Embed Size (px)
Citation preview
Обзор семейства решений
Cisco Stealthwatch
Сетевая телеметрия
Коммутаторуровня
распределения/ядра
КоммутатордоступаАгент на
оконечном устройстве
Межсетевой экранПрокси-сервер Identity
AD и DNS
Talos
Глобальная аналитика
Изолированные сведения = f (функция, местоположение)
Telemetry: an automated communications process by which measurements and other data are collected at remote or inaccessible points and transmitted to receiving equipment for monitoring.
https://en.wikipedia.org/wiki/Telemetry
Сетевые устройства
NetFlow
10.1.8.3
172.168.134.2
ИнтернетДанные о потоке Пакеты
SOURCE ADDRESS 10.1.8.3
DESTINATION ADDRESS 172.168.134.2
SOURCE PORT 47321
DESTINATION PORT 443
INTERFACE Gi0/0/0
IP TOS 0x00
IP PROTOCOL 6
NEXT HOP 172.168.25.1
TCP FLAGS 0x1A
SOURCE SGT 100
: :
APPLICATION NAMENBAR SECURE-
HTTP
МаршрутизаторыКоммутаторы
Особенности NetFlow• Сведения обо всех взаимодействиях в вашей сети• Возможность сбора записей в любой точке сети
(коммутатор, маршрутизатор, МСЭ)• Контроль использования сети• Средство контроля для трафика как «север-юг», так
и «запад-восток»• Простота мониторинга по сравнению с анализом
SPAN-трафика• Возможность обнаружения IoC• Сведения о метках SGT
Система StealthWatch
pxGrid
Мониторинг на всех уровнях в реальном времени• Аналитика с использованием данных, собираемых по
всей сети• Обнаружение ресурсов• Профилирование сети• Мониторинг выполнения политики безопасности• Обнаружение аномалий• Ускорение обработки инцидентов
Cisco® Identity Services Engine Действие для нейтрализации
угрозы
КонтекстNetFlow
StealthWatch
Масштабирование мониторинга: «склейка» потоков
10.2.2.2порт 1024
10.1.1.1порт 80
eth
0/1
eth
0/2
Начало Интерфейс Src IP Src Port Dest IP Dest Port ProtoОтправлено пакетов
Отправлено байт
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712
Запись о двунаправленном сеансе• Запись о потоке взаимодействия• Простота визуализации и анализа
Записи об однонаправленных потоках
Начало IP клиентаПортклиента IP сервера
Порт сервера Proto
Байт от клиента
Пакетов от клиента
Байт от сервера
Пакетов от сервера Интерф.
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1eth0/2
Масштабирование: дедупликация NetFlow
Router A
Router B
Router C
10.2.2.2порт 1024
10.1.1.1порт 80
• Без дедупликации
• Возможны ошибки в подсчете объема
• Возможны ложные срабатывания
• Повышение эффективности хранения данных
• Необходимо для точного ведения отчетов на уровне хоста
Router A: 10.2.2.2:1024 -> 10.1.1.1:80
Router B: 10.2.2.2:1024 -> 10.1.1.1:80
Router C: 10.1.1.1:80 -> 10.2.2.2:1024
Дубликаты
Запись о двунаправленном потоке
• Масштабируемый сбор (решение корпоративного уровня)
• Отличный уровень сжатия => долговременное хранение• Хранение в течение месяцев
Когда Кто
Где
Что
Кто
Метка SGT
Контекст
Анализ NetFlow с помощью StealthWatch
ОбнаружениеВыделение IoC
Лучшее понимание/
реакция на IoC:
Определение всех приложений и
сервисов в сети
Политика и сегментация
Обнаружение аномалий (NBAD)
Сбор данных обо всех
взаимодействиях, хорошая база для
расследований
Проектирование и
развертывание решений
системы Stealthwatch
Stealthwatch
Management
Console
UDP-директор
Сбор данных о потоках (Flow Collector)
NetFlow,
syslog, SNMP Инфраструктура,
поддерживающая
NetFlow
Сенсор потоков
(Flow Sensor)Веб-прокси
Данные
о пользователях
и устройствах
Cisco ISE
Данные об актуальных
угрозах
Компоненты системы Stealthwatch
www
Лицензия Threat Feed
Концентратор
для устройств
Cloud License
Concentrator &
Agents
Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о
потоках
Набор решений Stealthwatch
Flow
Collector
Базовые компонентыStealthwatch: Flow Collector иStealthwatch Management Console (SMC).
