Einführung in das ExtraHop-System

In diesem Handbuch wird erklärt, wie das ExtraHop-System Ihre Daten sammelt und analysiert und wie die wichtigsten Systemkomponenten und -funktionen Ihnen helfen, auf Erkennungen, Metriken, Transaktionen und Pakete über den Datenverkehr in Ihrem Netzwerk zuzugreifen.

Workflows zur Überwachung der Netzwerkleistung ermöglichen es Ihnen, zu überwachen, wie Dienste und Geräte miteinander interagieren und wie Transaktionen über die Datenverbindungsschicht (L2) zur Anwendungsebene (L7) in Ihrem Netzwerk Fluss. Mit Workflows zur Netzwerkerkennung und -reaktion können Sie Daten untersuchen, die von Leistungseinbußen bis hin zu verdächtigem Verhalten erkannt wurden. Außerdem erhalten Sie einen Überblick darüber, welche Geräte an den Taktiken, Techniken und Verfahren (TTPs) (TTPs) von MITRE ATT&CK beteiligt waren, die mit fortschrittlichen, mehrstufigen Angriffskampagnen verbunden sind.

Plattform-Architektur

Das ExtraHop-System ist mit modularen Komponenten maßgeschneidert, die in Kombination Ihren individuellen Umweltanforderungen gerecht werden.

Module

ExtraHop-Module bieten eine Kombination aus Lösungen, Komponenten und Cloud-basierten Diensten, die für mehrere Anwendungsfälle einen Mehrwert bieten.

Module sind für Network Detection and Response (NDR) und Network Performance Monitoring (NPM) erhältlich, mit zusätzlichen Modulen für Intrusion Detection Systems (Intrusion Detection System) und Packet Forensics.

Administratoren können Benutzern rollenbasierten Zugriff auf das NDR-Modul, das NPM-Modul oder beide gewähren.

Überwachung der Netzwerkleistung
Das NPM-Modul ermöglicht es privilegierten Benutzern, die folgenden Arten von Systemaufgaben auszuführen.
  • Benutzerdefinierte Dashboards anzeigen, erstellen und ändern. Benutzer können auch ein Dashboard für ihre Standard-Landingpage auswählen.
  • Konfigurieren Sie Benachrichtigungen und Benachrichtigungen per E-Mail für diese Benachrichtigungen.
  • Leistungserkennungen anzeigen.
Netzwerkerkennung und Reaktion
Das NDR-Modul ermöglicht es privilegierten Benutzern, die folgenden Arten von Systemaufgaben auszuführen.
  • Rufen Sie die Seite Sicherheitsübersicht auf.
  • Sicherheitserkennungen anzeigen.
  • Untersuchungen anzeigen, erstellen und ändern.
  • Sehen Sie sich Bedrohungsinformationen an.

Benutzer, denen Zugriff auf beide Module gewährt wurde, dürfen all diese Aufgaben ausführen. Weitere Informationen zur Migration von Benutzern zum rollenbasierten Zugriff mit diesen Modulen finden Sie im Migrationsleitfaden.

Zusätzliche Module sind auch für spezielle Anwendungsfälle verfügbar:

Paketforensik
Das Modul Packet Forensics kann entweder mit dem NDR- oder NPM-Modul kombiniert werden, um eine vollständige PCAP, Speicherung und Abruf zu ermöglichen.
Systeme zur Erkennung von Eindringlingen
Das IDS-Modul muss mit dem NDR-Modul kombiniert werden und ermöglicht Erkennungen, die auf branchenüblichen IDS-Signaturen basieren.

Lösungen

Reveal (x) Enterprise
Reveal (x) Enterprise ist eine selbstverwaltete Lösung, die Folgendes umfasst Sensoren, Konsolen, Paketspeicher, Plattenspeicher und Zugriff auf ExtraHop Cloud Services.

Enthülle (x) 360
Reveal (x) 360 ist eine Software-as-a-Service (SaaS) -Lösung, die Folgendes umfasst Sensoren und Packetstores und beinhaltet einen cloudbasierten Recordstore, einen Konsoleund Zugriff auf ExtraHop Cloud Services.

Komponenten

Jede Lösung bietet eine Reihe von Komponenten, die auf Ihre Umgebungsanforderungen zugeschnitten sind: Sensoren, Packetstores, Recordstores und Konsole für zentralisiertes Management und einheitliche Datenansichten.

Paketsensoren
Paketsensoren erfassen, speichern und analysieren Metrik Daten über Ihr Netzwerk. Je nach Sensorgröße sind mehrere Ebenen der Datenanalyse, -erfassung und -speicherung verfügbar. Diese Sensoren sind sowohl in NPM- als auch in NDR-Modulen als physische, virtuelle und cloudbasierte Optionen in Größen erhältlich, die auf Ihre Analyseanforderungen zugeschnitten sind.
IDS-Sensoren
Sensoren des Intrusion Detection Systems (Intrusion Detection System) lassen sich in Paketsensoren integrieren, um Erkennungen auf der Grundlage der branchenüblichen IDS-Signatur zu generieren. IDS-Sensoren werden als Zusatzmodul zum NDR-Modul eingesetzt. IDS-Sensoren sind eine physische Appliance mit einem zugehörigen Paketsensor und sind für Reveal (x) 360- oder Reveal (x) Enterprise-Umgebungen verfügbar.
Durchflusssensoren
Flow-Sensoren sind nur für Reveal (x) 360 verfügbar und erfassen ausschließlich VPC-Flow-Logs, sodass Sie den von AWS SaaS-Diensten verwalteten Traffic sehen können.
Plattenläden
Plattenläden lassen sich mit Sensoren integrieren und Konsolen zu Transaktions- und Flussdatensätze speichern das kann im gesamten ExtraHop-System abgefragt werden. Recordstores können als eigenständige physische oder virtuelle Optionen bereitgestellt und als Drittanbieterverbindungen zu Splunk oder BiqQuery von Reveal (x) Enterprise unterstützt werden. Sie sind in Paketen mit NPM- und NDR-Modulen erhältlich.
Paketläden
Packetstores integrieren sich mit Sensoren und Konsolen zur Verfügung stellen kontinuierliche PCAP und ausreichend Speicherplatz für tiefere Untersuchungen und forensische Bedürfnisse. Packetstores können als eigenständige physische oder virtuelle Optionen bereitgestellt werden und sind als Zusatzmodul für Packet Forensics sowohl für NPM- als auch für NDR-Module verfügbar.
Konsolen
Konsolen bieten eine browserbasierte Oberfläche, die eine Kommandozentrale für alle verbundenen Komponenten bietet. Konsolen können als eigenständige virtuelle oder cloudbasierte Optionen für Reveal (x) Enterprise bereitgestellt werden und sind in Reveal (x) 360 enthalten.

Die folgende Tabelle gibt einen Überblick über die Optionen, die für jede Lösung verfügbar sind.

ExtraHop Cloud-Dienste

ExtraHop Cloud-Dienste aktualisiert die Sensoren automatisch mit neuen Erkennungen und kritischen Bedrohungsinformationen sowie mit Funktionserweiterungen und ermöglicht Ihren Account-Teams den Zugriff auf Fernsupport und professionelle Services.

Intelligente Sensoranalytik

Das ExtraHop-System bietet eine browserbasierte Oberfläche mit Tools, mit denen Sie Daten untersuchen und visualisieren, Ergebnisse sowohl in Top-down- als auch in Bottom-up-Workflows untersuchen und anpassen können, wie Sie Ihre Netzwerkdaten sammeln, anzeigen und teilen. Fortgeschrittene Benutzer können sowohl Verwaltungs- als auch Benutzeraufgaben automatisieren und Skripten erstellen über ExtraHop REST-API und passen Sie die Datenerfassung an über die ExtraHop-Trigger-API , das ist ein JavaScript-IDE-Tool.

Das Herzstück des ExtraHop-Systems ist ein intelligentes Sensor , das Metrik Daten über Ihr Netzwerk erfasst, speichert und analysiert — und bietet je nach Bedarf unterschiedliche Ebenen der Datenanalyse, -erfassung und -speicherung. Sensorik sind mit Speicher ausgestattet, der einen Metrik-Lookback für 30 Tage unterstützt. Beachten Sie, dass der tatsächliche Lookback je nach Verkehrsmustern, Transaktionsraten, Anzahl der Endpunkte und Anzahl der aktiven Protokolle variiert.

Konsolen fungieren als Kommandozentrale mit Verbindungen zu mehreren Sensoren, Plattenläden und Paketläden, die auf Rechenzentren und Zweigstellen verteilt sind. Alle Reveal (x) 360-Bereitstellungen beinhalten eine Konsole; Reveal (x) Enterprise kann virtuelle oder Cloud-Varianten bereitstellen.

Konsolen bieten einheitliche Datenansichten für all Ihre Standorte und ermöglichen es Ihnen, bestimmte erweiterte Konfigurationen zu synchronisieren (z. löst aus und Warnungen) und Einstellungen (Tuning-Parameter, Prioritäten der Analyse, und Plattenläden).

