نحوه نصب سیسکو Stealthwatch در ESXi

سیسکو Stealthwatch

سیسکو Stealthwatch یک کامپوننت بنیادی برای آنالیز رفتاری شبکه می‌باشد که برای دسته بندی رفتارهای نرمال و غیرنرمال استفاده می‌شود. در کنار راهکار سیسکو Stealthwatch می‌توانیم از راهکاهای دیگر امنیتی ازجمله سیسکو ISE، سرویس Cognitive analytics، راهکارهای امن سازی ‌نقاط پایانی (Anyconnect Network Visablity Module یا AMP) و Threat inteligence license به صورت ترکیبی و یکپارچه استفاده کنیم.

ولی اگر بخواهیم stealthwatch را بدون استفاده از راهکارهای بالا در شبکه خود راه‌اندازی کنیم فقط به دو ماژول اصلی آن یعنی Stealthwatch management console و Flow Collector نیاز داریم.

در مورد راهکار سیسکو Stealthwatch در یک جمله می‌توان گفت که این راهکار با استفاده از داده‌های موجود در Netflow دید شفافی از کل شبکه در اختیار ما قرار می‌دهد.

نحوه کار سیسکو Stealthwatch

برای درک بهتر نحوه عملکرد سیسکو Stealthwatch، موضوع تماس‌های تلفنی یک شخص را در نظر بگیرید. معمولا ما نمی‌توانیم از محتوای مکالمات شخص با خبر شویم. ولی اگر دسترسی به فیش هزینه مکالماتش داشته باشیم می‌توانیم متوجه شویم که شخص به طور متوسط چه مدت زمانی مکالمه داشته است. برای مثال اگر شخص به طور متوسط روزانه ۵ تماس تلفنی با متوسط زمان ۳۰ دقیقه برای هر مکالمه داشته باشد. با داشتن این اطلاعات می‌توانیم به او هشدار دهیم که با این مقدار زمان مکالمه ممکن است او در بلند مدت به سرطان مبتلا شود.

شبیه مثال بالا ولی با عمق بیشتر می‌توانیم با استفاده از سیسکو Stealthwatch متا دیتای مربوط به هر ارتباط شبکه‌ای را داشته باشیم. با استفاد از متا دیتا و اطلاعات موجود در Netflow می‌توانیم از فعالیت‌هایی مانند Scan شبکه، آپلود فایل‌هایی با حجم بالا و هزاران فعالیت دیگر آگاه شویم. علاوه بر این Stealthwatch می‌تواند با بررسی عمیق بسته‌ها، حتی بسته‌های رمز شده رفتارهای نرمال و غیرنرمال را شناسایی کند.

به طور کلی می‌توان گفت، Stealthwatch دارای دو جزء اصلی یعنی SMC برای نوشتن سیاست‌های مورد نیاز و مشاهده هشدارهای تولید شده و ماژول FC برای جمع‌آوری Flowهای شبکه می‌باشد. می‌توانیم برای داشتن شفافیت بیشتر در شبکه از سایر راهکاهای امنیتی در کنار سیسکو Stealthwatch استفاده کنیم.

Threat inteligence license

یکی از مزایایی که مهاجمان نسبت به اهداف خود دارند این است که آنها می‌توانند حملات یکسانی علیه چندین هدف یکسان انجام دهند و در همه این حملات احتمال موفقیت برای آنها وجود دارد. زیرا بسیاری از قربانیان محدود به دیدگاه خود نسبت به تهدیدات هستند. اما فرض کنید اگر ما اطلاعات کاملی در مورد IPها و دامنه‌های مخرب یا گروه‌های جدید بدافزاری مورد استفاده در یک کمپین داشته باشیم و بتوانیم هشدارهای مربوط به این اطلاعات تهدیدات (Threat Inteligence) را ترسیم کنیم، چه کارهایی می‌توانیم انجام دهیم؟ با این کار علاوه براینکه می‌توانیم زمان شناسایی تهدیدات را به شدت کاهش دهیم، می‌توانیم ضریب اطمینان تشخیص را نیز بالا ببریم.

لایسنس Cisco Stealthwatch Threat Intelligence (TI) به مشتریان Stealthwatch اجازه می دهد تا به یک منبع اطلاعاتی شامل اطلاعات تهدیدات جهانی که توسط پلتفرم Cisco TalosTM طراحی شده است، دسترسی پیدا کنند. این ماژول در واقع از طریق نظارت بر اتصالات شبکه داخلی به اینترنت و با استفاده از اطلاعات موجود از هزاران سرور معروف C&C، لیست آدرس‌های IP مخرب و نقاط ورود و خروج به شبکه Tor، یک لایه اضافی امنیتی برای محافظت از دارایی‌های سازمان در برابر بات‌نت‌ها و سایر حملات پیچیده ایجاد می‌کند. این امر منجر به شناسایی دقیق تهدیدات و پاسخ سریع به آنها می‌شود.

