Cisco Threat Defense (Cisco Stealthwatch)
-
Upload
cisco-russia -
Category
Technology
-
view
147 -
download
8
Transcript of Cisco Threat Defense (Cisco Stealthwatch)
![Page 1: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/1.jpg)
Безопасность
Cisco Threat Defense (Cisco Stealthwatch)
Василий Томилин
Инженер-консультант
16 ноября 2016 г.
![Page 2: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/2.jpg)
• Введение• Обзор системы Cisco Stealthwatch• Архитектура и развертывание Stealthwatch• Начало работы с системой Stealthwatch• Модель тревог• Резюме
План презентации
![Page 3: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/3.jpg)
Обзор семейства решений Cisco Stealthwatch
![Page 4: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/4.jpg)
Безопасность начинается с «видимости»
Нельзя защитить то, о чем ты не знаешь
Кто работает в сети?
И что они делают?
![Page 5: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/5.jpg)
Сетевая телеметрия
Коммутаторуровня
распределения/ядра
КоммутатордоступаАгент на
оконечном устройстве
Межсетевой экран
Прокси-сервер IdentityAD и DNS
Talos
Глобальная аналитика
Изолированные сведения = f (функция, местоположение)
Telemetry: an automated communications process by which measurements and other data are collected at remote or inaccessible points and transmitted to receiving equipment for monitoring.
https://en.wikipedia.org/wiki/Telemetry
Сетевые устройства
![Page 6: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/6.jpg)
NetFlow10.1.8.3
172.168.134.2
ИнтернетДанные о потоке ПакетыSOURCE ADDRESS 10.1.8.3
DESTINATION ADDRESS 172.168.134.2
SOURCE PORT 47321
DESTINATION PORT 443
INTERFACE Gi0/0/0
IP TOS 0x00
IP PROTOCOL 6
NEXT HOP 172.168.25.1
TCP FLAGS 0x1A
SOURCE SGT 100
: :
APPLICATION NAME NBAR SECURE-HTTP
МаршрутизаторыКоммутаторы
Особенности NetFlow• Сведения обо всех взаимодействиях в вашей
сети• Возможность сбора записей в любой точке сети
(коммутатор, маршрутизатор, МСЭ)• Контроль использования сети• Средство контроля для трафика как «север-юг»,
так и «запад-восток»• Простота мониторинга по сравнению с
анализом SPAN-трафика• Возможность обнаружения IoC• Сведения о метках SGT
![Page 7: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/7.jpg)
Система StealthWatch
pxGridМониторинг на всех уровнях в реальном времени
• Аналитика с использованием данных, собираемых по всей сети
• Обнаружение ресурсов• Профилирование сети• Мониторинг выполнения политики безопасности• Обнаружение аномалий• Ускорение обработки инцидентов
Cisco® Identity Services Engine Действие для нейтрализации
угрозы
КонтекстNetFlow
StealthWatch
![Page 8: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/8.jpg)
Масштабирование мониторинга: «склейка» потоков
10.2.2.2порт 1024 10.1.1.1
порт 80
eth0
/1
eth0
/2
Начало Интерфейс Src IP Src Port Dest IP Dest Port ProtoОтправлено пакетов
Отправлено байт
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 102510:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712
Запись о двунаправленном сеансе• Запись о потоке взаимодействия• Простота визуализации и анализа
Записи об однонаправленных потоках
НачалоIPклиента
Портклиента
IPсервера
Порт сервера Proto
Байт от клиента
Пакетов от клиента
Байт от сервера
Пакетов от сервера Интерф.