In den folgenden Abschnitten werden die wichtigsten Funktionskomponenten des ExtraHop-Systems und ihr Zusammenspiel beschrieben.

Sensortypen

Die Art von Sensor Die Art der Daten, die Sie bereitstellen, bestimmt die Art der Daten, die gesammelt, gespeichert und analysiert werden.

Drahtdaten

Paketsensoren beobachten passiv unstrukturierte Pakete über einen Port Mirror oder Tap und speichern die Daten im lokalen Datenspeicher. Die Paketdaten durchlaufen eine Echtzeit-Stream-Verarbeitung, bei der die Pakete in strukturierte wire data umgewandelt werden. Dabei werden die folgenden Phasen durchlaufen:

  1. TCP-Zustandsmaschinen werden neu erstellt, um eine vollständige Stream-Reassemblierung durchzuführen.
  2. Pakete werden gesammelt und in Flows gruppiert.
  3. Die strukturierten Daten werden auf folgende Weise analysiert und verarbeitet:
    • Transaktionen werden identifiziert.
    • Geräte werden automatisch anhand ihrer Aktivität erkannt und klassifiziert.
    • Metriken werden generiert und mit Protokollen und Quellen verknüpft, und die Metrik Daten werden dann zu Metrik Zyklen aggregiert.
  4. Wenn neue Metriken generiert und gespeichert werden und der Datenspeicher voll wird, werden die ältesten vorhandenen Metriken gemäß dem First-In-First-Out-Prinzip (FIFO) überschrieben.

Flow-Daten

Ein Fluss ist ein Satz von Paketen, die Teil einer einzelnen Verbindung zwischen zwei Endpunkten sind. Durchfluss Sensoren sind für Reveal (x) 360 verfügbar und bieten kontinuierliche Netzwerktransparenz auf der Grundlage von VPC-Flow-Protokollen, um AWS-Umgebungen zu schützen. VPC-Flussprotokolle ermöglichen es Ihnen , Informationen über den IP-Verkehr zu und von Netzwerkschnittstellen in Ihrer VPC zu erfassen. Sie werden als Flow-Protokolldatensätze aufgezeichnet. Dabei handelt es sich um Protokollereignisse, die aus Feldern bestehen, die den Verkehrsfluss beschreiben. Diese Protokolldaten ermöglichen es Ihnen, mit fortschrittlichen Erkennungen durch maschinelles Lernen nach Bedrohungen zu suchen.

Flow-Logs werden aufgenommen, dedupliziert und dann in Flows gruppiert. Die Datenflüsse werden dann mit Daten (wie MAC-Adressen) angereichert, die von AWS EC2-APIs abgefragt werden.

Die Flüsse werden dann auf folgende Weise analysiert und verarbeitet:

  • Geräte werden automatisch erkannt und anhand ihrer Aktivität klassifiziert, die über bestimmte Ports beobachtet wird.
  • Grundlegende L2-L4-Metriken werden generiert und zu Metrikzyklen zusammengefasst.
  • ExFlow-Datensatztypen werden generiert und veröffentlicht.

Metriken, Datensätze und Pakete

ExtraHop-Sensoren erfassen und speichern mehrere Tiefen der Netzwerkinteraktion als Metriken. Metriken sind aggregierte Beobachtungen über Endpunktinteraktionen im Laufe der Zeit. Packetstores sammeln und speichern die zwischen zwei Endpunkten übertragenen Rohdaten als Pakete. Plattenläden Sammeln und Speichern von Datensätzen, bei denen es sich um strukturierte Informationen über Transaktions-, Nachrichten- und Netzwerkflüsse handelt.

Sie können all diese Interaktionen von einzelnen Sensoren aus anzeigen und abfragen oder von einem Konsole das ist mit einem komplexen Einsatz von Sensoren, Paketspeichern und Plattenläden verbunden.

Wenn ein Client beispielsweise eine HTTP-Anfrage an einen Server sendet, enthält jeder Datentyp Folgendes:

  • Das Paket enthält die Rohdaten, die bei der Interaktion gesendet und empfangen wurden.
  • Der zugehörige Datensatz enthält die mit einem Zeitstempel versehenen Metadaten über die Interaktion: den Zeitpunkt der Anfrage, die IP-Adresse des Client und Server, die angeforderte URI, etwaige Fehlermeldungen.
  • Die zugehörige Metrik (HTTP-Anfragen) enthält eine Zusammenfassung dieser Interaktion mit anderen beobachteten Interaktionen während des angegebenen Zeitraums, z. B. wie viele Anfragen aufgetreten sind, wie viele dieser Anfragen erfolgreich waren, wie viele Clients Anfragen gesendet haben und wie viele Server die Anfragen erhalten haben.

Sowohl Metriken als auch Datensätze können angepasst werden, um spezifische Metadaten auf JavaScript-Basis zu extrahieren und zu speichern löst aus. Während das ExtraHop-System über 4.600 integrierte Metriken, vielleicht möchten Sie eine erstellen benutzerdefinierte Metrik, die 404-Fehler sammelt und aggregiert nur von kritischen Webservern. Und vielleicht möchten Sie Ihren Plattenspeicher nur maximieren, indem Sie Erfassung von Transaktionen, die über einen verdächtigen Port stattgefunden haben.

Erkennung von Geräten

Nachdem ein Gerät erkannt wurde, beginnt das ExtraHop-System mit der Erfassung von Metriken, die auf der für dieses Gerät konfigurierten Analyseebene basieren. Du kannst Finde ein Gerät nach ihrer MAC-Adresse, IP-Adresse oder ihrem Namen (z. B. ein aus dem DNS-Verkehr beobachteter Hostname, NetBIOS-Name, Cisco Discovery Protocol (CDP) -Name, DHCP-Name oder ein benutzerdefinierter Name, den Sie dem Gerät zugewiesen haben).

Das ExtraHop-System kann Geräte anhand ihrer MAC-Adresse (L2 Discovery) oder anhand ihrer IP-Adressen (L3 Discovery) erkennen und verfolgen. L2 Discovery bietet den Vorteil, dass Messwerte für ein Gerät auch dann verfolgt werden können, wenn die IP-Adresse durch eine DHCP-Anfrage geändert oder neu zugewiesen wird. Standardmäßig ist das ExtraHop-System für L2 Discovery konfiguriert.

IPv4- und IPv6-Adressen von Geräten werden anhand von ARP-Nachrichten (Address Resolution Protocol), NDP-Antworten ( Neighbor Discovery Protocol), lokalen Broadcasts oder lokalem Subnetz-Multicast-Verkehr ermittelt. Die MAC-Adresse und die IP-Adresse für Geräte werden in den Suchergebnissen im gesamten System zusammen mit den Geräteinformationen angezeigt.

L2-Entdeckung

In L2 Discovery erstellt das ExtraHop-System einen Geräteeintrag für jede lokale MAC-Adresse, die über das Kabel erkannt wurde. IP-Adressen werden der MAC-Adresse zugeordnet, aber Metriken werden zusammen mit der MAC-Adresse des Gerät gespeichert, auch wenn sich die IP-Adresse ändert.

IP-Adressen, die außerhalb von lokal überwachten Broadcast-Domänen beobachtet werden, werden auf einem der eingehenden Router in Ihrem Netzwerk aggregiert. Wenn ein Gerät eine DHCP-Anfrage über einen Router sendet, der als DHCP-Relay-Agent fungiert, erkennt das ExtraHop-System die IP-Adresse und ordnet sie der MAC-Adresse des Gerät zu. Wenn sich die IP-Adresse für das Gerät mit einer nachfolgenden Anfrage über den DHCP-Relay-Agenten ändert, aktualisiert das ExtraHop-System seine Zuordnung und verfolgt die Gerätemetriken weiterhin anhand der MAC-Adresse.

Sowohl die MAC-Adresse als auch die IP-Adresse werden für das entferntes Gerät erkannt.

Wenn kein DHCP-Relay-Agent konfiguriert ist, können Remote-Geräte anhand ihrer IP-Adressen erkannt werden über L3-Erkennung per Fernzugriff.

L3-Entdeckung

In L3 Discovery erstellt und verknüpft das ExtraHop-System zwei Einträge für jedes lokal erkannte Gerät: einen übergeordneten L2-Eintrag mit einer MAC-Adresse und einen untergeordneten L3-Eintrag mit IP-Adressen und der MAC-Adresse.

Hier sind einige wichtige Überlegungen zur L3-Entdeckung:

  • Wenn auf einem Router Proxy-ARP aktiviert ist, erstellt das ExtraHop-System für jede IP-Adresse, für die der Router ARP-Anfragen beantwortet, ein L3-Gerät.
  • Wenn Sie in Ihrem Netzwerk ein Proxy-ARP konfiguriert haben, erkennt das ExtraHop-System möglicherweise automatisch Remote-Geräte.
  • L2-Metriken, die keinem bestimmten untergeordneten L3-Gerät zugeordnet werden können ( z. B. L2-Broadcast-Verkehr), werden dem L2-Elterngerät zugeordnet.