Все компоненты решенияStealthwatch могут развертываться в физическом или виртуальном (VMware) формате.
Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о
потоках
Набор решений Stealthwatch: SFlow
Flow
Collector
Существует отдельный Flow Collector for SFlow. Stealthwatchподдерживает получение данных о потоках от широкого спектра устройств.
Инфраструктура,
передающая
данные о потоках
Flow
Collector
For
SFLOW
Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о потоках
Набор решений Stealthwatch: лицензия FPS
Flow
Collector
Лицензия
FPS
Лицензия на обработку определенного числа потоков в секунду (FPS) определяет ожидаемую производительность.
Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о потоках
Набор решений Stealthwatch: минимальная спецификация
Flow
Collector
Лицензия
FPS
1 SMC и поддержка
2 Flow Collector и поддержка
3 Лицензия FPS и поддержка.
Заказчик
Консоли SMC
Инфраструктура,
передающая
данные о потоках
Набор решений Stealthwatch: UDP-директор
Flow
Collector’ы
UDP-
директор
В решениях Stealthwatchпредусмотрено обеспечение отказоустойчивости. UDP-директор может направлять трафик на несколько Flow Collector’ов. Также поддерживаются несколько консолей SMC.
Stealthwatch
Management
Console
Инфраструктура
, передающая
данные о
потоках
Набор решений Stealthwatch: Flow Sensor
Flow
Collector
Flow
Sensor
Инфраструктура,
не способная
генерировать
данные о потоках
Flow Sensor позволяет генерировать записи о потоках там, где инфраструктура не поддерживает такой функционал. Данные от Flow Sensor’ов не учитываются лицензией FPS.
Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о
потоках
Данные
о пользователях и
устройствах
Набор решений Stealthwatch: интеграция с ISE
Cisco
ISE
Flow
Collector
Flow
Sensor
Инфраструктура,
не способная
генерировать
данные о
потоках
Все существующие версии Stealthwatchподдерживают интеграцию с Cisco ISE для получения контекста и обратной связи по pxGrid.
Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о потоках
Набор решений Stealthwatch: лицензия Proxy License
Flow
Collector
Flow
Sensor
Инфраструктура,
не способная
генерировать
данные о потоках
WSA
Контекстные данные
веб-прокси
Proxy License позволяет Flow Collector обрабатывать журналы прокси и Syslog для формирования дополнительного контекста.BlueCoat, McAfee, Squid, WSA
Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о
потоках
Набор решений Stealthwatch: лицензии для оконечных устройств и облаков
Flow
CollectorEndpoint
Concentrator
Много клиентов AnyConnect с NVMСерверы в AWS
Cloud
Concentrator
Лицензия Endpoint License и Endpoint Concentrator помогают собирать IPFIX от AnyConnect NVM (AnyConnect Apex!!!).
Лицензия Cloud License и Cloud Concentrator помогают собирать IPFIX от серверов, развернутых в AWS.
Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о
потоках
Данные
о пользователях и
устройствах
Информационный поток
Stealthwatch Labs
Intelligence Center (SLIC)
Набор решений Stealthwatch: данные об угрозах
Cisco
ISE
Flow
Collector
Flow
Sensor
Инфраструктура,
не способная
генерировать данные
о потоках
Stealthwatchподдерживает поток данных об угрозах SLIC как дополнительный лицензируемый компонент.
Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о
потоках
Данные
о пользователях и
устройствах
Информационный поток
Stealthwatch Labs
Intelligence Center (SLIC)
Stealthwatch Portfolio: лицензия Learning Network
Cisco
ISE
Flow
Collector
Learning
Network
Manager
Сеть
филиала
Лицензия Stealthwatch Learning Network позволяет использовать средства обнаружения аномалий и блокировать угрозы на ISR серии 4000.