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1eth0/2
![Page 9: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/9.jpg)
Масштабирование: дедупликация NetFlow
Router A
Router B
Router C
10.2.2.2порт 1024
10.1.1.1порт 80
• Без дедупликации• Возможны ошибки в подсчете объема• Возможны ложные срабатывания
• Повышение эффективности хранения данных• Необходимо для точного ведения отчетов на
уровне хоста
Router A: 10.2.2.2:1024 -> 10.1.1.1:80Router B: 10.2.2.2:1024 -> 10.1.1.1:80Router C: 10.1.1.1:80 -> 10.2.2.2:1024
Дубликаты
![Page 10: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/10.jpg)
Запись о двунаправленном потоке
• Масштабируемый сбор (решение корпоративного уровня)
• Отличный уровень сжатия => долговременное хранение• Хранение в течение месяцев
Когда Кто
Где
ЧтоКто
Метка SGT
Контекст
![Page 11: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/11.jpg)
Анализ NetFlow с помощью StealthWatch
ОбнаружениеВыделение
IoCЛучшее
понимание/ реакция на
IoC:
Определение всех приложений и сервисов в сети
Политика и сегментация
Обнаружение аномалий (NBAD)
Сбор данных обо всех
взаимодействиях, хорошая база для
расследований
![Page 12: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/12.jpg)
Проектирование и развертывание решений системы Stealthwatch
![Page 13: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/13.jpg)
StealthwatchManagement
Console
UDP-директорСбор данных о потоках (Flow Collector)
NetFlow,syslog, SNMP Инфраструктура,
поддерживающая NetFlow
Сенсор потоков (Flow Sensor)
Веб-прокси
Данные о пользователях и устройствах
Cisco ISE
Данные об актуальных угрозах
Компоненты системы Stealthwatch
www
Лицензия Threat Feed
Концентратордля устройств
Cloud License Concentrator &
Agents
![Page 14: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/14.jpg)
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Набор решений Stealthwatch
FlowCollector
Базовые компонентыStealthwatch: Flow Collector иStealthwatch Management Console (SMC).
Все компоненты решенияStealthwatch могут развертываться в физическом или виртуальном (VMware)формате.
![Page 15: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/15.jpg)
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Набор решений Stealthwatch: SFlow
FlowCollector
Существует отдельный Flow Collector for SFlow. Stealthwatchподдерживает получение данных о потоках от широкого спектра устройств.
Инфраструктура, передающая
данные о потоках
FlowCollector
For SFLOW
![Page 16: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/16.jpg)
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Набор решений Stealthwatch: лицензия FPS
FlowCollector
Лицензия FPS
Лицензия на обработку определенного числа потоков в секунду(FPS) определяет ожидаемую производительность.
![Page 17: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/17.jpg)
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Набор решений Stealthwatch: минимальная спецификация
FlowCollector
Лицензия FPS
1 SMC и поддержка
2 Flow Collectorи поддержка
3 Лицензия FPS и поддержка.
Заказчик
![Page 18: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/18.jpg)
Консоли SMC
Инфраструктура, передающая данные
о потоках
Набор решений Stealthwatch: UDP-директор
FlowCollector’ы
UDP-директор
В решениях Stealthwatchпредусмотрено обеспечение отказоустойчивости. UDP-директорможет направлять трафик на несколько Flow Collector’ов. Также поддерживаются несколько консолей SMC.
![Page 19: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/19.jpg)
StealthwatchManagement
Console
Инфраструктура, передающая данные о потоках
Набор решений Stealthwatch: Flow Sensor
FlowCollector
FlowSensor
Инфраструктура, не способная генерировать
данные о потоках
Flow Sensor позволяет генерировать записи о потоках там, где инфраструктура не поддерживает такой функционал. Данные от Flow Sensor’ов не учитываются лицензией FPS.
![Page 20: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/20.jpg)
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Данные о пользователях и устройствах
Набор решений Stealthwatch: интеграция с ISE
CiscoISE
FlowCollector
FlowSensor
Инфраструктура, не способная генерировать
данные о потоках
Все существующие версии Stealthwatchподдерживают интеграцию с Cisco ISE для получения контекста и обратной связи по pxGrid.
![Page 21: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/21.jpg)
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Набор решений Stealthwatch: лицензия Proxy License
FlowCollector
FlowSensor
Инфраструктура, не способная генерировать
данные о потоках
WSAКонтекстные данные
веб-прокси
Proxy License позволяет Flow Collector обрабатывать журналы прокси и Syslog для формирования дополнительного контекста.BlueCoat, McAfee, Squid, WSA
![Page 22: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/22.jpg)
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Набор решений Stealthwatch: лицензии для оконечных устройств и облаков
FlowCollector
EndpointConcentrator
Много клиентов AnyConnect с NVM Серверы в AWS
CloudConcentrator
Лицензия Endpoint License и Endpoint Concentrator помогают собирать IPFIX от AnyConnect NVM (AnyConnect Apex!!!).
Лицензия Cloud License и Cloud Concentrator помогают собирать IPFIX от серверов, развернутых в AWS.
![Page 23: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/23.jpg)
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Данные о пользователях и устройствах
Информационный поток Stealthwatch Labs
Intelligence Center (SLIC)
Набор решений Stealthwatch: данные об угрозах
CiscoISE
FlowCollector
FlowSensor
Инфраструктура, не способная
генерировать данные о потоках
Stealthwatchподдерживает поток данных об угрозах SLIC как дополнительный лицензируемый компонент.
![Page 24: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/24.jpg)
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Данные о пользователях и устройствах
Информационный поток Stealthwatch Labs
Intelligence Center (SLIC)
Stealthwatch Portfolio: лицензия Learning Network
CiscoISE
FlowCollector
Learning Network Manager
Сетьфилиала
Лицензия Stealthwatch Learning Network позволяет использовать средства обнаружения аномалий и блокировать угрозы на ISR серии 4000.
Масштабирование: до 1000 агентов на 1 менеджера
![Page 25: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/25.jpg)
Интеграция StealthWatch-ISE
Аутентификация
Команды поместить в карантин/извлечь из карантина с помощью ISE EPS
pxGrid
syslog (udp/3514)
Identity Services Engine
StealthWatch Management
Console
Атрибуция потоков• Использование ISE для
сопоставления имени пользователя IP-адресу
![Page 26: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/26.jpg)
Принципы проектирования решения на базе системы Stealthwatch
![Page 27: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/27.jpg)
• Каждое устройство будет поддерживать минимальное гарантированное число потоков
• Наиболее важные метрики: • Число экспортеров – число Flow Sensor’ов или маршрутизаторов/коммутаторов, передающих данные на Flow Collector
• Скорость поступления данных – интенсивность получения данных о потоках (Flow Collector получает данные от Flow Sensor’ов или сетевых устройств)
• Число хостов – общее число внутренних и внешних хостов• Объем хранилища данных о потоках
Основные принципы
![Page 28: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/28.jpg)
Оценка FPS
Тип хоста Число FPS на 1 хост
Сервер 5
Рабочая станция/ноутбук 1,2
Маршрутизатор/коммутатор 75
IP-телефон 0,002
• Оценку FPS можно выполнить на основании числа и типа IP-хостов, активных в сети
• Настоятельно рекомендуется осуществлять проектирование (и приобретать лицензию FPS) с запасом!
• Калькулятор FPS:https://www.lancope.com/fps-estimator
• Запросите 30-дневную бесплатную версию UDP-директора и попробуйте
![Page 29: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/29.jpg)
Типовая схема развертывания• Одна консоль SteathWatch
Management Console и один FlowCollector
• Одна консоль SMC – достаточно типовой случай
• Все изменения конфигурации выполняются на SMC
• FlowCollector посылает результирующие данные на SMC
• SMC настроена на получение записей журналов (таких как Syslog) от ISE , также включен pxGrid
HT
TPS
потоки
![Page 30: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/30.jpg)
Базовый аппаратный вариантItem Product SKU
1 SMC 1010 Appliance LC-SMC-1010-K9
2 SMC Support CON-SMC-1K
3 FlowCollector 2000 Appliance (60K FPS, 1K Exporters, 2TB Storage )
LC-FC-2010-NF-K9
4 FlowCollector Support CON-FC2K-NF
5 FPS 50K License L-LC-FPS-50K=
6 Support for FPS license CON-FPS-50K
Поддержка до 50 000 FPS.
![Page 31: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/31.jpg)
Базовый виртуальный вариантItem Product SKU1 SMC VE L-LC-FC-NF-VE-K9
2 SMC Support CON-SMC-VE
3 FlowCollector VE (30K FPS, 1K Exporters, 1TB Storage )
L-LC-FC-NF-VE-K9
4 FlowCollector Support CON-FC-NF-VE
5 FPS 25K License L-LC-FPS-25K=
6 Support for FPS license CON-FPS-25K
7* FlowSensor VE for VMware L-LC-FSVE-VMW-K9
8* 1 Year Maintenance For FlowSensor VE CON-FSVE-VMW
* - Опционально
![Page 32: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/32.jpg)
Резервирование SMC, региональные коллекторыТребования:
• 2 SMC + поддержка SMC
• Несколько FC + поддержка FC
• Несколько лицензий FPS
Примечание:• Выбор конкретных FC
и SMC зависит от показателей FPS среды.
StealthwatchFlowCollector
StealthwatchFlowCollector
Americas Internet/MPLS
ОсновнаяSMC
РезервнаяSMC
EMEAInternet/MPLS
Asia PacificInternet/MPLS
![Page 33: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/33.jpg)
Резервирование SMC и FC Требования:
• 2 SMC + поддержка SMC• Несколько FC + поддержка
FC• Несколько лицензий FPS• Резервные лицензии FPS
(в нужном количестве)
Опционально:• Несколько UDP-директоров
Примечание:• Выбор конкретных FC
и SMC зависит от показателей FPS среды.
Americas Internet/MPLS
EMEAInternet/MPLS
Asia PacificInternet/MPLS
StealthwatchFlowCollector’ы
ОсновнаяSMC
РезервнаяSMC
![Page 34: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/34.jpg)
Работа с системой Stealthwatch
![Page 35: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/35.jpg)
Начало работы с SMChttps://<smc-ip>
Обычный вход
![Page 36: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/36.jpg)
Интерфейс №1: веб-интерфейс• Добавлен в StealthWatch 6.5• Быстрая демонстрация• Новые функции реализованы
в этом интерфейсе
Уникальные отличия:• Реакция с помощью ISE• Пользовательские события• Поля SGT в записях о потоках• ProxyWatch• Настройка Active Directory• Пользовательские приложения• Управление заданиями
![Page 37: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/37.jpg)
Интерфейс №1: веб-интерфейс
Меню
Активные тревоги
Инф. панельЗапуск Java-
клиента
Виджеты
![Page 38: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/38.jpg)
Интерфейс №1: НОВЫЙ веб-интерфейс
• Традиционный интерфейс• Годы разработки• «Инженеры для инженеров»• Минимальный объем новых функций
![Page 39: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/39.jpg)
Интерфейс №1: НОВЫЙ веб-интерфейс
Просмотр «документов»
Древовидный каталог
![Page 40: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/40.jpg)
SMC: древовидный каталог
Группы хостов
Домен
FlowCollector(ы) и Exporter(ы)
Cisco ISE
![Page 41: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/41.jpg)
Хосты и группы хостов
![Page 42: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/42.jpg)
Хосты
• Любой IP-адрес, с которого был трафик: • Зафиксированный экспортером NetFlow• Запись была отправлена в коллектор
• Для каждого хоста StealthWatch• Собирает метаданные• Формирует профиль поведения
![Page 43: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/43.jpg)
Группы хостов• Виртуальный контейнер IP-адресов• Задается пользователем• Общность атрибутов• Моделирование любого
процесса/приложения
![Page 44: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/44.jpg)
Типы групп хостов
• Внутренние хосты:• Все хосты, явно определенные
как часть сети• По умолчанию– “Catch All”
• Внешние хосты• Все хосты, которые не были явно
указаны как часть сети• Страны – GEO-IP
• Ведение с помощью SLIC• Bogon• C & C• Tor
![Page 45: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/45.jpg)
Внутренние группы хостовПо умолчанию• Catch All
• Адреса RFC 1918• По функции• По местоположению
Включая общедоступные IP-адреса
![Page 46: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/46.jpg)
Группы хостов: улучшение контроля
Виртуальный контейнер IP-адресов/диапазонов со
схожими атрибутамиУправление как единым
объектом
Совет: внесение всех известных IP-адресов в
одну или несколько групп хостов
Возможность применения политик к группе
![Page 47: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/47.jpg)
Группы хостов: причинно-следственная связь
Настройки внизИнформация вверх
![Page 48: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/48.jpg)
Панель группы хостов – внутренние хосты
Хосты с высоким CI
Популярные цели
Тренд тревог
Активные тревоги
![Page 49: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/49.jpg)
Сведения о хосте: 10.10.101.118Топ активных
потоковСобытия,
связанные с CIСведения о
хосте
Фильтр
![Page 50: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/50.jpg)
Модель тревог
![Page 51: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/51.jpg)
51
ИБ-события(“Алгоритмы”)
Security Event
Security Event
Security Event
Security Event
Security Event
![Page 52: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/52.jpg)
Категории(“Индексы”)
ИБ-события(“Алгоритмы”)
Security Event
Security Event
Security Event
Security Event
Security Event
CI
TI
Recon
C&C
![Page 53: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/53.jpg)
Security Event
Security Event
Security Event
Security Event
ИБ-события(“Алгоритмы”)
CI
TI
Recon
C&C
Категории(“Индексы”)
Alarm
Alarm
Alarm
Alarm
Alarm
Тревоги(“Уведомления”)
Security Event
![Page 54: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/54.jpg)
ИБ-события(“Алгоритмы”)
Категории(“Индексы”)
Тревоги(“Уведомления”)
Security Event
Security Event
Security Event
Security Event
Security Event
Alarm
Alarm
Alarm
Alarm
Alarm
CI
TI
Recon
C&C
![Page 55: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/55.jpg)
Fake Application
ИБ-события(“Алгоритмы”)
Security Event
Security Event
Security Event
Security Event
Категории(“Индексы”)
Тревоги(“Уведомления”)
Alarm
Alarm
Alarm
Alarm
Alarm
CI
TI
Recon
C&C
![Page 56: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/56.jpg)
Fake Application
ИБ-события(“Алгоритмы”)
Security Event
Security Event
Security Event
Security Event
Категории(“Индексы”)
Тревоги(“Уведомления”)
Alarm
Alarm
Alarm
Alarm
Alarm
CI
TI
Recon
C&C
![Page 57: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/57.jpg)
SQLF
ИБ-события(“Алгоритмы”)
Security Event
Security Event
Security Event
Security Event
Категории(“Индексы”)
Тревоги(“Уведомления”)
Alarm
Alarm
Alarm
Alarm
Alarm
CI
TI
Recon
C&C
![Page 58: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/58.jpg)
Stealthwatch: тревогиТревоги• Существенное изменение поведения и нарушения
политики• Генерируются как для известных, так и не известных атак• Действия, выходящие за рамки обычного профиля,
допустимого поведения или заданных политик
![Page 59: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/59.jpg)
Категории тревог
Накопление очков в каждой категории
![Page 60: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/60.jpg)
Мониторинг сегментацииГруппы хостов
Связь
Запрещенная связь
![Page 61: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/61.jpg)
Нарушение политики: Host Locking
Клиенты Серверы
Условия для клиента
Условия для сервера
Успешное или любое
![Page 62: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/62.jpg)
Нарушение политики: Host Locking
Связь в нарушение политики• Тревога сработала на нарушение политик
![Page 63: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/63.jpg)
Нарушение политики: пользовательские события
Событие срабатывает при определенном
трафике
Исходная SGT
Целевая SGT
Имя/описание правила
Описание объекта
Описание субъекта
Описание соединения
![Page 64: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/64.jpg)
Нарушение политики: пользовательские события
ПАНЕЛЬ ТРЕВОГ: все тревоги, связанные с политиками
Сведения о тревоге “Employee to Productions Servers”
![Page 65: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/65.jpg)
Контроль аномалий: Concern IndexConcern Index: хосты, ведущие себя странно
66 различных алгоритмов для версии 6.7.1.
65
![Page 66: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/66.jpg)
Высокое значение CIОтклонение от нормы на 2 432%!
![Page 67: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/67.jpg)
Внутренняя разведка: обнаружение по CI
Сканирование разных подсетей в поисках
TCP-445
Событие CI
![Page 68: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/68.jpg)
А что система может «из коробки»?
![Page 69: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/69.jpg)
Шаблоны отчетов
Reports
00 - Top Internal Scanning Hosts (report time)
01 - Overview of Monitored Network (report time)
02 - Outside to Outside Hosts and Conversations
03 - Server Classification Report
The above 00-03 reports are for provisioning.
It is important to view these reports within first 2 days of initial assessment start date to make sure report 04-10 are accurate and clean.
Очень малая часть, создаваемая, как правило, на этапе PoC:Reports
04 - DNS Analysis – Yesterday
05 - Proxy Bypass Report – Last 14 Days
06 - SMB to Internet Analysis – Last 14 Days
07 – Alarms - Last 14 Days
08 - Remote Access From Internet – Last 14 Days
09 - Telnet Analysis – Last 14 Days
10 - Suspect Country Traffic – Last 14 Days
11 – Rogue Servers
12 – Behaviour Analysis
13 – Protected Assets at Risk
![Page 70: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/70.jpg)
• Краткая сводка с лаконичным представлением ситуации.
Обзор для высшего руководства
![Page 71: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/71.jpg)
Резюме
![Page 72: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/72.jpg)
Мы обсудили• Состав решения Stealthwatch• Начальные этапы использования системы Stealthwatch
Основные темы
![Page 73: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/73.jpg)
Лучше один раз увидеть!!!• Стенды в dCloud (dcloud.cisco.com)
• Cisco Digital Read Network v1 – Always On • Cisco Cyber Threat Defense 6.7 v1
![Page 74: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/74.jpg)
Cisco CSIRT о своей практике использования Stealthwatch
https://youtu.be/FEmAmsajBtI
![Page 75: Cisco Threat Defense (Cisco Stealthwatch)](https://reader033.fdocuments.in/reader033/viewer/2022052209/58724d8d1a28ab852f8b63e1/html5/thumbnails/75.jpg)