jẹ ojutu itupalẹ ni aaye aabo alaye ti o pese ibojuwo okeerẹ ti awọn irokeke ni nẹtiwọọki pinpin. StealthWatch da lori gbigba NetFlow ati IPFIX lati awọn olulana, awọn iyipada ati awọn ẹrọ nẹtiwọọki miiran. Bi abajade, nẹtiwọọki naa di sensọ ifura ati gba oludari laaye lati wo awọn aaye nibiti awọn ọna aabo nẹtiwọọki ibile, bii Ogiriina Next Generation, ko le de ọdọ.
Ninu awọn nkan iṣaaju Mo ti kọ tẹlẹ nipa StealthWatch: Ati . Bayi Mo daba lati lọ siwaju ati jiroro bi o ṣe le ṣiṣẹ pẹlu awọn itaniji ati ṣe iwadii awọn iṣẹlẹ aabo ti ojutu naa n ṣe. Awọn apẹẹrẹ 6 yoo wa eyiti Mo nireti yoo fun imọran to dara ti iwulo ọja naa.
Ni akọkọ, o yẹ ki o sọ pe StealthWatch ni diẹ ninu pinpin awọn itaniji laarin awọn algoridimu ati awọn ifunni. Ni akọkọ jẹ awọn iru awọn itaniji (awọn iwifunni), nigbati o ba fa, o le rii awọn nkan ifura lori nẹtiwọọki. Awọn keji ni aabo awọn iṣẹlẹ. Nkan yii yoo wo awọn apẹẹrẹ 4 ti awọn algoridimu ti nfa ati awọn apẹẹrẹ 2 ti awọn kikọ sii.
1. Ayẹwo ti awọn ibaraẹnisọrọ ti o tobi julọ laarin nẹtiwọki
Igbesẹ akọkọ ni siseto StealthWatch ni lati ṣalaye awọn ogun ati awọn nẹtiwọọki sinu awọn ẹgbẹ. Ninu taabu wiwo wẹẹbu Tunto > Iṣakoso Ẹgbẹ Gbalejo Awọn nẹtiwọki, awọn agbalejo, ati awọn olupin yẹ ki o pin si awọn ẹgbẹ ti o yẹ. O tun le ṣẹda awọn ẹgbẹ tirẹ. Nipa ọna, itupalẹ awọn ibaraenisepo laarin awọn ọmọ-ogun ni Sisiko StealthWatch jẹ irọrun pupọ, nitori o ko le ṣafipamọ awọn asẹ wiwa nikan nipasẹ ṣiṣan, ṣugbọn awọn abajade funrararẹ.
Lati bẹrẹ, ni wiwo wẹẹbu o yẹ ki o lọ si taabu naa Ṣe itupalẹ > Ṣiṣawari ṣiṣan. Lẹhinna o yẹ ki o ṣeto awọn paramita wọnyi:
- Iwa wiwa Oriṣi - Awọn ibaraẹnisọrọ ti o ga julọ (awọn ibaraẹnisọrọ ti o gbajumo julọ)
- Akoko akoko - wakati 24 (akoko, o le lo miiran)
- Orukọ Wa - Awọn ibaraẹnisọrọ to gaju Inu-Inu (orukọ ore eyikeyi)
- Koko-ọrọ - Awọn ẹgbẹ Olugbalejo → Awọn ọmọ ogun inu (orisun - ẹgbẹ ti awọn ogun inu)
- Asopọ (o le pato awọn ibudo, awọn ohun elo)
- Ẹlẹgbẹ - Awọn ẹgbẹ Olugbalejo → Awọn ogun inu (ibi-apapọ ti awọn apa inu)
- Ni Awọn aṣayan To ti ni ilọsiwaju, o le tun pato olugba lati eyiti o ti wo data naa, titọjade abajade (nipasẹ awọn baiti, ṣiṣan, ati bẹbẹ lọ). Emi yoo fi silẹ bi aiyipada.
Lẹhin titẹ bọtini naa àwárí atokọ ti awọn ibaraẹnisọrọ ti han ti o ti to lẹsẹsẹ nipasẹ iye data ti o ti gbe.
Ni mi apẹẹrẹ awọn ogun 10.150.1.201 (olupin) ti a tan kaakiri laarin okun kan ṣoṣo 1.5 GB ijabọ lati gbalejo 10.150.1.200 (onibara) nipa bèèrè MySQL. Bọtini Ṣakoso awọn ọwọn gba ọ laaye lati ṣafikun awọn ọwọn diẹ sii si data ti o jade.
Nigbamii, ni lakaye ti oludari, o le ṣẹda ofin aṣa ti yoo ma nfa iru ibaraenisepo nigbagbogbo ati ki o sọ ọ leti nipasẹ SNMP, imeeli tabi Syslog.
2. Onínọmbà ti awọn ibaraẹnisọrọ alabara-olupin ti o lọra laarin nẹtiwọọki fun awọn idaduro
Awọn akole SRT (Aago Idahun olupin), RTT (Aago Irin-ajo Yika) gba ọ laaye lati wa awọn idaduro olupin ati awọn idaduro nẹtiwọki gbogbogbo. Ọpa yii wulo julọ nigbati o nilo lati yara wa idi ti awọn ẹdun olumulo nipa ohun elo ti n lọra.
Daakọ: fere gbogbo Netflow atajasita ko mọ bi firanṣẹ SRT, awọn aami RTT, nigbagbogbo, lati le rii iru data lori FlowSensor, o nilo lati tunto fifiranṣẹ ẹda ti ijabọ lati awọn ẹrọ nẹtiwọọki. FlowSensor ni Tan firanṣẹ IPFIX ti o gbooro si FlowCollector.
O rọrun diẹ sii lati ṣe itupalẹ yii ni ohun elo java StealtWatch, eyiti o fi sii lori kọnputa alabojuto.
Ọtun Asin bọtini lori Inu Ogun ki o si lọ si taabu Sisan Table.
Tẹ lori Àlẹmọ ki o si ṣeto awọn pataki sile. Fun apẹẹrẹ:
- Ọjọ/Aago - Fun awọn ọjọ 3 kẹhin
- Iṣe - Apapọ Akoko Irin-ajo Yika>=50ms
Lẹhin fifi data han, o yẹ ki a ṣafikun awọn aaye RTT ati SRT ti o nifẹ si wa. Lati ṣe eyi, tẹ lori awọn iwe ninu awọn sikirinifoto ati ki o yan pẹlu awọn ọtun Asin bọtini Ṣakoso awọn ọwọn. Nigbamii, tẹ RTT, awọn paramita SRT.
Lẹhin ṣiṣe ibeere naa, Mo ṣe lẹsẹsẹ nipasẹ apapọ RTT ati rii awọn ibaraẹnisọrọ ti o lọra julọ.
Lati lọ sinu alaye alaye, tẹ-ọtun lori ṣiṣan naa ki o yan Wiwo iyara fun Sisan.
Alaye yi tọkasi wipe ogun 10.201.3.59 lati ẹgbẹ Tita ati Marketing nipa Ilana NFS apetunpe si olupin DNS fun iseju kan ati ki o 23 aaya ati ki o ni o kan ẹru aisun. Ninu taabu atọkun o le wa jade eyi ti Netflow data atajasita awọn alaye ti a gba lati. Ninu taabu Table Alaye alaye diẹ sii nipa ibaraenisepo ti han.
Nigbamii ti, o yẹ ki o wa iru awọn ẹrọ ti o firanṣẹ ijabọ si FlowSensor ati pe iṣoro naa ṣee ṣe julọ wa nibẹ.
Pẹlupẹlu, StealthWatch jẹ alailẹgbẹ ni pe o ṣe yiyọkuro data (papọ awọn ṣiṣan kanna). Nitorinaa, o le gba lati gbogbo awọn ẹrọ Netflow ati ki o maṣe bẹru pe ọpọlọpọ data ẹda ẹda yoo wa. Ni ilodi si, ninu ero yii yoo ṣe iranlọwọ lati loye iru hop ni awọn idaduro nla julọ.
3. Ayẹwo ti HTTPS cryptographic Ilana
ETA (Awọn atupale opopona ti paroko) jẹ imọ-ẹrọ ti o ni idagbasoke nipasẹ Sisiko ti o fun ọ laaye lati ṣawari awọn asopọ irira ni ijabọ fifi ẹnọ kọ nkan laisi idinku. Pẹlupẹlu, imọ-ẹrọ yii ngbanilaaye lati “tu” HTTPS sinu awọn ẹya TLS ati awọn ilana cryptographic ti o lo lakoko awọn asopọ. Iṣẹ ṣiṣe yii wulo paapaa nigbati o nilo lati ṣawari awọn apa nẹtiwọki ti o lo awọn iṣedede crypto alailagbara.
Daakọ: O gbọdọ kọkọ fi sori ẹrọ ohun elo nẹtiwọọki lori StealthWatch - ETA Cryptographic ayewo.
Lọ si taabu Dasibodu → Ayẹwo cryptographic ETA ki o si yan ẹgbẹ awọn ọmọ-ogun ti a gbero lati ṣe itupalẹ. Fun aworan gbogbogbo, jẹ ki a yan Inu Ogun.
O le rii pe ẹya TLS ati boṣewa crypto ti o baamu jẹ iṣelọpọ. Ni ibamu si awọn ibùgbé eni ninu awọn iwe išë lọ si Wo Awọn ṣiṣan ati wiwa bẹrẹ ni taabu titun kan.
Lati awọn ti o wu o ti le ri wipe awọn ogun 198.19.20.136 fun Awọn wakati 12 lo HTTPS pẹlu TLS 1.2, ibi ti ìsekóòdù alugoridimu AES-256 ati iṣẹ hash SHA-384. Nitorinaa, ETA gba ọ laaye lati wa awọn algoridimu alailagbara lori nẹtiwọọki.
4. Nẹtiwọki anomaly onínọmbà
Cisco StealthWatch le ṣe idanimọ awọn aiṣedeede ijabọ lori nẹtiwọọki nipa lilo awọn irinṣẹ mẹta: Awọn iṣẹlẹ pataki (awọn iṣẹlẹ aabo), Ibasepo Events (awọn iṣẹlẹ ti awọn ibaraẹnisọrọ laarin awọn apa, awọn apa nẹtiwọki) ati igbekale iwa.
Itupalẹ ihuwasi, ni ọna, ngbanilaaye ni akoko pupọ lati kọ awoṣe ihuwasi fun agbalejo kan pato tabi ẹgbẹ awọn ogun. Awọn ijabọ diẹ sii ti o kọja nipasẹ StealthWatch, deede diẹ sii awọn titaniji yoo jẹ ọpẹ si itupalẹ yii. Ni akọkọ, eto naa nfa pupọ ti ko tọ, nitorina awọn ofin yẹ ki o jẹ "yiyi" nipasẹ ọwọ. Mo ṣeduro pe ki o foju iru awọn iṣẹlẹ bẹ fun awọn ọsẹ diẹ akọkọ, nitori eto naa yoo ṣatunṣe funrararẹ, tabi ṣafikun wọn si awọn imukuro.
Ni isalẹ jẹ apẹẹrẹ ti ofin ti a ti yan tẹlẹ Aisedeede, eyi ti o sọ wipe awọn iṣẹlẹ yoo sana lai itaniji ti o ba ti agbalejo kan ninu ẹgbẹ Awọn ọmọ ogun Inu ṣe ajọṣepọ pẹlu ẹgbẹ Awọn ogun inu ati laarin awọn wakati 24 ijabọ naa yoo kọja megabyte 10.
Fun apẹẹrẹ, jẹ ki a mu itaniji Ifipamọ data, eyi ti o tumo si wipe diẹ ninu awọn orisun / nlo alejo ti Àwọn / gbaa lati ayelujara ohun ajeji ti o tobi iye ti data lati ẹgbẹ kan ti ogun tabi ogun. Tẹ lori iṣẹlẹ naa ki o lọ si tabili nibiti a ti tọka awọn ogun ti nfa. Nigbamii, yan ogun ti a nifẹ ninu iwe Ifipamọ data.
Iṣẹlẹ kan ṣe afihan ti o nfihan pe a rii “awọn aaye” 162k, ati ni ibamu si eto imulo naa, “awọn aaye” 100k gba laaye - iwọnyi jẹ awọn metiriki StealthWatch inu. Ninu iwe kan išë Ti Wo Awọn ṣiṣan.
