tarqatilgan tarmoqdagi tahdidlarning har tomonlama monitoringini ta'minlovchi axborot xavfsizligi sohasidagi analitik yechimdir. StealthWatch routerlar, kalitlar va boshqa tarmoq qurilmalaridan NetFlow va IPFIX yig'ishga asoslangan. Natijada, tarmoq sezgir sensorga aylanadi va administratorga Next Generation Firewall kabi an'anaviy tarmoq xavfsizligi usullari yeta olmaydigan joylarni ko'rib chiqish imkonini beradi.
Avvalgi maqolalarda men StealthWatch haqida yozgan edim: , shuningdek . Endi men signallar bilan qanday ishlashni va yechim yaratadigan xavfsizlik hodisalarini tekshirishni davom ettirishni va muhokama qilishni taklif qilaman. Umid qilamanki, mahsulotning foydaliligi haqida yaxshi tasavvurga ega bo'lgan 6 ta misol bo'ladi.
Birinchidan, StealthWatch-da algoritmlar va tasmalar o'rtasida signallarni taqsimlash borligini aytish kerak. Birinchisi, har xil turdagi signallar (xabarnomalar), ishga tushirilganda siz tarmoqdagi shubhali narsalarni aniqlashingiz mumkin. Ikkinchisi - xavfsizlik bilan bog'liq hodisalar. Ushbu maqolada ishga tushirilgan algoritmlarning 4 ta misoli va tasmalarning 2 ta misoli koʻrib chiqiladi.
1. Tarmoq ichidagi eng katta shovqinlarni tahlil qilish
StealthWatch-ni o'rnatishning dastlabki bosqichi xostlar va tarmoqlarni guruhlarga ajratishdir. Veb-interfeys yorlig'ida Sozlash > Xost guruhini boshqarish Tarmoqlar, xostlar va serverlar tegishli guruhlarga bo'linishi kerak. Siz o'z guruhlaringizni ham yaratishingiz mumkin. Aytgancha, Cisco StealthWatch-da xostlar o'rtasidagi o'zaro ta'sirlarni tahlil qilish juda qulay, chunki siz nafaqat qidiruv filtrlarini oqim bo'yicha, balki natijalarni ham saqlashingiz mumkin.
Boshlash uchun veb-interfeysda siz yorlig'iga o'tishingiz kerak Tahlil > Oqim qidirish. Keyin quyidagi parametrlarni o'rnatishingiz kerak:
- Qidiruv turi - Eng mashhur suhbatlar (eng mashhur muloqotlar)
- Vaqt oralig'i - 24 soat (vaqt davri, siz boshqasidan foydalanishingiz mumkin)
- Qidiruv nomi - Ichkaridagi eng yaxshi suhbatlar (har qanday qulay ism)
- Mavzu - Xost guruhlari → Ichki xostlar (manba - ichki xostlar guruhi)
- Ulanish (siz portlarni, ilovalarni belgilashingiz mumkin)
- Tengdosh - Xost guruhlari → Ichki Xostlar (maqsad - ichki tugunlar guruhi)
- Kengaytirilgan variantlarda siz ma'lumotlar ko'riladigan kollektorni qo'shimcha ravishda belgilashingiz mumkin, chiqishni (baytlar, oqimlar va boshqalar bo'yicha) tartiblashingiz mumkin. Men uni standart sifatida qoldiraman.
Tugmani bosgandan so'ng Qidirish allaqachon uzatilgan ma'lumotlar miqdori bo'yicha tartiblangan o'zaro ta'sirlar ro'yxati ko'rsatiladi.
Mening misolimda uy egasi 10.150.1.201 (server) faqat bitta oqim ichida uzatiladi 1.5 Gb xost uchun trafik 10.150.1.200 (mijoz) protokol bo'yicha mysql. Tugma Ustunlarni boshqarish chiqish ma'lumotlariga ko'proq ustunlar qo'shish imkonini beradi.
Keyinchalik, administratorning ixtiyoriga ko'ra, siz har doim ushbu turdagi o'zaro ta'sirni ishga tushiradigan va SNMP, elektron pochta yoki Syslog orqali sizni xabardor qiladigan maxsus qoida yaratishingiz mumkin.
2. Kechikishlar uchun tarmoq ichidagi eng sekin mijoz-server o'zaro ta'sirini tahlil qilish
Tags SRT (serverning javob vaqti), RTT (qaytish vaqti) server kechikishlari va umumiy tarmoq kechikishlarini aniqlash imkonini beradi. Ushbu vosita, ayniqsa, sekin ishlaydigan dastur haqida foydalanuvchi shikoyatlarining sababini tezda topish kerak bo'lganda foydalidir.
nota: deyarli barcha Netflow eksportchilari qanday qilib bilmayman SRT, RTT teglarini yuboring, shuning uchun tez-tez FlowSensor-da bunday ma'lumotlarni ko'rish uchun siz tarmoq qurilmalaridan trafik nusxasini yuborishni sozlashingiz kerak. FlowSensor o'z navbatida kengaytirilgan IPFIX-ni FlowCollector-ga yuboradi.
