購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
1178
閲覧回数
5
いいね!
3
返信

StealthwatchのFake Application Detectedについて

解決策を見る
cja56910tf
VIP
VIP

‎2021-07-15 11:48 PM

Stealthwatch 7.3.2 を使用しています。

先日、Flowデータを送信するCatalyst 9Kのflow recordの設定を従来のレガシーなものから有線 AVC(match application nameがあるもの)に変更しました。

 

その後、Stealthwatchのダッシュボード画面で「コマンドアンドコントロール:C&C」が検出されるようになりました。

しかし、その詳細をよく見てみると、全て「Fake Application Detected 」なるものでした。各行の詳細は下記のように表示されています。

・1 台のホストが123/UDP(ntp)でDNSを使用しています.

・1 台のホストが138/UDP(netbios-dg)でDNSを使用しています.

・1 台のホストが139/TCP(netbios-ss)でDNSを使用しています.

・1 台のホストが53/UDP(dns)でWebを使用しています.

 

これは本当にコマンドアンドコントロール:C&Cに該当すると思われますでしょうか。

また、仮に誤検知であるならば、これをパラメータチューニングなどの設定で回避出来るものでしょうか。

 

Stealthwatchの経験者あるいは詳しい方からのご回答をお待ちしております。

ラベル:
0 いいね!
1 件の受理された解決策

受理された解決策

解決策を見る
TUN88
Level 1
Level 1

‎2022-04-14 05:36 PM

こんにちは。こちらも目に留まったので回答いたします。
本当にC&Cサーバとの通信がされているかは、フロー検索をしないと何とも言えないです。もしこの通信がLANの外のホストと通信していて、相手のIPアドレスのレピュテーションが悪ければ要注意と思います。

こちらもチューニングについては、このドキュメントを見ながら試す形…なのだと思います。
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/stealthwatch-usecase-stealthwatch-%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3...

 

あるいは例に挙げられた四パターンの通信が、業務アプリなどと安全な通信と明らかにわかっていれば、チューニングでアラートをオフにしてもいいかもしれません。
考え方は…
1-四種の通信を発生させているホストを、一つのホストグループへ所属させる
2-ホストグループへロールポリシーを設定する
3-ロールポリシーで[Fake Application Detected]のアラートを無効化(Off)にする

 

となるようです、Stealthwatchの動きからすると。
1と2を実施せずに、Inside Hostsそのものに対して3の設定を実行することもできるのですが、これだとLAN内のFake Application Detectedが全て見えなくなりそうなので、少しリスクがありますね。

元の投稿で解決策を見る

3件の返信3

解決策を見る
TUN88
Level 1
Level 1

‎2022-04-14 05:36 PM

こんにちは。こちらも目に留まったので回答いたします。
本当にC&Cサーバとの通信がされているかは、フロー検索をしないと何とも言えないです。もしこの通信がLANの外のホストと通信していて、相手のIPアドレスのレピュテーションが悪ければ要注意と思います。

こちらもチューニングについては、このドキュメントを見ながら試す形…なのだと思います。
https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/stealthwatch-usecase-stealthwatch-%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3...

 

あるいは例に挙げられた四パターンの通信が、業務アプリなどと安全な通信と明らかにわかっていれば、チューニングでアラートをオフにしてもいいかもしれません。
考え方は…
1-四種の通信を発生させているホストを、一つのホストグループへ所属させる
2-ホストグループへロールポリシーを設定する
3-ロールポリシーで[Fake Application Detected]のアラートを無効化(Off)にする

 

となるようです、Stealthwatchの動きからすると。
1と2を実施せずに、Inside Hostsそのものに対して3の設定を実行することもできるのですが、これだとLAN内のFake Application Detectedが全て見えなくなりそうなので、少しリスクがありますね。

解決策を見る
cja56910tf
VIP
VIP
TUN88に対する応答

‎2022-04-14 11:00 PM

こんばんは。

こちらも古い投稿に対し、コメントいただきまして誠にありがとうございます。

 

NetFlowの設定をあれこれとチューニングしているうちにC&Cは検出されなくなったので、様子見扱いで放置してしまっていました。

 

調査・チューニングの考え方と方法についてご教授いただき、大変参考になりましたので、ベストソリューションにさせていただきました。ありがとうございました。

0 いいね!

解決策を見る
TUN88
Level 1
Level 1
cja56910tfに対する応答

‎2022-04-15 09:37 AM

すでにチューニングで解決されているのですね。よかったです。

こちらもベストソリューション頂いて、ありがとうございます。

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents