نحوه نصب سیسکو Stealthwatch در ESXi
سیسکو Stealthwatch
سیسکو Stealthwatch یک کامپوننت بنیادی برای آنالیز رفتاری شبکه میباشد که برای دسته بندی رفتارهای نرمال و غیرنرمال استفاده میشود. در کنار راهکار سیسکو Stealthwatch میتوانیم از راهکاهای دیگر امنیتی ازجمله سیسکو ISE، سرویس Cognitive analytics، راهکارهای امن سازی نقاط پایانی (Anyconnect Network Visablity Module یا AMP) و Threat inteligence license به صورت ترکیبی و یکپارچه استفاده کنیم.
ولی اگر بخواهیم stealthwatch را بدون استفاده از راهکارهای بالا در شبکه خود راهاندازی کنیم فقط به دو ماژول اصلی آن یعنی Stealthwatch management console و Flow Collector نیاز داریم.
در مورد راهکار سیسکو Stealthwatch در یک جمله میتوان گفت که این راهکار با استفاده از دادههای موجود در Netflow دید شفافی از کل شبکه در اختیار ما قرار میدهد.
نحوه کار سیسکو Stealthwatch
برای درک بهتر نحوه عملکرد سیسکو Stealthwatch، موضوع تماسهای تلفنی یک شخص را در نظر بگیرید. معمولا ما نمیتوانیم از محتوای مکالمات شخص با خبر شویم. ولی اگر دسترسی به فیش هزینه مکالماتش داشته باشیم میتوانیم متوجه شویم که شخص به طور متوسط چه مدت زمانی مکالمه داشته است. برای مثال اگر شخص به طور متوسط روزانه ۵ تماس تلفنی با متوسط زمان ۳۰ دقیقه برای هر مکالمه داشته باشد. با داشتن این اطلاعات میتوانیم به او هشدار دهیم که با این مقدار زمان مکالمه ممکن است او در بلند مدت به سرطان مبتلا شود.
شبیه مثال بالا ولی با عمق بیشتر میتوانیم با استفاده از سیسکو Stealthwatch متا دیتای مربوط به هر ارتباط شبکهای را داشته باشیم. با استفاد از متا دیتا و اطلاعات موجود در Netflow میتوانیم از فعالیتهایی مانند Scan شبکه، آپلود فایلهایی با حجم بالا و هزاران فعالیت دیگر آگاه شویم. علاوه بر این Stealthwatch میتواند با بررسی عمیق بستهها، حتی بستههای رمز شده رفتارهای نرمال و غیرنرمال را شناسایی کند.
به طور کلی میتوان گفت، Stealthwatch دارای دو جزء اصلی یعنی SMC برای نوشتن سیاستهای مورد نیاز و مشاهده هشدارهای تولید شده و ماژول FC برای جمعآوری Flowهای شبکه میباشد. میتوانیم برای داشتن شفافیت بیشتر در شبکه از سایر راهکاهای امنیتی در کنار سیسکو Stealthwatch استفاده کنیم.
Threat inteligence license
یکی از مزایایی که مهاجمان نسبت به اهداف خود دارند این است که آنها میتوانند حملات یکسانی علیه چندین هدف یکسان انجام دهند و در همه این حملات احتمال موفقیت برای آنها وجود دارد. زیرا بسیاری از قربانیان محدود به دیدگاه خود نسبت به تهدیدات هستند. اما فرض کنید اگر ما اطلاعات کاملی در مورد IPها و دامنههای مخرب یا گروههای جدید بدافزاری مورد استفاده در یک کمپین داشته باشیم و بتوانیم هشدارهای مربوط به این اطلاعات تهدیدات (Threat Inteligence) را ترسیم کنیم، چه کارهایی میتوانیم انجام دهیم؟ با این کار علاوه براینکه میتوانیم زمان شناسایی تهدیدات را به شدت کاهش دهیم، میتوانیم ضریب اطمینان تشخیص را نیز بالا ببریم.
لایسنس Cisco Stealthwatch Threat Intelligence (TI) به مشتریان Stealthwatch اجازه می دهد تا به یک منبع اطلاعاتی شامل اطلاعات تهدیدات جهانی که توسط پلتفرم Cisco TalosTM طراحی شده است، دسترسی پیدا کنند. این ماژول در واقع از طریق نظارت بر اتصالات شبکه داخلی به اینترنت و با استفاده از اطلاعات موجود از هزاران سرور معروف C&C، لیست آدرسهای IP مخرب و نقاط ورود و خروج به شبکه Tor، یک لایه اضافی امنیتی برای محافظت از داراییهای سازمان در برابر باتنتها و سایر حملات پیچیده ایجاد میکند. این امر منجر به شناسایی دقیق تهدیدات و پاسخ سریع به آنها میشود.
سیسکو ISE
در سناریوی مربوط به پیادهسازی سیسکو Stealthwatch امکان استفاده از سیسکو ISE در یک راه حل ترکیبی وجود دارد. ISE میتواند اطلاعاتی بر مبنای IP در اختیار Stealthwatch قرار دهد. این اطلاعات میتواند شامل اطلاعات کاربری ازجمله اطلاعات پروفایل کاربری باشد که از این IP لاگین کرده است. علاوه براین Stealthwath در صورتی که رفتار مشکوکی از یک آدرس IP مشاهده کند میتواند با استفاده از اطلاعات کاربری موجود در پروفایل آن و از طریق سرویس pxGrid به ISE دستور دهد که کاربر را قرنطینه کند.
سیسکو Stealthwatch همچنین دارای قابلیت شناسایی تگهای SGT اختصاصی از طرف ISE نیز میباشد و میتواند از آنها برای آنالیز ترافیک شبکه استفاده کند. برای مثال، با ستفاده از این تگها میتوانیم سیاستی بنویسیم که اگر آدرس IP از یک تگ SGT خاصی در یک ترافیک استفاده کرد هشداری برای آن ایجاد شود. همچنین میتوانیم سیاستهایی تعرف کنیم که در داخل Flow شبکه به دنبال ترافیکی با تگ خاص SGT بگردد.
Global Threat Analytics
چند سال پیش بود که شرکت سیسکو شرکت AI را خرید. بعد از سالها توسعه آن را با اسم Cisco Cognitive analytics به بازار امنیت معرفی کرد. در حال حاضر میتوانیم این سرویس اختیاری را در راهکار Stealthwatch خود فعال و استفاده کنیم. سیسکو Stealthwatch با استفاده از این سرویس متادیتای مربوط به Flowهای شبکه را به موتور آنالیز ابری ارسال میکند. در ادامه Cognitive analytics اطلاعات ارسالی را با اطلاعات جمع آوری شده از AMP و Threat Grid مقایسه میکند. در صورتی که این اطلاعات مربوط به یک تهدید عمومی باشد که در سایر مشتریان هم دیده شده است، برای آن هشداری ایجاد خواهد شد.
Security Packet Analyser
Cisco Security Packet Analyzer ابزارهایی در اختیار شما میگذارد که کمک میکند تا با سرعت بالایی رویدادهای امنیتی و فعالیت مشکوک شبکه را بررسی کنید. این راهکار به صورت ترکیبی با Cisco Stealthwatch و برای سرعت بخشیدن به کار پاسخ به حوادث و فارنزیک شبکه کار میکند.
تهدیدات شبکه و مجرمان سایبری هر روز هوشمندتر میشوند. و در حال حاضر سوال این نیست که آیا شبکه شما مورد نفوذ قرار خواهد گرفت یا نه؟ بلکه سوال اصلی زمان حمله و اقدامات لازم در آن زمان میباشد. به همین دلیل نیاز به پاسخ سریع به تهدیدات پیشرفته هیچ زمانی مهمتر از الان نبوده است.
بسیاری از سازمانها تقریبا سطحی از ابزارهای نظارت امنیتی و پاسخگویی به حوادث را در اختیار دارند. همچنین متخصصان امنیتی میتوانند از راههای مختلفی سرعت پاسخگویی به حوادث را افزایش دهند. یک روش معمول استفاده از راهحلهای ضبط بستههای شبکه میباشد. این راهکارها میتوانند همه اطلاعاتی که در شبکه در جریان هستند را جمع آوری و ذخیره کنند.
با این حال، ممکن است سازمانی به دنبال ضبط کامل بستههای شبکه بدون نیاز به ذخیره همه بستهها در همه زمانها باشد. یعنی برای بررسی سریعتر حملات فقط به دنبال بستههای خاص مربوط به یک رویداد باشد. اینجاست که Packet Analyzer نقش بسیار مهمی را ایفا میکند.
ضبط هوشمند بستههای شبکه
با استفاده از Packet Analyzer میتوانید ضبط بسته را در مناطق مشخصی از شبکه که یک حادثه شناسایی شده است، انجام دهید. برخلاف راه حلهای سنتی، Packet Analyzer به اپراتورها امکان ذخیره و جستجو بستههایی را که باعث ایجاد هشدار در رابط کاربری میشوند، را میدهد. Packet Analyzer از طریق ادغام با سایر محصولات امنیتی سیسکو از جمله سیسکو Stealthwatch میتواند همه بستههای خام مورد نیاز شبکه را ذخیره و در اختیار تحلیلگران قرار دهد. و نیازی به غربالگری همه بستههای گرفته شده از ترافیک شبکه یا نگهداری آنها برای بررسیهای بعدی نمیباشد. با استفاده از Packet Analyzer میتوانیم:
- مشاهده کاملی از محتوای هر ارتباط درون شبکه داشته باشیم.
- جزئیات دقیقی از آنچه که در یک زمان مشخص در شبکه رخ داده است بدست آوریم.
- پاسخ سریع به حوادث از طریق تجزیه و تحلیل هدفمند بستههای مرتبط با یک هشدار امنیتی یا سایر فعالیتهای مشکوک داشته باشیم.
- بررسی وقایع در ترتیب اصلی آنها در یک تحقیق مربوط به حمله انجام دهیم.
نحوه کار Packet Analyzer
Cisco Security Packet Analyzer ابتدا از تجزیه و تحلیل دادههای جریان مربوط به Stealthwatch برای یافتن نقاط خاص در جریان دادهها استفاده میکند. سپس برای پیدا کردن مکان بستهها یک پرسوجوی دقیق ایجاد میکند. Packet Analyzer با چهار اینترفیس 1 گیگابیتی یا دو اینترفیس 10 گیگابیتی عملکرد بالایی به صورت Real-time ارائه میدهد. این راهکار تمام فریمها از جمله آنهایی که معمولاً توسط کارتهای استاندارد کنار گذاشته میشوند را ضبط میکند.
Endpoint License
ماژول Cisco AnyConnect Nework Visablity کمک میکند تا بتوانیم رفتار کاربران و نقاط پایانی را هم در محیط سازمان و هم در خارج از آن نیز مانیتور نماییم. این ماژول جریانهای استاندارد از نقاط انتهایی (به عنوان مثال، لپ تاپ و هر دستگاه دیگری) را همراه با Contextهایی مانند کاربر، برنامه کاربردی مورد استفاده، دستگاه، مکان و اطلاعات مقصد را جمع آوری میکند. با استفاده از این ماژول مدیران امنیت میتوانند این دادههای غنی را جمعآوری و تحلیل کنند و با استفاده از اطلاعات بدست آمده از سازمان در برابر تهدیدات احتمالی امنیتی دفاع کنند. همچنین با استفاده از این اطلاعات میتوانند طیف وسیعی از چالشهای مربوط به عملکرد شبکه را نیز برطرف نمایند.
از آنجایی که ماژول Network Visibility از فناوری جریان استاندارد استفاده میکند. بنابراین تیم امنیتی میتوانند اطلاعات جمع آوری شده از طریق این ماژول را در راهکار Stealthwatch خود برای تجزیه و تحلیل رفتار نقاط پایانی استفاده کنند. به عنوان مثال، تیم امنیتی میتواند با استفاده از این راهکار ترکیبی، کاربری را که خارج از سازمان، مقدار زیادی داده به یک سرویس ذخیرهسازی خارجی ارسال میکند را مشاهده کند. که این موضوع میتواند نشان دهنده یک سرقت بالقوه داده باشد. یا وقتی کاربران به برنامههای غیرمجاز دسترسی پیدا میکنند را شناسایی نماید.
نصب SMC و FC بر روی ESXi
قبل از نصب این دو ماژول بایستی منابع مورد نیاز آنها را مشخص نماییم. برای مشخص کردن حداقل منابع مورد نیاز برای نصب SMC باید تعداد FlowCollectorها و کاربران همزمانی که قرار است به آن متصل شوند را مشخص کنیم.
| تعداد Flow Collector | تعداد کاربران همزمان | حداقل Memory | حداقل تعداد CPU |
| 1 | 2 | 24GB | 3 |
| 3 | 5 | 32GB | 4 |
| 5 | 10 | 32GB | 4 |
در صورت دانلود SMC VE 200 بایستی طبق جدول زیر به آن منابع اختصاص دهیم.
| SMC VE 2000 | OVF یا ISO | حداقل RAM مورد نیاز | سخت افزار |
| RAM | 64 | 64GB | 128 |
| CPU | 8 | 8 | 28 |
قبل از اختصاص منابع به Flow Collector باید تعداد ماژولهای استخراج Netflow، تعداد هاستهایی که قرار است مانیتور شوند و همچنین تعداد Flow ارسالی را مشخص کنیم.
| تعداد Flow بر ثانیه | تعداد Netflow Exporterها | تعداد هاستها | حداقل RAM | حداقل تعداد CPU | مدل Flow Collector |
| تا 4500 | تا 250 | تا 125000 | 16GB | 2 | FCVE |
| تا 15000 | تا 500 | تا 250000 | 24GB | 3 | FCVE |
| تا 22500 | تا 1000 | تا 500000 | 32GB | 4 | FCVE |
| تا 30000 | تا 1000 | تا 500000 | 32GB | 6 | FCVE |
| تا 60000 | تا 1500 | 750000 | 64GB | 8 | 2000 |
| تا 120000 | تا 2000 | 1000000 | 128GB | 12 | 4000 |
مطالب زیر را حتما مطالعه کنید
معرفی سیسکو Umbrella
منابع ارائه دهنده اطلاعات هویتی و متنی برای ISE
نحوه استفاده از سیسکو ISE برای ارزیابی امنیتی ارتباطات VPN سازمان
نحوه نصب سیسکو ISE
نحوه پیکربندی و عیبیابی NetFlow برای سیسکو Stealthwatch
دیدگاهتان را بنویسید