Возможно, вы недавно столкнулись с признаками компрометации (IoC), такими как вредоносные IP-адреса. Как раз их вы и можете использовать, чтобы проверить, была компрометация или нет, провести проверку по всем требованиям. Flowmon помогает в этом. Вы можете просто провести ретроспективный анализ или предупреждающий мониторинг в реальном времени, чтобы обнаружить возникновение таких IoC.
Ретроспективный анализ
Используйте функцию анализа в Flowmon Monitoring Center. Выберите профиль «All sources», чтобы не пропустить ни один элемент трафика. Вы можете задать интервал времени, чтобы мониторить только выбранный период. Это могут быть часы, дни или даже недели. Лучшая агрегация для этой цели - «IP conversations» и «Top 100». Добавьте фильтр для IP-адресов, которые вы хотите проверить. Вы можете фильтровать несколько IP-адресов одновременно, комбинируя их с помощью оператора OR. Вы также можете настроить фильтр по любому параметру и дополнить его, когда случай компрометации кажется наиболее сложным. Затем запустите загрузку результата. Это может занять некоторое время в зависимости от объема трафика, который необходимо проанализировать. При этом вам не нужно ждать, так как запрос будет выполняться в фоновом режиме, и вы увидите свои результаты позже.
Рис. 1: Запрос IP-разговоров с IP-адресом 1.1.1.1 или IP-адресом 2.2.2.2, в которых отсутствуют данные, что является признаком отсутствия связи с этими IP-адресами в вашей сети.
Предупреждающий мониторинг и обнаружение
Вы можете использовать функцию «Custom Blacklist» в Flowmon ADS для представления определенного списка вредоносных IP-адресов (или доменов). ADS будет использовать этот список вредоносных IP-адресов или доменов для проверки вашего трафика в режиме реального времени. Когда есть совпадение, генерируется соответствующее событие по типу BLACKLIST. Создайте простой текстовый файл со всеми IP-адресами в одной строке. Перейдите в Flowmon ADS - Settings - Blacklists и создайте «New local blacklist». Укажите имя для черного списка и описание, которое будет частью деталей события, и загрузите файл.
Рис. 2: Создаем и настраиваем новый blacklist
Не забудьте включить новый настроенный black list в список методов обнаружения, чтобы он применялся.
Рис. 3: Включение созданного blacklist в список методов обнаружения
Любое взаимодействие с вредоносным IP-адресом регистрируется как событие, показывающее внутренний IP-адрес, который взаимодействует с IP-адресом, включенным в список IoC. Вы можете использовать стандартные механизмы уведомления о событиях (отчеты о событиях, syslog и т. д.,) и такие действия, как triggered packet capture, в качестве ответа на событие.
Рис. 4: Событие обнаружено на основе пользовательского черного списка; в этом случае просто команда ping для IP-адреса 1.1.1.1, ранее включенная в пользовательский черный список для демонстрационных целей
Flowmon ADS имеет встроенные каналы репутации из различных источников, которые включают в себя более 1 миллиона вредоносных IP-адресов или доменов, таких как управление и контроль ботнета, источники вредоносного ПО и т. д. Обнаружение этого вида вредоносного взаимодействия работает «под ключ» вместе с методами обнаружения аномалий на основе поведения сети для сообщения о вредоносной активности.
В случае необходимости не стесняйтесь обращаться в службу технической поддержки Flowmon по адресу support@flowmon.com за помощью с настройком или анализом данных.
Pavel Minarik