• Введение
• Обзор системы Cisco Stealthwatch
• Архитектура и развертывание Stealthwatch
• Начало работы с системой Stealthwatch
• Модель тревог
• Резюме
2. • Введение
• Обзор системы Cisco Stealthwatch
• Архитектура и развертывание Stealthwatch
• Начало работы с системой Stealthwatch
• Модель тревог
• Резюме
План презентации
6. NetFlow
10.1.8.3
172.168.134.2
Интернет
Данные о потоке Пакеты
SOURCE ADDRESS 10.1.8.3
DESTINATION
ADDRESS
172.168.134.2
SOURCE PORT 47321
DESTINATION PORT 443
INTERFACE Gi0/0/0
IP TOS 0x00
IP PROTOCOL 6
NEXT HOP 172.168.25.1
TCP FLAGS 0x1A
SOURCE SGT 100
: :
APPLICATION NAME
NBAR SECURE-
HTTP
МаршрутизаторыКоммутаторы
Особенности NetFlow
• Сведения обо всех взаимодействиях в вашей
сети
• Возможность сбора записей в любой точке сети
(коммутатор, маршрутизатор, МСЭ)
• Контроль использования сети
• Средство контроля для трафика как «север-юг»,
так и «запад-восток»
• Простота мониторинга по сравнению с
анализом SPAN-трафика
• Возможность обнаружения IoC
• Сведения о метках SGT
7. Система StealthWatch
pxGrid
Мониторинг на всех уровнях в реальном
времени
• Аналитика с использованием данных,
собираемых по всей сети
• Обнаружение ресурсов
• Профилирование сети
• Мониторинг выполнения политики безопасности
• Обнаружение аномалий
• Ускорение обработки инцидентов
Cisco® Identity
Services Engine Действие для нейтрализации
угрозы
Контекст
NetFlow
StealthWatch
8. Масштабирование мониторинга:
«склейка» потоков
10.2.2.2
порт 1024
10.1.1.1
порт 80
eth0/1
eth0/2
Начало Интерфейс Src IP Src Port Dest IP Dest Port Proto
Отправлено
пакетов
Отправлено
байт
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712
Запись о двунаправленном сеансе
• Запись о потоке взаимодействия
• Простота визуализации и анализа
Записи об однонаправленных потоках
Начало
IP
клиента
Порт
клиента
IP
сервера
Порт
сервера Proto
Байт от
клиента
Пакетов от
клиента
Байт от
сервера
Пакетов от
сервера Интерф.
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1
eth0/2
9. Масштабирование: дедупликация NetFlow
Router A
Router B
Router C
10.2.2.2
порт 1024
10.1.1.1
порт 80
• Без дедупликации
• Возможны ошибки в подсчете объема
• Возможны ложные срабатывания
• Повышение эффективности хранения данных
• Необходимо для точного ведения отчетов на
уровне хоста
Router A: 10.2.2.2:1024 -> 10.1.1.1:80
Router B: 10.2.2.2:1024 -> 10.1.1.1:80
Router C: 10.1.1.1:80 -> 10.2.2.2:1024
Дубликаты
10. Запись о двунаправленном потоке
• Масштабируемый сбор
(решение корпоративного уровня)
• Отличный уровень сжатия =>
долговременное хранение
• Хранение в течение месяцев
Когда Кто
Где
Что
Кто
Метка SGT
Контекст
11. Анализ NetFlow с помощью StealthWatch
Обнаружение
Выделение
IoC
Лучшее
понимание/
реакция на
IoC:
Определение
всех приложений
и сервисов в сети
Политика и
сегментация
Обнаружение
аномалий (NBAD)
Сбор данных обо
всех
взаимодействиях,
хорошая база для
расследований
13. Stealthwatch
Management
Console
UDP-директор
Сбор данных о потоках (Flow Collector)
NetFlow,
syslog, SNMP Инфраструктура,
поддерживающая
NetFlow
Сенсор потоков
(Flow Sensor)
Веб-прокси
Данные
о пользователях
и устройствах
Cisco ISE
Данные об актуальных угрозах
Компоненты системы Stealthwatch
www
Лицензия Threat
Feed
Концентратор
для устройств
Cloud License
Concentrator &
Agents
15. Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о потоках
Набор решений Stealthwatch: SFlow
Flow
Collector
Существует
отдельный Flow
Collector for
SFlow.
Stealthwatch
поддерживает
получение данных
о потоках от
широкого спектра
устройств.
Инфраструктура,
передающая
данные о потоках
Flow
Collector
For
SFLOW
18. Консоли SMC
Инфраструктура,
передающая данные
о потоках
Набор решений Stealthwatch: UDP-директор
Flow
Collector’ы
UDP-
директор
В решениях
Stealthwatch
предусмотрено
обеспечение
отказоустойчивости.
