61
Беляев Андрей [email protected] Cisco StealthWatch

Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

  • Upload
    others

  • View
    0

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Беляев Андрей [email protected]

Cisco StealthWatch

Page 2: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Обзор семейства решений

Cisco Stealthwatch

Page 3: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Сетевая телеметрия

Коммутаторуровня

распределения/ядра

КоммутатордоступаАгент на

оконечном устройстве

Межсетевой экранПрокси-сервер Identity

AD и DNS

Talos

Глобальная аналитика

Изолированные сведения = f (функция, местоположение)

Telemetry: an automated communications process by which measurements and other data are collected at remote or inaccessible points and transmitted to receiving equipment for monitoring.

https://en.wikipedia.org/wiki/Telemetry

Сетевые устройства

Page 4: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

NetFlow

10.1.8.3

172.168.134.2

ИнтернетДанные о потоке Пакеты

SOURCE ADDRESS 10.1.8.3

DESTINATION ADDRESS 172.168.134.2

SOURCE PORT 47321

DESTINATION PORT 443

INTERFACE Gi0/0/0

IP TOS 0x00

IP PROTOCOL 6

NEXT HOP 172.168.25.1

TCP FLAGS 0x1A

SOURCE SGT 100

: :

APPLICATION NAMENBAR SECURE-

HTTP

МаршрутизаторыКоммутаторы

Особенности NetFlow• Сведения обо всех взаимодействиях в вашей сети• Возможность сбора записей в любой точке сети

(коммутатор, маршрутизатор, МСЭ)• Контроль использования сети• Средство контроля для трафика как «север-юг», так

и «запад-восток»• Простота мониторинга по сравнению с анализом

SPAN-трафика• Возможность обнаружения IoC• Сведения о метках SGT

Page 5: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Система StealthWatch

pxGrid

Мониторинг на всех уровнях в реальном времени• Аналитика с использованием данных, собираемых по

всей сети• Обнаружение ресурсов• Профилирование сети• Мониторинг выполнения политики безопасности• Обнаружение аномалий• Ускорение обработки инцидентов

Cisco® Identity Services Engine Действие для нейтрализации

угрозы

КонтекстNetFlow

StealthWatch

Page 6: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Масштабирование мониторинга: «склейка» потоков

10.2.2.2порт 1024

10.1.1.1порт 80

eth

0/1

eth

0/2

Начало Интерфейс Src IP Src Port Dest IP Dest Port ProtoОтправлено пакетов

Отправлено байт

10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025

10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712

Запись о двунаправленном сеансе• Запись о потоке взаимодействия• Простота визуализации и анализа

Записи об однонаправленных потоках

Начало IP клиентаПортклиента IP сервера

Порт сервера Proto

Байт от клиента

Пакетов от клиента

Байт от сервера

Пакетов от сервера Интерф.

10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1eth0/2

Page 7: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Масштабирование: дедупликация NetFlow

Router A

Router B

Router C

10.2.2.2порт 1024

10.1.1.1порт 80

• Без дедупликации

• Возможны ошибки в подсчете объема

• Возможны ложные срабатывания

• Повышение эффективности хранения данных

• Необходимо для точного ведения отчетов на уровне хоста

Router A: 10.2.2.2:1024 -> 10.1.1.1:80

Router B: 10.2.2.2:1024 -> 10.1.1.1:80

Router C: 10.1.1.1:80 -> 10.2.2.2:1024

Дубликаты

Page 8: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Запись о двунаправленном потоке

• Масштабируемый сбор (решение корпоративного уровня)

• Отличный уровень сжатия => долговременное хранение• Хранение в течение месяцев

Когда Кто

Где

Что

Кто

Метка SGT

Контекст

Page 9: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Анализ NetFlow с помощью StealthWatch

ОбнаружениеВыделение IoC

Лучшее понимание/

реакция на IoC:

Определение всех приложений и

сервисов в сети

Политика и сегментация

Обнаружение аномалий (NBAD)

Сбор данных обо всех

взаимодействиях, хорошая база для

расследований

Page 10: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Проектирование и

развертывание решений

системы Stealthwatch

Page 11: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Stealthwatch

Management

Console

UDP-директор

Сбор данных о потоках (Flow Collector)

NetFlow,

syslog, SNMP Инфраструктура,

поддерживающая

NetFlow

Сенсор потоков

(Flow Sensor)Веб-прокси

Данные

о пользователях

и устройствах

Cisco ISE

Данные об актуальных

угрозах

Компоненты системы Stealthwatch

www

Лицензия Threat Feed

Концентратор

для устройств

Cloud License

Concentrator &

Agents

Page 12: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Stealthwatch

Management

Console

Инфраструктура,

передающая

данные о

потоках

Набор решений Stealthwatch

Flow

Collector

Базовые компонентыStealthwatch: Flow Collector иStealthwatch Management Console (SMC).

Все компоненты решенияStealthwatch могут развертываться в физическом или виртуальном (VMware) формате.

Page 13: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Stealthwatch

Management

Console

Инфраструктура,

передающая

данные о

потоках

Набор решений Stealthwatch: SFlow

Flow

Collector

Существует отдельный Flow Collector for SFlow. Stealthwatchподдерживает получение данных о потоках от широкого спектра устройств.

Инфраструктура,

передающая

данные о потоках

Flow

Collector

For

SFLOW

Page 14: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Stealthwatch

Management

Console

Инфраструктура,

передающая

данные о потоках

Набор решений Stealthwatch: лицензия FPS

Flow

Collector

Лицензия

FPS

Лицензия на обработку определенного числа потоков в секунду (FPS) определяет ожидаемую производительность.

Page 15: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Stealthwatch

Management

Console

Инфраструктура,

передающая

данные о потоках

Набор решений Stealthwatch: минимальная спецификация

Flow

Collector

Лицензия

FPS

1 SMC и поддержка

2 Flow Collector и поддержка

3 Лицензия FPS и поддержка.

Заказчик

Page 16: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Консоли SMC

Инфраструктура,

передающая

данные о потоках

Набор решений Stealthwatch: UDP-директор

Flow

Collector’ы

UDP-

директор

В решениях Stealthwatchпредусмотрено обеспечение отказоустойчивости. UDP-директор может направлять трафик на несколько Flow Collector’ов. Также поддерживаются несколько консолей SMC.

Page 17: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Stealthwatch

Management

Console

Инфраструктура

, передающая

данные о

потоках

Набор решений Stealthwatch: Flow Sensor

Flow

Collector

Flow

Sensor

Инфраструктура,

не способная

генерировать

данные о потоках

Flow Sensor позволяет генерировать записи о потоках там, где инфраструктура не поддерживает такой функционал. Данные от Flow Sensor’ов не учитываются лицензией FPS.

Page 18: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Stealthwatch

Management

Console

Инфраструктура,

передающая

данные о

потоках

Данные

о пользователях и

устройствах

Набор решений Stealthwatch: интеграция с ISE

Cisco

ISE

Flow

Collector

Flow

Sensor

Инфраструктура,

не способная

генерировать

данные о

потоках

Все существующие версии Stealthwatchподдерживают интеграцию с Cisco ISE для получения контекста и обратной связи по pxGrid.

Page 19: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Stealthwatch

Management

Console

Инфраструктура,

передающая

данные о потоках

Набор решений Stealthwatch: лицензия Proxy License

Flow

Collector

Flow

Sensor

Инфраструктура,

не способная

генерировать

данные о потоках

WSA

Контекстные данные

веб-прокси

Proxy License позволяет Flow Collector обрабатывать журналы прокси и Syslog для формирования дополнительного контекста.BlueCoat, McAfee, Squid, WSA

Page 20: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Stealthwatch

Management

Console

Инфраструктура,

передающая

данные о

потоках

Набор решений Stealthwatch: лицензии для оконечных устройств и облаков

Flow

CollectorEndpoint

Concentrator

Много клиентов AnyConnect с NVMСерверы в AWS

Cloud

Concentrator

Лицензия Endpoint License и Endpoint Concentrator помогают собирать IPFIX от AnyConnect NVM (AnyConnect Apex!!!).

Лицензия Cloud License и Cloud Concentrator помогают собирать IPFIX от серверов, развернутых в AWS.

Page 21: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Stealthwatch

Management

Console

Инфраструктура,

передающая

данные о

потоках

Данные

о пользователях и

устройствах

Информационный поток

Stealthwatch Labs

Intelligence Center (SLIC)

Набор решений Stealthwatch: данные об угрозах

Cisco

ISE

Flow

Collector

Flow

Sensor

Инфраструктура,

не способная

генерировать данные

о потоках

Stealthwatchподдерживает поток данных об угрозах SLIC как дополнительный лицензируемый компонент.

Page 22: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Stealthwatch

Management

Console

Инфраструктура,

передающая

данные о

потоках

Данные

о пользователях и

устройствах

Информационный поток

Stealthwatch Labs

Intelligence Center (SLIC)

Stealthwatch Portfolio: лицензия Learning Network

Cisco

ISE

Flow

Collector

Learning

Network

Manager

Сеть

филиала

Лицензия Stealthwatch Learning Network позволяет использовать средства обнаружения аномалий и блокировать угрозы на ISR серии 4000.

Масштабирование: до 1000 агентов на 1 менеджера

Page 23: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Интеграция StealthWatch-ISE

Аутентификация

Команды поместить в карантин/извлечь из карантина с помощью ISE EPS

pxGrid

syslog (udp/3514)

Identity Services Engine

StealthWatch Management

Console

Атрибуция потоков• Использование ISE для

сопоставления имени пользователя IP-адресу

Page 24: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Принципы проектирования

решения на базе системы

Stealthwatch

Page 25: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

• Каждое устройство будет поддерживать минимальное гарантированное число потоков

• Наиболее важные метрики:

• Число экспортеров – число Flow Sensor’ов или маршрутизаторов/коммутаторов, передающих данные на FlowCollector

• Скорость поступления данных – интенсивность получения данных о потоках (Flow Collector получает данные от Flow Sensor’ов или сетевых устройств)

• Число хостов – общее число внутренних и внешних хостов

• Объем хранилища данных о потоках

Основные принципы

Page 26: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Оценка FPS

Тип хоста Число FPS на 1 хост

Сервер 5

Рабочая станция/ноутбук 1,2

Маршрутизатор/коммутатор 75

IP-телефон 0,002

• Оценку FPS можно выполнить на

основании числа и типа IP-хостов,

активных в сети

• Настоятельно рекомендуется

осуществлять проектирование

(и приобретать лицензию FPS) с

запасом!

• Калькулятор FPS:

https://www.lancope.com/fps-estimator

• Запросите 30-дневную бесплатную

версию UDP-директора и

попробуйте

Page 27: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Типовая схема развертывания

• Одна консоль

SteathWatch

Management Console и

один FlowCollector

• Одна консоль SMC – достаточно

типовой случай

• Все изменения конфигурации

выполняются на SMC

• FlowCollector посылает

результирующие данные на

SMC

• SMC настроена на получение

записей журналов (таких как

Syslog) от ISE , также включен

pxGrid

HT

TP

Sп

ото

ки

Page 28: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Базовый аппаратный вариант

Item Product SKU

1 SMC 1010 Appliance LC-SMC-1010-K9

2 SMC Support CON-SMC-1K

3 FlowCollector 2000 Appliance (60K FPS, 1K

Exporters, 2TB Storage )

LC-FC-2010-NF-K9

4 FlowCollector Support CON-FC2K-NF

5 FPS 50K License L-LC-FPS-50K=

6 Support for FPS license CON-FPS-50K

Поддержка до 50 000 FPS.

Page 29: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Базовый виртуальный вариант

Item Product SKU

1 SMC VE L-LC-FC-NF-VE-K9

2 SMC Support CON-SMC-VE

3 FlowCollector VE (30K FPS, 1K Exporters, 1TB

Storage )

L-LC-FC-NF-VE-K9

4 FlowCollector Support CON-FC-NF-VE

5 FPS 25K License L-LC-FPS-25K=

6 Support for FPS license CON-FPS-25K

7* FlowSensor VE for VMware L-LC-FSVE-VMW-K9

8* 1 Year Maintenance For FlowSensor VE CON-FSVE-VMW

* - Опционально

Page 30: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Резервирование SMC, региональные коллекторы

Требования:• 2 SMC + поддержка

SMC

• Несколько FC +

поддержка FC

• Несколько лицензий

FPS

Примечание:• Выбор конкретных FC

и SMC зависит от

показателей FPS

среды.

Stealthwatch

FlowCollector

Stealthwatch

FlowCollector

Americas

Internet/MPLS

Основная

SMC

Резервная

SMC

EMEA

Internet/MPLS

Asia Pacific

Internet/MPLS

Page 31: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Резервирование SMC и FC

Требования:• 2 SMC + поддержка SMC

• Несколько FC + поддержка

FC

• Несколько лицензий FPS

• Резервные лицензии FPS

(в нужном количестве)

Опционально:• Несколько UDP-директоров

Примечание:• Выбор конкретных FC

и SMC зависит от

показателей FPS среды.

Americas

Internet/MPLS

EMEA

Internet/MPLS

Asia Pacific

Internet/MPLS

Stealthwatch

FlowCollector’ы

Основная

SMC

Резервная

SMC

Page 32: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Работа с системой

Stealthwatch

Page 33: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Начало работы с SMC

https://<smc-ip>

Обычный вход

Page 34: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Интерфейс №1: веб-интерфейс

• Добавлен в StealthWatch 6.5• Быстрая демонстрация• Новые функции реализованы

в этом интерфейсе

Уникальные отличия:• Реакция с помощью ISE• Пользовательские события• Поля SGT в записях о потоках• ProxyWatch• Настройка Active Directory• Пользовательские приложения• Управление заданиями

Page 35: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Интерфейс №1: веб-интерфейс

Меню

Активные тревоги

Инф. панель

Запуск Java-клиента

Виджеты

Page 36: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Интерфейс №2: «рабочий» веб-интерфейс

