iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 8
0
Security

學習網路安全監控的30天系列 第 8

NSM 08: 漫遊NetMon,糾出異常狀態

第三天《NSM 03: 網路安全監控概論之三》提到常見的資料處理週期包括資料收集Collection、偵測Detection和分析Analysis,現在NetMon已經開始監控網路流量,收集資料,接下來我們要從NetMon封包擷取收集到的資料開始,藉由不同的內建儀表板,幫助我們偵測、分析。這階段的分析需要持續不斷地問:這是什麼?它應該出現嗎?它應該在這個時間點出現嗎?從工具收集的資料幫助我們了解網路環境,找出異常的行為或狀態,才能更進一步分析。

不明應用程式

首先點選右上方小小的資料夾圖示 Load Saved Dashboard,接著便會看到很多不同內建的儀表板。我們來選擇Application Exploration Dashboard。

如下圖所示,儀表板分為幾個大區域:左上區域以條形圖顯示每個時間點各程式流量,右上區域以餅形圖顯示各類別程式流量。左邊是個別程式,例如Skype、Teams、AIM等等,右邊則會歸納為同一個Instant Messaging類別;下方則是個別Session的詳細資料,可以展開看元資料Metadata
https://ithelp.ithome.com.tw/upload/images/20181023/20084806eiUHGsg5MH.png

從這個儀表板著手是因為FreeMon本身從網路流量歸納出Metadata,列出應用程式和種類,我們可以藉由觀察這個儀表板,找出網路環境中的不明應用程式,例如儀表板有出現office365,這是什麼?我們知道是使用office365會出現的流量,但是它應該出現嗎?如果網路環境中沒有使用這個程式卻出現流量,難道不可疑嗎?如果出現TeamVIewer流量但是公司明明沒有用TeamViewer,難道不該起警覺心嗎?可以針對該流量的session檢視metadata,甚至進一步檢視PCAP,分析PCAP內容。

即使是正常的程式,出現的時間點不對,也是值得深入調查的異常狀況。如果儀表版在下班時間後顯示Skype的流量,這是真的有員工還在公司使用Skype呢?還是有人藉由Skype傳輸外洩檔案呢?如果下班時間出現FTP流量,或者SMB流量,又是誰在傳輸檔案呢?

異常網路流量

透過儀表板,我們可以選擇不同時間軸,如下圖顯示選擇最近30分鐘、當天、當月等等不同時間軸,根據程式的平日流量建立baseline基準,藉此偵測異常流量。

https://ithelp.ithome.com.tw/upload/images/20181023/20084806HcXhfq7feX.png

假設網路環境裡有使用office365,但是依據以往監控流量的經驗,發現忽然流量遠遠超過以往baseline基準;或者平時流量起伏頗為規律,忽然在異於往常的時間點暴增或遽減,都是需要進一步檢視分析的異常狀態。我們也可從流量監控中找出影響工作效率的活動,例如youtube、amazon video、Netflix等等。

除了Application Exploration Dashboard,另一個Analyze Dashboard 也可以檢視網路流量,甚至直接輸入想檢索的session,儀表板會顯示對應的搜尋結果。譬如想看過去15分鐘的FTP流量和session,直接在儀表板輸入FTP即可;也可以勾選左邊的metadata欄目做進一步搜尋過濾,方便呈現資料。

異常網路行為

當我們選擇如下圖的Destination Dashboard,可以看到Port 通訊埠和Protocol 協定,藉由觀察Port 通訊埠和Protocol 協定,可以針對不應該出現的Port和Protocol深入調查,例如IRC流量;或者與Malware indicator 比對,藉此偵測C2 ﹝command and control命令與控制)流量;即使是正常使用的Port和Protocol,如果有高於平時baseline基準的流量也值得調查,例如入侵者可能利用DNS傳輸進行惡意行為,或者用ICMP去ping其他設備意圖橫向感染,試著用telnet登入等等,所以看到異常的流量也需要加以調查。
https://ithelp.ithome.com.tw/upload/images/20181023/200848062LQoOHlMF7.png

今天簡單介紹幾個常用的儀表板,憑視覺化呈現的資料進行分析、偵測。接下來會介紹NetMon怎麼進行Deep Packet Inspection (深度包檢測)。文末附上一篇BLOG,看看他是如何用NetMon監控家裡的IoT設備。

Deploying NetMon Freemium at Home to Monitor IoT Devices
https://logrhythm.com/blog/deploying-netmon-freemium-at-home-to-monitor-iot-devices/


上一篇
NSM 07: LogRhythm NetMon 進階設定
下一篇
NSM 09: 深度分析封包﹝NetMon 可以直接當作IDS?﹞
系列文
學習網路安全監控的30天30

尚未有邦友留言

立即登入留言