隐形守望 SMC客户端第1部分-概述

在本文中,我们将深入探讨SMC客户端,并更好地学习其结构。这将帮助我们在StealthWatch系统周围导航并找到有价值的信息。 

您可以通过转到SMC URL并登录来访问StealthWatch SMC客户端。登录后,单击浏览器顶部的蓝色按钮,显示 启动SMC。这将打开以下客户端:

SMC客户端具有界面的三个主要部分:

  • 主菜单是顶部栏。这使您可以在SMC中执行各种活动并配置不同的选项。您可能会或可能不会看到全部内容,具体取决于您的登录权限,在企业树中选择的内容以及在特定SMC仪表板中单击的内容
  • 左侧的企业树,是受监视网络的直观表示。您在该树中选择的内容会影响您在主菜单和其他SMC仪表板中看到的内容。
  • “仪表板/文档”区域是中间的工作窗格,您可以在其中查看有关所监视网络的详细上下文数据。该区域使您可以过滤信息并钻取特定数据。

主菜单

  • 文件 -用于保存,打印,共享和安排文档
  • 编辑 -用于更改日期在SMC客户端中的显示方式,定义用于查看SMC文档以进行打印的首选PDF阅读器,启用/禁用“每日提示”功能以及定义用于查看“设备管理”用户界面的首选Web浏览器
  • 视图 -用于打开SMC客户端界面的新实例,创建自定义SMC仪表板,在打开的SMC仪表板中过滤数据以及刷新企业树
  • 最佳 -用于查看临时仪表板,该仪表板显示与选项名称中注明的特征特别相关的数据
  • 状态 -用于查看临时仪表板,该仪表板显示与选项名称中的特性注释特别相关的数据
  • 安全 -用于查看与可疑行为有关的数据,例如威胁的来源或受害者,未经授权的文件共享活动和蠕虫的主机
  • 主持人 - 用于查看有关主机的数据,包括单个主机活动,主机行为趋势,活动和非活动主机以及单个用户活动
  • 交通 - 用于根据特定标准(包括域,接口和主机组)查看流量趋势和统计信息
  • 报告书 - 用于运行常见查询
  • 流s - 用于以各种方式分析实时和历史流数据,包括跨域,主机组,FlowCollector等的流, 网络和服务器性能, Flow 交通, 对等与对等或端口报告, 时间与对等或端口报告等
  • 组态 - 用于执行管理任务,例如: 向受监视的网络添加元素,例如域,主机组和FlowCollector,修改系统设置,配置服务和应用程序以及管理用户
  • 救命 - 用于查找有关SMC客户端的任何功能或特性的答案,并管理StealthWatch功能的许可证

企业树

企业树向您显示了受监视网络的结构。您在工作窗格和主菜单中看到的内容取决于您在企业树中选择的内容。企业树中的企业分支代表所有SMC管理选项的顶部收集点。

  • 前两个级别是 SMCSLIC 饲料。 SLIC威胁源是Lancope的在线情报服务,它通过安全通道向StealthWatch定期发送威胁源。该服务提供有关特定命令和控制服务器的动态信息,这些命令和控制服务器被怀疑与机器人活动有关。 
  • 渠道 上面的屏幕快照中的代表一个域。域是SMC监视的网络的不同区域,它具有自己的报告结构,可将数据和策略与其他域分开。该域将是主机组,网络设备和实体的顶级报告。
  • 主机组 是具有类似属性(例如位置,功能,拓扑等)的多个主机IP地址的虚拟容器。SMC中包含一些默认主机组:
    • 内部主机- 包含已专门定义为网络一部分的所有主机
    • 外部主机 -包含未明确定义为网络一部分的所有主机。默认情况下,外部主机包含“国家/地区”主机组,其中外部主机根据每个主机所在的国家/地区进行分类
    • 命令& Control 服务器s -包含被SLIC识别为已知恶意活动源的恶意主机,并且此列表会动态更新。 
  • VM服务器- 表示网络上受StealthWatch 流Sensor VE监视的VM。
  • 流Collectors -将允许您查看将信息发送到域中SMC的FlowCollector列表。如果展开FlowCollector,则可以看到任何关联的FlowSensor设备,导出器和防火墙。 
  • 身份服务 -代表身份来源,例如思科ISE,ASA,Palo Alto等

 

警报器

从企业树的分支中,您可以根据颜色查看网络中某处是否存在警报情况:

要查看任何给定对象的警报,请右键单击该对象并导航至 状态>Alarm Summary

 

这将打开“警报摘要”仪表板:

 

主机组仪表板

主机组仪表板提供有关高关注度主机和高目标主机的信息,以及影响所选主机组的警报趋势信息。要导航到主机组仪表板,请右键单击主机组,然后选择 主机组仪表板:

 

主机组仪表板应显示:

点击 警报摘要 选项卡以图形格式查看此主机组的警报:

通过右键单击IP地址并选择 主机快照,表格视图将弹出一个主机快照,其中包含仪表板显示的信息:

 

这应该显示主机快照:

此页面上还有其他一些详细信息:

  • 过滤 按钮-提供使用此过滤器缩小看到的信息的功能
  • -这是主机所在的域
  • 主办 -被观察主机的IP地址
  • 时间 - 观察数据的时间范围
  • << >> -在仪表板上的数据中前后移动
  • <Refresh-Button> -任何时候您想要手动刷新仪表盘中的数据

默认情况下,顶部流显示所选主机的活动流。单击顶部的向下箭头时,可以打开或关闭“自动刷新”。如果看到复选标记,数据将每隔几分钟自动刷新。 

“主机快照”选项卡上的一些不同选项卡包括以下内容:

身份证明 标签-标识主机,列出警报的状态和信息, 观察到此客户端,客户端服务,域,操作系统,服务器应用程序和服务器服务的FlowCollector。

警报器 选项卡将列出有关与主机关联的警报的摘要和详细信息

安全 标签-显示有关安全性索引,联系信息和流量摘要的信息。 

安全事件 选项卡-提供有关此主机报告的安全事件的信息。

活跃流量最高 选项卡-列出有关主机的最新流量和高流量的信息

身份,DHCP& 主办 Notes 选项卡-在我正在使用的实验中,它只是重放PCAP数据,因此这里没有任何显示,但是在生产环境中,它将显示有关IDentity或Cisco 伊势提供的主机的信息。 

出口商接口 选项卡-这是查看最近的接口,这些接口可以看到活动流中的源和目标:

在当前利用率栏上要深入探讨的一件事:

上方栏中显示的第一条小线是 显示此时间段的最大利用率。第二条较长的线是阈值,将触发利用率高的警报。  

接口摘要仪表板和接口流量仪表板

如果您想进一步研究上述接口的流量,请右键单击该接口的当前利用率,然后选择 界面摘要仪表板。

这将打开“界面摘要”控制面板,您可以在其中快速查看该特定界面的入站/出站最活跃对话,以及所看到的利用率和流量。这将在此窗口中显示最近6个小时,但您可以根据需要过滤任意时间:

您可以在此页面上执行的另一项有用的操作是,点击绿色箭头表示的转到按钮,以深入研究任何这些图形:

按下“利用率入站”图的“转到”按钮,将转到仪表板,在其中可以钻取有关流量,数据包,利用率和表格视图的不同图:

 

回到当前使用率,我们还可以导航到接口流量仪表板:

该页面为您提供界面服务流量,一段时间内的利用率,应用程序流量和DSCP流量的漂亮图形格式。您可以将光标移到这些图形上,并查看每种颜色变化的流量类型:

 

流 表

在主机组仪表板中,您可以突出显示任何行,右键单击并选择 流>Flow 表 深入了解该流程:

将为您正在查看的主机打开“流表”。流程图包含已转换IP地址的主机的数据。  You can click the 过滤 如果需要,可以点击顶部的按钮来关注更大或更小的时间范围。 

颜色方案要注意的一件事: 
-蓝色的表格表示正在显示的客户端数据
-黄色表表示该表中正在显示服务器端数据

您可以通过右键单击列的顶部字段来显示和隐藏数据。

 

快速浏览

查看更多信息的另一种方法是通过快速查看表。要显示流的快速视图,请选择一个表并按空格键:

从这里,您可以看到从客户端到服务器再到服务器的选定流的图形视图,以及有关接口的详细信息:

这里的一些主要亮点:

  • 有效持续时间 -这显示了客户端和服务器之间对话的活动持续时间
  • 服务摘要和应用 -在哪些端口上使用了哪些服务/应用程序的信息
  • 字节和数据包信息 -显示传输了多少数据 
  • 客户 -显示哪些主机充当了客户端还是服务器
  • 服务器 -显示网络上的哪个服务器正在与客户端通信

 

点击 介面 “快速查看”的“标签”以显示有关特定流的接口的信息:

点击 “快速查看”的“标签”以显示快速简单的数据视图:

在某些情况下,它提供了一种快速的方法来查看其他仪表板中的过滤数据。 

 

帮助和其他导航帮助

要注意的一件事是,如果您需要任何帮助或更多信息在SMC客户端的任何仪表板上,请单击 F1 并显示有关您所使用的特定仪表板的信息的帮助。联机帮助将加载到网页中,并且将与您所在的活动仪表板相关地打开。

您可以通过右键单击顶部并选择来关闭所有打开的选项卡 关闭所有

在SMC客户端的右上角,您可以在所有文档中搜索任何特定的用户名或IP地址:

搜索IP地址后,如果双击搜索结果中的IP,则将启动“主机快照”仪表板: