在之前的文章中我已经写过有关 StealthWatch 的文章:
首先,应该说 StealthWatch 在算法和源之间有一定的警报分布。 首先是各种警报(通知),当触发时,您可以检测网络上的可疑事物。 二是安全事故。 本文将介绍 4 个触发算法的示例和 2 个提要示例。
1. 网络内最大交互分析
设置 StealthWatch 的第一步是将主机和网络定义为组。 在 Web 界面选项卡中 配置 > 主机组管理 网络、主机和服务器应分为适当的组。 您还可以创建自己的组。 顺便说一句,在 Cisco StealthWatch 中分析主机之间的交互非常方便,因为您不仅可以按流保存搜索过滤器,还可以保存结果本身。
首先,在网络界面中,您应该转到选项卡 分析 > 流搜索。 然后您应该设置以下参数:
- 搜索类型 - 热门对话(最受欢迎的互动)
- 时间范围 — 24 小时(时间段,您可以使用其他时间段)
- 搜索名称 - Inside-Inside 热门对话(任何友好名称)
- 主题 - 主机组 → 内部主机(源 - 内部主机组)
- 连接(可以指定端口、应用程序)
- 对等 - 主机组 → 内部主机(目的地 - 内部节点组)
- 在高级选项中,您还可以指定从中查看数据的收集器,对输出进行排序(按字节、流等)。 我将其保留为默认值。
按下按钮后 搜索 将显示已按传输的数据量排序的交互列表。
在我的示例中,主机 10.150.1.201 (服务器)仅在一个线程内传输 1.5 GB 到主机的流量 10.150.1.200 (客户端)按协议 MySQL的. 按钮 管理列 允许您向输出数据添加更多列。
接下来,根据管理员的判断,您可以创建一个自定义规则,该规则将始终触发此类交互并通过 SNMP、电子邮件或系统日志通知您。
2. 分析网络中最慢的客户端-服务器交互的延迟
标签 SRT(服务器响应时间), RTT(往返时间) 允许您找出服务器延迟和一般网络延迟。 当您需要快速找到用户抱怨应用程序运行缓慢的原因时,此工具特别有用。
注意:几乎所有 Netflow 出口商 不知道怎么做 通常,为了在 FlowSensor 上看到此类数据,您需要配置从网络设备发送流量副本。 FlowSensor 又将扩展的 IPFIX 发送到 FlowCollector。
在管理员计算机上安装的 StealtWatch java 应用程序中进行此分析会更方便。
鼠标右键打开 内部主机 并转到选项卡 流量表.
点击 筛选器 并设置必要的参数。 举个例子:
- 日期/时间 - 过去 3 天
- 性能 — 平均往返时间 >=50ms
显示数据后,我们应该添加我们感兴趣的 RTT 和 SRT 字段。 为此,请单击屏幕截图中的列,然后用鼠标右键选择 管理列。 接下来,单击RTT、SRT 参数。
处理请求后,我按 RTT 平均值排序,发现交互速度最慢。
要查看详细信息,请右键单击流并选择 快速查看流量.
该信息表明主机 10.201.3.59 从组 销售和营销 协议 NFS的 是有吸引力对 DNS服务器 23分XNUMX秒,而且有可怕的延迟。 在选项卡中 接口 您可以找出该信息是从哪个 Netflow 数据导出器获取的。 在选项卡中 表 显示有关交互的更多详细信息。
接下来,您应该找出哪些设备向 FlowSensor 发送流量,以及问题最有可能出在哪里。
此外,StealthWatch 的独特之处在于它可以 重复数据删除 数据(组合相同的流)。 因此,您可以从几乎所有 Netflow 设备收集,而不必担心会有大量重复数据。 恰恰相反,在这个方案中,它将有助于了解哪一跳的延迟最大。
3. HTTPS加密协议审计
ETA(加密流量分析) 是思科开发的一项技术,允许您检测加密流量中的恶意连接,而无需对其进行解密。 此外,该技术允许您将 HTTPS“解析”为连接期间使用的 TLS 版本和加密协议。 当您需要检测使用弱加密标准的网络节点时,此功能特别有用。
注意:您必须首先在 StealthWatch 上安装网络应用程序 - ETA 加密审计.
转到选项卡 仪表板 → ETA 加密审计 并选择我们计划分析的主机组。 对于整体图片,我们选择 内部主机.
可以看到输出了TLS版本和对应的加密标准。 按照专栏中通常的方案 行动 去 查看流程 并且搜索将在新选项卡中开始。
从输出结果可以看出,主机 198.19.20.136 以上 12小时 使用带有 TLS 1.2 的 HTTPS,其中加密算法 AES-256 和哈希函数 SHA-384。 因此,ETA 允许您找到网络上的弱算法。
4. 网络异常分析
Cisco StealthWatch 可以使用三种工具识别网络上的流量异常: 核心活动 (安全事件), 关系事件 (网段、网络节点之间的交互事件)和 行为分析.
反过来,行为分析可以随着时间的推移为特定主机或主机组构建行为模型。 通过 StealthWatch 的流量越多,通过此分析发出的警报就越准确。 起初,系统会错误地触发很多,因此应该手动“扭曲”规则。 我建议您在前几周忽略此类事件,因为系统会自行调整,或将它们添加到例外中。
以下是预定义规则的示例 异常,它表明如果满足以下条件,该事件将触发且不会发出警报 Inside Hosts组中的主机与Inside Hosts组交互,24小时内流量将超过10兆.
例如,让我们设置一个闹钟 数据囤积,表示某个源/目的主机从一组主机或一台主机上上传/下载了异常大量的数据。 单击事件并转至指示触发主机的表。 接下来在栏目中选择我们感兴趣的主机 数据囤积.
将显示一个事件,指示检测到 162k“点”,并且根据策略,允许 100k“点” - 这些是内部 StealthWatch 指标。 在一栏里 行动 推 查看流程.
我们可以观察到 给定主机 晚上和主持人互动 10.201.3.47 从部门 销售与市场营销 协议 HTTPS 并下载了 1.4 GB。 也许这个例子并不完全成功,但即使是几百GB的交互检测也是以完全相同的方式进行的。 因此,对异常的进一步调查可能会产生有趣的结果。
注意:在SMC Web界面中,数据位于选项卡中 仪表板 仅显示上周和选项卡中的内容 显示器 过去两周。 要分析旧事件并生成报告,您需要使用管理员计算机上的 java 控制台。
5.查找内网扫描
现在让我们看几个提要示例 - 信息安全事件。 安全专业人员更感兴趣此功能。
StealthWatch 中有多种预设的扫描事件类型:
- 端口扫描—源扫描目标主机上的多个端口。
- Addr tcp 扫描 - 源在同一 TCP 端口上扫描整个网络,更改目标 IP 地址。 在这种情况下,源会收到 TCP Reset 数据包或根本不会收到响应。
- Addr udp 扫描 - 源在同一 UDP 端口上扫描整个网络,同时更改目标 IP 地址。 在这种情况下,源会收到 ICMP 端口不可达数据包或根本不会收到响应。
- Ping 扫描 - 源向整个网络发送 ICMP 请求以搜索答案。
- 隐形扫描 tсp/udp - 源使用同一端口同时连接到目标节点上的多个端口。
为了更方便地一次找到所有内部扫描仪,有一个网络应用程序 StealthWatch - 可见性评估。 前往选项卡 仪表板 → 可见性评估 → 内部网络扫描仪 您将看到过去 2 周与扫描相关的安全事件。
按下按钮 更多信息,您将看到各个网络的扫描开始情况、流量趋势以及相应的警报。
接下来,您可以从上一个屏幕截图中的选项卡“失败”进入主机,并查看安全事件以及该主机上周的活动。
举个例子,我们来分析一下事件 端口扫描 来自主机 10.201.3.149 上 10.201.0.72, 按 操作 > 关联流。 启动话题搜索并显示相关信息。
我们如何从其端口之一看到该主机 51508 / TCP 3小时前按端口扫描目的主机 22、28、42、41、36、40(TCP)。 某些字段也不显示信息,因为 Netflow 导出器并不支持所有 Netflow 字段。
6. 使用CTA分析下载的恶意软件
CTA(认知威胁分析) — 思科云分析,与思科 StealthWatch 完美集成,让您可以通过签名分析来补充无签名分析。 这使得检测特洛伊木马、网络蠕虫、零日恶意软件和其他恶意软件并在网络内分发它们成为可能。 此外,前面提到的 ETA 技术允许您分析加密流量中的此类恶意通信。
从字面上看,在网络界面的第一个选项卡上有一个特殊的小部件 认知威胁分析。 简要摘要表明在用户主机上检测到的威胁:特洛伊木马、欺诈软件、烦人的广告软件。 “加密”一词实际上表明了 ETA 的工作。 通过单击主机,会显示有关该主机的所有信息、安全事件(包括 CTA 日志)。
通过将鼠标悬停在 CTA 的每个阶段上,事件会显示有关交互的详细信息。 如需完整分析,请点击此处 查看事件详细信息,您将被带到一个单独的控制台 认知威胁分析.
右上角的过滤器允许您按严重性级别显示事件。 当您指向特定异常时,日志会显示在屏幕底部,右侧会显示相应的时间线。 这样,信息安全专家就清楚地了解哪台受感染的主机,在执行了哪些操作之后,开始执行哪些操作。
下面是另一个例子——感染主机的银行木马 198.19.30.36。 该主机开始与恶意域交互,日志显示有关这些交互流程的信息。
接下来,最好的解决方案之一是借助本机隔离主机
结论
思科 StealthWatch 解决方案在网络分析和信息安全方面都是网络监控产品中的领先者之一。 借助它,您可以检测网络内的非法交互、应用程序延迟、最活跃的用户、异常、恶意软件和 APT。 此外,您还可以找到扫描仪、渗透测试仪,并对 HTTPS 流量进行加密审计。 您可以在以下位置找到更多用例
如果您想检查网络上的一切工作是否顺利和高效,请发送
在不久的将来,我们计划出版更多关于各种信息安全产品的技术出版物。 如果您对此主题感兴趣,请关注我们频道的更新(
来源: habr.com