隐形守望简介

Lancope成立于2000年,是网络可见性和安全情报的领先提供商,可保护企业免受当今的主要威胁。 隐形守望系统使用NetFlow,IPFIX和其他类型的网络遥测技术来检测来自各种威胁的广泛攻击,这些威胁包括APT,DDoS,零时差恶意软件和内部威胁。 Lancope刚刚于去年下半年被思科收购,但在此之前,该公司本身与Cisco有着非常密切的关系,并且由于这种关系,它与各种现有的Cisco解决方案集成得很好。在第一篇文章中,我将深入探讨StealthWatch系统的某些组件。

那么StealthWatch会做什么?它为实时威胁检测和法医响应提供了上下文感知的安全性。通过StealthWatch,人们可以将网络转换为虚拟传感器网格,并在整个组织中关联数据集。它提供了广泛的网络可见性和可行的安全智能。  利用StealthWatch收集的上下文信息,它可以了解每个主机,记录每个对话,确定主机的行为基线,存储数月的数据并提醒管理员任何更改。 

当您考虑安全性时,通常有人会想到他们所采用的控件和工具,其中可能包括以下任意组合或全部:

  • 防火墙功能
  • 入侵防御系统 
  • 访问控制列表
  • NAC 
  • 防病毒/防恶意软件
  • 西门子

即使使用了所有这些工具,StealthWatch仍然存在某些无法看到的东西或无法检测到的东西。这是我会考虑的一些问题:

  • 如果有人对同一子网中的主机进行ping扫描,您将如何检测到它?
  • 如果用户开始使用您的网络中的合法流量启动DDoSing,您是否能够快速检测到该流量并对其发出警报? 
  • 如果授权用户从拥有专有信息的服务器上下载数据,并且他们通常一天仅下载10Mbps左右,而一天之内突然下载100Gbps,那么如何通知您该主机的行为超出正常范围? 您目前如何检测或调查数据泄漏?
  • 如果用户将工作笔记本电脑带回家过夜后出现蠕虫,并且该蠕虫开始在整个 网络,如果没有签名,您如何知道哪些主机被感染? 
  • 如果有人从您的网络中窃取专有信息并通过另一个协议(即端口53)将其隧道传输以使其看起来像合法流量,您怎么知道? 
  • 您如何调查环境中的恶意软件威胁?
  • 如果只有用户名,如何调查端点上的网络性能? 
  • 您目前如何检测或调查内部威胁? 

当您想到这样的安全威胁时,您开始发现需要为整个网络提供异常检测,行为分析和基准的工具。那就是StealthWatch进来的地方。 我将StealthWatch看作是一种工具,可以弥合现有的现有安全控制之间的差距,并提供对网络中正在发生的事情的完全可见性。  

这是StealthWatch架构的高级示意图:

隐形守望系统的最低要求是一个StealthWatch管理控制台(SMC)和至少一个FlowCollector,但是还有其他产品可能会有所帮助。我将在这篇博客文章中介绍这些内容:

隐形守望管理控制台(SMC)

SMC使管理员可以通过单个界面查看,理解网络和安全数据并对其采取行动。 当来自多个FC的查询包含相同流时,SMC为流表条目提供跨流收集器的流重复数据删除。此重复数据删除是针对查询的现有流记录的,仅影响该文档中现有流记录的显示。它不会更改这些记录的存储。重复数据删除可确保每个对话仅计数一次。 它可以从FlowCollector,防火墙,Web代理,IDS / 入侵防御系统和NAC系统收集数据。这是StealthWatch系统的控制中心。在物理设备或虚拟设备中均可用。 

它有什么作用?

  • 管理数据
  • 坐标数据
  • 配置数据
  • 整理所有StealthWatch设备的数据
  • 深入了解流记录中的异常行为

它提供以下功能:

  • 用户身份跟踪
  • 设备和虚拟部署选项
  • 根本原因分析和故障排除
  • 关系流图
  • NAT拼接
  • 自定义仪表板
  • 自定义报告
  • 封锁,补救或速率限制
  • 应用程序,服务,端口,协议,主机,对等方和会话的前N个报告
  • 流量构成明细
  • 基于视点技术的可定制用户界面
  • 先进的流程可视化
  • 内部和外部监控
  • 容量规划和历史流量趋势
  • 广域网优化报告
  • DSCP带宽利用率
  • 蠕虫传播可视化
  • 高速网络的内部安全性

 

FlowCollector

FlowCollector收集并分析现有网络基础结构中的数据,以提供环境中发生的一切的完整情况。它可以提供的一些功能包括:

  • 所有IP流量的基准
  • 流量/主机行为中的异常检测
  • 第7层异常检测
  • 设备或虚拟部署选项
  • NAT拼接
  • P2P文件共享检测
  • 主机和服务分析
  • 基于索引的优先技术 
  • 操作系统指纹
  • 支持应用感知流,例如NBAR2
  • 支持自定义应用
  • 最近的界面确定和跟踪
  • 重复数据删除
  • 虚拟环境监控
  • 主机组跟踪和报告
  • 路由器接口跟踪和报告
  • 带宽核算和报告
  • 数据包级性能指标
  • QoS(DSCP)监控
  • 接口利用率告警
  • 未经授权的主机访问检测
  • 未经授权的Web服务器检测
  • 错误配置的防火墙检测
  • 内部和外部联合监控
  • 全流量记录
  • 蠕虫检测
  • 僵尸网络检测
  • DoS / DDoS检测(SYN,ICMP或UDP泛洪)
  • 碎片攻击检测
  • 网络扫描和侦察检测
  • 大文件传输检测
  • 恶意服务器检测
  • 长期流量保持

 

流量传感器(FS)

FlowSensor将补充从具有流量功能的设备本地接收的数据。它监视数据包数据并丰富流数据,其中包括应用程序ID,数据包头,URL数据,网络/服务器响应时间详细信息,并且FlowSensor还可为没有NetFlow功能的设备的网络部分生成流。 

FlowSensor会做什么?

  • 确定应用程序和协议是否属于以下方面:
    • 纯文本
    • 进阶加密
    • 混淆技术
  • 提供包括SRT,RTT,MTTK的应用程序
  • 数据包级指标,例如HTTP / HTTPS标头数据和数据包有效期
  • 能够在未启用Netflow的环境中创建数据

 

UDP导向器

UDP导向器是一种高性能设备,可以从多个位置接收流和日志记录信息,并将其以单个数据流的形式转发到一个或多个目的地。例如,如果要将NetFlow数据发送到LiveAction,StealthWatch,SolarWinds和Prime,则可以在网络上的每个网络设备上创建4个不同的导出器,浪费带宽,也可以将它们全部发送到同一IP地址(UDP Director)并将其复制到多个目标。 

UDP导向器会做什么?

  • 简化网络和安全数据的收集
  • 减少网络上的故障点
  • 为网络上的所有UDP格式(包括Netflow,SNMP,syslog等)提供一个目标
  • 减少网络拥塞以获得最佳网络性能

 

隐形守望 实验室 s情报中心(SLIC)威胁源

这是一项许可功能,可提供来自专家和合作伙伴社区的全球威胁情报,并汇总来自世界各地的新兴威胁信息。它为僵尸网络命令和控制中心以及其他复杂的攻击增加了一层保护。这是一个不断更新的提要。

SLIC威胁源有什么作用?

  • 提供来自第三方专家和合作伙伴社区的全球威胁情报(StealthWatch情报中心)
  • 汇总来自世界各地的新兴威胁信息
  • 为僵尸网络命令控制中心和其他复杂攻击增加了一层保护
  • 提供有关完整安全事件的信息

 

代理观察

代理观察是StealthWatch的许可功能。当您在环境中拥有代理时,所有主机都将从各个IP地址向该代理发送流量,并且该代理将接收该流量并将其使用其IP发送到Internet。 代理观察几乎类似于Proxy的NAT拼接。它使这些对话相关联,以提供代理双方的可见性,并将对话的缺失部分变成完整的记录。 

代理观察有什么作用?

  • 增强网络可见性
  • 对话的其他背景
  • 按照流程到达实际目的地

 

Lancope的另一个优点是,它可以通过pxGrid与ISE很好地集成,这将为StealthWatch系统提供有关该终结点和该终结点上的用户的额外上下文信息,并能够隔离行为异常的该终结点。在以后的文章中,我将演示如何在我的实验室中集成ISE和StealthWatch。在下一篇博客文章中,我将介绍StealthWatch的安装,集成和常见任务。