SIEM Cisco Stealthwatch

SIEM Cisco Stealthwatch

[pic 1]

Рис.1 Відмовостійка топологія SIEM Cisco Stealthwatch

Cisco StealthWatch - це засіб що забезпечує аналіз та моніторинг мережевого трафіку в мережі, яке засноване на зборі телеметричних даних з різних пристроїв, до яких входять наступні компоненти: інфраструктурні пристрої, такі як маршрутизатори, комутатори, сервери з віртуальними машинами, Wi-fi точки доступу та особисті ПК користувачів.

В якості основного протоколу збору даних телеметрії в рішенні Cisco StealthWatch є протоколи NetFlow / IPFIX, що дозволяють обійтися без окремої виділеної фізичної мережі для моніторингу, тобто використовуеться наявне мережеве обладнання яке має підтримку вище згаданих протоколів. У випадку якщо в інфраструктурі є пристрої що не підтримують протокол NetFlow, то в Cisco StealthWatch є рішення для реалізації збору мережевих данних за допомогою SPAN трафіку.

Cisco StealthWatch не просто збирає ці дані , в його функції входять наступні взаємодії з мережевим трафіком: дедуплікування, порівняння даних телеметрії з даними інших джерел, дослідження та аналіз вхідних даних в real time режимі і т.д.

Зa допомогою Cisco StealthWatch вся мережа передачі даних трансформується в єдиний сенсор, що виявляє хакерськи атаки, аномальну поведінка, порушення внутрішніх правил інформаційнох безпеки і т.д. Дане рішення виходить за межі корпоративної мережі, дозволяючи навіть моніторити хмарні середовища і мобільних користувачів. Рішення аналізує передачу мережевого трафіку з кожного хоста і користувача в мережі, записує всі його дії в мережі (в тому числі бачить мережевий трафік на рівні сигнатур додатків), відстежує відхилення від «звичайної» поведінки, забезпечує зберігання цих даних, дозволяє робити вибірки з цих даних (включаючи аналіз підозрілої активності, в Cisco StealthWatch створено більше 100 різних алгоритмів виявлення аномальної поведінки в мережі), попереджає адміністраторів про будь-які зміни у функціонуванні. Платформу  Cisco StealthWatch можна використовувати в якості інструменту для проведення постійного аудиту активності мережі, а також для розслідування шляхів поширення шкідливого програмного забезпечення і векторів хакерьских атаки (дослідження історії мережевих підключень). У якості модулей для аналітики Cisco StealthWatch використовує глобальну аналітику загроз. Під цим розуміється використання - величезної бази даних сигнатур відомих атак. Також використовуется технологія Cognitive Intelligence. Також в технології лежить в основі рішення ETA - Encrypted Traffic Analytics, яка дозволяє визначити погане чи зашифроване з'єднання без його розшифровки (атака, поганий трафік і C & C підключення).

В даному рішенні архітектура платформи має вигляд зазначений вище(див рис.1). Створена відмовостійка топологія системи Cisco Stealthwatch, реалізована таким чином, щоб забезпечити безперебійний моніторинг та аналіз мережевого потоку даних що циркулює у ІТС ОК, ДМЗ ЦОДу1-2, Ядро ЦОДу 1-2.

Рішення складається з таких компонентів:
1) StealthWatch Management Console

2)Flow Collector

3)Flow Sensor

В данному рішенні в основі роботи Cisco StealthWatch лежить збір SPAN трафіку з мережевих пристроїв, що знаходятся на об’єктах критичної інфраструктури (сенсори), які зеркалюють увесь отриманий трафік, що проходить скрізь них, на об’єкт платформи який називается – Flow Sensor. Flow Sensor забезпечує формування NetFlow-записів для всього трафіку, що приходить до нього з використанням протоколів SPAN, RSPAN. Також FlowSensor необхідний для використання технології ETA (визначення шкідливого ПЗ в зашифрованому трафіку).