• Традиционный интерфейс• Годы разработки• «Инженеры для инженеров»• Минимальный объем новых функций

Page 37: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Интерфейс №2: «рабочий» веб-интерфейс

Просмотр «документов»

Древовидный каталог

Page 38: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

SMC: древовидный каталог

Группы хостов

Домен

FlowCollector(ы) и Exporter(ы)

Cisco ISE

Page 39: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Хосты и группы хостов

Page 40: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Хосты

• Любой IP-адрес, с которого был трафик:

• Зафиксированный экспортером NetFlow

• Запись была отправлена в коллектор

• Для каждого хоста StealthWatch

• Собирает метаданные

• Формирует профиль поведения

Page 41: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Группы хостов

• Виртуальный контейнер IP-адресов• Задается пользователем• Общность атрибутов• Моделирование любого

процесса/приложения

Page 42: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Типы групп хостов

• Внутренние хосты:• Все хосты, явно определенные как

часть сети• По умолчанию– “Catch All”

• Внешние хосты• Все хосты, которые не были явно

указаны как часть сети• Страны – GEO-IP

• Ведение с помощью SLIC• Bogon• C & C• Tor

Page 43: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Внутренние группы хостов

По умолчанию• Catch All

• Адреса RFC 1918• По функции• По местоположению

Включая общедоступные IP-адреса

Page 44: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Группы хостов: улучшение контроля

Виртуальный контейнер IP-адресов/диапазонов со

схожими атрибутами

Управление как единым объектом

Совет: внесение всех известных IP-адресов в одну или несколько групп хостов

Возможность применения политик к группе

Page 45: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Группы хостов: причинно-следственная связь

Настройки внизИнформация вверх

Page 46: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Панель группы хостов – внутренние хосты

Хосты с высоким CI

Популярные цели

Тренд тревог

Активные тревоги

Page 47: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Сведения о хосте: 10.10.101.118

Топ активных потоков

События, связанные с CI

Сведения о хосте

Фильтр

Page 48: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Модель тревог

Page 49: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Stealthwatch: тревоги

Тревоги• Существенное изменение поведения и нарушения политики• Генерируются как для известных, так и не известных атак• Действия, выходящие за рамки обычного профиля,

допустимого поведения или заданных политик

Page 50: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Категории тревог

Накопление очков в каждой категории

Page 51: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Мониторинг сегментации

Группы хостов

Связь

Запрещенная связь

Page 52: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Нарушение политики: Host Locking

Клиенты Серверы

Условия для клиента

Условия для сервера

Успешное или любое

Page 53: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Нарушение политики: Host Locking

Связь в нарушение политики• Тревога сработала на нарушение политик

Page 54: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Нарушение политики: пользовательские события

Событие срабатывает при определенном трафике

Исходная SGT

Целевая SGT

Имя/описание правила

Описание объекта

Описание субъекта

Описание соединения

Page 55: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Нарушение политики: пользовательские события

ПАНЕЛЬ ТРЕВОГ: все тревоги, связанные с политиками

Сведения о тревоге “Employee to Productions Servers”

Page 56: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Контроль аномалий: Concern Index

Concern Index: хосты, ведущие себя странно

66 различных алгоритмов для версии 6.7.1.

56

Page 57: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Высокое значение CI

Отклонение от нормы на 2 432%!

Page 58: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Внутренняя разведка: обнаружение по CI

Сканирование разных подсетей в поисках

TCP-445

Событие CI

Page 59: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Шаблоны отчетов

Reports

00 - Top Internal Scanning Hosts (report time)

01 - Overview of Monitored Network (report time)

02 - Outside to Outside Hosts and Conversations

03 - Server Classification Report

The above 00-03 reports are for provisioning.

It is important to view these reports within first 2 days of initial assessment start date to make sure report 04-10 are accurate and clean.

Очень малая часть, создаваемая, как правило, на этапе PoC:

Reports

04 - DNS Analysis – Yesterday

05 - Proxy Bypass Report – Last 14 Days

06 - SMB to Internet Analysis – Last 14 Days

07 – Alarms - Last 14 Days

08 - Remote Access From Internet – Last 14 Days

09 - Telnet Analysis – Last 14 Days

10 - Suspect Country Traffic – Last 14 Days

11 – Rogue Servers

12 – Behaviour Analysis

13 – Protected Assets at Risk

Page 60: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

• Краткая сводка с лаконичным представлением ситуации.

Обзор для высшего руководства

Page 61: Cisco StealthWatchcisco.b2b-softline.com/media/uploads/cisco_stealthwatch.pdfIt is important to view these reports within first 2 days of initial assessment start date to make sure

Спасибо за внимание!

Менеджер по развитию бизнеса Cisco:

Беляев Андрей

[email protected]