Ushbu tahlilni administrator kompyuteriga o'rnatilgan StealtWatch java ilovasida o'tkazish qulayroqdir.
Sichqonchaning o'ng tugmasi yoqilgan Xostlarning ichki qismi va tabga o'ting Oqim jadvali.
ni bosing filter va kerakli parametrlarni o'rnating. Misol tariqasida:
- Sana/vaqt - oxirgi 3 kun uchun
- Ishlash - O'rtacha ikki tomonlama sayohat vaqti >=50ms
Ma'lumotlarni ko'rsatgandan so'ng, bizni qiziqtirgan RTT va SRT maydonlarini qo'shishimiz kerak. Buni amalga oshirish uchun skrinshotdagi ustunni bosing va sichqonchaning o'ng tugmasi bilan tanlang Ustunlarni boshqarish. Keyinchalik, RTT, SRT parametrlarini bosing.
So'rovni ko'rib chiqqandan so'ng, men RTT o'rtachasi bo'yicha tartibladim va eng sekin shovqinlarni ko'rdim.
Batafsil ma'lumotga o'tish uchun oqimni o'ng tugmasini bosing va tanlang Oqim uchun tezkor ko'rish.
Ushbu ma'lumot uy egasi ekanligini ko'rsatadi 10.201.3.59 guruhdan Savdo va marketing protokol bo'yicha NFS ga murojaat qiladi DNS server bir daqiqa va 23 soniya va faqat dahshatli kechikish bor. Yorliqda interfeyslarni ma'lumot qaysi Netflow ma'lumotlar eksportchisidan olinganligini bilib olishingiz mumkin. Yorliqda stol O'zaro ta'sir haqida batafsil ma'lumot ko'rsatilgan.
Keyinchalik, qaysi qurilmalar FlowSensor-ga trafik jo'natishini bilib olishingiz kerak va muammo o'sha erda bo'lishi mumkin.
Bundan tashqari, StealthWatch o'ziga xosligi bilan ajralib turadi deuplikatsiya ma'lumotlar (bir xil oqimlarni birlashtiradi). Shuning uchun, siz deyarli barcha Netflow qurilmalaridan to'plashingiz mumkin va juda ko'p takroriy ma'lumotlar bo'lishidan qo'rqmaysiz. Aksincha, ushbu sxemada qaysi hop eng katta kechikishlar borligini tushunishga yordam beradi.
3. HTTPS kriptografik protokollarining auditi
ETA (shifrlangan trafik tahlili) Cisco tomonidan ishlab chiqilgan texnologiya boʻlib, shifrlangan trafikdagi zararli ulanishlarni shifrini hal qilmasdan aniqlash imkonini beradi. Bundan tashqari, ushbu texnologiya HTTPS-ni ulanish paytida ishlatiladigan TLS versiyalari va kriptografik protokollarga “ajralish” imkonini beradi. Bu funksiya, ayniqsa, zaif kripto standartlarini ishlatadigan tarmoq tugunlarini aniqlash kerak bo'lganda foydalidir.
nota: Avval StealthWatch-ga tarmoq ilovasini o'rnatishingiz kerak - ETA kriptografik audit.
Tabga o'ting Boshqaruv paneli → ETA kriptografik audit va biz tahlil qilishni rejalashtirgan xostlar guruhini tanlang. Umumiy rasm uchun keling, tanlaymiz Xostlarning ichki qismi.
TLS versiyasi va tegishli kripto standarti chiqarilganligini ko'rishingiz mumkin. Ustundagi odatiy sxema bo'yicha harakatlari ga boring Oqimlarni ko'rish va qidiruv yangi tabda boshlanadi.
Chiqishdan ko'rinib turibdiki, xost 198.19.20.136 davomida 12 soat Shifrlash algoritmi bo'lgan TLS 1.2 bilan HTTPS ishlatildi AES-256 va hash funktsiyasi SHA-384. Shunday qilib, ETA tarmoqdagi zaif algoritmlarni topishga imkon beradi.
4. Tarmoq anomaliyasini tahlil qilish
Cisco StealthWatch uchta vosita yordamida tarmoqdagi trafik anomaliyalarini taniy oladi: Asosiy voqealar (xavfsizlik hodisalari), Aloqa voqealari (segmentlar, tarmoq tugunlari o'rtasidagi o'zaro ta'sir hodisalari) va xulq-atvor tahlili.