Масштабирование: до 1000 агентов на 1 менеджера
Интеграция StealthWatch-ISE
Аутентификация
Команды поместить в карантин/извлечь из карантина с помощью ISE EPS
pxGrid
syslog (udp/3514)
Identity Services Engine
StealthWatch Management
Console
Атрибуция потоков• Использование ISE для
сопоставления имени пользователя IP-адресу
Принципы проектирования
решения на базе системы
Stealthwatch
• Каждое устройство будет поддерживать минимальное гарантированное число потоков
• Наиболее важные метрики:
• Число экспортеров – число Flow Sensor’ов или маршрутизаторов/коммутаторов, передающих данные на FlowCollector
• Скорость поступления данных – интенсивность получения данных о потоках (Flow Collector получает данные от Flow Sensor’ов или сетевых устройств)
• Число хостов – общее число внутренних и внешних хостов
• Объем хранилища данных о потоках
Основные принципы
Оценка FPS
Тип хоста Число FPS на 1 хост
Сервер 5
Рабочая станция/ноутбук 1,2
Маршрутизатор/коммутатор 75
IP-телефон 0,002
• Оценку FPS можно выполнить на
основании числа и типа IP-хостов,
активных в сети
• Настоятельно рекомендуется
осуществлять проектирование
(и приобретать лицензию FPS) с
запасом!
• Калькулятор FPS:
https://www.lancope.com/fps-estimator
• Запросите 30-дневную бесплатную
версию UDP-директора и
попробуйте
Типовая схема развертывания
• Одна консоль
SteathWatch
Management Console и
один FlowCollector
• Одна консоль SMC – достаточно
типовой случай
• Все изменения конфигурации
выполняются на SMC
• FlowCollector посылает
результирующие данные на
SMC
• SMC настроена на получение
записей журналов (таких как
Syslog) от ISE , также включен
pxGrid
HT
TP
Sп
ото
ки
Базовый аппаратный вариант
Item Product SKU
1 SMC 1010 Appliance LC-SMC-1010-K9
2 SMC Support CON-SMC-1K
3 FlowCollector 2000 Appliance (60K FPS, 1K
Exporters, 2TB Storage )
LC-FC-2010-NF-K9
4 FlowCollector Support CON-FC2K-NF
5 FPS 50K License L-LC-FPS-50K=
6 Support for FPS license CON-FPS-50K
Поддержка до 50 000 FPS.
Базовый виртуальный вариант
Item Product SKU
1 SMC VE L-LC-FC-NF-VE-K9
2 SMC Support CON-SMC-VE
3 FlowCollector VE (30K FPS, 1K Exporters, 1TB
Storage )
L-LC-FC-NF-VE-K9
4 FlowCollector Support CON-FC-NF-VE
5 FPS 25K License L-LC-FPS-25K=
6 Support for FPS license CON-FPS-25K
7* FlowSensor VE for VMware L-LC-FSVE-VMW-K9
8* 1 Year Maintenance For FlowSensor VE CON-FSVE-VMW
* - Опционально
Резервирование SMC, региональные коллекторы
Требования:• 2 SMC + поддержка
SMC
• Несколько FC +
поддержка FC
• Несколько лицензий
FPS
Примечание:• Выбор конкретных FC
и SMC зависит от
показателей FPS
среды.
Stealthwatch
FlowCollector
Stealthwatch
FlowCollector
Americas
Internet/MPLS
Основная
SMC
Резервная
SMC
EMEA
Internet/MPLS
Asia Pacific
Internet/MPLS
Резервирование SMC и FC
Требования:• 2 SMC + поддержка SMC
• Несколько FC + поддержка
FC
• Несколько лицензий FPS
• Резервные лицензии FPS
(в нужном количестве)
Опционально:• Несколько UDP-директоров
Примечание:• Выбор конкретных FC
и SMC зависит от
показателей FPS среды.
Americas
Internet/MPLS
EMEA
Internet/MPLS
Asia Pacific
Internet/MPLS
Stealthwatch
FlowCollector’ы
Основная
SMC
Резервная
SMC
Работа с системой
Stealthwatch
Начало работы с SMC
https://<smc-ip>
Обычный вход
Интерфейс №1: веб-интерфейс
• Добавлен в StealthWatch 6.5• Быстрая демонстрация• Новые функции реализованы
в этом интерфейсе
Уникальные отличия:• Реакция с помощью ISE• Пользовательские события• Поля SGT в записях о потоках• ProxyWatch• Настройка Active Directory• Пользовательские приложения• Управление заданиями
Интерфейс №1: веб-интерфейс
Меню
Активные тревоги
Инф. панель
Запуск Java-клиента
Виджеты
Интерфейс №2: «рабочий» веб-интерфейс
• Традиционный интерфейс• Годы разработки• «Инженеры для инженеров»• Минимальный объем новых функций
Интерфейс №2: «рабочий» веб-интерфейс
Просмотр «документов»
Древовидный каталог
SMC: древовидный каталог
Группы хостов
Домен
FlowCollector(ы) и Exporter(ы)
Cisco ISE
Хосты и группы хостов
Хосты
• Любой IP-адрес, с которого был трафик:
• Зафиксированный экспортером NetFlow
• Запись была отправлена в коллектор
• Для каждого хоста StealthWatch
• Собирает метаданные
• Формирует профиль поведения
Группы хостов
• Виртуальный контейнер IP-адресов• Задается пользователем• Общность атрибутов• Моделирование любого
процесса/приложения
Типы групп хостов
• Внутренние хосты:• Все хосты, явно определенные как
часть сети• По умолчанию– “Catch All”
• Внешние хосты• Все хосты, которые не были явно
указаны как часть сети• Страны – GEO-IP
• Ведение с помощью SLIC• Bogon• C & C• Tor
Внутренние группы хостов
По умолчанию• Catch All
• Адреса RFC 1918• По функции• По местоположению
Включая общедоступные IP-адреса
Группы хостов: улучшение контроля
Виртуальный контейнер IP-адресов/диапазонов со
схожими атрибутами
Управление как единым объектом
Совет: внесение всех известных IP-адресов в одну или несколько групп хостов
Возможность применения политик к группе
Группы хостов: причинно-следственная связь
Настройки внизИнформация вверх
Панель группы хостов – внутренние хосты
Хосты с высоким CI
Популярные цели
Тренд тревог
Активные тревоги
Сведения о хосте: 10.10.101.118
Топ активных потоков
События, связанные с CI
Сведения о хосте
Фильтр
Модель тревог
Stealthwatch: тревоги
Тревоги• Существенное изменение поведения и нарушения политики• Генерируются как для известных, так и не известных атак• Действия, выходящие за рамки обычного профиля,
допустимого поведения или заданных политик
Категории тревог
Накопление очков в каждой категории
Мониторинг сегментации
Группы хостов
Связь
Запрещенная связь
Нарушение политики: Host Locking
Клиенты Серверы
Условия для клиента
Условия для сервера
Успешное или любое
Нарушение политики: Host Locking
Связь в нарушение политики• Тревога сработала на нарушение политик
Нарушение политики: пользовательские события
Событие срабатывает при определенном трафике
Исходная SGT
Целевая SGT
Имя/описание правила
Описание объекта
Описание субъекта
Описание соединения
Нарушение политики: пользовательские события
ПАНЕЛЬ ТРЕВОГ: все тревоги, связанные с политиками
Сведения о тревоге “Employee to Productions Servers”
Контроль аномалий: Concern Index
Concern Index: хосты, ведущие себя странно
66 различных алгоритмов для версии 6.7.1.
56
Высокое значение CI
Отклонение от нормы на 2 432%!
Внутренняя разведка: обнаружение по CI
Сканирование разных подсетей в поисках
TCP-445
Событие CI
Шаблоны отчетов
Reports
00 - Top Internal Scanning Hosts (report time)
01 - Overview of Monitored Network (report time)
02 - Outside to Outside Hosts and Conversations
03 - Server Classification Report
The above 00-03 reports are for provisioning.
It is important to view these reports within first 2 days of initial assessment start date to make sure report 04-10 are accurate and clean.
Очень малая часть, создаваемая, как правило, на этапе PoC:
Reports
04 - DNS Analysis – Yesterday
05 - Proxy Bypass Report – Last 14 Days
06 - SMB to Internet Analysis – Last 14 Days
07 – Alarms - Last 14 Days
08 - Remote Access From Internet – Last 14 Days
09 - Telnet Analysis – Last 14 Days
10 - Suspect Country Traffic – Last 14 Days
11 – Rogue Servers
12 – Behaviour Analysis
13 – Protected Assets at Risk
• Краткая сводка с лаконичным представлением ситуации.
Обзор для высшего руководства
