Cisco Threat Defense (Cisco Stealthwatch)

Безопасность

Cisco Threat Defense (Cisco Stealthwatch)

Василий Томилин

Инженер-консультант

16 ноября 2016 г.

• Введение• Обзор системы Cisco Stealthwatch• Архитектура и развертывание Stealthwatch• Начало работы с системой Stealthwatch• Модель тревог• Резюме

План презентации

Обзор семейства решений Cisco Stealthwatch

Безопасность начинается с «видимости»

Нельзя защитить то, о чем ты не знаешь

Кто работает в сети?

И что они делают?

Сетевая телеметрия

Коммутаторуровня

распределения/ядра

КоммутатордоступаАгент на

оконечном устройстве

Межсетевой экран

Прокси-сервер IdentityAD и DNS

Talos

Глобальная аналитика

Изолированные сведения = f (функция, местоположение)

Telemetry: an automated communications process by which measurements and other data are collected at remote or inaccessible points and transmitted to receiving equipment for monitoring.

https://en.wikipedia.org/wiki/Telemetry

Сетевые устройства

NetFlow10.1.8.3

172.168.134.2

ИнтернетДанные о потоке ПакетыSOURCE ADDRESS 10.1.8.3

DESTINATION ADDRESS 172.168.134.2

SOURCE PORT 47321

DESTINATION PORT 443

INTERFACE Gi0/0/0

IP TOS 0x00

IP PROTOCOL 6

NEXT HOP 172.168.25.1

TCP FLAGS 0x1A

SOURCE SGT 100

: :

APPLICATION NAME NBAR SECURE-HTTP

МаршрутизаторыКоммутаторы

Особенности NetFlow• Сведения обо всех взаимодействиях в вашей

сети• Возможность сбора записей в любой точке сети

(коммутатор, маршрутизатор, МСЭ)• Контроль использования сети• Средство контроля для трафика как «север-юг»,

так и «запад-восток»• Простота мониторинга по сравнению с

анализом SPAN-трафика• Возможность обнаружения IoC• Сведения о метках SGT

Система StealthWatch

pxGridМониторинг на всех уровнях в реальном времени

• Аналитика с использованием данных, собираемых по всей сети

• Обнаружение ресурсов• Профилирование сети• Мониторинг выполнения политики безопасности• Обнаружение аномалий• Ускорение обработки инцидентов

Cisco® Identity Services Engine Действие для нейтрализации

угрозы

КонтекстNetFlow

StealthWatch

Масштабирование мониторинга: «склейка» потоков

10.2.2.2порт 1024 10.1.1.1

порт 80

eth0

/1

eth0

/2

Начало Интерфейс Src IP Src Port Dest IP Dest Port ProtoОтправлено пакетов

Отправлено байт

10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 102510:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712

Запись о двунаправленном сеансе• Запись о потоке взаимодействия• Простота визуализации и анализа

Записи об однонаправленных потоках

НачалоIPклиента

Портклиента

IPсервера

Порт сервера Proto

Байт от клиента

Пакетов от клиента

Байт от сервера

Пакетов от сервера Интерф.

10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1eth0/2

Масштабирование: дедупликация NetFlow

Router A

Router B

Router C

10.2.2.2порт 1024

10.1.1.1порт 80

• Без дедупликации• Возможны ошибки в подсчете объема• Возможны ложные срабатывания

• Повышение эффективности хранения данных• Необходимо для точного ведения отчетов на

уровне хоста

Router A: 10.2.2.2:1024 -> 10.1.1.1:80Router B: 10.2.2.2:1024 -> 10.1.1.1:80Router C: 10.1.1.1:80 -> 10.2.2.2:1024

Дубликаты

Запись о двунаправленном потоке

• Масштабируемый сбор (решение корпоративного уровня)

• Отличный уровень сжатия => долговременное хранение• Хранение в течение месяцев

Когда Кто

Где

ЧтоКто

Метка SGT

Контекст

Анализ NetFlow с помощью StealthWatch

ОбнаружениеВыделение

IoCЛучшее

понимание/ реакция на

IoC:

Определение всех приложений и сервисов в сети

Политика и сегментация

Обнаружение аномалий (NBAD)

Сбор данных обо всех

взаимодействиях, хорошая база для

расследований

Проектирование и развертывание решений системы Stealthwatch

StealthwatchManagement

Console

UDP-директорСбор данных о потоках (Flow Collector)

NetFlow,syslog, SNMP Инфраструктура,

поддерживающая NetFlow

Сенсор потоков (Flow Sensor)

Веб-прокси

Данные о пользователях и устройствах

Cisco ISE

Данные об актуальных угрозах

Компоненты системы Stealthwatch

www

Лицензия Threat Feed

Концентратордля устройств

Cloud License Concentrator &

Agents


Console

Инфраструктура, передающая

данные о потоках

Набор решений Stealthwatch

FlowCollector

Базовые компонентыStealthwatch: Flow Collector иStealthwatch Management Console (SMC).

Все компоненты решенияStealthwatch могут развертываться в физическом или виртуальном (VMware)формате.


Console



Набор решений Stealthwatch: SFlow

FlowCollector

Существует отдельный Flow Collector for SFlow. Stealthwatchподдерживает получение данных о потоках от широкого спектра устройств.



FlowCollector

For SFLOW


Console



Набор решений Stealthwatch: лицензия FPS

FlowCollector

Лицензия FPS

Лицензия на обработку определенного числа потоков в секунду(FPS) определяет ожидаемую производительность.


Console



Набор решений Stealthwatch: минимальная спецификация

FlowCollector

Лицензия FPS

1 SMC и поддержка

2 Flow Collectorи поддержка

3 Лицензия FPS и поддержка.

Заказчик

Консоли SMC

Инфраструктура, передающая данные

о потоках

Набор решений Stealthwatch: UDP-директор

FlowCollector’ы

UDP-директор

В решениях Stealthwatchпредусмотрено обеспечение отказоустойчивости. UDP-директорможет направлять трафик на несколько Flow Collector’ов. Также поддерживаются несколько консолей SMC.


Console

Инфраструктура, передающая данные о потоках

Набор решений Stealthwatch: Flow Sensor

FlowCollector

FlowSensor

Инфраструктура, не способная генерировать


Flow Sensor позволяет генерировать записи о потоках там, где инфраструктура не поддерживает такой функционал. Данные от Flow Sensor’ов не учитываются лицензией FPS.


Console




Набор решений Stealthwatch: интеграция с ISE

CiscoISE

FlowCollector

FlowSensor



Все существующие версии Stealthwatchподдерживают интеграцию с Cisco ISE для получения контекста и обратной связи по pxGrid.


Console



Набор решений Stealthwatch: лицензия Proxy License

FlowCollector

FlowSensor



WSAКонтекстные данные

веб-прокси

Proxy License позволяет Flow Collector обрабатывать журналы прокси и Syslog для формирования дополнительного контекста.BlueCoat, McAfee, Squid, WSA


Console



Набор решений Stealthwatch: лицензии для оконечных устройств и облаков

FlowCollector

EndpointConcentrator

Много клиентов AnyConnect с NVM Серверы в AWS

CloudConcentrator

Лицензия Endpoint License и Endpoint Concentrator помогают собирать IPFIX от AnyConnect NVM (AnyConnect Apex!!!).

Лицензия Cloud License и Cloud Concentrator помогают собирать IPFIX от серверов, развернутых в AWS.


Console




Информационный поток Stealthwatch Labs

Intelligence Center (SLIC)

Набор решений Stealthwatch: данные об угрозах

CiscoISE

FlowCollector

FlowSensor

Инфраструктура, не способная

генерировать данные о потоках

Stealthwatchподдерживает поток данных об угрозах SLIC как дополнительный лицензируемый компонент.


Console




Информационный поток Stealthwatch Labs

Intelligence Center (SLIC)

Stealthwatch Portfolio: лицензия Learning Network

CiscoISE

FlowCollector

Learning Network Manager

Сетьфилиала

Лицензия Stealthwatch Learning Network позволяет использовать средства обнаружения аномалий и блокировать угрозы на ISR серии 4000.

Масштабирование: до 1000 агентов на 1 менеджера

Интеграция StealthWatch-ISE

Аутентификация

Команды поместить в карантин/извлечь из карантина с помощью ISE EPS

pxGrid

syslog (udp/3514)

Identity Services Engine

StealthWatch Management

Console

Атрибуция потоков• Использование ISE для

сопоставления имени пользователя IP-адресу

Принципы проектирования решения на базе системы Stealthwatch

• Каждое устройство будет поддерживать минимальное гарантированное число потоков

• Наиболее важные метрики: • Число экспортеров – число Flow Sensor’ов или маршрутизаторов/коммутаторов, передающих данные на Flow Collector

• Скорость поступления данных – интенсивность получения данных о потоках (Flow Collector получает данные от Flow Sensor’ов или сетевых устройств)

• Число хостов – общее число внутренних и внешних хостов• Объем хранилища данных о потоках

Основные принципы

Оценка FPS

Тип хоста Число FPS на 1 хост

Сервер 5

Рабочая станция/ноутбук 1,2

Маршрутизатор/коммутатор 75

IP-телефон 0,002

• Оценку FPS можно выполнить на основании числа и типа IP-хостов, активных в сети

• Настоятельно рекомендуется осуществлять проектирование (и приобретать лицензию FPS) с запасом!

• Калькулятор FPS:https://www.lancope.com/fps-estimator

• Запросите 30-дневную бесплатную версию UDP-директора и попробуйте

Типовая схема развертывания• Одна консоль SteathWatch

Management Console и один FlowCollector

• Одна консоль SMC – достаточно типовой случай

• Все изменения конфигурации выполняются на SMC

• FlowCollector посылает результирующие данные на SMC

• SMC настроена на получение записей журналов (таких как Syslog) от ISE , также включен pxGrid

HT

TPS

потоки

Базовый аппаратный вариантItem Product SKU

1 SMC 1010 Appliance LC-SMC-1010-K9

2 SMC Support CON-SMC-1K

3 FlowCollector 2000 Appliance (60K FPS, 1K Exporters, 2TB Storage )

LC-FC-2010-NF-K9

4 FlowCollector Support CON-FC2K-NF

5 FPS 50K License L-LC-FPS-50K=

6 Support for FPS license CON-FPS-50K

Поддержка до 50 000 FPS.

Базовый виртуальный вариантItem Product SKU1 SMC VE L-LC-FC-NF-VE-K9

2 SMC Support CON-SMC-VE

3 FlowCollector VE (30K FPS, 1K Exporters, 1TB Storage )

L-LC-FC-NF-VE-K9

4 FlowCollector Support CON-FC-NF-VE

5 FPS 25K License L-LC-FPS-25K=

6 Support for FPS license CON-FPS-25K

7* FlowSensor VE for VMware L-LC-FSVE-VMW-K9

8* 1 Year Maintenance For FlowSensor VE CON-FSVE-VMW

* - Опционально

Резервирование SMC, региональные коллекторыТребования:

• 2 SMC + поддержка SMC

• Несколько FC + поддержка FC

• Несколько лицензий FPS

Примечание:• Выбор конкретных FC

и SMC зависит от показателей FPS среды.

StealthwatchFlowCollector

StealthwatchFlowCollector

Americas Internet/MPLS

ОсновнаяSMC

РезервнаяSMC

EMEAInternet/MPLS

Asia PacificInternet/MPLS

Резервирование SMC и FC Требования:

• 2 SMC + поддержка SMC• Несколько FC + поддержка

FC• Несколько лицензий FPS• Резервные лицензии FPS

(в нужном количестве)

Опционально:• Несколько UDP-директоров

Примечание:• Выбор конкретных FC

и SMC зависит от показателей FPS среды.

Americas Internet/MPLS

EMEAInternet/MPLS

Asia PacificInternet/MPLS

StealthwatchFlowCollector’ы

ОсновнаяSMC

РезервнаяSMC

Работа с системой Stealthwatch

Начало работы с SMChttps://<smc-ip>

Обычный вход

Интерфейс №1: веб-интерфейс• Добавлен в StealthWatch 6.5• Быстрая демонстрация• Новые функции реализованы

в этом интерфейсе

Уникальные отличия:• Реакция с помощью ISE• Пользовательские события• Поля SGT в записях о потоках• ProxyWatch• Настройка Active Directory• Пользовательские приложения• Управление заданиями

Интерфейс №1: веб-интерфейс

Меню

Активные тревоги

Инф. панельЗапуск Java-

клиента

Виджеты

Интерфейс №1: НОВЫЙ веб-интерфейс

• Традиционный интерфейс• Годы разработки• «Инженеры для инженеров»• Минимальный объем новых функций

Интерфейс №1: НОВЫЙ веб-интерфейс

Просмотр «документов»

Древовидный каталог

SMC: древовидный каталог

Группы хостов

Домен

FlowCollector(ы) и Exporter(ы)

Cisco ISE

Хосты и группы хостов

Хосты

• Любой IP-адрес, с которого был трафик: • Зафиксированный экспортером NetFlow• Запись была отправлена в коллектор

• Для каждого хоста StealthWatch• Собирает метаданные• Формирует профиль поведения

Группы хостов• Виртуальный контейнер IP-адресов• Задается пользователем• Общность атрибутов• Моделирование любого

процесса/приложения

Типы групп хостов

• Внутренние хосты:• Все хосты, явно определенные

как часть сети• По умолчанию– “Catch All”

• Внешние хосты• Все хосты, которые не были явно

указаны как часть сети• Страны – GEO-IP

• Ведение с помощью SLIC• Bogon• C & C• Tor

Внутренние группы хостовПо умолчанию• Catch All

• Адреса RFC 1918• По функции• По местоположению

Включая общедоступные IP-адреса

Группы хостов: улучшение контроля

Виртуальный контейнер IP-адресов/диапазонов со

схожими атрибутамиУправление как единым

объектом

Совет: внесение всех известных IP-адресов в

одну или несколько групп хостов

Возможность применения политик к группе

Группы хостов: причинно-следственная связь

Настройки внизИнформация вверх

Панель группы хостов – внутренние хосты

Хосты с высоким CI

Популярные цели

Тренд тревог

Активные тревоги

Сведения о хосте: 10.10.101.118Топ активных

потоковСобытия,

связанные с CIСведения о

хосте

Фильтр

Модель тревог

51

ИБ-события(“Алгоритмы”)

Security Event

Security Event

Security Event

Security Event

Security Event

Категории(“Индексы”)


Security Event

Security Event

Security Event

Security Event

Security Event

CI

TI

Recon

C&C

Security Event

Security Event

Security Event

Security Event


CI

TI

Recon

C&C


Alarm

Alarm

Alarm

Alarm

Alarm

Тревоги(“Уведомления”)

Security Event




Security Event

Security Event

Security Event

Security Event

Security Event

Alarm

Alarm

Alarm

Alarm

Alarm

CI

TI

Recon

C&C

Fake Application


Security Event

Security Event

Security Event

Security Event



Alarm

Alarm

Alarm

Alarm

Alarm

CI

TI

Recon

C&C

Fake Application


Security Event

Security Event

Security Event

Security Event



Alarm

Alarm

Alarm

Alarm

Alarm

CI

TI

Recon

C&C

SQLF


Security Event

Security Event

Security Event

Security Event



Alarm

Alarm

Alarm

Alarm

Alarm

CI

TI

Recon

C&C

Stealthwatch: тревогиТревоги• Существенное изменение поведения и нарушения

политики• Генерируются как для известных, так и не известных атак• Действия, выходящие за рамки обычного профиля,

допустимого поведения или заданных политик

Категории тревог

Накопление очков в каждой категории

Мониторинг сегментацииГруппы хостов

Связь

Запрещенная связь

Нарушение политики: Host Locking

Клиенты Серверы

Условия для клиента

Условия для сервера

Успешное или любое

Нарушение политики: Host Locking

Связь в нарушение политики• Тревога сработала на нарушение политик

Нарушение политики: пользовательские события

Событие срабатывает при определенном

трафике

Исходная SGT

Целевая SGT

Имя/описание правила

Описание объекта

Описание субъекта

Описание соединения

Нарушение политики: пользовательские события

ПАНЕЛЬ ТРЕВОГ: все тревоги, связанные с политиками

Сведения о тревоге “Employee to Productions Servers”

Контроль аномалий: Concern IndexConcern Index: хосты, ведущие себя странно

66 различных алгоритмов для версии 6.7.1.

65

Высокое значение CIОтклонение от нормы на 2 432%!

Внутренняя разведка: обнаружение по CI

Сканирование разных подсетей в поисках

TCP-445

Событие CI

А что система может «из коробки»?

Шаблоны отчетов

Reports

00 - Top Internal Scanning Hosts (report time)

01 - Overview of Monitored Network (report time)

02 - Outside to Outside Hosts and Conversations

03 - Server Classification Report

The above 00-03 reports are for provisioning.

It is important to view these reports within first 2 days of initial assessment start date to make sure report 04-10 are accurate and clean.

Очень малая часть, создаваемая, как правило, на этапе PoC:Reports

04 - DNS Analysis – Yesterday

05 - Proxy Bypass Report – Last 14 Days

06 - SMB to Internet Analysis – Last 14 Days

07 – Alarms - Last 14 Days

08 - Remote Access From Internet – Last 14 Days

09 - Telnet Analysis – Last 14 Days

10 - Suspect Country Traffic – Last 14 Days

11 – Rogue Servers

12 – Behaviour Analysis

13 – Protected Assets at Risk

• Краткая сводка с лаконичным представлением ситуации.

Обзор для высшего руководства

Резюме

Мы обсудили• Состав решения Stealthwatch• Начальные этапы использования системы Stealthwatch

Основные темы

Лучше один раз увидеть!!!• Стенды в dCloud (dcloud.cisco.com)

• Cisco Digital Read Network v1 – Always On • Cisco Cyber Threat Defense 6.7 v1

Cisco CSIRT о своей практике использования Stealthwatch

https://youtu.be/FEmAmsajBtI

Technology

Cisco Threat Defense (Cisco Stealthwatch)