Cisco Threat Defense (Cisco Stealthwatch)

Безопасность

Василий Томилин

Инженер-консультант

16 ноября 2016 г.

• Введение• Обзор системы Cisco Stealthwatch• Архитектура и развертывание Stealthwatch• Начало работы с системой Stealthwatch• Модель тревог• Резюме

План презентации

Обзор семейства решений Cisco Stealthwatch

Безопасность начинается с «видимости»

Нельзя защитить то, о чем ты не знаешь

Кто работает в сети?

И что они делают?

Сетевая телеметрия

Коммутаторуровня

распределения/ядра

КоммутатордоступаАгент на

оконечном устройстве

Межсетевой экран

Прокси-сервер IdentityAD и DNS

Глобальная аналитика

Изолированные сведения = f (функция, местоположение)

Telemetry: an automated communications process by which measurements and other data are collected at remote or inaccessible points and transmitted to receiving equipment for monitoring.

https://en.wikipedia.org/wiki/Telemetry

Сетевые устройства

NetFlow10.1.8.3

172.168.134.2

ИнтернетДанные о потоке ПакетыSOURCE ADDRESS 10.1.8.3

DESTINATION ADDRESS 172.168.134.2

SOURCE PORT 47321

DESTINATION PORT 443

INTERFACE Gi0/0/0

IP TOS 0x00

IP PROTOCOL 6

NEXT HOP 172.168.25.1

TCP FLAGS 0x1A

SOURCE SGT 100

APPLICATION NAME NBAR SECURE-HTTP

МаршрутизаторыКоммутаторы

Особенности NetFlow• Сведения обо всех взаимодействиях в вашей

сети• Возможность сбора записей в любой точке сети

(коммутатор, маршрутизатор, МСЭ)• Контроль использования сети• Средство контроля для трафика как «север-юг»,

так и «запад-восток»• Простота мониторинга по сравнению с

анализом SPAN-трафика• Возможность обнаружения IoC• Сведения о метках SGT

Система StealthWatch

pxGridМониторинг на всех уровнях в реальном времени

• Аналитика с использованием данных, собираемых по всей сети

• Обнаружение ресурсов• Профилирование сети• Мониторинг выполнения политики безопасности• Обнаружение аномалий• Ускорение обработки инцидентов

Cisco® Identity Services Engine Действие для нейтрализации

угрозы

КонтекстNetFlow

StealthWatch

Масштабирование мониторинга: «склейка» потоков

10.2.2.2порт 1024 10.1.1.1

порт 80

Начало Интерфейс Src IP Src Port Dest IP Dest Port ProtoОтправлено пакетов

Отправлено байт

10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 102510:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712

Запись о двунаправленном сеансе• Запись о потоке взаимодействия• Простота визуализации и анализа

Записи об однонаправленных потоках

НачалоIPклиента

Портклиента

IPсервера

Порт сервера Proto

Байт от клиента

Пакетов от клиента

Байт от сервера

Пакетов от сервера Интерф.

10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1eth0/2

Масштабирование: дедупликация NetFlow

Router A

Router B

Router C

10.2.2.2порт 1024

10.1.1.1порт 80

• Без дедупликации• Возможны ошибки в подсчете объема• Возможны ложные срабатывания

• Повышение эффективности хранения данных• Необходимо для точного ведения отчетов на

уровне хоста

Router A: 10.2.2.2:1024 -> 10.1.1.1:80Router B: 10.2.2.2:1024 -> 10.1.1.1:80Router C: 10.1.1.1:80 -> 10.2.2.2:1024

Дубликаты

Запись о двунаправленном потоке

• Масштабируемый сбор (решение корпоративного уровня)

• Отличный уровень сжатия => долговременное хранение• Хранение в течение месяцев

Когда Кто

Где

ЧтоКто

Метка SGT

Контекст

Анализ NetFlow с помощью StealthWatch

ОбнаружениеВыделение

IoCЛучшее

понимание/ реакция на

Определение всех приложений и сервисов в сети

Политика и сегментация

Обнаружение аномалий (NBAD)

Сбор данных обо всех

взаимодействиях, хорошая база для

расследований

Проектирование и развертывание решений системы Stealthwatch

StealthwatchManagement

Console

UDP-директорСбор данных о потоках (Flow Collector)

NetFlow,syslog, SNMP Инфраструктура,

поддерживающая NetFlow

Сенсор потоков (Flow Sensor)

Веб-прокси

Данные о пользователях и устройствах

Cisco ISE

Данные об актуальных угрозах

Компоненты системы Stealthwatch

Лицензия Threat Feed

Концентратордля устройств

Cloud License Concentrator &

Agents

Console

Инфраструктура, передающая

данные о потоках

Набор решений Stealthwatch

FlowCollector

Базовые компонентыStealthwatch: Flow Collector иStealthwatch Management Console (SMC).

