2021-07-15 11:48 PM
Stealthwatch 7.3.2 を使用しています。
先日、Flowデータを送信するCatalyst 9Kのflow recordの設定を従来のレガシーなものから有線 AVC(match application nameがあるもの)に変更しました。
その後、Stealthwatchのダッシュボード画面で「コマンドアンドコントロール:C&C」が検出されるようになりました。
しかし、その詳細をよく見てみると、全て「Fake Application Detected 」なるものでした。各行の詳細は下記のように表示されています。
・1 台のホストが123/UDP(ntp)でDNSを使用しています.
・1 台のホストが138/UDP(netbios-dg)でDNSを使用しています.
・1 台のホストが139/TCP(netbios-ss)でDNSを使用しています.
・1 台のホストが53/UDP(dns)でWebを使用しています.
これは本当にコマンドアンドコントロール:C&Cに該当すると思われますでしょうか。
また、仮に誤検知であるならば、これをパラメータチューニングなどの設定で回避出来るものでしょうか。
Stealthwatchの経験者あるいは詳しい方からのご回答をお待ちしております。
解決済! 解決策の投稿を見る。
2022-04-14 05:36 PM
こんにちは。こちらも目に留まったので回答いたします。
本当にC&Cサーバとの通信がされているかは、フロー検索をしないと何とも言えないです。もしこの通信がLANの外のホストと通信していて、相手のIPアドレスのレピュテーションが悪ければ要注意と思います。
こちらもチューニングについては、このドキュメントを見ながら試す形…なのだと思います。
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/stealthwatch-usecase-stealthwatch-%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3...
あるいは例に挙げられた四パターンの通信が、業務アプリなどと安全な通信と明らかにわかっていれば、チューニングでアラートをオフにしてもいいかもしれません。
考え方は…
1-四種の通信を発生させているホストを、一つのホストグループへ所属させる
2-ホストグループへロールポリシーを設定する
3-ロールポリシーで[Fake Application Detected]のアラートを無効化(Off)にする
となるようです、Stealthwatchの動きからすると。
1と2を実施せずに、Inside Hostsそのものに対して3の設定を実行することもできるのですが、これだとLAN内のFake Application Detectedが全て見えなくなりそうなので、少しリスクがありますね。
2022-04-14 05:36 PM
こんにちは。こちらも目に留まったので回答いたします。
本当にC&Cサーバとの通信がされているかは、フロー検索をしないと何とも言えないです。もしこの通信がLANの外のホストと通信していて、相手のIPアドレスのレピュテーションが悪ければ要注意と思います。
こちらもチューニングについては、このドキュメントを見ながら試す形…なのだと思います。
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/stealthwatch-usecase-stealthwatch-%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3...
あるいは例に挙げられた四パターンの通信が、業務アプリなどと安全な通信と明らかにわかっていれば、チューニングでアラートをオフにしてもいいかもしれません。
考え方は…
1-四種の通信を発生させているホストを、一つのホストグループへ所属させる
2-ホストグループへロールポリシーを設定する
3-ロールポリシーで[Fake Application Detected]のアラートを無効化(Off)にする
となるようです、Stealthwatchの動きからすると。
1と2を実施せずに、Inside Hostsそのものに対して3の設定を実行することもできるのですが、これだとLAN内のFake Application Detectedが全て見えなくなりそうなので、少しリスクがありますね。
2022-04-14 11:00 PM
こんばんは。
こちらも古い投稿に対し、コメントいただきまして誠にありがとうございます。
NetFlowの設定をあれこれとチューニングしているうちにC&Cは検出されなくなったので、様子見扱いで放置してしまっていました。
調査・チューニングの考え方と方法についてご教授いただき、大変参考になりましたので、ベストソリューションにさせていただきました。ありがとうございました。
2022-04-15 09:37 AM
すでにチューニングで解決されているのですね。よかったです。
こちらもベストソリューション頂いて、ありがとうございます。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます