IV. Queries
2.1.1Sử dụng tab report
2. Các lọai Report
2.1.1Sử dụng tab report
Ở trang Report, sẽ có một list các reports mặc định là 25. Có thể điều chỉnh để xem tất cả các dạng Report bằng cách sử dụng thanh cuộn tại góc trái của trang Report, bằng cách nhấn nút Next, sẽ thấy các dòng Report
Hình: Điều chỉnh Report ở trang CS-MARS Report 2.2.1 Lấy Report theo yêu cầu
Theo các bước trình tự sau:
Bước 1: Chọn dạng report muốn xem
Bước 2: Sủ dụng thanh cuốn ở giữa hoặc cuối trang, chọn 1 trong những
nút sau:
- View HTML - View CSV
Bước 3: Nhấn nút View Report
2.2 Tạo riêng một Reports
CS-MARS cho phép tạo Report bằng các sử dụng công cụ Report Creation . Hầu hết CS-MARS cung cấp cho khách hàng những thông tin nếu họ muốn sử dụng công cụ Query để tạo và lưu Report; tuy nhiên, việc thuận lợi nhất khi làm là xem những kết quả của Report/query trước khi cấu hình Report. Mục đính của mục này là thảo luận phương
pháp sử dụng nút Add trên Tab Reports. Việc lưu Report trên trang Query được xem như giống thanh công cụ Report Creation .
Để tạo được Report, theo những bước sau:
Bước 1: Tại trang Query/Reports, nhấn nút Report. Bước 2: Nhấn nút Add.
Bước 3: Đưa tên và mô tả dạng Report, nhấn Next.
Bước 4: Đưa thời gian sử dụng Report và hoàn thành như hình.
Hình: Tạo Report
Bước 6: Sử dụng công cụ Query nếu muốn nhập nội dung Bước7: Nhấp Submit để lưu lại.
2.3 Cách nhận Report
Khi mà Report được cấu hình và xem trên CS-MARS, có thể xem Report dưới dạng HTML thông qua trình duyệt hoặc có thể chọn xem dạng CSV.
Hình: CS-MARS Report dạng HTML( View Activity: All Top Destinations)
Nếu chọn xem dạng CSV, một màn hình mới sẽ xuất hiện cung cấp một đường dẫn để lưu về trên máy. Sau khi lưu file về trên máy tính có thể mở bằng ứng dụng Microsoft Excel.
VI. NETFLOW1. Khái niệm 1. Khái niệm
Netflow là một công nghệ về mạng lưới giám sát lượng truy cập của Cisco. Dựa trên giao thức UDP, các báo cáo sẽ được tìm thấy trên Router hoặc Switch.. Mỗi luồng (flow) là một gói nhỏ các gói tin chứa đựng các thiết lập, chuyển dữ liệu và thông tin Teardown
Các ứng dụng Netflow cung cấp một cách hiệu quả nhiều dịch vụ cho các ứng dụng IP bao gồm hệ thống mạng lưới kế toán, mạng lưới thanh toán, an ninh, hệ thống, khả năng giám sát và thiết lập tấn công DoS. Netflow cung cấp những thông tin giá trị về mạng lưới người sử dụng, các ứng dụng, lưu lượng người truy cập và các gói tin định tuyến. Netflow được Cisco phát minh và đi đầu trong công nghệ lưu lượng dòng chảy IP Sau khi cấu hình thiết bị IOS hoặc CATOS cho Netflow, các thông tin về dòng chảy và các thông số liên quan sẽ được đóng gói trong một gói UDP và sẽ được gửi tới các điểm thu được xác định. Bởi vì nhiều dòng chảy được đóng gói thành một gói UDP, do đó Netflow trở thành một hệ thống giám sát hiệu quả và tiện ích bởi Syslog và SNMP
2. Netflow trong Csmars
CSMars sử dụng Netflow phiên bản 5 và 7 để xác định mạng lưới sử dụng, phát hiên hành vi người sử dụng, lưu lượng băng thông và các liên quan đến các hành động tấn công, các sự kiện và các báo cáo của thiết bị NIDS và tường lửa. Mặc dù Netflow có vài sự khác biệt thông tin giữa hai phiên bản 5 và 7, nhưng CSMars sử dụng cả hai thông tin trên cả hai phiên bản 5 và 7, vì thế không có sự phân biệt nào trên cả hai phiên bản này
Do sự phát triển cao cùng với cơ sở dữ liệu nhiều nên CSMars không lưu trữ thông tin Netflow trong cơ sở dữ liệu, tuy nhiên chúng ta có thể cấu hình dung lượng nếu cần thiết Sau khi phát hiện hành vi tấn công, Csmars bắt đầu lưu tự động đầy đủ hồ sơ Netflow cho các hoạt động tấn công, quá trình thông minh của hệ thống này sẽ cung cấp tất cả thông tin mà hệ thống phân tích cần
Bởi vì CSMars theo dõi, giám sát, và lưu trữ mạng lưới liên quan đến hoạt động, nó có khả năng báo cáo sai các hành vi hoạt động từ máy chủ. Ví dụ như chúng ta tưởng tượng rằng CSMars biết hầu hết các kết nối đến máy chủ qua các cổng 137, 138,139 nhưng sau đó đột nhiên nhiều máy trạm sẽ làm 25 cổng kết nối khác qua các cổng mặc định, Csmars sẽ kích hoạt cảnh báo sâu mail, cố để thông báo việc thay đổi của các thiết bị,. Ngoài ra, CSMars sử dụng thông tin Netflow để đua ra các cấp độ hoạt động của hệ thống mạng bằng cách đưa ra một đồ thị kết nối theo thời gian.