Все компоненты решенияStealthwatch могут развертываться в физическом или виртуальном (VMware)формате.

Console

Набор решений Stealthwatch: SFlow

FlowCollector

Существует отдельный Flow Collector for SFlow. Stealthwatchподдерживает получение данных о потоках от широкого спектра устройств.

FlowCollector

For SFLOW

Console

Набор решений Stealthwatch: лицензия FPS

FlowCollector

Лицензия FPS

Лицензия на обработку определенного числа потоков в секунду(FPS) определяет ожидаемую производительность.

Console

Набор решений Stealthwatch: минимальная спецификация

FlowCollector

Лицензия FPS

1 SMC и поддержка

2 Flow Collectorи поддержка

3 Лицензия FPS и поддержка.

Заказчик

Консоли SMC

Инфраструктура, передающая данные

о потоках

Набор решений Stealthwatch: UDP-директор

FlowCollector’ы

UDP-директор

В решениях Stealthwatchпредусмотрено обеспечение отказоустойчивости. UDP-директорможет направлять трафик на несколько Flow Collector’ов. Также поддерживаются несколько консолей SMC.

Console

Инфраструктура, передающая данные о потоках

Набор решений Stealthwatch: Flow Sensor

FlowCollector

FlowSensor

Инфраструктура, не способная генерировать

Flow Sensor позволяет генерировать записи о потоках там, где инфраструктура не поддерживает такой функционал. Данные от Flow Sensor’ов не учитываются лицензией FPS.

Console

Набор решений Stealthwatch: интеграция с ISE

CiscoISE

FlowCollector

FlowSensor

Все существующие версии Stealthwatchподдерживают интеграцию с Cisco ISE для получения контекста и обратной связи по pxGrid.

Console

Набор решений Stealthwatch: лицензия Proxy License

FlowCollector

FlowSensor

WSAКонтекстные данные

веб-прокси

Proxy License позволяет Flow Collector обрабатывать журналы прокси и Syslog для формирования дополнительного контекста.BlueCoat, McAfee, Squid, WSA

Console

Набор решений Stealthwatch: лицензии для оконечных устройств и облаков

FlowCollector

EndpointConcentrator

Много клиентов AnyConnect с NVM Серверы в AWS

CloudConcentrator

Лицензия Endpoint License и Endpoint Concentrator помогают собирать IPFIX от AnyConnect NVM (AnyConnect Apex!!!).

Лицензия Cloud License и Cloud Concentrator помогают собирать IPFIX от серверов, развернутых в AWS.

Console

Информационный поток Stealthwatch Labs

Intelligence Center (SLIC)

Набор решений Stealthwatch: данные об угрозах

CiscoISE

FlowCollector

FlowSensor

Инфраструктура, не способная

генерировать данные о потоках

Stealthwatchподдерживает поток данных об угрозах SLIC как дополнительный лицензируемый компонент.

Console

Информационный поток Stealthwatch Labs

Intelligence Center (SLIC)

Stealthwatch Portfolio: лицензия Learning Network

CiscoISE

FlowCollector

Learning Network Manager

Сетьфилиала

Лицензия Stealthwatch Learning Network позволяет использовать средства обнаружения аномалий и блокировать угрозы на ISR серии 4000.

Масштабирование: до 1000 агентов на 1 менеджера

Интеграция StealthWatch-ISE

Аутентификация

Команды поместить в карантин/извлечь из карантина с помощью ISE EPS

pxGrid

syslog (udp/3514)

Identity Services Engine

StealthWatch Management

Console

Атрибуция потоков• Использование ISE для

сопоставления имени пользователя IP-адресу

Принципы проектирования решения на базе системы Stealthwatch

• Каждое устройство будет поддерживать минимальное гарантированное число потоков

• Наиболее важные метрики: • Число экспортеров – число Flow Sensor’ов или маршрутизаторов/коммутаторов, передающих данные на Flow Collector

• Скорость поступления данных – интенсивность получения данных о потоках (Flow Collector получает данные от Flow Sensor’ов или сетевых устройств)

• Число хостов – общее число внутренних и внешних хостов• Объем хранилища данных о потоках

Основные принципы

Оценка FPS

Тип хоста Число FPS на 1 хост

Сервер 5

Рабочая станция/ноутбук 1,2

Маршрутизатор/коммутатор 75

IP-телефон 0,002

• Оценку FPS можно выполнить на основании числа и типа IP-хостов, активных в сети

• Настоятельно рекомендуется осуществлять проектирование (и приобретать лицензию FPS) с запасом!