Xulq-atvor tahlili, o'z navbatida, vaqt o'tishi bilan ma'lum bir xost yoki xostlar guruhi uchun xatti-harakatlar modelini yaratishga imkon beradi. StealthWatch orqali qanchalik ko'p trafik o'tsa, ushbu tahlil tufayli ogohlantirishlar shunchalik aniq bo'ladi. Dastlab, tizim juda ko'p noto'g'ri ishga tushiriladi, shuning uchun qoidalar qo'l bilan "burilish" kerak. Birinchi haftalarda bunday hodisalarga e'tibor bermaslikni tavsiya qilaman, chunki tizim o'zini o'zi sozlaydi yoki ularni istisnolarga qo'shadi.
Quyida oldindan belgilangan qoidaga misol keltirilgan Anomaliya, qaysi hodisa signal holda olov, agar bildiradi Inside Hosts guruhidagi xost Inside Hosts guruhi bilan oʻzaro ishlaydi va 24 soat ichida trafik 10 megabaytdan oshadi..
Masalan, signalni olaylik Ma'lumotlarni saqlash, ya'ni ba'zi manba/maqsad xostlari bir guruh xostlar yoki xostdan g'ayritabiiy darajada katta hajmdagi ma'lumotlarni yuklagan/yuklab olgan. Hodisa ustiga bosing va ishga tushiruvchi xostlar ko'rsatilgan jadvalga o'ting. Keyinchalik, ustunda bizni qiziqtirgan xostni tanlang Ma'lumotlarni saqlash.
162 ming “nuqta” aniqlanganligini bildiruvchi hodisa ko‘rsatiladi va siyosatga ko‘ra, 100 ming “ball”ga ruxsat beriladi – bu StealthWatch ichki ko‘rsatkichlari. Bir ustunda harakatlari najimaem Oqimlarni ko'rish.
Biz buni kuzatishimiz mumkin mezbon berilgan kechasi uy egasi bilan muloqot qildi 10.201.3.47 bo'limdan Savdo va marketing protokol bo'yicha HTTPS va yuklab olingan 1.4 Gb. Ehtimol, bu misol mutlaqo muvaffaqiyatli emas, lekin bir necha yuz gigabayt uchun ham o'zaro ta'sirlarni aniqlash xuddi shu tarzda amalga oshiriladi. Shuning uchun anomaliyalarni qo'shimcha tekshirish qiziqarli natijalarga olib kelishi mumkin.
nota: SMC veb-interfeysida ma'lumotlar yorliqlarda Dashboards faqat oxirgi hafta va yorliqda ko'rsatiladi monitor oxirgi 2 hafta ichida. Eski voqealarni tahlil qilish va hisobotlarni yaratish uchun siz administrator kompyuterida java konsoli bilan ishlashingiz kerak.
5. Ichki tarmoq skanerlarini topish
Keling, tasmalarning bir nechta misollarini ko'rib chiqaylik - axborot xavfsizligi hodisalari. Bu funksiya xavfsizlik bo'yicha mutaxassislarni ko'proq qiziqtiradi.
StealthWatch-da bir nechta oldindan o'rnatilgan skanerlash hodisasi turlari mavjud:
- Portni skanerlash - manba maqsad xostidagi bir nechta portlarni skanerlaydi.
- Addr tcp scan - manba maqsad IP manzilini o'zgartirib, bir xil TCP portida butun tarmoqni skanerlaydi. Bunday holda, manba TCP Reset paketlarini oladi yoki umuman javob olmaydi.
- Addr udp scan - manba IP manzilini o'zgartirganda bir xil UDP portida butun tarmoqni skanerlaydi. Bunday holda, manba ICMP Port Unreachable paketlarini oladi yoki umuman javob olmaydi.
- Ping Scan - manba javoblarni qidirish uchun butun tarmoqqa ICMP so'rovlarini yuboradi.
- Stealth Scan tsp/udp - manba bir vaqtning o'zida maqsad tugunidagi bir nechta portlarga ulanish uchun bir xil portdan foydalangan.
Barcha ichki skanerlarni bir vaqtning o'zida topishni qulayroq qilish uchun tarmoq ilovasi mavjud StealthWatch - Visibility Assessment. Tabga o'tish Boshqaruv paneli → Visibility Assessment → Ichki tarmoq skanerlari oxirgi 2 hafta davomida skanerlash bilan bog'liq xavfsizlik hodisalarini ko'rasiz.
Tugmasini bosish orqali Tafsilotlar, siz har bir tarmoqni skanerlash boshlanishini, trafik trendini va tegishli signallarni ko'rasiz.