Hình: Biểu đồ thể hiện các sự kiện và Netflow
Chúng ta có thể thấy qua biểu đồ, CSMars báo cáo sai hoạt động ở cổng 80 và 445, đây là ví dụ về trạng thái hoạt động của cổng. Đây là một khả năng phát hiển ra sâu và virus trên hệ thống mạng. Thông thường các chương trình độc hại thì không có, chưa tên hoặc không có những thông tin gì về chữ ký của tổ chức, bạn chỉ phát hiện và phòng chống bằng cách sử dụng CSMars. Dữ liệu tường lửa và thông tin Netflow sẽ giúp chúng ta làm được
3. Cấu hình Netflow (adsbygoogle = window.adsbygoogle || []).push({});
Xác minh thông báo thực và quét những nơi mang tính nguy hiểm
Tiếp nhận và phiên dịch log dữ liệu khi bạn nhận được hàng ngàn sự kiện trên một giây là một sự chịu đựng khó chống cự. Quá trình lấy các log sự kiện một cách hợp pháp và sự tương quan bằng thủ công giữa chúng có thể được so sánh để tìm kiếm một haystack cho một needle.
CS-Mars giống như một hệ thống. Sự thông minh được xây dựng vào hệ thống một cách hiệu quả làm giảm dữ liệu incident thông qua xây dựng trong các công
cụ xác nhận. Điều này cho phép người phân tích tập trung nỗ lực của họ trên thực tế,những incident chính đáng.
Sự am hiểu về False Positive
Việc giảm thiểu false positives là một chủ đề mà IDS và các nhà sản xuất SIM( security information management) phải nỗ lực liên tục. Hệ thống log của IDS phải được xem xét và phân tích để xác định giá trị của chúng và các giải pháp của SIM để báo cáo dữ liệu event hay incident khi chúng nhận được những dữ liệu báo động, ngay cả khi một tường lửa hoặc ACLs từ chối lưu lượng. Dù bằng cách nào, sự điều chỉnh có thể là một khó khăn, tổn hại, và thường xảy ra quá trình không thực hiện được gì nhiều.
CS-Mars có thể phân loại một false positive thành hai loại:
o Hệ thống xác định
o Không được xác nhận Hệ thống xác định
CS-Mars đã xác định rằng incident là không thành công. Điều này là có thể vì một thiết bị ngăn ngừa incident từ sự kiện hoặc dữ liệu được cung cấp nói với CS-Mars rằng những hệ thống đích không phải là dễ bị nguy hiểm đến các loại hình tấn công. Không được xác nhận
CS-Mars đã xác định rằng incident đã không thành công, nhưng là những dữ liệu thực, tuy nhiên, có một hiểu nhầm về việc đánh giá các dữ liệu mang tính nguy hiểm. Trên trang Summary, điều này sẽ được hiển thị như là "To be confirmed," đó chỉ đơn giản có nghĩa là nhà phân tích có thể xác nhận hoặc từ chối đánh giá của CS-Mars. Trong CS-MARS,việc điều chỉnh một false positive bao gồm việc tạo một drop rule.Drop rule có 2 loại:
o Chặn những sự kiện hoàn tất, xóa bỏ những sự kiện từ cơ sở dữ liệu và ngừng việc log các sự kiện
o Đăng nhập vào cơ sở dữ liệu không chỉ tạo ra incident mà còn lưu giữ những sự kiện vào cơ sở dữ liệu của CSMARS
Có thể tạo một drop rule (hoặc điều chỉnh false positive) dưới Rules > Drop Rules > Add hoặc nhấp vào đường dẫn False Positive ở cột Tune của session bất kỳ. Cả hai phương pháp đều cho kết quả o tab Drop Rule.
