StealthWatch：事件分析與調查。 第三部分

思科隱形觀察 是資訊安全領域的分析解決方案，可對分散式網路中的威脅進行全面監控。 StealthWatch 是基於從路由器、交換器和其他網路設備收集 NetFlow 和 IPFIX。 因此，網路成為一個敏感的傳感器，允許管理員查看傳統網路安全方法（例如下一代防火牆）無法到達的地方。

在之前的文章中我已經寫過有關 StealthWatch 的文章： 第一次介紹和機會和 部署和配置。 現在，我建議繼續討論如何處理警報並調查解決方案產生的安全事件。 我希望將有 6 個範例讓您更了解產品的實用性。

首先，應該說 StealthWatch 在演算法和來源之間有一定的警報分佈。 首先是各種警報（通知），當觸發時，您可以偵測網路上的可疑事物。 二是安全事故。 本文將介紹 4 個觸發演算法的範例和 2 個提要範例。

1. 網路內最大交互分析

設定 StealthWatch 的第一步是將主機和網路定義為群組。 在 Web 介面標籤中 配置 > 主機群組管理 網路、主機和伺服器應分為適當的群組。 您也可以建立自己的群組。 順便說一句，在 Cisco StealthWatch 中分析主機之間的互動非常方便，因為您不僅可以按流保存搜尋過濾器，還可以保存結果本身。

首先，在網頁介面中，您應該轉到選項卡 分析 > 流搜尋。 然後您應該設定以下參數：

• 搜尋類型 - 熱門對話（最受歡迎的互動）
• 時間範圍 — 24 小時（時間段，您可以使用其他時段）
• 搜尋名稱 - Inside-Inside 熱門對話（任何友善名稱）
• 主題 - 主機群組 → 內部主機（來源 - 內部主機群組）
• 連接（可指定連接埠、應用程式）
• 對等 - 主機群組 → 內部主機（目的地 - 內部節點群組）
• 在進階選項中，您還可以指定從中查看資料的收集器，並對輸出進行排序（按位元組、流等）。 我會將其保留為預設值。

按下按鈕後 檢索 將顯示已按傳輸的資料量排序的互動清單。

在我的範例中，主機 10.150.1.201 （伺服器）僅在一個執行緒內傳輸 1.5 GB 到主機的流量 10.150.1.200 （客戶端）按協議 MySQL的。 按鈕 管理列 允許您向輸出資料添加更多列。

接下來，根據管理員的判斷，您可以建立自訂規則，該規則將始終觸發此類互動並透過 SNMP、電子郵件或系統日誌通知您。

2. 分析網路中最慢的客戶端-伺服器互動的延遲

標籤 SRT（伺服器回應時間）, RTT（往返時間） 允許您找出伺服器延遲和一般網路延遲。 當您需要快速找到用戶抱怨應用程式運行緩慢的原因時，此工具特別有用。

注意：幾乎所有 Netflow 出口商 不知該如何 通常，為了在 FlowSensor 上看到此類數據，您需要設定從網路設備傳送流量副本。 FlowSensor 又將擴充的 IPFIX 傳送到 FlowCollector。

在管理員電腦上安裝的 StealtWatch java 應用程式中進行此分析會更方便。

滑鼠右鍵打開 內部主機 並轉到選項卡 流表.

點選 篩選 並設定必要的參數。 舉個例子：

• 日期/時間 - 過去 3 天
• 效能 — 平均往返時間 >=50ms

顯示資料後，我們應該會添加我們感興趣的 RTT 和 SRT 欄位。 為此，請按一下螢幕截圖中的列，然後用滑鼠右鍵選擇 管理列。 接下來，點選RTT、SRT 參數。

處理請求後，我按 RTT 平均值排序，發現互動速度最慢。

要查看詳細信息，請右鍵單擊流並選擇 快速查看流量.

該資訊表明主機 10.201.3.59 來自團體 銷售和營銷 根據協議 NFS的 是有吸引力對 DNS伺服器 23分XNUMX秒，而且有可怕的延遲。 在選項卡中 接口 您可以找出該資訊是從哪個 Netflow 資料匯出器取得的。 在選項卡中 枱燈 顯示有​​關互動的更多詳細資訊。

接下來，您應該找出哪些裝置會向 FlowSensor 發送流量，以及問題最有可能出在哪裡。

此外，StealthWatch 的獨特之處在於它可以 重複資料刪除 數據（組合相同的流）。 因此，您幾乎可以從所有 Netflow 裝置收集，而不必擔心會有大量重複資料。 恰恰相反，在這個方案中，它將有助於了解哪一跳的延遲最大。

3. HTTPS加密協定審計

ETA（加密流量分析） 是思科開發的一項技術，可讓您偵測加密流量中的惡意連接，而無需對其進行解密。 此外，該技術可讓您將 HTTPS「解析」為連接期間使用的 TLS 版本和加密協定。 當您需要偵測使用弱加密標準的網路節點時，此功能特別有用。

注意：您必須先在 StealthWatch 上安裝網頁應用程式 - ETA 加密審計.

轉到選項卡 儀表板 → ETA 加密審計 並選擇我們計劃分析的主機組。 對於整體圖片，我們選擇 內部主機.

可以看到輸出了TLS版本和對應的加密標準。 依照專欄中通常的方案 動態 去 查看流程 並且搜尋將在新選項卡中開始。

從輸出結果可以看出，主機 198.19.20.136 以上 12小時 使用帶有 TLS 1.2 的 HTTPS，其中加密演算法 AES-256 和哈希函數 SHA-384。 因此，ETA 允許您找到網路上的弱演算法。

4. 網路異常分析

Cisco StealthWatch 可以使用三種工具來識別網路上的流量異常： 核心活動 （安全事件）， 關係事件 （網段、網路節點之間的交互事件）和 行為分析.

反過來，行為分析可以隨著時間的推移為特定主機或主機群組建立行為模型。 通過 StealthWatch 的流量越多，透過此分析發出的警報就越準確。 起初，系統會錯誤地觸發很多，因此應該手動「扭曲」規則。 我建議您在前幾週忽略此類事件，因為系統會自行調整，或將它們添加到例外中。

以下是預定義規則的範例 不規則，它表明如果滿足以下條件，該事件將觸發且不會發出警報 Inside Hosts群組中的主機與Inside Hosts群組交互，24小時內流量將超過10兆.

例如，讓我們設定一個鬧鐘 數據囤積，表示某個來源/目的主機從一組主機或一台主機上傳/下載了異常大量的資料。 按一下事件並前往指示觸發主機的表。 接下來在欄位中選擇我們有興趣的主機 數據囤積.

將顯示一個事件，指示檢測到 162k“點”，並且根據策略，允許 100k“點” - 這些是內部 StealthWatch 指標。 在一欄裡 動態 推 查看流程.

我們可以觀察到 給定主機 晚上和主持人互動 10.201.3.47 來自部門 銷售與市場營銷 根據協議 HTTPS 並下載了 1.4 GB。 也許這個例子並不完全成功，但即使是幾百GB的交互檢測也是以完全相同的方式進行的。 因此，對異常的進一步調查可能會產生有趣的結果。

注意：在SMC Web介面中，資料位於選項卡中 儀表板 僅顯示上周和選項卡中的內容 監控器 過去兩週。 要分析舊事件並產生報告，您需要使用管理員電腦上的 java 控制台。

5.尋找內網掃描

現在讓我們來看幾個提要範例 - 資訊安全事件。 安全專業人員更感興趣此功能。

StealthWatch 中有多種預設的掃描事件類型：

• 連接埠掃描—來源掃描目標主機上的多個連接埠。
• Addr tcp 掃描 - 來源在同一 TCP 連接埠上掃描整個網絡，更改目標 IP 位址。 在這種情況下，來源會收到 TCP Reset 封包或根本不會收到回應。
• Addr udp 掃描 - 來源在同一 UDP 連接埠上掃描整個網絡，同時變更目標 IP 位址。 在這種情況下，來源會收到 ICMP 連接埠不可達資料包或根本不會收到回應。
• Ping 掃描 - 來源向整個網路發送 ICMP 請求以搜尋答案。
• 隱形掃描 tсp/udp - 來源使用相同連接埠同時連接到目標節點上的多個連接埠。

為了更方便地一次找到所有內部掃描儀，有一個網路應用程式 StealthWatch - 可見度評估。 前往選項卡 儀表板 → 可見性評估 → 內部網路掃描儀 您將看到過去 2 週與掃描相關的安全事件。

點擊按鈕 更多資訊，您將看到各個網路的掃描開始情況、流量趨勢以及相應的警報。

接下來，您可以從上一個螢幕截圖中的選項卡「失敗」進入主機，並查看安全事件以及該主機上週的活動。

舉個例子，我們來分析一下事件 端口掃描 來自主機 10.201.3.149 上 10.201.0.72, 按 操作 > 關聯流。 啟動話題搜尋並顯示相關資訊。

我們如何從其連接埠之一看到該主機 51508/TCP 3小時前按埠掃描目的主機 22、28、42、41、36、40（TCP）。 某些欄位也不顯示訊息，因為 Netflow 匯出器不支援所有 Netflow 欄位。

6. 使用CTA分析下載的惡意軟體

CTA（認知威脅分析） — 思科雲端分析，與思科 StealthWatch 完美集成，讓您可以透過簽章分析來補充無簽章分析。 這使得檢測特洛伊木馬、網路蠕蟲、零日惡意軟體和其他惡意軟體並在網路內分發它們成為可能。 此外，前面提到的 ETA 技術可讓您分析加密流量中的此類惡意通訊。

從字面上看，在網路介面的第一個選項卡上有一個特殊的小部件 認知威脅分析。 簡要摘要顯示在使用者主機上偵測到的威脅：特洛伊木馬、詐騙軟體、煩人的廣告軟體。 「加密」一詞實際上表明了 ETA 的工作。 透過點選主機，會顯示有關該主機的所有資訊、安全事件（包括 CTA 日誌）。

透過將滑鼠懸停在 CTA 的每個階段上，事件會顯示有關互動的詳細資訊。 如需完整分析，請點擊此處 查看事件詳細信息，您將被帶到一個單獨的控制台 認知威脅分析.

右上角的篩選器可讓您以嚴重性等級顯示事件。 當您指向特定異常時，日誌會顯示在螢幕底部，右側會顯示對應的時間軸。 這樣，資安專家就清楚了解哪台受感染的主機，在執行了哪些操作之後，開始執行哪些操作。

以下是另一個例子－感染主機的銀行木馬 198.19.30.36。 主機開始與惡意網域交互，日誌顯示有關這些交互流程的資訊。

接下來，最好的解決方案之一是藉助本機隔離主機 一體化 使用 Cisco ISE 進行進一步處理和分析。

結論

思科 StealthWatch 解決方案在網路分析和資訊安全方面都是網路監控產品中的領導者之一。 借助它，您可以檢測網路內的非法互動、應用程式延遲、最活躍的用戶、異常、惡意軟體和 APT。 此外，您還可以找到掃描器、滲透測試儀，並對 HTTPS 流量進行加密稽核。 您可以在以下位置找到更多用例 鏈接.

如果您想檢查網路上的一切工作是否順利和高效，請發送 要求.
在不久的將來，我們計劃出版更多有關各種資訊安全產品的技術出版物。 如果您對此主題感興趣，請關注我們頻道的更新（Telegram, Facebook, VK, TS 解決方案博客)!

來源： www.habr.com