جستجو برای:
  • صفحه اصلی
  • معرفی راهکارهای امنیتی
    • امنیت شبکه
      • امنیت زیرساخت شبکه
      • نظارت و پایش شبکه
    • امنیت نقاط پایانی
    • محصولات امنیتی
    • تهدیدات امنیتی
      • بدافزار
  • وبلاگ
  • اخبار

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت
  • [email protected]
ایرانشل
  • صفحه اصلی
  • معرفی راهکارهای امنیتی
    • امنیت شبکه
      • امنیت زیرساخت شبکه
      • نظارت و پایش شبکه
    • امنیت نقاط پایانی
    • محصولات امنیتی
    • تهدیدات امنیتی
      • بدافزار
  • وبلاگ
  • اخبار
ورود و ثبت نام

وبلاگ

ایرانشل > وبلاگ > نحوه نصب سیسکو Stealthwatch در ESXi

نحوه نصب سیسکو Stealthwatch در ESXi

وبلاگ
ارسال شده توسط ایرانشل
24 دسامبر 2020
131 بازدید

سیسکو Stealthwatch

سیسکو Stealthwatch یک کامپوننت بنیادی برای آنالیز رفتاری شبکه می‌باشد که برای دسته بندی رفتارهای نرمال و غیرنرمال استفاده می‌شود. در کنار راهکار سیسکو Stealthwatch می‌توانیم از راهکاهای دیگر امنیتی ازجمله سیسکو ISE، سرویس Cognitive analytics، راهکارهای امن سازی ‌نقاط پایانی (Anyconnect Network Visablity Module یا AMP) و Threat inteligence license به صورت ترکیبی و یکپارچه استفاده کنیم.

ولی اگر بخواهیم stealthwatch را بدون استفاده از راهکارهای بالا در شبکه خود راه‌اندازی کنیم فقط به دو ماژول اصلی آن یعنی Stealthwatch management console و Flow Collector نیاز داریم.

در مورد راهکار سیسکو Stealthwatch در یک جمله می‌توان گفت که این راهکار با استفاده از داده‌های موجود در Netflow دید شفافی از کل شبکه در اختیار ما قرار می‌دهد.

Stealthwatch architecture

نحوه کار سیسکو Stealthwatch

برای درک بهتر نحوه عملکرد سیسکو Stealthwatch، موضوع تماس‌های تلفنی یک شخص را در نظر بگیرید. معمولا ما نمی‌توانیم از محتوای مکالمات شخص با خبر شویم. ولی اگر دسترسی به فیش هزینه مکالماتش داشته باشیم می‌توانیم متوجه شویم که شخص به طور متوسط چه مدت زمانی مکالمه داشته است. برای مثال اگر شخص به طور متوسط روزانه ۵ تماس تلفنی با متوسط زمان ۳۰ دقیقه برای هر مکالمه داشته باشد. با داشتن این اطلاعات می‌توانیم به او هشدار دهیم که با این مقدار زمان مکالمه ممکن است او در بلند مدت به سرطان مبتلا شود.

شبیه مثال بالا ولی با عمق بیشتر می‌توانیم با استفاده از سیسکو Stealthwatch متا دیتای مربوط به هر ارتباط شبکه‌ای را داشته باشیم. با استفاد از متا دیتا و اطلاعات موجود در Netflow می‌توانیم از فعالیت‌هایی مانند Scan شبکه، آپلود فایل‌هایی با حجم بالا و هزاران فعالیت دیگر آگاه شویم. علاوه بر این Stealthwatch می‌تواند با بررسی عمیق بسته‌ها، حتی بسته‌های رمز شده رفتارهای نرمال و غیرنرمال را شناسایی کند.

به طور کلی می‌توان گفت، Stealthwatch دارای دو جزء اصلی یعنی SMC برای نوشتن سیاست‌های مورد نیاز و مشاهده هشدارهای تولید شده و ماژول FC برای جمع‌آوری Flowهای شبکه می‌باشد. می‌توانیم برای داشتن شفافیت بیشتر در شبکه از سایر راهکاهای امنیتی در کنار سیسکو Stealthwatch استفاده کنیم.

Threat inteligence license

یکی از مزایایی که مهاجمان نسبت به اهداف خود دارند این است که آنها می‌توانند حملات یکسانی علیه چندین هدف یکسان انجام دهند و در همه این حملات احتمال موفقیت برای آنها وجود دارد. زیرا بسیاری از قربانیان محدود به دیدگاه خود نسبت به تهدیدات هستند. اما فرض کنید اگر ما اطلاعات کاملی در مورد IPها و دامنه‌های مخرب یا گروه‌های جدید بدافزاری مورد استفاده در یک کمپین داشته باشیم و بتوانیم هشدارهای مربوط به این اطلاعات تهدیدات (Threat Inteligence) را ترسیم کنیم، چه کارهایی می‌توانیم انجام دهیم؟ با این کار علاوه براینکه می‌توانیم زمان شناسایی تهدیدات را به شدت کاهش دهیم، می‌توانیم ضریب اطمینان تشخیص را نیز بالا ببریم.

لایسنس Cisco Stealthwatch Threat Intelligence (TI) به مشتریان Stealthwatch اجازه می دهد تا به یک منبع اطلاعاتی شامل اطلاعات تهدیدات جهانی که توسط پلتفرم Cisco TalosTM طراحی شده است، دسترسی پیدا کنند. این ماژول در واقع از طریق نظارت بر اتصالات شبکه داخلی به اینترنت و با استفاده از اطلاعات موجود از هزاران سرور معروف C&C، لیست آدرس‌های IP مخرب و نقاط ورود و خروج به شبکه Tor، یک لایه اضافی امنیتی برای محافظت از دارایی‌های سازمان در برابر بات‌نت‌ها و سایر حملات پیچیده ایجاد می‌کند. این امر منجر به شناسایی دقیق تهدیدات و پاسخ سریع به آنها می‌شود.

سیسکو ISE

سیسکو ISE

در سناریوی مربوط به پیاده‌سازی سیسکو Stealthwatch امکان استفاده از سیسکو ISE در یک راه حل ترکیبی وجود دارد. ISE می‌تواند اطلاعاتی بر مبنای IP در اختیار Stealthwatch قرار دهد. این اطلاعات می‌تواند شامل اطلاعات کاربری ازجمله اطلاعات پروفایل کاربری باشد که از این IP لاگین کرده است. علاوه براین Stealthwath در صورتی که رفتار مشکوکی از یک آدرس IP مشاهده کند می‌تواند با استفاده از اطلاعات کاربری موجود در پروفایل آن و از طریق سرویس pxGrid به ISE دستور دهد که کاربر را قرنطینه کند.

سیسکو Stealthwatch همچنین دارای قابلیت شناسایی تگ‌های SGT اختصاصی از طرف ISE نیز می‌باشد و می‌تواند از آنها برای آنالیز ترافیک شبکه استفاده کند. برای مثال، با ستفاده از این تگ‌ها می‌توانیم سیاستی بنویسیم که اگر آدرس IP از یک تگ SGT خاصی در یک ترافیک استفاده کرد هشداری برای آن ایجاد شود. همچنین می‌توانیم سیاست‌هایی تعرف کنیم که در داخل Flow شبکه به دنبال ترافیکی با تگ خاص SGT بگردد.

Global Threat Analytics

چند سال پیش بود که شرکت سیسکو شرکت AI را خرید. بعد از سال‌ها توسعه آن را با اسم Cisco Cognitive analytics به بازار امنیت معرفی کرد. در حال حاضر می‌توانیم این سرویس اختیاری را در راهکار Stealthwatch خود فعال و استفاده کنیم. سیسکو Stealthwatch با استفاده از این سرویس متادیتای مربوط به Flowهای شبکه را به موتور آنالیز ابری ارسال می‌کند. در ادامه Cognitive analytics اطلاعات ارسالی را با اطلاعات جمع آوری شده از AMP و Threat Grid مقایسه می‌کند. در صورتی که این اطلاعات مربوط به یک تهدید عمومی باشد که در سایر مشتریان هم دیده شده است، برای آن هشداری ایجاد خواهد شد.

Security Packet Analyser

Cisco Security Packet Analyzer ابزار‌هایی در اختیار شما می‌گذارد که کمک می‌کند تا با سرعت بالایی رویدادهای امنیتی و فعالیت مشکوک شبکه را بررسی کنید. این راهکار به صورت ترکیبی با Cisco Stealthwatch و برای سرعت بخشیدن به کار پاسخ به حوادث و فارنزیک شبکه کار میکند.

تهدیدات شبکه و مجرمان سایبری هر روز هوشمندتر می‌شوند. و در حال حاضر سوال این نیست که آیا شبکه شما مورد نفوذ قرار خواهد گرفت یا نه؟ بلکه سوال اصلی زمان حمله و اقدامات لازم در آن زمان می‌باشد. به همین دلیل نیاز به پاسخ سریع به تهدیدات پیشرفته هیچ زمانی مهم‌تر از الان نبوده است.

بسیاری از سازمان‌ها تقریبا سطحی از ابزارهای نظارت امنیتی و پاسخگویی به حوادث را در اختیار دارند. همچنین متخصصان امنیتی می‌توانند از راه‌های مختلفی سرعت پاسخگویی به حوادث را افزایش دهند. یک روش معمول استفاده از راه‌حل‌های ضبط بسته‌های شبکه می‌باشد. این راهکارها می‌توانند همه اطلاعاتی که در شبکه در جریان هستند را جمع آوری و ذخیره کنند.

با این حال، ممکن است سازمانی به دنبال ضبط کامل بسته‌های شبکه بدون نیاز به ذخیره همه بسته‌ها در همه زمان‌ها باشد. یعنی برای بررسی سریعتر حملات فقط به دنبال بسته‌های خاص مربوط به یک رویداد ‌باشد. اینجاست که Packet Analyzer نقش بسیار مهمی را ایفا می‌کند.

ضبط هوشمند بسته‌های شبکه

با استفاده از Packet Analyzer می‌توانید ضبط بسته را در مناطق مشخصی از شبکه که یک حادثه شناسایی شده است، انجام دهید. برخلاف راه حل‌های سنتی، Packet Analyzer به اپراتورها امکان ذخیره و جستجو بسته‌هایی را که باعث ایجاد هشدار در رابط کاربری می‌شوند، را می‌دهد. Packet Analyzer از طریق ادغام با سایر محصولات امنیتی سیسکو از جمله سیسکو Stealthwatch می‌تواند همه بسته‌های خام مورد نیاز شبکه را ذخیره و در اختیار تحلیلگران قرار دهد. و نیازی به غربالگری همه بسته‌های گرفته شده از ترافیک شبکه یا نگهداری آنها برای بررسی‌های بعدی نمی‌باشد. با استفاده از Packet Analyzer می‌توانیم:

  • مشاهده کاملی از محتوای هر ارتباط درون شبکه داشته باشیم.
  • جزئیات دقیقی از آنچه که در یک زمان مشخص در شبکه رخ داده است بدست آوریم.
  • پاسخ سریع به حوادث از طریق تجزیه و تحلیل هدفمند بسته‌های مرتبط با یک هشدار امنیتی یا سایر فعالیت‌های مشکوک داشته باشیم.
  • بررسی وقایع در ترتیب اصلی آنها در یک تحقیق مربوط به حمله انجام دهیم.

نحوه کار Packet Analyzer

Cisco Security Packet Analyzer ابتدا از تجزیه و تحلیل داده‌های جریان مربوط به Stealthwatch برای یافتن نقاط خاص در جریان داده‌ها استفاده می‌کند. سپس برای پیدا کردن مکان بسته‌ها یک پرس‌و‌جوی دقیق ایجاد می‌کند. Packet Analyzer با چهار اینترفیس 1 گیگابیتی یا دو اینترفیس 10 گیگابیتی عملکرد بالایی به صورت Real-time ارائه می‌دهد. این راهکار تمام فریم‌ها از جمله آنهایی که معمولاً توسط کارتهای استاندارد کنار گذاشته می‌شوند را ضبط می‌کند.

Endpoint License

ماژول Cisco AnyConnect Nework Visablity کمک می‌کند تا بتوانیم رفتار کاربران و نقاط پایانی را هم در محیط سازمان و هم در خارج از آن نیز مانیتور نماییم. این ماژول جریان‌های استاندارد از نقاط انتهایی (به عنوان مثال، لپ تاپ و هر دستگاه دیگری) را همراه با Contextهایی مانند کاربر، برنامه کاربردی مورد استفاده، دستگاه، مکان و اطلاعات مقصد را جمع آوری می‌کند. با استفاده از این ماژول مدیران امنیت می‌توانند این داده‌های غنی را جمع‌آوری و تحلیل کنند و با استفاده از اطلاعات بدست آمده از سازمان در برابر تهدیدات احتمالی امنیتی دفاع کنند. همچنین با استفاده از این اطلاعات می‌توانند طیف وسیعی از چالش‌های مربوط به عملکرد شبکه را نیز برطرف نمایند.

از آنجایی که ماژول Network Visibility از فناوری جریان استاندارد استفاده می‌کند. بنابراین تیم امنیتی می‌توانند اطلاعات جمع آوری شده از طریق این ماژول را در راهکار Stealthwatch خود برای تجزیه و تحلیل رفتار نقاط پایانی استفاده کنند. به عنوان مثال، تیم امنیتی می‌تواند با استفاده از این راهکار ترکیبی، کاربری را که خارج از سازمان، مقدار زیادی داده به یک سرویس ذخیره‌سازی خارجی ارسال می‌کند را مشاهده کند. که این موضوع می‌تواند نشان دهنده یک سرقت بالقوه داده باشد. یا وقتی کاربران به برنامه‌های غیرمجاز دسترسی پیدا می‌کنند را شناسایی نماید.

نصب SMC و FC بر روی ESXi

قبل از نصب این دو ماژول بایستی منابع مورد نیاز آن‌ها را مشخص نماییم. برای مشخص کردن حداقل منابع مورد نیاز برای نصب SMC باید تعداد FlowCollectorها و کاربران همزمانی که قرار است به آن متصل شوند را مشخص کنیم.

تعداد Flow Collectorتعداد کاربران همزمانحداقل Memoryحداقل تعداد CPU
1224GB3
3532GB4
51032GB4

در صورت دانلود SMC VE 200 بایستی طبق جدول زیر به آن منابع اختصاص دهیم.

SMC VE 2000OVF یا ISOحداقل RAM مورد نیازسخت افزار
RAM6464GB128
CPU8828

قبل از اختصاص منابع به Flow Collector باید تعداد ماژول‌های استخراج Netflow، تعداد هاست‌هایی که قرار است مانیتور شوند و همچنین تعداد Flow ارسالی را مشخص کنیم.

تعداد Flow بر ثانیهتعداد Netflow Exporterهاتعداد هاست‌هاحداقل RAMحداقل تعداد CPUمدل Flow Collector
تا 4500تا 250تا 12500016GB2FCVE
تا 15000تا 500تا 25000024GB3FCVE
تا 22500تا 1000تا 50000032GB4FCVE
تا 30000تا 1000تا 50000032GB6FCVE
تا 60000تا 150075000064GB82000
تا 120000تا 20001000000128GB124000

اشتراک گذاری:
برچسب ها: سیسکو Stealthwatch

مطالب زیر را حتما مطالعه کنید

معرفی سیسکو Umbrella

مدل جدید ارتباطات-شبکه‌های غیر متمرکز افزایش چشمگیر استفاده از سرویس‌های...
سیسکو ISE

منابع ارائه دهنده اطلاعات هویتی و متنی برای ISE

داشتن آگاهی از هویت یک موجودیت در شبکه به معنی...
AnyConnect nad ISE

نحوه استفاده از سیسکو ISE برای ارزیابی امنیتی ارتباطات VPN سازمان

مقدمه‌ای بر انواع VPN در حال حاضر انواع مختلفی از...
نحوه نصب سیسکو ISE

نحوه نصب سیسکو ISE

سیسکو ISE سیسکو ISE به شما این امکان را می‌دهد...

نحوه پیکربندی و عیب‌یابی NetFlow برای سیسکو Stealthwatch

NetFlow از اطلاعات IP که در یک دستگاه شبکه جریان...
snor3

نحوه نصب Snort3 بر روی Ubuntu20.04

دراین راهنما سعی شده تا نحوه نصب Snort3 به عنوان...

دیدگاهتان را بنویسید لغو پاسخ

درباره ایرانشل

تیم ایرانشل با این هدف تشکیل شده است‌ تا با کمک شما همراهان عزیز بتوانند اقدامات مثبتی در جهت شفاف‌سازی نیازمندی‌های امنیتی، معرفی سرویس‌ها و راهکارهای امنیتی انجام دهد.

اطلاعات تماس
  • تهران - خیابان شریعتی - بالاتر از پل سیدخندان
  • 09125162976
  • [email protected]
کلیه حقوق این وب سایت متعلق به ایرانشل است