Keyinchalik, oldingi skrinshotdagi yorliq orqali xostga “muvaffaqiyatsiz” kirishingiz va xavfsizlik hodisalarini, shuningdek, ushbu xost uchun oxirgi haftadagi faollikni ko'rishingiz mumkin.
Misol tariqasida voqeani tahlil qilaylik Port skanerlash xostdan 10.201.3.149 haqida 10.201.0.72, Bosish Amallar > Bog'langan oqimlar. Tarmoq qidiruvi ishga tushiriladi va tegishli ma'lumotlar ko'rsatiladi.
Ushbu xostni uning portlaridan biridan qanday ko'ramiz 51508/TCP 3 soat oldin maqsad hostni port orqali skanerlash 22, 28, 42, 41, 36, 40 (TCP). Ba'zi maydonlar ham ma'lumotni ko'rsatmaydi, chunki Netflow eksportchisida barcha Netflow maydonlari qo'llab-quvvatlanmaydi.
6. CTA yordamida yuklab olingan zararli dasturlarni tahlil qilish
CTA (kognitiv tahdid tahlili) — Cisco StealthWatch bilan mukammal integratsiyalashgan va imzosiz tahlilni imzo tahlili bilan to‘ldirish imkonini beruvchi Cisco bulutli tahlili. Bu troyanlarni, tarmoq qurtlarini, nol kunlik zararli dasturlarni va boshqa zararli dasturlarni aniqlash va ularni tarmoq ichida tarqatish imkonini beradi. Shuningdek, yuqorida aytib o'tilgan ETA texnologiyasi shifrlangan trafikdagi bunday zararli aloqalarni tahlil qilish imkonini beradi.
Tom ma'noda veb-interfeysning birinchi yorlig'ida maxsus vidjet mavjud Kognitiv tahdid tahlili. Qisqacha ma'lumot foydalanuvchi xostlarida aniqlangan tahdidlarni ko'rsatadi: troyan, firibgar dasturiy ta'minot, bezovta qiluvchi reklama dasturlari. "Shifrlangan" so'zi aslida ETA ishini ko'rsatadi. Xostni bosish orqali u haqidagi barcha ma'lumotlar, xavfsizlik hodisalari, shu jumladan CTA jurnallari paydo bo'ladi.
CTA ning har bir bosqichiga kursorni olib borish orqali tadbir o'zaro ta'sir haqida batafsil ma'lumotni ko'rsatadi. To'liq tahlil uchun bu yerni bosing Hodisa tafsilotlarini ko'rish, va siz alohida konsolga o'tasiz Kognitiv tahdid tahlili.
Yuqori o'ng burchakda filtr voqealarni jiddiylik darajasi bo'yicha ko'rsatishga imkon beradi. Muayyan anomaliyaga ishora qilganingizda, jurnallar ekranning pastki qismida o'ng tomonda tegishli vaqt jadvali bilan paydo bo'ladi. Shunday qilib, axborot xavfsizligi bo'yicha mutaxassis qaysi xostni yuqtirganini, qaysi harakatlardan so'ng qaysi harakatlarni amalga oshirishni boshlaganini aniq tushunadi.
Quyida yana bir misol - xostni yuqtirgan bank troyan 198.19.30.36. Ushbu xost zararli domenlar bilan o'zaro aloqada bo'lishni boshladi va jurnallar ushbu o'zaro ta'sirlar oqimi haqida ma'lumotni ko'rsatadi.
Keyinchalik, bo'lishi mumkin bo'lgan eng yaxshi echimlardan biri bu uy egasi tufayli uy egasini karantin qilishdir keyingi davolash va tahlil qilish uchun Cisco ISE bilan.
xulosa
Cisco StealthWatch yechimi tarmoqni tahlil qilish va axborot xavfsizligi nuqtai nazaridan tarmoq monitoringi mahsulotlari orasida yetakchilardan biri hisoblanadi. Uning yordamida siz tarmoq ichidagi noqonuniy shovqinlarni, ilovalarning kechikishlarini, eng faol foydalanuvchilarni, anomaliyalarni, zararli dasturlarni va APTlarni aniqlashingiz mumkin. Bundan tashqari, siz skanerlar, pentesterlarni topishingiz va HTTPS trafikining kripto-auditini o'tkazishingiz mumkin. Foydalanish holatlarini ko'proq topishingiz mumkin .
Tarmog'ingizda hamma narsa qanchalik muammosiz va samarali ishlashini tekshirmoqchi bo'lsangiz, yuboring .
Yaqin kelajakda biz turli xil axborot xavfsizligi mahsulotlari bo'yicha yana bir nechta texnik nashrlarni rejalashtirmoqdamiz. Agar siz ushbu mavzuga qiziqsangiz, kanallarimizdagi yangilanishlarni kuzatib boring (, , , )!
Manba: www.habr.com