1. Введение
Данный цикл статей посвящен продукту для мониторинга сети Cisco StealthWatch.
Компания Cisco Systems активно продвигает его как продукт для улучшения безопасности сети, поэтому давайте разбираться.
В блоге TS Solution уже была статья на эту тему, в данном цикле статей я сосредоточусь на настройке и развертывании продукта. Тем не менее, для тех, кто первый раз слышит о StealthWatch определим базовые понятия.
”Система Stealthwatch обеспечивает лучшие в отрасли возможности мониторинга сети и анализа безопасности для ускорения и более точного обнаружения угроз, реагирования на инциденты и проведения расследований”, — говорит Cisco и приводит около 50-ти кейсов (success stories), с которыми вы можете ознакомиться здесь.
Ссылки на все статьи в цикле:
1) StealthWatch: базовые понятия и минимальные требования. Часть 1
2) StealthWatch: развертывание и настройка. Часть 2
3) StealthWatch: анализ и расследование инцидентов. Часть 3
4) StealthWatch: интеграция с Cisco ISE. Часть 4
5) Stealthwatch Cloud. Быстрое, удобное и эффективное решение для облачных и корпоративных инфраструктур. Часть 5
Основываясь на данных телеметрии вашей инфраструктуры, StealthWatch позволяет:
· выявлять самые разные кибератаки (APTs, DDoS, 0-day, data leakage, ботнет)
· контролировать соблюдение политик безопасности
· обнаруживать аномалии в поведении пользователей и оборудования
· проводить криптоаудит трафика (технология ЕТА)
В основе работы StealthWatch лежит сбор NetFlow и IPFIX с маршрутизаторов, коммутаторов и других сетевых устройств. В результате сеть становится чувствительным сенсором и позволяет администратору заглянуть туда, куда не могут добраться традиционные методы защиты сети, например, NGFW. Собирать StealthWatch может следующие протоколы: NetFlow (начиная с версии 5), sFlow, jFlow, cFlow, Netstream, nvzFlow, IPFIX, Packeteer-2 и другие кастомные доработки.
2. Какими же средствами для аналитики пользуется данное ПО?
Во-первых, поведенческое моделирование и поведенческие сигнатуры, другими словами, постоянное отслеживание каждого устройства в сети и возможность определять базовые показатели нормального и аномального поведения. Для каждого хоста будь то пользователь, сервер или роутер строится свой baseline (идеальная модель поведения), отклонившись от которого мы видим все аномалии в отношении данного хоста.
В качестве примера: пользователь вдруг начал скачивать большие объемы данных, хотя он этого никогда не делал — StealthWatch практически мгновенно это определяет.
Во-вторых, глобальная аналитика угроз. Под этим понимается интеграция с известной Cisco Talos — огромной базой данных сигнатур известных атак, обновляемой по всему миру в реальном времени.
В-третьих, старое доброе машинное обучение, в случае с Cisco основанное на технологии Cognitive Intelligence.
Технология также лежит в основе решения ETA — Encrypted Traffic Analytics, которая позволяет определить плохое ли зашифрованное соединение без его расшифровки (атака, нежелательный трафик и C&C коммуникации).
3. Краткое знакомство с интерфейсом
Дабы вы понимали, как это выглядит и не придумывали красивые картинки, я хочу показать пару скриншотов из лабораторной работы Cisco, которую можно выполнить всем в dcloud.
В довольно удобных чартах и графиках в дэшбоарде показывается общая статистика сети: тревоги, от кого и когда они были, трафик сетевых протоколов, приложений и инциденты безопасности.
Во вкладке монитор происходит более подробное перечисление подозрительных хостов и таблица, значения которой отвечают за подозрительное поведение и атаки на тот или иной хост.
Далее можно наблюдать трафик приложений, разбитый по протоколам. Разумеется, временной промежуток меняется, можно проваливаться внутрь, выделяя необходимый участок (во Flow в дэшбоарде тоже можно “проваливаться).
Все настройки и полное погружение в интерфейс, вы увидите в следующих статьях.
4. Архитектура
Архитектура у StealthWatch с одной стороны немного сложнее, чем у их конкурентов, но с другой стороны она гранулярнее и позволяет осуществить более выборочную настройку. В качестве обязательных компонентов являются Flow Collector (FC) и StealthWatch Management Console (SMC).
FlowCollector — физическое или виртуальное устройство, которое собирает данные NetFlow и данные о приложениях по протоколу NBAR с коммутаторов, маршрутизаторов и фаерволов.
SMC — физическое или виртуальное устройство, которое объединяет, упорядочивает и графически представляет собранные с FC данные. Возможна интеграция с AD и Cisco ISE.
В качестве необязательных, но не менее интересных устройств выделяю FlowSensor (FS) и UDP-Director (UDP-D).
Первый может быть также как физическим, так и виртуальным устройством, и является решением для генерации NetFlow с устаревших устройств или когда у вас используются дешевые коммутаторы уровня доступа. FlowSensor может обеспечить формирование NetFlow-записей для всего трафика, поступающего с использованием протоколов SPAN, RSPAN.
Более того, FlowSensor в большинстве случаев необходим для использования технологии ETA (определение зловредного ПО в шифрованном трафике), однако начиная с ISR и ASR серий маршрутизаторы могут работать с ЕТА и без Flow Sensor.
UDP-D — физическое устройство, которое собирает данные NetFlow и направляет их в виде единого и сжатого потока на FlowCollector. В качестве примера, он может экспортировать поток одновременно на StealthWatch, SolarWinds и что-то еще. Также позволяет снизить нагрузку на Flow Collector и оптимизировать производительность сети. По правде говоря, только для экспорта потока на разные платформы он и нужен. В итоге самый дорогой компонент архитектуры StealthWatch не такой уж и необходимый.
Архитектура выглядит примерно так в упрощенном варианте:
И в более полном (сложном и непонятном) варианте:
5. Минимальные системные требования
Теперь можно со StealthWatch переходить на «ты», так что давайте рассмотрим минимальные ресурсы для развертывания его в сети.
Для StealthWatch Management Console:
RAM 16 GB (рекомендуется 24GB), 3 CPU, 125 GB диска
Для FlowCollector:
RAM 16GB, 2 CPU, 200 GB диска
*Поддерживает < 250 экспортеров, < 125000 хостов, < 4500 fps
И если мы хотим полную архитектуру, которую в дальнейшем будем рассматривать, следует выделить также ресурсы для FlowSensor и UDP-Director.
Для FlowSensor:
RAM 4 GB, 1 CPU, 60 GB диска
Для UDP-Director:
RAM 4GB, 1 CPU, 60 GB диска
*Предпочтительно SSD для всех VM, но мозги находятся на StealthWatch Management Console, поэтому для консоли ресурсы выделить стоит в первую очередь.
Важный нюанс, что образы для этих виртуальных машин доступны только для VMware (ESXi) и KVM. Требования и к ним.
VMware (ESXi):
Версия 6.0 или 6.5.
Live Migration и снэпшоты не поддерживаются.
KVM:
Используя любой совместимый дистрибутив Linux.
Версии хостов KVM — libvirt 3.0.0, qemu-KVM 2.8.0, Open vSwitch 2.6.1 и Linux Kernel 4.4.38. Они могут быть и другие, но на этих инженеры Cisco проводили тесты и подтверждают работоспособность.
Если вам интересно посмотреть на безопасность своей сети под другим углом, Вы можете обратиться к нам по адресу sales@tssolution.ru, и мы проведем демонстрацию или бесплатно пропилотируем StealthWatch в вашей сети.
На этом пока все. В следующей статье мы приступим непосредственно к развертыванию StealthWatch и подробнее поговорим о нюансах этого процесса.