Hình: Đường dẫn CS-MARS False Positive
Sự hiểu biết về những phân tích mang tính nguy hiểm
Các thông tin đánh giá mang tính chất nguy hiểm là một bằng chứng quan trọng mà nhà phân tích an ninh sử dụng để xác định xem liệu một cuộc tấn công có thành công hay không. CS-Mars sử dụng những dữ liệu phân tích mang tính nguy hiểm để giúp nó hiểu những rủi ro tồn tại cho các thiết bị trên mạng và để cân nhắc họ chống lại mục tiêu dữ liệu event và session cho các hệ thống cụ thể. Quá trình này cho phép CS-Mars giảm thiểu sự kiện như là một false positive hoặc mở rộng nó như là một incident. Điều quan trọng cần đề cập là những dữ liệu phân tích mang tính nguy hiểm có thể không được xem trong CS-Mars.
CS-MARS có thể thu được thông tin phân tích những tính chất mang tính nguy hiểm từ hai nguồn:
Built-in Nessus utility
Third-party VA tool
Hiểu biết về Access IP, Reporting IP
Khi xác định một thiết bị báo cáo hoặc sự giảm thiểu thiết bị trong giao diện web, Mars cho phép (và đôi khi yêu cầu) bạn để xác định một số địa chỉ IP. Sự hiểu biết mục đích các địa chỉ khác nhau thì rất quan trọng để xác định một cách hiệu quả các thiết bị mà bạn muốn theo dõi và quản lý. Đó cũng là điều quan trọng để hiểu mối quan hệ của chúng với các thiết lập khác mà bạn có thể nhận ra. Nếu một thiết bị có một giao diện duy nhất và một địa chỉ IP liên kết với các giao diện, access và reporting IP có địa chỉ giống nhau được gán cho giao diện. Mars thu thập thông tin này một cách riêng biệt để hỗ trợ cho những thiết bị có nhiều giao diện, nhiều địa chỉ IP liên kết với một giao diện, hoặc cả hai.
o Access IP
Mars sử dụng access IP để vừa kết nối với thiết bị dành cho mạng dựa trên session của quản trị viên vừa kết nối với một máy chủ từ xa mà trên đó một có chứa tập tin lưu giữ các cấu hình của thiết bị này. Những giá trị được xác định bằng cách truy cập các loại mà bạn chọn. Hầu hết các thiết bị cũng yêu cầu bạn phải xác định rõ ràng các địa chỉ IP của máy cho phép quản lý chúng.
o Reporting IP
Reporting IP là địa chỉ IP nguồn của các văn bản sự kiện, log, thông báo, hoặc traps mà bắt nguồn từ thiết bị. Mars sử dụng các địa chỉ này để nhận được các văn bản kết
hợp với đúng thiết bị. Đối với thiết bị dùng ở nhà riêng lẻ, các địa chỉ reporting IP tương tự như access IP;đối với thiết bị dùng ở nhà đôi hoặc nhiều, địa chỉ này phải được liên kết rõ ràng với các syslog, NetFlow, các dịch vụ SNMP đang chạy trên các thiết bị báo cáo. Hầu hết các thiết bị cũng đòi hỏi, cho mỗi loại văn bản, rõ ràng là bạn xác định được địa chỉ IP của máy mà văn bản sẽ được hiển thị. Các máy thường được gọi là mục tiêu đăng nhập vào các máy chủ. Các thiết bị Mars phải được liệt kê trong số các máy như là một phần của các thiết bị đã chuẩn bị.
Vai trò của reporting IP trong MARS khác với accessIP là các reporting IP được xem là những địa chỉ thụ động từ MARS. Mars hiện không yêu cầu tìm kiếm trên thiết bị dùng địa chỉ này. Những hoạt động được thực hiện dùng access IP truy cập và loại access.
Mars chỉ chấp nhận một địa chỉ reporting IP cho mỗi thiết bị. Đối với các thiết bị hỗ trợ hai định dạng văn bản, chẳng hạn như NetFlow và syslog, bạn phải đảm bảo rằng cả hai định dạng văn bản bị buộc vào cùng một địa chỉ IP nguồn (reporting IP). Trong các thiết bị IOS của Cisco, điều phổ biến này không phải là mặc định, do đó bạn phải thay đổi reporting IP syslog hay NetFlow để phù hợp với địa chỉ IP khác. Nếu các loại văn bản không bắt nguồn từ một địa chỉ IP chung, một trong số chúng được xem là bắt nguồn từ một thiêt bị không báo cáo và Mars hiện không phân tích những sự kiện này một cách chính xác.
3.1 Cấu hình Netflow trên CSMars (adsbygoogle = window.adsbygoogle || []).push({});
Việc kích hoạt netflow trên CSmars thực sự đơn giản:
Bước 1: Admin > System Setup > Device Configuration and Discover
Information > NetFlow Config Info
Bước 2: Nhập cổng của Port dữ liệu NetFlow. Mặc định UDP 2055. Bước 3: Tiếp theo là bật lên hoặc tắt chế đọ đó bằng enable/disable Bước 4: Tùy chọn để lưu dữ liệu Netflow.
Bước 5: Lựa chọn để xác định các mạng mà bạn muốn đánh giá. Bước 6: Nhấn Submit.
Hình: Cấu hình Netflow trên Csmars 3.2 Router
3.2.1 Cấu hình SNMP
Khi bạn đã thêm Router vào cơ sở dữ liệu của database, nếu bạn chọn loại SNMP, Csmars sử dụng SNMP cho 4 mục đích:
Đọc cấu hình
Đưa ra được sơ đồ mạng Báo cáo
Báo cáo từ các thiết bị kết nối
Để xác định đầy đủ SNMP, cần cung cấp community dạng rw hoặc ro, kích hoạt các traps, xác định SNMP server, trong trường hợp này là thiết bị Csmars
Ví dụ trong trường hợp này community là marstring và Ip kết nối thiệt bị CSMars là 192.168.0.100
IOS Router (config)# snmp-server community marstring RO <ACL name if required> IOS Router (config)# snmp-server community marstring RW
IOS Router (config)# snmp-server enable traps
Chúng ta có thể giới hạn địa chỉ IP được sử dụng bởi SNMP bằng cách kết hợp tên trong danh sách với lệnh snmp-sever community
3.2.2 Cấu hình Netflow trên Router Cisco
Ví dụ như địa chỉ IP cuả thiết bị CSMars 192.168.0.100 và cổng kết nối giữa router và Csmars là fastethernet0/1, lệnh ip flow-export để chắc chắn rằng địa chỉ IP của source của dữ liệu Netflow giống với reporting IP khi cấu hình trên CSMars
IOS Router (config)# ip flow-export version 5
IOS Router (config)# ip flow-export destination 192.168.0.100 2055 IOS Router (config)# ip flow-export source interface FastEthernet 0/1 IOS Router (config)# interface FastEthernet 0/1
IOS Router (config-int)# ip route-cache flow
CSMars chỉ chấp nhận 1 IP reporting trên 1 thiết bị, điều quan trọng là reporting IP Netflow phải giống reporting IP của file log trên router. Syslog và Netflow sử dụng khác reporting IP trên cùng 1 thiết bị
3.2.3 Cấu hình file Log trên Router Cisco:
IOS Router(config)#logging on
IOS Router(config)#logging source-interface FastEthernet 0/1 IOS Router(config)#logging trap
IOS Router(config)#logging 192.168.0.100
Bước 1: Nhập tên thiết bị.
Bước 2: Nhập địa chỉ IP quản lý, hay gọi là access IP.
Bước 3: Nhập IP thiết bị gởi file log và SNMP hay còn gọi reporting IP Bước 4: Nhấn nút Discover.
Bước 5: Nhấn nút Submit. Bước 6: Nhấn nút Active. (adsbygoogle = window.adsbygoogle || []).push({});
Hình: Cấu hình thiết bị Router
3.3. Switch
Các switch của Cisco báo cáo các sự kiện cho CSMARS bằng cách sử dụng giao thức khác nhau, nhưng chủ yếu syslog hoặc SNMP.
3.3.1. Cấu hình switch để kích hoạt L2 Discovery
Một thiết bị Layer 2 Discovery là một trong những tính năng quan trọng nhất của CSMARS. Tính năng này cho phép CSMARS xác định nguồn và đích đến con đường của việc tấn công một cách chính xác. Tính năng này sẽ trở thành đặc biệt quan trọng khi việc tấn công sử dụng IP giả được đưa ra trong mạng của bạn.
Switch sử dụng sự kết hợp của các bản forwarding tables và ARP để kết nối với source switching port của bên tấn công. CSMARS có thể sử dụng thông tin này, cùng với các thiết bị định tuyến (Router) và các mạng lưới thông tin mô hình được phát hiện từ lớp 3 như: các thiết bị định tuyến và tường lửa, để xác định chính xác mã nguồn hoặc đích của bên tấn công. CSMARS truy xuất switch bằng cách sử dụng SNMP để quét các bảng forwarding và gửi kết quả thông tin lại cho CS-Mars cho việc báo cáo về mô hình. Kết quả của quá trình này là CSMARS có thể xác định nguồn của sự tấn công trong mạng