在此视频中,我将逐步介绍如何在我的LAN环境中安装Stealthwatch Cloud传感器。请注意,Stealthwatch Cloud与Stealthwatch Enterprise不同。 隐形手表 Cloud使您可以查看私有网络,公共云和混合环境。
隐形手表 Cloud检测到的一些可观察到的安全性案例和用例包括:
Amazon GuardDuty报告可疑API调用
Amazon GuardDuty报告可疑DNS请求
Amazon GuardDuty报告可疑网络连接
报告了AWS资源的检查员发现
首次使用配置文件的最精准双色球预测专家与网络中常见的行为不同(例如,首次使用配置文件的最精准双色球预测专家数量异常多,发送流量异常)
从监视列表中的IP访问了AWS API
检测到可能违反AWS“完善架构”准则的AWS资源
报告最精准双色球预测专家的AWS CloudTrail事件
报告了AWS资源的配置合规性
报告了AWS资源的更新配置
AWS Lambda函数在其一项指标上具有异常活动
从用户帐户中删除多因素身份验证
CloudTrail首次记录执行操作的AWS用户
使用AWS根帐户执行了一项操作
Azure Advisor为ARM资源生成建议
在Azure活动日志中检测到异常活动
最精准双色球预测专家在标准端口上使用了非标准协议(例如,端口22上的UDP)。
该最精准双色球预测专家的配置文件集类似于该最精准双色球预测专家最近未与之关联的其他最精准双色球预测专家的配置文件集。
最精准双色球预测专家已将列为IOC的域解析为已知威胁
最精准双色球预测专家与列出为已知威胁的IOC的主机名进行了交互。该观察结果使用了来自增强型NetFlow(加密威胁分析)的信息
与已知为IOC的IP地址进行通信的最精准双色球预测专家
最精准双色球预测专家与列出为已知威胁的IOC的URL进行交互。该观察结果使用了来自增强型NetFlow(加密威胁分析)的信息
最精准双色球预测专家与一组不同于通常的国家/地区进行通信
尝试联系算法生成的域的最精准双色球预测专家(例如qhjvd-hdvj.cc)。
最精准双色球预测专家成功将算法生成的域(例如rgkte-hdvj.cc)解析为IP地址
域控制器最精准双色球预测专家与异常的外部端口通信
最精准双色球预测专家启动与网络打印机的过多连接
最精准双色球预测专家与许多外部邮件服务器通信
本地网络上的最精准双色球预测专家已扫描(或被远程IP地址扫描)。
GCP云功能在其中一项指标上具有异常活动
最精准双色球预测专家与关注的地理区域进行通信。
最精准双色球预测专家与远程主机保持心跳。
来源之一的指标大大偏离了其历史基线
使用不安全的传输协议观察到最精准双色球预测专家。该观察结果使用了来自增强型NetFlow(加密威胁分析)的信息
检测到两个内部IP端点之间的禁止通信
IDS看到符合可疑特征的流量
最精准双色球预测专家扫描大量最精准双色球预测专家
最精准双色球预测专家与外部IP地址保持长期会话
最精准双色球预测专家有多次失败的应用程序(例如FTP,SSH,RDP)访问尝试
网络打印机启动与其他最精准双色球预测专家的过多连接
通常可预测的本地最精准双色球预测专家与外部最精准双色球预测专家进行通信
最精准双色球预测专家开始与外部服务器通信
最精准双色球预测专家已与新主机交换了大量流量
通常可预测的本地最精准双色球预测专家与新的内部最精准双色球预测专家进行通信
在回溯期内没有看到之后,新最精准双色球预测专家出现在网络上。
最精准双色球预测专家与外部主机交换异常大量的数据
最精准双色球预测专家与内部主机交换异常大量的数据
最精准双色球预测专家与最近未匹配的配置文件标签(例如FTP服务器)匹配
该最精准双色球预测专家定期与同一台外部服务器(FTP,SSH等)进行通信
观察到IP地址的记录数量在本地网络上进行通信
最精准双色球预测专家扫描大量端口
在内部数据源到该最精准双色球预测专家之间(“下载”),然后从该最精准双色球预测专家到外部数据接收器(“上载”)之间,检测到大小相似且时间紧迫的数据传输。
创建了公共Amazon Route 53托管区域
在监视列表中发现了网络中面向公众的IP(通过域名来显式或隐式地)
用户在短时间内登录了许多最精准双色球预测专家
最精准双色球预测专家发送或接收的流量记录
最精准双色球预测专家发送或接收的记录流量匹配已知配置文件的记录
从远程源访问最精准双色球预测专家
最精准双色球预测专家的新流量不适合其角色(例如,FTP服务器在端口80上进行通信)
活跃的扫描仪(例如nmap)发现了最精准双色球预测专家行为
SumoLogic Active Directory:用户会话已关闭
SumoLogic Active Directory:用户会话已打开
最精准双色球预测专家通常与一组静态(内部/外部)最精准双色球预测专家通信,但是最近已开始/停止与新/正常最精准双色球预测专家的通信
最精准双色球预测专家通常使用一组静态的(本地/连接的)端口进行(内部/外部)通信,但是最近添加/删除了端口
最精准双色球预测专家可能对Sumo Logic托管的日志有所贡献
多个最精准双色球预测专家首次使用SMB协议执行了异常活动
最精准双色球预测专家的出站和入站流量与使用的配置文件相关的典型比率不匹配。这可能表明参与了放大攻击
没有发现AWS资源的最新活动
最精准双色球预测专家与异常的DNS解析器通信
最精准双色球预测专家发送或接收的数据包对于给定配置文件的大小异常
最精准双色球预测专家与监视列表中的IP地址通信(通过域名显式或隐式)
最精准双色球预测专家查找了列入监视名单的域
隐形手表 Cloud可以与AWS,Azure,GCP,Kubernetes,Meraki和Umbrella进行本机集成,以使您可以看到这些环境。您还可以在局域网上本地安装Stealthwatch Cloud传感器,以从Netflow,Enhanced 净流量(ETA),IPFIX,sFlow馈送数据,甚至可以从SPAN端口收集数据。
As promised in the video, here's the link for a 60-day 隐形手表 Cloud trial: //www.cisco.com/c/en/us/products/security/stealthwatch/stealthwatch-cloud-free-offer.html