سیسکو ISE

در سناریوی مربوط به پیاده‌سازی سیسکو Stealthwatch امکان استفاده از سیسکو ISE در یک راه حل ترکیبی وجود دارد. ISE می‌تواند اطلاعاتی بر مبنای IP در اختیار Stealthwatch قرار دهد. این اطلاعات می‌تواند شامل اطلاعات کاربری ازجمله اطلاعات پروفایل کاربری باشد که از این IP لاگین کرده است. علاوه براین Stealthwath در صورتی که رفتار مشکوکی از یک آدرس IP مشاهده کند می‌تواند با استفاده از اطلاعات کاربری موجود در پروفایل آن و از طریق سرویس pxGrid به ISE دستور دهد که کاربر را قرنطینه کند.

سیسکو Stealthwatch همچنین دارای قابلیت شناسایی تگ‌های SGT اختصاصی از طرف ISE نیز می‌باشد و می‌تواند از آنها برای آنالیز ترافیک شبکه استفاده کند. برای مثال، با ستفاده از این تگ‌ها می‌توانیم سیاستی بنویسیم که اگر آدرس IP از یک تگ SGT خاصی در یک ترافیک استفاده کرد هشداری برای آن ایجاد شود. همچنین می‌توانیم سیاست‌هایی تعرف کنیم که در داخل Flow شبکه به دنبال ترافیکی با تگ خاص SGT بگردد.

Global Threat Analytics

چند سال پیش بود که شرکت سیسکو شرکت AI را خرید. بعد از سال‌ها توسعه آن را با اسم Cisco Cognitive analytics به بازار امنیت معرفی کرد. در حال حاضر می‌توانیم این سرویس اختیاری را در راهکار Stealthwatch خود فعال و استفاده کنیم. سیسکو Stealthwatch با استفاده از این سرویس متادیتای مربوط به Flowهای شبکه را به موتور آنالیز ابری ارسال می‌کند. در ادامه Cognitive analytics اطلاعات ارسالی را با اطلاعات جمع آوری شده از AMP و Threat Grid مقایسه می‌کند. در صورتی که این اطلاعات مربوط به یک تهدید عمومی باشد که در سایر مشتریان هم دیده شده است، برای آن هشداری ایجاد خواهد شد.

Security Packet Analyser

Cisco Security Packet Analyzer ابزار‌هایی در اختیار شما می‌گذارد که کمک می‌کند تا با سرعت بالایی رویدادهای امنیتی و فعالیت مشکوک شبکه را بررسی کنید. این راهکار به صورت ترکیبی با Cisco Stealthwatch و برای سرعت بخشیدن به کار پاسخ به حوادث و فارنزیک شبکه کار میکند.

تهدیدات شبکه و مجرمان سایبری هر روز هوشمندتر می‌شوند. و در حال حاضر سوال این نیست که آیا شبکه شما مورد نفوذ قرار خواهد گرفت یا نه؟ بلکه سوال اصلی زمان حمله و اقدامات لازم در آن زمان می‌باشد. به همین دلیل نیاز به پاسخ سریع به تهدیدات پیشرفته هیچ زمانی مهم‌تر از الان نبوده است.

بسیاری از سازمان‌ها تقریبا سطحی از ابزارهای نظارت امنیتی و پاسخگویی به حوادث را در اختیار دارند. همچنین متخصصان امنیتی می‌توانند از راه‌های مختلفی سرعت پاسخگویی به حوادث را افزایش دهند. یک روش معمول استفاده از راه‌حل‌های ضبط بسته‌های شبکه می‌باشد. این راهکارها می‌توانند همه اطلاعاتی که در شبکه در جریان هستند را جمع آوری و ذخیره کنند.

با این حال، ممکن است سازمانی به دنبال ضبط کامل بسته‌های شبکه بدون نیاز به ذخیره همه بسته‌ها در همه زمان‌ها باشد. یعنی برای بررسی سریعتر حملات فقط به دنبال بسته‌های خاص مربوط به یک رویداد ‌باشد. اینجاست که Packet Analyzer نقش بسیار مهمی را ایفا می‌کند.

ضبط هوشمند بسته‌های شبکه

با استفاده از Packet Analyzer می‌توانید ضبط بسته را در مناطق مشخصی از شبکه که یک حادثه شناسایی شده است، انجام دهید. برخلاف راه حل‌های سنتی، Packet Analyzer به اپراتورها امکان ذخیره و جستجو بسته‌هایی را که باعث ایجاد هشدار در رابط کاربری می‌شوند، را می‌دهد. Packet Analyzer از طریق ادغام با سایر محصولات امنیتی سیسکو از جمله سیسکو Stealthwatch می‌تواند همه بسته‌های خام مورد نیاز شبکه را ذخیره و در اختیار تحلیلگران قرار دهد. و نیازی به غربالگری همه بسته‌های گرفته شده از ترافیک شبکه یا نگهداری آنها برای بررسی‌های بعدی نمی‌باشد. با استفاده از Packet Analyzer می‌توانیم:

• مشاهده کاملی از محتوای هر ارتباط درون شبکه داشته باشیم.
• جزئیات دقیقی از آنچه که در یک زمان مشخص در شبکه رخ داده است بدست آوریم.
• پاسخ سریع به حوادث از طریق تجزیه و تحلیل هدفمند بسته‌های مرتبط با یک هشدار امنیتی یا سایر فعالیت‌های مشکوک داشته باشیم.
• بررسی وقایع در ترتیب اصلی آنها در یک تحقیق مربوط به حمله انجام دهیم.

نحوه کار Packet Analyzer

Cisco Security Packet Analyzer ابتدا از تجزیه و تحلیل داده‌های جریان مربوط به Stealthwatch برای یافتن نقاط خاص در جریان داده‌ها استفاده می‌کند. سپس برای پیدا کردن مکان بسته‌ها یک پرس‌و‌جوی دقیق ایجاد می‌کند. Packet Analyzer با چهار اینترفیس 1 گیگابیتی یا دو اینترفیس 10 گیگابیتی عملکرد بالایی به صورت Real-time ارائه می‌دهد. این راهکار تمام فریم‌ها از جمله آنهایی که معمولاً توسط کارتهای استاندارد کنار گذاشته می‌شوند را ضبط می‌کند.

Endpoint License

ماژول Cisco AnyConnect Nework Visablity کمک می‌کند تا بتوانیم رفتار کاربران و نقاط پایانی را هم در محیط سازمان و هم در خارج از آن نیز مانیتور نماییم. این ماژول جریان‌های استاندارد از نقاط انتهایی (به عنوان مثال، لپ تاپ و هر دستگاه دیگری) را همراه با Contextهایی مانند کاربر، برنامه کاربردی مورد استفاده، دستگاه، مکان و اطلاعات مقصد را جمع آوری می‌کند. با استفاده از این ماژول مدیران امنیت می‌توانند این داده‌های غنی را جمع‌آوری و تحلیل کنند و با استفاده از اطلاعات بدست آمده از سازمان در برابر تهدیدات احتمالی امنیتی دفاع کنند. همچنین با استفاده از این اطلاعات می‌توانند طیف وسیعی از چالش‌های مربوط به عملکرد شبکه را نیز برطرف نمایند.

از آنجایی که ماژول Network Visibility از فناوری جریان استاندارد استفاده می‌کند. بنابراین تیم امنیتی می‌توانند اطلاعات جمع آوری شده از طریق این ماژول را در راهکار Stealthwatch خود برای تجزیه و تحلیل رفتار نقاط پایانی استفاده کنند. به عنوان مثال، تیم امنیتی می‌تواند با استفاده از این راهکار ترکیبی، کاربری را که خارج از سازمان، مقدار زیادی داده به یک سرویس ذخیره‌سازی خارجی ارسال می‌کند را مشاهده کند. که این موضوع می‌تواند نشان دهنده یک سرقت بالقوه داده باشد. یا وقتی کاربران به برنامه‌های غیرمجاز دسترسی پیدا می‌کنند را شناسایی نماید.

نصب SMC و FC بر روی ESXi

قبل از نصب این دو ماژول بایستی منابع مورد نیاز آن‌ها را مشخص نماییم. برای مشخص کردن حداقل منابع مورد نیاز برای نصب SMC باید تعداد FlowCollectorها و کاربران همزمانی که قرار است به آن متصل شوند را مشخص کنیم.

در صورت دانلود SMC VE 200 بایستی طبق جدول زیر به آن منابع اختصاص دهیم.

قبل از اختصاص منابع به Flow Collector باید تعداد ماژول‌های استخراج Netflow، تعداد هاست‌هایی که قرار است مانیتور شوند و همچنین تعداد Flow ارسالی را مشخص کنیم.