A le ṣe akiyesi iyẹn ogun ti a fun interacted pẹlu awọn ogun ni alẹ 10.201.3.47 lati ẹka Tita & Titaja nipa Ilana HTTPS ati gbaa lati ayelujara 1.4 GB. Boya apẹẹrẹ yii kii ṣe aṣeyọri patapata, ṣugbọn wiwa awọn ibaraẹnisọrọ paapaa fun ọpọlọpọ awọn gigabytes ọgọrun ni a ṣe ni deede ni ọna kanna. Nitorinaa, iwadii diẹ sii ti awọn asemase le ja si awọn abajade ti o nifẹ si.
Daakọ: ni wiwo oju opo wẹẹbu SMC, data wa ninu awọn taabu Dashboards ti han nikan fun ọsẹ to kọja ati ninu taabu atẹle ni awọn ọsẹ 2 sẹhin. Lati ṣe itupalẹ awọn iṣẹlẹ agbalagba ati ṣe agbekalẹ awọn ijabọ, o nilo lati ṣiṣẹ pẹlu console java lori kọnputa alabojuto.
5. Wiwa ti abẹnu nẹtiwọki sikanu
Bayi jẹ ki a wo awọn apẹẹrẹ diẹ ti awọn ifunni - awọn iṣẹlẹ aabo alaye. Iṣẹ ṣiṣe yii jẹ iwulo diẹ sii si awọn alamọja aabo.
Orisirisi awọn iru iṣẹlẹ ọlọjẹ tito tẹlẹ lo wa ni StealthWatch:
- Port Scan — orisun ṣe ayẹwo awọn ebute oko oju omi pupọ lori agbalejo ibi-ajo.
- Adr tcp ọlọjẹ - orisun naa ṣe ayẹwo gbogbo nẹtiwọọki lori ibudo TCP kanna, yiyipada adiresi IP opin irin ajo naa. Ni idi eyi, orisun gba awọn apo-iwe Tuntun TCP tabi ko gba awọn idahun rara.
- Ayẹwo Addr udp - orisun ṣe ayẹwo gbogbo nẹtiwọọki lori ibudo UDP kanna, lakoko iyipada adiresi IP opin irin ajo naa. Ni idi eyi, orisun gba awọn apo-iwe Port Unreachable ICMP tabi ko gba awọn idahun rara.
- Ṣiṣayẹwo Ping – orisun nfi awọn ibeere ICMP ranṣẹ si gbogbo nẹtiwọọki lati wa awọn idahun.
- Stealth Scan tсp/udp - orisun ti a lo ibudo kanna lati sopọ si awọn ebute oko oju omi pupọ lori ipade opin irin ajo ni akoko kanna.
Lati jẹ ki o rọrun diẹ sii lati wa gbogbo awọn ọlọjẹ inu ni ẹẹkan, ohun elo nẹtiwọọki kan wa fun StealthWatch - Igbelewọn Hihan. Nlọ si taabu Dashboards → Igbelewọn Hihan → Awọn aṣayẹwo Nẹtiwọọki inu iwọ yoo rii awọn iṣẹlẹ aabo ti o ni ibatan ọlọjẹ fun ọsẹ 2 sẹhin.
Tite bọtini awọn alaye, o yoo ri awọn ibere ti Antivirus ti kọọkan nẹtiwọki, awọn ijabọ aṣa ati awọn ti o baamu awọn itaniji.
Nigbamii ti, o le “kuna” sinu agbalejo lati taabu ni sikirinifoto iṣaaju ati wo awọn iṣẹlẹ aabo, ati iṣẹ ṣiṣe ni ọsẹ to kọja fun agbalejo yii.
Fun apẹẹrẹ, jẹ ki a ṣe itupalẹ iṣẹlẹ naa Port wíwo lati ogun 10.201.3.149 on 10.201.0.72, Titẹ Awọn iṣe> Awọn ṣiṣan to somọ. Wiwa okun kan ti ṣe ifilọlẹ ati alaye ti o yẹ ti han.
Bawo ni a ṣe rii ogun yii lati ọkan ninu awọn ibudo rẹ 51508/TCP ṣayẹwo 3 wakati ago ogun nlo nipasẹ ibudo 22, 28, 42, 41, 36, 40 (TCP). Diẹ ninu awọn aaye ko ṣe afihan alaye boya nitori kii ṣe gbogbo awọn aaye Netflow ni atilẹyin lori olutaja Netflow.
6. Onínọmbà ti malware ti a gba lati ayelujara nipa lilo CTA
CTA (Atupalẹ Irokeke Imọ) - Awọn atupale awọsanma Cisco, eyiti o ṣepọ ni pipe pẹlu Sisiko StealthWatch ati pe o fun ọ laaye lati ni ibamu pẹlu itupalẹ laisi ibuwọlu pẹlu itupalẹ ibuwọlu. Eyi jẹ ki o ṣee ṣe lati ṣawari awọn Trojans, awọn kokoro nẹtiwọọki, malware-ọjọ-ọjọ ati malware miiran ati pinpin wọn laarin nẹtiwọọki naa. Pẹlupẹlu, imọ-ẹrọ ETA ti a mẹnuba tẹlẹ gba ọ laaye lati ṣe itupalẹ iru awọn ibaraẹnisọrọ irira ni ijabọ ti paroko.
Ni itumọ ọrọ gangan lori taabu akọkọ ni wiwo oju opo wẹẹbu ẹrọ ailorukọ pataki kan wa Irokeke Irokeke Imọ. Akopọ kukuru kan tọkasi awọn irokeke ti a rii lori awọn ogun olumulo: Tirojanu, sọfitiwia arekereke, adware didanubi. Ọrọ naa “Ti paroko” tọkasi iṣẹ ETA nitootọ. Nipa tite lori agbalejo kan, gbogbo alaye nipa rẹ, awọn iṣẹlẹ aabo, pẹlu awọn akọọlẹ CTA, yoo han.
Nipa gbigbe lori ipele kọọkan ti CTA, iṣẹlẹ naa ṣafihan alaye alaye nipa ibaraenisepo naa. Fun awọn atupale pipe, tẹ ibi Wo Awọn alaye Iṣẹlẹ, ati awọn ti o yoo wa ni ya si kan lọtọ console Irokeke Irokeke Imọ.
Ni igun apa ọtun oke, àlẹmọ kan gba ọ laaye lati ṣafihan awọn iṣẹlẹ nipasẹ ipele biba. Nigbati o ba tọka si anomaly kan pato, awọn iwe-ipamọ yoo han ni isalẹ iboju pẹlu aago ti o baamu ni apa ọtun. Nitorinaa, alamọja aabo alaye ni oye kedere iru ogun ti o ni akoran, lẹhin eyiti awọn iṣe, bẹrẹ lati ṣe iru awọn iṣe.
Ni isalẹ ni apẹẹrẹ miiran - Tirojanu ile-ifowopamọ ti o ni akoran ogun naa 198.19.30.36. Ogun yii bẹrẹ lati ṣe ajọṣepọ pẹlu awọn ibugbe irira, ati awọn akọọlẹ ṣe afihan alaye lori sisan ti awọn ibaraẹnisọrọ wọnyi.
Nigbamii ti, ọkan ninu awọn ojutu ti o dara julọ ti o le jẹ ni lati ya sọtọ agbalejo o ṣeun si abinibi pẹlu Cisco ISE fun siwaju itọju ati onínọmbà.
ipari
Ojutu Sisiko StealthWatch jẹ ọkan ninu awọn oludari laarin awọn ọja ibojuwo nẹtiwọọki mejeeji ni awọn ofin ti itupalẹ nẹtiwọọki ati aabo alaye. Ṣeun si rẹ, o le rii awọn ibaraenisọrọ aitọ laarin nẹtiwọọki, awọn idaduro ohun elo, awọn olumulo ti n ṣiṣẹ julọ, awọn aiṣedeede, malware ati awọn APT. Pẹlupẹlu, o le wa awọn aṣayẹwo, pentesters, ati ṣe idanwo-crypto ti ijabọ HTTPS. O le wa paapaa awọn ọran lilo diẹ sii ni .
Ti o ba fẹ lati ṣayẹwo bi o ṣe n ṣiṣẹ ni irọrun ati daradara lori nẹtiwọki rẹ, firanṣẹ .
Ni ọjọ iwaju nitosi, a n gbero ọpọlọpọ awọn atẹjade imọ-ẹrọ diẹ sii lori ọpọlọpọ awọn ọja aabo alaye. Ti o ba nifẹ si koko yii, lẹhinna tẹle awọn imudojuiwọn ninu awọn ikanni wa (, , , )!
orisun: www.habr.com