• Калькулятор FPS:https://www.lancope.com/fps-estimator

• Запросите 30-дневную бесплатную версию UDP-директора и попробуйте

Типовая схема развертывания• Одна консоль SteathWatch

Management Console и один FlowCollector

• Одна консоль SMC – достаточно типовой случай

• Все изменения конфигурации выполняются на SMC

• FlowCollector посылает результирующие данные на SMC

• SMC настроена на получение записей журналов (таких как Syslog) от ISE , также включен pxGrid

потоки

Базовый аппаратный вариантItem Product SKU

1 SMC 1010 Appliance LC-SMC-1010-K9

2 SMC Support CON-SMC-1K

3 FlowCollector 2000 Appliance (60K FPS, 1K Exporters, 2TB Storage )

LC-FC-2010-NF-K9

4 FlowCollector Support CON-FC2K-NF

5 FPS 50K License L-LC-FPS-50K=

6 Support for FPS license CON-FPS-50K

Поддержка до 50 000 FPS.

Базовый виртуальный вариантItem Product SKU1 SMC VE L-LC-FC-NF-VE-K9

2 SMC Support CON-SMC-VE

3 FlowCollector VE (30K FPS, 1K Exporters, 1TB Storage )

L-LC-FC-NF-VE-K9

4 FlowCollector Support CON-FC-NF-VE

5 FPS 25K License L-LC-FPS-25K=

6 Support for FPS license CON-FPS-25K

7* FlowSensor VE for VMware L-LC-FSVE-VMW-K9

8* 1 Year Maintenance For FlowSensor VE CON-FSVE-VMW

* - Опционально

Резервирование SMC, региональные коллекторыТребования:

• 2 SMC + поддержка SMC

• Несколько FC + поддержка FC

• Несколько лицензий FPS

Примечание:• Выбор конкретных FC

и SMC зависит от показателей FPS среды.

StealthwatchFlowCollector

Americas Internet/MPLS

ОсновнаяSMC

РезервнаяSMC

EMEAInternet/MPLS

Asia PacificInternet/MPLS

Резервирование SMC и FC Требования:

• 2 SMC + поддержка SMC• Несколько FC + поддержка

FC• Несколько лицензий FPS• Резервные лицензии FPS

(в нужном количестве)

Опционально:• Несколько UDP-директоров

Примечание:• Выбор конкретных FC

и SMC зависит от показателей FPS среды.

Americas Internet/MPLS

EMEAInternet/MPLS

Asia PacificInternet/MPLS

StealthwatchFlowCollector’ы

ОсновнаяSMC

РезервнаяSMC

Работа с системой Stealthwatch

Начало работы с SMChttps://<smc-ip>

Обычный вход

Интерфейс №1: веб-интерфейс• Добавлен в StealthWatch 6.5• Быстрая демонстрация• Новые функции реализованы

в этом интерфейсе

Уникальные отличия:• Реакция с помощью ISE• Пользовательские события• Поля SGT в записях о потоках• ProxyWatch• Настройка Active Directory• Пользовательские приложения• Управление заданиями

Интерфейс №1: веб-интерфейс

Меню

Активные тревоги

Инф. панельЗапуск Java-

клиента

Виджеты

Интерфейс №1: НОВЫЙ веб-интерфейс

• Традиционный интерфейс• Годы разработки• «Инженеры для инженеров»• Минимальный объем новых функций

Интерфейс №1: НОВЫЙ веб-интерфейс

Просмотр «документов»

Древовидный каталог

SMC: древовидный каталог

Группы хостов

Домен

FlowCollector(ы) и Exporter(ы)

Cisco ISE

Хосты и группы хостов

Хосты

• Любой IP-адрес, с которого был трафик: • Зафиксированный экспортером NetFlow• Запись была отправлена в коллектор

• Для каждого хоста StealthWatch• Собирает метаданные• Формирует профиль поведения

Группы хостов• Виртуальный контейнер IP-адресов• Задается пользователем• Общность атрибутов• Моделирование любого

процесса/приложения

Типы групп хостов

• Внутренние хосты:• Все хосты, явно определенные

как часть сети• По умолчанию– “Catch All”

