07-24-2019 03:00 PM - editado 07-24-2019 03:08 PM
La siguiente información ha sido tomada del blog de Katherine McNamara y traducida al español por mi persona, se atribuye completa propiedad y autoría a Katherine.
Lancope se fundó en 2000 y es un proveedor líder de visibilidad de red e inteligencia de seguridad para proteger a las empresas contra las principales amenazas actuales. El sistema StealthWatch utiliza NetFlow, IPFIX y otros tipos de telemetría de red para detectar una amplia gama de ataques de una variedad de amenazas que incluyen APT, DDoS, malware de día cero y amenazas internas. Lancope fue adquirida por Cisco, la propia compañía tenía una relación muy estrecha con Cisco antes de eso y gracias a esa relación, se integra bastante bien con una variedad de soluciones existentes de Cisco. Esta publicación busca profundizar en algunos de los componentes del sistema StealthWatch.
Entonces, ¿qué hace StealthWatch? Ofrece seguridad en función del contexto para la detección de amenazas en tiempo real y la respuesta forense. A través de StealthWatch, se podría transformar la red en una red de sensores virtual y correlacionar conjuntos de datos en toda la organización. Proporciona visibilidad generalizada de la red y una inteligencia de seguridad procesable. Con la información contextual que recopila StealthWatch, tiene la capacidad de conocer cada host, registrar cada conversación, establecer una línea de base del comportamiento de los hosts, almacenar datos durante meses y alertar al administrador de cualquier cambio.
Cuando se piensa en seguridad, normalmente alguien piensa en los controles y las herramientas que implementan, que pueden incluir cualquier combinación o todas las siguientes:
• Cortafuegos.
• IPS.
• ACLs.
• NAC.
• Anti-virus / Anti-Malware.
• SIEM.
Incluso con todas estas herramientas, hay cosas que no pueden ver o que no pueden detectar en qué lugar se encuentra StealthWatch. Estas son algunas de las preguntas en las que se pensaría:
Cuando se piensa en amenazas de seguridad como esta, comienza a haber la necesidad de algo que proporcione detección de anomalías, análisis de comportamiento y líneas de base para su red en general. Ahí es donde entra en juego StealthWatch. StealthWatch como una herramienta que cierra la brecha entre los controles de seguridad existentes y proporciona una visibilidad completa de lo que está sucediendo en su red.
Este es un diagrama de alto nivel de la arquitectura StealthWatch:
Los requisitos mínimos para el sistema StealthWatch es una StealthWatch Management Console (SMC) y al menos un FlowCollector, pero hay productos adicionales que pueden ser de ayuda, y se mencionaran en este mismo documento.
StealthWatch Management Console (SMC)
El SMC permite a los administradores ver, comprender y actuar sobre la red y los datos de seguridad a través de una única interfaz. SMC proporciona deduplicación de flujo en los recopiladores de flujo para las entradas de la tabla de flujo cuando las consultas de múltiples FCs contienen el mismo flujo. Esta deduplicación es contra los registros de flujo existentes consultados y solo afecta la visualización de los registros de flujo existentes en ese documento. No altera el almacenamiento de esos registros. La deduplicación asegura que cada conversación solo se cuenta una vez. Puede recopilar datos de FlowCollectors, firewalls, proxies web, IDS / IPS y sistemas NAC. Es el centro de control del sistema StealthWatch. Disponible tanto en dispositivo físico como en dispositivo virtual.
¿Qué hace?
Ofrece las siguientes características:
FlowCollector
El FlowCollector recopila y analiza datos de la infraestructura de red existente para proporcionar una imagen completa de todo lo que sucede en el entorno. Algunas de las características que puede proporcionar son:
FlowSensor (FS)
El FlowSensor complementará los datos recibidos de forma nativa desde los dispositivos con capacidad de flujo. Supervisa los datos de paquetes y enriquece los datos de flujo que pueden incluir el ID de la aplicación, el encabezado del paquete, los datos de la URL, el detalle del tiempo de respuesta de la red / servidor, y el FlowSensor también puede producir flujo para las partes de la red donde no hay dispositivos con capacidad de NetFlow.
¿Qué hace el FlowSensor?
UDP Director
El UDP Director es un dispositivo de alto rendimiento que recibe flujos e información de registro de varias ubicaciones y lo reenvía en una sola secuencia de datos a uno o más destinos. Por ejemplo, si está enviando datos de NetFlow a LiveAction, StealthWatch, SolarWinds y Prime, puede crear 4 exportadores diferentes en cada uno de los dispositivos de red en su red y desperdiciar ancho de banda o puede enviarlos a la misma dirección IP (Director UDP) y haga que replique esa información a múltiples destinos.
¿Qué hace el UDP Director?
StealthWatch Labs Intelligence Center (SLIC) Threat Feed
Esta es una característica con licencia que proporciona inteligencia global sobre amenazas de una comunidad de expertos y socios y agrega información sobre amenazas emergentes de todo el mundo. Agrega una capa adicional de protección de los centros de comando y control de botnets y otros ataques sofisticados. Este es un feed que se actualiza continuamente.
¿Qué hace la alimentación de amenazas SLIC?
ProxyWatch
ProxyWatch es una función con licencia en StealthWatch. Cuando tenga un proxy en el entorno, todos los hosts enviarán tráfico a ese proxy desde varias direcciones IP y ese proxy tomará ese tráfico y lo enviará a Internet con su IP. ProxyWatch es casi como la costura NAT para Proxys. Correlaciona estas conversaciones para proporcionar visibilidad en ambos lados del proxy y convierte las partes faltantes de la conversación en un registro completo.
¿Qué hace el ProxyWatch?
Algo importante a destacar sobre Lancope es que puede integrarse bien con ISE a través de pxGrid, que proporcionará al sistema StealthWatch información contextual adicional sobre el punto final y el usuario en ese punto final, así como la capacidad de poner en cuarentena ese punto final si se encuentra un mal comportamiento.
Los invito a ver el siguiente vídeo que amplía la información aquí compartida, como otros conceptos relevantes con respecto a Cisco Stealthwatch: https://www.youtube.com/watch?v=MZr_V2L-RXk
Gracias por compartir la información @Gabriel Castro H , esta traducción ayuda mucho a comprender y clarificar más acerca de esta alterativa de seguridad
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad