วง 2 สัปดาห์ที่ผ่านมา
โดยการกดปุ่ม รายละเอียดคุณจะเห็นการเริ่มต้นการสแกนแต่ละเครือข่าย แนวโน้มการรับส่งข้อมูล และการเตือนที่เกี่ยวข้อง
ถัดไป คุณสามารถ "ล้มเหลว" ในโฮสต์ได้จากแท็บในภาพหน้าจอก่อนหน้า และดูเหตุการณ์ด้านความปลอดภัย รวมถึงกิจกรรมในสัปดาห์ที่ผ่านมาสำหรับโฮสต์นี้
ยกตัวอย่างมาวิเคราะห์เหตุการณ์กัน สแกนพอร์ต จากโฮสต์ 10.201.3.149 บน 10.201.0.72, การกด การดำเนินการ > โฟลว์ที่เกี่ยวข้อง. การค้นหาเธรดเริ่มต้นขึ้นและข้อมูลที่เกี่ยวข้องจะปรากฏขึ้น
เราเห็นโฮสต์นี้จากพอร์ตใดพอร์ตหนึ่งอย่างไร 51508 / TCP สแกนเมื่อ 3 ชั่วโมงที่แล้วโฮสต์ปลายทางตามพอร์ต 22, 28, 42, 41, 36, 40 (ทีซีพี). บางฟิลด์ไม่แสดงข้อมูลเนื่องจากตัวส่งออก Netflow ไม่รองรับฟิลด์ Netflow ทั้งหมด
6. การวิเคราะห์มัลแวร์ที่ดาวน์โหลดโดยใช้ CTA
CTA (การวิเคราะห์ภัยคุกคามทางปัญญา) — การวิเคราะห์บนคลาวด์ของ Cisco ซึ่งผสานรวมอย่างสมบูรณ์กับ Cisco StealthWatch และช่วยให้คุณสามารถเสริมการวิเคราะห์แบบไร้ลายเซ็นด้วยการวิเคราะห์ลายเซ็น ทำให้สามารถตรวจจับโทรจัน เวิร์มเครือข่าย มัลแวร์ซีโรเดย์ และมัลแวร์อื่น ๆ และกระจายพวกมันภายในเครือข่ายได้ นอกจากนี้ เทคโนโลยี ETA ที่กล่าวถึงก่อนหน้านี้ยังช่วยให้คุณวิเคราะห์การสื่อสารที่เป็นอันตรายดังกล่าวในการรับส่งข้อมูลที่เข้ารหัสได้
แท้จริงแล้วบนแท็บแรกสุดในเว็บอินเตอร์เฟสจะมีวิดเจ็ตพิเศษ การวิเคราะห์ภัยคุกคามทางปัญญา. ข้อมูลสรุปโดยย่อบ่งชี้ถึงภัยคุกคามที่ตรวจพบบนโฮสต์ของผู้ใช้: โทรจัน ซอฟต์แวร์หลอกลวง แอดแวร์ที่น่ารำคาญ คำว่า “เข้ารหัส” บ่งบอกถึงการทำงานของ ETA จริงๆ เมื่อคลิกที่โฮสต์ ข้อมูลทั้งหมดเกี่ยวกับโฮสต์ กิจกรรมด้านความปลอดภัย รวมถึงบันทึก CTA จะปรากฏขึ้น
เมื่อวางเมาส์เหนือแต่ละขั้นตอนของ CTA กิจกรรมจะแสดงข้อมูลโดยละเอียดเกี่ยวกับการโต้ตอบ สำหรับการวิเคราะห์ที่สมบูรณ์ คลิกที่นี่ ดูรายละเอียดเหตุการณ์และคุณจะถูกนำไปที่คอนโซลแยกต่างหาก การวิเคราะห์ภัยคุกคามทางปัญญา.
ที่มุมขวาบน ตัวกรองช่วยให้คุณแสดงเหตุการณ์ตามระดับความรุนแรง เมื่อคุณชี้ไปที่ความผิดปกติเฉพาะ บันทึกจะปรากฏที่ด้านล่างของหน้าจอโดยมีไทม์ไลน์ที่เกี่ยวข้องทางด้านขวา ดังนั้นผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลจึงเข้าใจอย่างชัดเจนว่าโฮสต์ใดที่ติดไวรัส หลังจากนั้นการดำเนินการจะเริ่มดำเนินการใด
ด้านล่างนี้เป็นอีกตัวอย่างหนึ่ง - โทรจันธนาคารที่ติดเชื้อโฮสต์ 198.19.30.36. โฮสต์นี้เริ่มโต้ตอบกับโดเมนที่เป็นอันตราย และบันทึกจะแสดงข้อมูลเกี่ยวกับลำดับการโต้ตอบเหล่านี้
ต่อไป หนึ่งในวิธีแก้ปัญหาที่ดีที่สุดที่สามารถทำได้คือการกักกันโฮสต์โดยอาศัยเจ้าของภาษา ด้วย Cisco ISE เพื่อการรักษาและการวิเคราะห์เพิ่มเติม
ข้อสรุป
โซลูชัน Cisco StealthWatch เป็นหนึ่งในผู้นำผลิตภัณฑ์ตรวจสอบเครือข่ายทั้งในแง่ของการวิเคราะห์เครือข่ายและความปลอดภัยของข้อมูล ด้วยเหตุนี้ คุณจึงสามารถตรวจจับการโต้ตอบที่ผิดกฎหมายภายในเครือข่าย ความล่าช้าของแอปพลิเคชัน ผู้ใช้ที่มีการใช้งานมากที่สุด ความผิดปกติ มัลแวร์ และ APT นอกจากนี้ คุณยังสามารถค้นหาเครื่องสแกน เพนเทสเตอร์ และดำเนินการตรวจสอบการเข้ารหัสของการรับส่งข้อมูล HTTPS ได้ คุณสามารถค้นหากรณีการใช้งานเพิ่มเติมได้ที่ .
หากคุณต้องการตรวจสอบว่าทุกอย่างทำงานบนเครือข่ายของคุณได้อย่างราบรื่นและมีประสิทธิภาพเพียงใด ให้ส่ง .
ในอนาคตอันใกล้นี้ เรากำลังวางแผนเผยแพร่ทางเทคนิคเพิ่มเติมอีกหลายรายการเกี่ยวกับผลิตภัณฑ์รักษาความปลอดภัยข้อมูลต่างๆ หากคุณสนใจหัวข้อนี้ติดตามการอัพเดตในช่องของเรา (, , , )!
ที่มา: will.com