StealthWatch na Vida Real
How-to Series Guide
Visão Geral da Solução
Autor:Josinfo
Data: Julho 2020Cisco StealthWatch
Objetivo:
Montar um serie de HowTo com objetivo de facilitar a administração do Cisco StealthWatch e suas principais funcionalidades:
Em resumo o Cisco Stealthwatch aprimora eficientemente a defesa contra ameaças, fornecendo visibilidade detalhada da rede e análises de segurança, fornecendo informações de todos os hosts, gravando todas as conversas, entender o que é normal, alerta sobre mudanças e permite que você responda às ameaças rapidamente.
Descobertas recentes mostram que os malwares deixa rastros reconhecíveis, mesmo no tráfego criptografado e através do Cisco Stealthwatch e seus recursos avançados de análise, você pode entender melhor se o tráfego criptografado na rede é malicioso.
A telemetria de rede aprimorada dos roteadores e switches mais recentes da Cisco é coletada pelo Cisco Stealthwatch Enterprise. Ele usa recurso machine learning em várias camadas modelando os tipos de tráfegos, identificando constantemente quem está na rede e o que está fazendo e pode detectar comportamentos anormais em tempo real para identificar ameaças.
Visão Geral
Cisco Stealthwatch usa recursos de machine learning e modelagem de estatística através de telemetria coletada da rede inteira como Campus Lan, Data Center, Escritórios Remotos e cloud.
Cisco Stealthwatch também possui capacidade de trabalhar em conjunto com o Cisco Identity Services Engine (ISE), qual prover informações de contexto adicionais dos usuários para melhor análise do consumo da rede.
Benefícios do StealthWatch:
- Obter visibilidade para detectar ameaças internas e externas.
- Simplifica a segmentação da rede, monitoramento de desempenho e seu planejamento de capacidade.
- Análises de segurança avançadas e obtenha um contexto aprofundado para detectar uma ampla variedade de comportamentos anômalos que podem significar um ataque.
- Acelerar e melhorar a detecção de ameaças, análise forense e resposta a incidentes em toda a sua rede, incluindo tráfego criptografado.
- Obter maior precisão e visibilidade na detecção de anomalias com correlação de tráfego global e local.
- Permitir investigações forenses mais profundas com históricos de auditoria da atividade da rede.
- O Cisco Stealthwatch é composto pelos seguintes componentes:
- StealthWatch Management Console (SMC)
- Flow Sensor (FS)
- Flow Collector (FC)
- UDP Directory (UDPD)
StealchWatch Management Console (SMC):
Flow Sensor (FS):
O Flow Sensor pode se encontrado em apliance Fisico ou Virtual, é
gerelmente utilizado para criar fluxos no ambiente de rede onde não
possui NETFLOW ativado.
Flow Sensors encaminham analise de performance e inspeção de pacotes.
Todos os fluxos coletados pelos Flow sensor são encaminhados diretamente ao Flow collector.
Flow Collector (FC):
O Flow Collector pode se encontrado em apliance Fisico ou Virtual.
O Flow Collector do StealthWatch envia e analisa dados enviados para o SMC, além de agregar dados de fluxo de várias redes ou componentes, analisando os dados e assim facilitando a recuperação e resolução de problemas e também reportar alarmes caso encontre alguma atividade incomum que ocorreu ou foi detectada.
O Flow Collector do StealthWatch envia e analisa dados enviados para o SMC, além de agregar dados de fluxo de várias redes ou componentes, analisando os dados e assim facilitando a recuperação e resolução de problemas e também reportar alarmes caso encontre alguma atividade incomum que ocorreu ou foi detectada.
UDP Director (UDPD):
O UDP Directory pode ser encontrado em appliance Fisico ou Virtual,
possui capacidade para simplificar o gerenciamento dos fluxos UDP
recebidos via NetFlow, sFlow, Syslog e SNMP, e encaminha em um único
fluxo para o Flow Collector e demais gerencias, além de otimizar o
desempenho da rede e reduzir o congestionamento.
StealthWatch App:
Com uma plataforma centralizada é possivel operar, gerenciar e atualizar todos os dispositivos Stealthwatch em um único local através da SMC.
A cisco criou 3 APP que pode se utilizar para facilitar o gerenciamnto da rede.
- Host classifier
- ETA Cryptographic Audit
- Visibility Assessment
Host Classifier:
Host Classifier é um aplicativo de faz marcações e classificações de forma dinâmica dos "core assets" da rede. É muito útil para configuração inicial e para continua manutenção e classificação dos Hosts e alarmes contextuais.
ETA Cryptographic Audit:
Utilizando a tecnologia Encrypted Traffic Analytics (ETA),ajuda a analisar e auditar o trafego encriptado em conformidade com os paramentros de rede além de também ajudar a transmitir e explicar tendências e mudanças na quantidade e no tipo de criptografia.
Visibility Assessement:
O ultimo Stealthwatch app permite obter informações sobre áreas de sua rede onde existem riscos de segurança, principais medidas de rede, tráfego para países de alto risco. Há muito pouco ajuste ou configuração de host envolvida neste aplicativo. Os usuários do Stealthwatch também podem gerar facilmente um resumo imprimível da rede para os executivos.
Para ver o post original da cisco Clik Aqui
"Para o Alto e Avante"
Josinfo - CCIEPOWER
Regards,
Nenhum comentário:
Postar um comentário