ay isang analytical na solusyon sa larangan ng seguridad ng impormasyon na nagbibigay ng komprehensibong pagsubaybay sa mga banta sa isang distributed network. Ang StealthWatch ay batay sa pagkolekta ng NetFlow at IPFIX mula sa mga router, switch at iba pang network device. Bilang resulta, ang network ay nagiging isang sensitibong sensor at nagbibigay-daan sa administrator na tumingin sa mga lugar kung saan hindi maabot ng mga tradisyonal na pamamaraan ng seguridad ng network, gaya ng Next Generation Firewall.
Sa mga nakaraang artikulo ay naisulat ko na ang tungkol sa StealthWatch: At . Ngayon, iminumungkahi kong magpatuloy at talakayin kung paano gamitin ang mga alarma at imbestigahan ang mga insidente sa seguridad na nabubuo ng solusyon. Magkakaroon ng 6 na halimbawa na inaasahan kong magbibigay ng magandang ideya sa pagiging kapaki-pakinabang ng produkto.
Una, dapat sabihin na ang StealthWatch ay may ilang pamamahagi ng mga alarma sa pagitan ng mga algorithm at feed. Ang una ay iba't ibang uri ng mga alarma (notification), kapag na-trigger, maaari mong makita ang mga kahina-hinalang bagay sa network. Ang pangalawa ay mga insidente sa seguridad. Titingnan ng artikulong ito ang 4 na halimbawa ng mga algorithm na na-trigger at 2 halimbawa ng mga feed.
1. Pagsusuri ng pinakamalaking pakikipag-ugnayan sa loob ng network
Ang unang hakbang sa pag-set up ng StealthWatch ay tukuyin ang mga host at network sa mga grupo. Sa tab na web interface I-configure > Host Group Management Ang mga network, host, at server ay dapat na uriin sa naaangkop na mga grupo. Maaari ka ring lumikha ng iyong sariling mga grupo. Sa pamamagitan ng paraan, ang pagsusuri ng mga pakikipag-ugnayan sa pagitan ng mga host sa Cisco StealthWatch ay medyo maginhawa, dahil hindi mo lamang mai-save ang mga filter ng paghahanap sa pamamagitan ng stream, kundi pati na rin ang mga resulta mismo.
Upang makapagsimula, sa web interface dapat kang pumunta sa tab Suriin > Paghahanap sa Daloy. Pagkatapos ay dapat mong itakda ang mga sumusunod na parameter:
- Uri ng Paghahanap - Mga Nangungunang Pag-uusap (pinakatanyag na pakikipag-ugnayan)
- Saklaw ng Oras β 24 na oras (panahon ng panahon, maaari kang gumamit ng isa pa)
- Pangalan ng Paghahanap - Mga Nangungunang Pag-uusap sa Loob-Loob (anumang friendly na pangalan)
- Paksa - Mga Grupo ng Host β Mga Inside Host (pinagmulan - pangkat ng mga panloob na host)
- Koneksyon (maaari mong tukuyin ang mga port, mga application)
- Peer - Mga Grupo ng Host β Mga Inside Host (destinasyon - pangkat ng mga panloob na node)
- Sa Mga Advanced na Opsyon, maaari mong dagdagan na tukuyin ang kolektor kung saan tinitingnan ang data, pag-uuri ng output (ayon sa mga byte, stream, atbp.). Iiwan ko ito bilang default.
Pagkatapos pindutin ang pindutan paghahanap isang listahan ng mga pakikipag-ugnayan ay ipinapakita na pinagsunod-sunod na ayon sa dami ng data na inilipat.
Sa aking halimbawa ang host 10.150.1.201 (server) na ipinadala sa loob lamang ng isang thread 1.5 GB trapiko sa host 10.150.1.200 (kliyente) sa pamamagitan ng protocol MySQL. Pindutan Pamahalaan ang Mga Column nagbibigay-daan sa iyong magdagdag ng higit pang mga column sa output data.
Susunod, sa pagpapasya ng administrator, maaari kang lumikha ng custom na panuntunan na palaging magti-trigger ng ganitong uri ng pakikipag-ugnayan at aabisuhan ka sa pamamagitan ng SNMP, email o Syslog.
2. Pagsusuri ng pinakamabagal na pakikipag-ugnayan ng client-server sa loob ng network para sa mga pagkaantala
Mga label SRT (Server Response Time), RTT (Round Trip Time) nagbibigay-daan sa iyo na malaman ang mga pagkaantala ng server at pangkalahatang pagkaantala sa network. Ang tool na ito ay lalong kapaki-pakinabang kapag kailangan mong mabilis na mahanap ang sanhi ng mga reklamo ng user tungkol sa isang mabagal na tumatakbong application.
Nota: halos lahat ng Netflow exporter hindi alam kung paano magpadala ng mga SRT, RTT tag, nang madalas, upang makita ang naturang data sa FlowSensor, kailangan mong i-configure ang pagpapadala ng kopya ng trapiko mula sa mga network device. Ang FlowSensor naman ay nagpapadala ng pinalawig na IPFIX sa FlowCollector.
Mas maginhawang isagawa ang pagsusuring ito sa StealtWatch java application, na naka-install sa computer ng administrator.
Naka-on ang kanang pindutan ng mouse Sa loob ng mga Host at pumunta sa tab Talaan ng Daloy.
Mag-click sa Filter at itakda ang mga kinakailangang parameter. Bilang halimbawa:
- Petsa/Oras - Para sa huling 3 araw
- Pagganap β Average na Round Trip Time >=50ms
Pagkatapos ipakita ang data, dapat naming idagdag ang mga field ng RTT at SRT na interesado sa amin. Upang gawin ito, mag-click sa column sa screenshot at piliin gamit ang kanang pindutan ng mouse Pamahalaan ang Mga Column. Susunod, i-click ang RTT, SRT parameters.
Pagkatapos iproseso ang kahilingan, inayos ko ayon sa average ng RTT at nakita ko ang pinakamabagal na pakikipag-ugnayan.
Upang pumunta sa detalyadong impormasyon, i-right-click sa stream at piliin Mabilis na View para sa Daloy.
Ang impormasyong ito ay nagpapahiwatig na ang host 10.201.3.59 mula sa grupo Benta at Marketing ayon sa protocol NFS umapela sa DNS server sa loob ng isang minuto at 23 segundo at mayroon lamang isang kakila-kilabot na lag. Sa tab interface maaari mong malaman kung saang Netflow data exporter ang impormasyon ay nakuha. Sa tab mesa Ang mas detalyadong impormasyon tungkol sa pakikipag-ugnayan ay ipinapakita.
Susunod, dapat mong malaman kung aling mga device ang nagpapadala ng trapiko sa FlowSensor at ang problema ay malamang na naroroon.
Bukod dito, ang StealthWatch ay natatangi dahil ito ay nagsasagawa deduplikasyon data (pinagsasama ang parehong mga stream). Samakatuwid, maaari kang mangolekta mula sa halos lahat ng mga aparato ng Netflow at huwag matakot na magkakaroon ng maraming duplicate na data. Sa kabaligtaran, sa pamamaraang ito makakatulong ito upang maunawaan kung aling hop ang may pinakamalaking pagkaantala.
3. Pag-audit ng HTTPS cryptographic protocol
ETA (Naka-encrypt na Traffic Analytics) ay isang teknolohiyang binuo ng Cisco na nagbibigay-daan sa iyong makakita ng mga nakakahamak na koneksyon sa naka-encrypt na trapiko nang hindi ito dine-decrypt. Bukod dito, pinapayagan ka ng teknolohiyang ito na "i-parse" ang HTTPS sa mga bersyon ng TLS at mga cryptographic na protocol na ginagamit sa panahon ng mga koneksyon. Ang functionality na ito ay lalong kapaki-pakinabang kapag kailangan mong makakita ng mga network node na gumagamit ng mahinang pamantayan ng crypto.
Nota: Kailangan mo munang i-install ang network app sa StealthWatch - ETA Cryptographic Audit.
Pumunta sa tab Mga Dashboard β ETA Cryptographic Audit at piliin ang pangkat ng mga host na plano naming suriin. Para sa pangkalahatang larawan, piliin natin Sa loob ng mga Host.
Makikita mo na ang bersyon ng TLS at ang kaukulang pamantayan ng crypto ay output. Ayon sa karaniwang pamamaraan sa hanay Aksyon pumunta sa Tingnan ang Mga Daloy at magsisimula ang paghahanap sa isang bagong tab.
Mula sa output makikita na ang host 198.19.20.136 sa buong 12 oras gumamit ng HTTPS na may TLS 1.2, kung saan ang encryption algorithm AES-256 at hash function SHA-384. Kaya, pinapayagan ka ng ETA na makahanap ng mga mahihinang algorithm sa network.
4. Pagsusuri ng anomalya sa network
Maaaring makilala ng Cisco StealthWatch ang mga anomalya ng trapiko sa network gamit ang tatlong tool: Mga Pangunahing Kaganapan (mga kaganapan sa seguridad), Mga Pangyayari sa Relasyon (mga kaganapan ng mga pakikipag-ugnayan sa pagitan ng mga segment, network node) at pagsusuri ng pag-uugali.
Ang pagsusuri sa pag-uugali, sa turn, ay nagbibigay-daan sa paglipas ng panahon upang bumuo ng isang modelo ng pag-uugali para sa isang partikular na host o grupo ng mga host. Ang mas maraming trapiko na dumadaan sa StealthWatch, mas tumpak ang mga alerto dahil sa pagsusuring ito. Sa una, ang system ay nag-trigger ng maraming hindi tama, kaya ang mga patakaran ay dapat na "paikot" sa pamamagitan ng kamay. Inirerekomenda ko na huwag mo nang pansinin ang mga naturang kaganapan sa unang ilang linggo, dahil aayusin ng system ang sarili nito, o idagdag ang mga ito sa mga pagbubukod.
Nasa ibaba ang isang halimbawa ng isang paunang natukoy na panuntunan Anomalya, na nagsasaad na ang kaganapan ay magpapaputok nang walang alarma kung isang host sa Inside Hosts group ang nakikipag-ugnayan sa Inside Hosts group at sa loob ng 24 na oras ang trapiko ay lalampas sa 10 megabytes.
Halimbawa, kumuha tayo ng alarma Pag-iimbak ng Data, na nangangahulugan na ang ilang source/destination host ay nag-upload/nag-download ng hindi normal na malaking halaga ng data mula sa isang pangkat ng mga host o isang host. Mag-click sa kaganapan at pumunta sa talahanayan kung saan nakasaad ang mga nagti-trigger na host. Susunod, piliin ang host na interesado kami sa column Pag-iimbak ng Data.
May ipinapakitang event na nagsasaad na 162k "puntos" ang natukoy, at ayon sa patakaran, 100k "puntos" ang pinapayagan - ito ay mga panloob na sukatan ng StealthWatch. Sa isang column Aksyon itulak Tingnan ang Mga Daloy.
Maaari nating obserbahan iyon binigay na host nakipag-ugnayan sa host sa gabi 10.201.3.47 mula sa departamento Sales & Marketing ayon sa protocol HTTPS at na-download 1.4 GB. Marahil ang halimbawang ito ay hindi ganap na matagumpay, ngunit ang pagtuklas ng mga pakikipag-ugnayan kahit para sa ilang daang gigabytes ay isinasagawa sa eksaktong parehong paraan. Samakatuwid, ang karagdagang pagsisiyasat ng mga anomalya ay maaaring humantong sa mga kawili-wiling resulta.
Nota: sa SMC web interface, ang data ay nasa mga tab Dashboard ay ipinapakita lamang para sa huling linggo at sa tab Monitor sa nakalipas na 2 linggo. Upang pag-aralan ang mas lumang mga kaganapan at bumuo ng mga ulat, kailangan mong magtrabaho kasama ang java console sa computer ng administrator.
5. Paghahanap ng mga panloob na pag-scan sa network
Ngayon tingnan natin ang ilang halimbawa ng mga feed - mga insidente sa seguridad ng impormasyon. Ang pagpapaandar na ito ay higit na interesado sa mga propesyonal sa seguridad.
Mayroong ilang mga preset na uri ng kaganapan sa pag-scan sa StealthWatch:
- Port Scanβnag-scan ang source ng maraming port sa destination host.
- Addr tcp scan - ini-scan ng source ang buong network sa parehong TCP port, binabago ang patutunguhang IP address. Sa kasong ito, ang pinagmulan ay tumatanggap ng mga TCP Reset packet o hindi tumatanggap ng mga tugon.
- Addr udp scan - ini-scan ng source ang buong network sa parehong UDP port, habang binabago ang patutunguhang IP address. Sa kasong ito, ang pinagmulan ay tumatanggap ng ICMP Port Unreachable packet o hindi tumatanggap ng mga tugon.
- Ping Scan - ang pinagmulan ay nagpapadala ng mga kahilingan sa ICMP sa buong network upang maghanap ng mga sagot.
- Stealth Scan tΡp/udp - ginamit ng source ang parehong port para kumonekta sa maraming port sa destination node nang sabay.
Upang gawing mas maginhawang mahanap ang lahat ng mga panloob na scanner nang sabay-sabay, mayroong isang network app para sa StealthWatch - Pagtatasa ng Visibility. Pupunta sa tab Mga Dashboard β Visibility Assessment β Internal Network Scanners makikita mo ang mga insidente sa seguridad na nauugnay sa pag-scan sa huling 2 linggo.
Ang pag-click sa pindutan Detalye, makikita mo ang simula ng pag-scan ng bawat network, ang takbo ng trapiko at ang mga kaukulang alarma.
Susunod, maaari kang "mabigo" sa host mula sa tab sa nakaraang screenshot at makita ang mga kaganapan sa seguridad, pati na rin ang aktibidad sa nakaraang linggo para sa host na ito.
Bilang halimbawa, suriin natin ang kaganapan Port Scan mula sa host 10.201.3.149 sa 10.201.0.72, Pagpindot Mga Pagkilos > Mga Kaugnay na Daloy. Inilunsad ang isang paghahanap sa thread at ipinapakita ang may-katuturang impormasyon.
Paano natin nakikita ang host na ito mula sa isa sa mga port nito 51508 / TCP na-scan 3 oras ang nakalipas ang destination host sa pamamagitan ng port 22, 28, 42, 41, 36, 40 (TCP). Ang ilang field ay hindi rin nagpapakita ng impormasyon dahil hindi lahat ng Netflow field ay sinusuportahan sa Netflow exporter.
6. Pagsusuri ng na-download na malware gamit ang CTA
CTA (Cognitive Threat Analytics) β Cisco cloud analytics, na perpektong sumasama sa Cisco StealthWatch at nagbibigay-daan sa iyo na umakma sa signature-free analysis na may signature analysis. Ginagawa nitong posible na makita ang mga Trojan, network worm, zero-day malware at iba pang malware at ipamahagi ang mga ito sa loob ng network. Gayundin, binibigyang-daan ka ng naunang nabanggit na teknolohiyang ETA na pag-aralan ang gayong mga nakakahamak na komunikasyon sa naka-encrypt na trapiko.
Sa literal sa pinakaunang tab sa web interface mayroong isang espesyal na widget Cognitive Threat Analytics. Ang isang maikling buod ay nagpapahiwatig ng mga banta na nakita sa mga host ng gumagamit: Trojan, mapanlinlang na software, nakakainis na adware. Ang salitang "Naka-encrypt" ay aktwal na nagpapahiwatig ng gawain ng ETA. Sa pamamagitan ng pag-click sa isang host, lalabas ang lahat ng impormasyon tungkol dito, mga kaganapang panseguridad, kabilang ang mga CTA log.
Sa pamamagitan ng pag-hover sa bawat yugto ng CTA, ang kaganapan ay nagpapakita ng detalyadong impormasyon tungkol sa pakikipag-ugnayan. Para sa kumpletong analytics, mag-click dito Tingnan ang Mga Detalye ng Insidente, at dadalhin ka sa isang hiwalay na console Cognitive Threat Analytics.
Sa kanang sulok sa itaas, binibigyang-daan ka ng isang filter na magpakita ng mga kaganapan ayon sa antas ng kalubhaan. Kapag tumuro ka sa isang partikular na anomalya, lalabas ang mga log sa ibaba ng screen na may kaukulang timeline sa kanan. Kaya, malinaw na nauunawaan ng espesyalista sa seguridad ng impormasyon kung aling mga nahawaang host, pagkatapos kung saan ang mga aksyon, ay nagsimulang magsagawa ng kung aling mga aksyon.
Nasa ibaba ang isa pang halimbawa - isang banking Trojan na nahawa sa host 198.19.30.36. Nagsimulang makipag-ugnayan ang host na ito sa mga nakakahamak na domain, at ang mga log ay nagpapakita ng impormasyon sa daloy ng mga pakikipag-ugnayang ito.
Susunod, ang isa sa mga pinakamahusay na solusyon na maaaring maging ay upang i-quarantine ang host salamat sa katutubong kasama ang Cisco ISE para sa karagdagang paggamot at pagsusuri.
Konklusyon
Ang solusyon ng Cisco StealthWatch ay isa sa mga nangunguna sa mga produkto ng pagsubaybay sa network kapwa sa mga tuntunin ng pagsusuri sa network at seguridad ng impormasyon. Salamat dito, maaari mong makita ang mga hindi lehitimong pakikipag-ugnayan sa loob ng network, mga pagkaantala sa aplikasyon, ang mga pinakaaktibong user, mga anomalya, malware at mga APT. Bukod dito, makakahanap ka ng mga scanner, pentester, at magsagawa ng crypto-audit ng trapiko ng HTTPS. Makakahanap ka ng higit pang mga kaso ng paggamit sa .
Kung gusto mong suriin kung gaano kahusay at kahusay ang lahat ng bagay sa iyong network, ipadala .
Sa malapit na hinaharap, nagpaplano kami ng ilang higit pang teknikal na publikasyon sa iba't ibang produkto ng seguridad ng impormasyon. Kung interesado ka sa paksang ito, pagkatapos ay sundin ang mga update sa aming mga channel (, , , )!
Pinagmulan: www.habr.com