UDP-директор
может направлять
трафик на
несколько Flow
Collector’ов. Также
поддерживаются
несколько консолей
SMC.
19. Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о
потоках
Набор решений Stealthwatch: Flow Sensor
Flow
Collector
Flow
Sensor
Инфраструктура,
не способная
генерировать
данные о потоках
Flow Sensor
позволяет
генерировать
записи о потоках
там, где
инфраструктура не
поддерживает
такой функционал.
Данные от Flow
Sensor’ов не
учитываются
лицензией FPS.
20. Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о потоках
Данные
о пользователях и
устройствах
Набор решений Stealthwatch: интеграция с ISE
Cisco
ISE
Flow
Collector
Flow
Sensor
Инфраструктура,
не способная
генерировать
данные о потоках
Все существующие
версии Stealthwatch
поддерживают
интеграцию с Cisco
ISE для получения
контекста и обратной
связи по pxGrid.
21. Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о потоках
Набор решений Stealthwatch: лицензия
Proxy License
Flow
Collector
Flow
Sensor
Инфраструктура,
не способная
генерировать
данные о потоках
WSA
Контекстные данные
веб-прокси
Proxy License позволяет Flow
Collector обрабатывать журналы
прокси и Syslog для
формирования дополнительного
контекста.
BlueCoat, McAfee, Squid, WSA
22. Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о потоках
Набор решений Stealthwatch: лицензии для
оконечных устройств и облаков
Flow
Collector
Endpoint
Concentrator
Много клиентов AnyConnect с NVM
Серверы в AWS
Cloud
Concentrator
Лицензия Endpoint
License и Endpoint
Concentrator помогают
собирать IPFIX от
AnyConnect NVM
(AnyConnect Apex!!!).
Лицензия Cloud
License и Cloud
Concentrator
помогают собирать
IPFIX от серверов,
развернутых в AWS.
23. Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о потоках
Данные
о пользователях и
устройствах
Информационный поток
Stealthwatch Labs
Intelligence Center (SLIC)
Набор решений Stealthwatch: данные об угрозах
Cisco
ISE
Flow
Collector
Flow
Sensor
Инфраструктура,
не способная
генерировать данные о
потоках
Stealthwatch
поддерживает поток
данных об угрозах SLIC
как дополнительный
лицензируемый
компонент.
24. Stealthwatch
Management
Console
Инфраструктура,
передающая
данные о потоках
Данные
о пользователях и
устройствах
Информационный поток
Stealthwatch Labs
Intelligence Center (SLIC)
Stealthwatch Portfolio: лицензия Learning Network
Cisco
ISE
Flow
Collector
Learning
Network
Manager
Сеть
филиала
Лицензия Stealthwatch
Learning Network
позволяет использовать
средства обнаружения
аномалий и блокировать
угрозы на ISR серии 4000.
Масштабирование: до
1000 агентов на
1 менеджера
25. Интеграция StealthWatch-ISE
Аутентификация
Команды поместить в карантин/извлечь из карантина
с помощью ISE EPS
pxGrid
syslog (udp/3514)
Identity
Services
Engine
StealthWatch
Management
Console
Атрибуция потоков
• Использование ISE для
сопоставления имени
пользователя IP-адресу
27. • Каждое устройство будет поддерживать минимальное гарантированное
число потоков
• Наиболее важные метрики:
• Число экспортеров – число Flow Sensor’ов или
маршрутизаторов/коммутаторов, передающих данные на Flow Collector
• Скорость поступления данных – интенсивность получения данных о
потоках (Flow Collector получает данные от Flow Sensor’ов или сетевых
устройств)
• Число хостов – общее число внутренних и внешних хостов
• Объем хранилища данных о потоках
Основные принципы
28. Оценка FPS
Тип хоста Число FPS на 1 хост
Сервер 5
Рабочая станция/ноутбук 1,2
Маршрутизатор/коммутатор 75
IP-телефон 0,002
• Оценку FPS можно выполнить на
основании числа и типа IP-хостов,
активных в сети
• Настоятельно рекомендуется
осуществлять проектирование
(и приобретать лицензию FPS) с
запасом!
• Калькулятор FPS:
https://www.lancope.com/fps-estimator
• Запросите 30-дневную бесплатную
версию UDP-директора и попробуйте
29. Типовая схема развертывания
• Одна консоль SteathWatch
Management Console и
один FlowCollector
• Одна консоль SMC – достаточно
типовой случай
• Все изменения конфигурации
выполняются на SMC
• FlowCollector посылает
результирующие данные на SMC
• SMC настроена на получение
записей журналов (таких как
Syslog) от ISE , также включен
pxGrid
HTTPSпотоки
30. Базовый аппаратный вариант
Item Product SKU
1 SMC 1010 Appliance LC-SMC-1010-K9
2 SMC Support CON-SMC-1K
3 FlowCollector 2000 Appliance (60K FPS, 1K
Exporters, 2TB Storage )
LC-FC-2010-NF-K9
4 FlowCollector Support CON-FC2K-NF
5 FPS 50K License L-LC-FPS-50K=
6 Support for FPS license CON-FPS-50K
Поддержка до 50 000 FPS.
31. Базовый виртуальный вариант
Item Product SKU
1 SMC VE L-LC-FC-NF-VE-K9
2 SMC Support CON-SMC-VE
3 FlowCollector VE (30K FPS, 1K Exporters, 1TB
Storage )
L-LC-FC-NF-VE-K9
4 FlowCollector Support CON-FC-NF-VE
5 FPS 25K License L-LC-FPS-25K=
6 Support for FPS license CON-FPS-25K
7* FlowSensor VE for VMware L-LC-FSVE-VMW-K9
8* 1 Year Maintenance For FlowSensor VE CON-FSVE-VMW
* - Опционально
32. Резервирование SMC, региональные
коллекторы
Требования:
• 2 SMC + поддержка
SMC
• Несколько FC +
поддержка FC
• Несколько лицензий
FPS
Примечание:
• Выбор конкретных FC
и SMC зависит от
показателей FPS среды.
Stealthwatch
FlowCollector
Stealthwatch
FlowCollector
Americas
Internet/MPLS
Основная
SMC
Резервная
SMC
EMEA
Internet/MPLS
Asia Pacific
Internet/MPLS
33. Резервирование SMC и FC
Требования:
• 2 SMC + поддержка SMC
• Несколько FC + поддержка
FC
• Несколько лицензий FPS
• Резервные лицензии FPS
(в нужном количестве)
Опционально:
• Несколько UDP-директоров
Примечание:
• Выбор конкретных FC
и SMC зависит от показателей
FPS среды.
Americas
Internet/MPLS
EMEA
Internet/MPLS
Asia Pacific
Internet/MPLS
Stealthwatch
FlowCollector’ы
Основная
SMC
Резервная
SMC
36. Интерфейс №1: веб-интерфейс
• Добавлен в StealthWatch 6.5
• Быстрая демонстрация
• Новые функции реализованы
в этом интерфейсе
Уникальные отличия:
• Реакция с помощью ISE
• Пользовательские события
• Поля SGT в записях о потоках
• ProxyWatch
• Настройка Active Directory
• Пользовательские приложения
• Управление заданиями
42. Хосты
• Любой IP-адрес, с которого был трафик:
• Зафиксированный экспортером NetFlow
• Запись была отправлена в коллектор
• Для каждого хоста StealthWatch
• Собирает метаданные
• Формирует профиль поведения
43. Группы хостов
• Виртуальный контейнер IP-адресов
• Задается пользователем
• Общность атрибутов
• Моделирование любого
процесса/приложения
44. Типы групп хостов
• Внутренние хосты:
• Все хосты, явно определенные
как часть сети
• По умолчанию– “Catch All”
• Внешние хосты
• Все хосты, которые не были явно
указаны как часть сети
• Страны – GEO-IP
• Ведение с помощью SLIC
• Bogon
• C & C
• Tor
45. Внутренние группы хостов
По умолчанию
• Catch All
• Адреса RFC 1918
• По функции
• По местоположению
Включая общедоступные IP-
адреса
46. Группы хостов: улучшение контроля
Виртуальный контейнер
IP-адресов/диапазонов со
схожими атрибутами
Управление как единым
объектом
Совет: внесение всех
известных IP-адресов в
одну или несколько групп
хостов
Возможность применения
политик к группе
58. Stealthwatch: тревоги
Тревоги
• Существенное изменение поведения и нарушения
политики
• Генерируются как для известных, так и не известных атак
• Действия, выходящие за рамки обычного профиля,
допустимого поведения или заданных политик
69. Шаблоны отчетов
Reports
00 - Top Internal Scanning Hosts (report time)
01 - Overview of Monitored Network (report time)
02 - Outside to Outside Hosts and Conversations
03 - Server Classification Report
The above 00-03 reports are for provisioning.
It is important to view these reports within first 2
days of initial assessment start date to make sure
report 04-10 are accurate and clean.
Очень малая часть, создаваемая, как правило, на этапе PoC:
Reports
04 - DNS Analysis – Yesterday
05 - Proxy Bypass Report – Last 14 Days
06 - SMB to Internet Analysis – Last 14 Days
07 – Alarms - Last 14 Days
08 - Remote Access From Internet – Last 14 Days
09 - Telnet Analysis – Last 14 Days
10 - Suspect Country Traffic – Last 14 Days
11 – Rogue Servers
12 – Behaviour Analysis
13 – Protected Assets at Risk
70. • Краткая сводка с лаконичным
представлением ситуации.
Обзор для высшего руководства