SIEM Cisco Stealthwatch
Рис.1 Відмовостійка топологія SIEM Cisco Stealthwatch
Cisco StealthWatch - це засіб що забезпечує аналіз та моніторинг мережевого трафіку в мережі, яке засноване на зборі телеметричних даних з різних пристроїв, до яких входять наступні компоненти: інфраструктурні пристрої, такі як маршрутизатори, комутатори, сервери з віртуальними машинами, Wi-fi точки доступу та особисті ПК користувачів.
В якості основного протоколу збору даних телеметрії в рішенні Cisco StealthWatch є протоколи NetFlow / IPFIX, що дозволяють обійтися без окремої виділеної фізичної мережі для моніторингу, тобто використовуеться наявне мережеве обладнання яке має підтримку вище згаданих протоколів. У випадку якщо в інфраструктурі є пристрої що не підтримують протокол NetFlow, то в Cisco StealthWatch є рішення для реалізації збору мережевих данних за допомогою SPAN трафіку.
Cisco StealthWatch не просто збирає ці дані , в його функції входять наступні взаємодії з мережевим трафіком: дедуплікування, порівняння даних телеметрії з даними інших джерел, дослідження та аналіз вхідних даних в real time режимі і т.д.
Зa допомогою Cisco StealthWatch вся мережа передачі даних трансформується в єдиний сенсор, що виявляє хакерськи атаки, аномальну поведінка, порушення внутрішніх правил інформаційнох безпеки і т.д. Дане рішення виходить за межі корпоративної мережі, дозволяючи навіть моніторити хмарні середовища і мобільних користувачів. Рішення аналізує передачу мережевого трафіку з кожного хоста і користувача в мережі, записує всі його дії в мережі (в тому числі бачить мережевий трафік на рівні сигнатур додатків), відстежує відхилення від «звичайної» поведінки, забезпечує зберігання цих даних, дозволяє робити вибірки з цих даних (включаючи аналіз підозрілої активності, в Cisco StealthWatch створено більше 100 різних алгоритмів виявлення аномальної поведінки в мережі), попереджає адміністраторів про будь-які зміни у функціонуванні. Платформу Cisco StealthWatch можна використовувати в якості інструменту для проведення постійного аудиту активності мережі, а також для розслідування шляхів поширення шкідливого програмного забезпечення і векторів хакерьских атаки (дослідження історії мережевих підключень). У якості модулей для аналітики Cisco StealthWatch використовує глобальну аналітику загроз. Під цим розуміється використання - величезної бази даних сигнатур відомих атак. Також використовуется технологія Cognitive Intelligence. Також в технології лежить в основі рішення ETA - Encrypted Traffic Analytics, яка дозволяє визначити погане чи зашифроване з'єднання без його розшифровки (атака, поганий трафік і C & C підключення).
В даному рішенні архітектура платформи має вигляд зазначений вище(див рис.1). Створена відмовостійка топологія системи Cisco Stealthwatch, реалізована таким чином, щоб забезпечити безперебійний моніторинг та аналіз мережевого потоку даних що циркулює у ІТС ОК, ДМЗ ЦОДу1-2, Ядро ЦОДу 1-2.
Рішення складається з таких компонентів:
1) StealthWatch Management Console
2)Flow Collector
3)Flow Sensor
В данному рішенні в основі роботи Cisco StealthWatch лежить збір SPAN трафіку з мережевих пристроїв, що знаходятся на об’єктах критичної інфраструктури (сенсори), які зеркалюють увесь отриманий трафік, що проходить скрізь них, на об’єкт платформи який називается – Flow Sensor. Flow Sensor забезпечує формування NetFlow-записів для всього трафіку, що приходить до нього з використанням протоколів SPAN, RSPAN. Також FlowSensor необхідний для використання технології ETA (визначення шкідливого ПЗ в зашифрованому трафіку).
Далі Flow Sensor використовуючи зашифрованих підключення передачі даних (DMVPN) відправляє сгенерований NetFlow потік до вказаних Flow Collectors.
Flow Collector -віртуальне сховище який збирає дані NetFlow та проводить аналіз мережевих даних за технологіею Cognitive Intelligence.
Далі усі проаналізовані дані з Flow Collectorу відправляются до консолі управління - StealthWatch Management Console. Консоль управління Stealthwatch забезпечує наступні функції.
● Відстеження діяльності користувачів
● Швидкий аналіз проблем у мережі
● Реляційні карти потоків
● Готові інструментальні панелі (dashboard)
● Регульовані звіти
● Відображення інформації по мережі типу Top-N для додатків, сервісів, портів, протоколів, вузлів, тимчасових вузлів і сеансів.
● Розбивка трафіку на складові
● Готовий користувальницький інтерфейс на базі технології Point-of-View.
● Підтримка многогігабітних мережевих середовищ і великомасштабних мережевих середовищ з многопротокольною
комутацією на основі міток (MPLS)
● Розширена візуалізація потоку
● Комбінований внутрішній і зовнішній моніторинг
● Звітність про оптимізацію WAN
● Візуалізація поширення мережевих хробаків
● Можливість інтеграції з різними рішеннями Cisco та ін.
Для функціонування даної схеми необхідні наступні параметри компонентів:
1)Канал зв’язку між елементами системи телеметрії ІТС ОК, ЦОД2 та ЦОД2 повинен мати швидкість на менше 1гб/с та затримку 10мс
2) Необхідні технічні параметри для елементів системи Cisco Stealthwatch:
2.1 Для StealthWatch Management Console: RAM 64 GB, 8 CPU, 7.2 TB диска
2.2 Для FlowCollector: RAM 64GB, 8 CPU, 2 TB диска (Підтримка <2048 експортерів, <750000 хостів, <60000 fps)
2.3 Для FlowSensor: RAM 8 GB, 4 CPU, 100 GB диска
Дана платформа має можливість для інтеграції з системою Splunk.
Використовуєтся функція надсилання повідомлень у форматі syslog, про виявлені платформою інциденти, за допомогою компоненту StealthWatch Management Console.