• Внешние хосты• Все хосты, которые не были явно

указаны как часть сети• Страны – GEO-IP

• Ведение с помощью SLIC• Bogon• C & C• Tor

Внутренние группы хостовПо умолчанию• Catch All

• Адреса RFC 1918• По функции• По местоположению

Включая общедоступные IP-адреса

Группы хостов: улучшение контроля

Виртуальный контейнер IP-адресов/диапазонов со

схожими атрибутамиУправление как единым

объектом

Совет: внесение всех известных IP-адресов в

одну или несколько групп хостов

Возможность применения политик к группе

Группы хостов: причинно-следственная связь

Настройки внизИнформация вверх

Панель группы хостов – внутренние хосты

Хосты с высоким CI

Cisco Threat Defense (Cisco Stealthwatch)

Technology

5 modi per usare la rete come strumento di sicurezza Stealthwatch Identity Services Engine Cisco Rapid Threat Containment Intelligent WAN Licenze software Cisco ONE flessibili "Con

SUNIL AMIN, CISCO STEALTHWATCH FIRST TC 2017, · PDF filesecurity analytics with network flows sunil amin, cisco stealthwatch first tc 2017, amsterdam. security analytics with network

Stealthwatch Flow Sensor and Load Balancer Integration ... · Stealthwatch Flow Sensor and Load Balancer Integration Guide v7.3 Author: Cisco Systems, Inc. Subject: Stealthwatch Flow

Cisco Rapid Threat Containmnet

Cisco Security Borderless Network Strategy · Advanced, Proactive Threat Protection Cisco Security Intelligence Operations Global Threat Telemetry Global Threat Telemetry 8:03 GMT

Cisco Value Incentive Program 28€¦ · Cisco Identity Services Engine (ISE), Cisco AnyConnect® clients, Cisco AMP Threat Grid, and Cisco AMP. • Focus on the Cisco Stealthwatch

Stealthwatch Enterprise- Common Java - Cisco · Open Source Used In Stealthwatch Common Java 6.10 3 1.14 asm-commons 5.0.1 1.14.1 Available under license 1.15 AspectJ runtime 1.7.4

Network as a Sensor with Stealthwatch and Stealthwatch … · Table of Contents Cisco Validated Design Enabling Stealthwatch Learning Network License in Remote Site Networks

Cisco Stealthwatch Learning Network License Virtual ... · StatusCode:HOSTLIMITINT 152 StatusCode:HOSTSDROPPEDEXT 152 StatusCode: ... L-SW-LN-43-1Y-K9-Cisco StealthwatchLearningNetwork

Cisco Stealthwatch 7.0 v1 - Instant Demo · 2019-08-29 · Stealthwatch is uniquely suited to validating the results of your security investment by providing full disclosure of what

AMP, Threat Grid, Clarity, CTA, Stealthwatch Cloud, CES ... · CISCO PUBLIC INFORMATION, Omnibus Cloud Security .v3.docx Page 3 of 19 a disposition is unable to be made after analysis

The Top 10 Benefits of Cisco Stealthwatch and ISE · The Top 10 Benefits of Cisco Stealthwatch and ISE 1 Better network visibility. The Cisco Stealthwatch system collects and analyzes

Cisco Stealthwatch Learning Network License Virtual ... · Cisco Stealthwatch Learning Network License Virtual Service Quick ... Cisco Stealthwatch Learning Network License Quick

Cisco Cyber Threat Defense

Stealthwatch Release Notes v7.0...Stealthwatch Release Notes v7.0.2 Author: Cisco Systems, Inc. - Technical Communication Subject: v7.0.2 features, defects, fixes, and known issues

The network is open for business - Cisco · Cisco Meraki | Networking Cisco Stealthwatch | Security Cisco ACI | Data Center Network engineers Application developers Service providers

Threat Prevention based on Network Visibility & Behavioral ... · Security Analytics with Stealthwatch Enterprise Global threat intelligence (powered by Talos) Intelligence of global

Stealthwatch Release Notes v7.1 - Cisco...l Forincreasedsecurity,werecommendupdatingtheIDentity1000/1100 appliancetov3.3.0.xtotakeadvantageofthenewopenSSLversionwithTLS1.2. 3rdPartyApplications

Cisco Stealthwatch Learning Network License UCS E-Series … · Cisco Stealthwatch Learning Network License UCS E-Series Server Quick Start Guide CiscoStealthwatchLearningNetworkLicenseQuickStartGuide2

Cisco Tech Club Days · Cisco Hybrid Cloud Platform for Google Cloud Cisco HyperFlex Cisco Nexus9K / ACI Cisco CSR1000v Cisco Stealthwatch Cloud Cisco Container Platform Consistent