L3-Erkennung per Fernzugriff

Wenn das ExtraHop-System eine IP-Adresse erkennt, der kein ARP- oder NDP-Verkehr zugeordnet ist, wird dieses Gerät als entferntes Gerät betrachtet. Remote-Geräte werden nicht automatisch erkannt, aber Sie können einen Remote-IP-Adressbereich hinzufügen und Geräte erkennen, die sich außerhalb des lokalen Netzwerk befinden. Für jede IP-Adresse, die innerhalb des Remote-IP-Adressbereichs beobachtet wird, wird ein Geräteeintrag erstellt. (Remote-Geräte haben keine übergeordneten L2-Einträge.)

Für das entferntes Gerät wird nur die IP-Adresse erkannt.

Im Folgenden finden Sie einige Empfehlungen zur Konfiguration von Remote L3 Discovery:

  • Ihre Client-Geräte befinden sich in einem Netzwerksegment, das nicht direkt angezapft wird.
  • Ihr Unternehmen verfügt über eine Außenstelle ohne ein ExtraHop-System vor Ort, aber die Benutzer an diesem Standort greifen auf zentrale Rechenzentrumsressourcen zu, die direkt von einem ExtraHop-System überwacht werden. Die IP-Adressen am Remote-Standort können als Geräte erkannt werden.
  • Ein Cloud-Dienst oder ein anderer externer Dienst hostet Ihre Remote-Anwendungen und hat einen bekannten IP-Adressbereich. Die Remote-Server innerhalb dieses IP-Adressbereichs können individuell verfolgt werden.

VPN-Entdeckung

VPN-Entdeckung ermöglicht es dem ExtraHop-System, die privaten RFC-1918-IP-Adressen, die VPN-Clients zugewiesen wurden, mit ihren öffentlichen, externen IP-Adressen zu korrelieren. Dieser erweiterte Einblick in den Nord-Süd-Verkehr reduziert Hindernisse bei der Untersuchung von Sicherheitsvorfällen und Leistungsproblemen , an denen externe VPN-Clients beteiligt sind. (Für diese Funktion ist ein VPN-Gateway erforderlich, das vom Benutzer manuell zugewiesen wird.)

Erkennung von Bedrohungen

Das ExtraHop-System bietet sowohl maschinelles Lernen als auch regelbasiertes Lernen Erkennungen die aktive oder potenzielle Bedrohungen, Netzwerkschwächen, die anfällig für Exploits sind, und suboptimale Konfigurationen, die die Netzwerkleistung beeinträchtigen können, identifizieren.

Zusätzlich Diagramme, Visualisierungen, und Karten zur Geräteaktivität ermöglichen eine proaktive Bedrohungssuche.

Tuning der Erkennung

Reduzieren Sie das Rauschen und lassen Sie nur kritische Erkennungen sichtbar werden indem Sie Details zu Ihrem Netzwerk hinzufügen, anhand derer bekannte Parameter wie vertrauenswürdige Domänen und Schwachstellenscanner identifiziert werden können.

Darüber hinaus können Sie Optimierungsregeln erstellen, die bestimmte Erkennungen oder Teilnehmer verbergen und unerwünschte Geräusche weiter reduzieren.

Netzwerk-Lokalität

Standardmäßig wird jedes Gerät mit einer RFC1918-IP-Adresse (in einem 10/8-, 172.16/12- oder 192.168/16 CIDR-Block enthalten) im System als internes Gerät klassifiziert.

Da einige Netzwerkumgebungen jedoch IP-Adressen enthalten, die nicht nach RFC1918 stammen, als Teil ihres internen Netzwerk können Sie die interne oder externe Klassifizierung für IP-Adressen ändern von der Seite Network Localities.

Bedrohungsinformationen

Das ExtraHop-System beinhaltet ein kuratiertes Bedrohungsinformationen Feed, der über die Cloud aktualisiert wird, sobald neue Bedrohungen entdeckt werden. Du kannst auch Bedrohungssammlungen hinzufügen von einem Drittanbieter oder über einen Partner Integrationen mit ExtraHop Reveal (x) 360 .

Bedrohungsinformationen

Bedrohungsinformationen Informationen über drohende Bedrohungen bereitstellen , die auf Netzwerke abzielen. Aktualisierte Erkennungen, gezielte Datensatz- und Paketabfragen sowie betroffene Geräte werden als Ausgangspunkt für Ihre Untersuchung angezeigt. Der Zugriff erfolgt über Überblick über die Sicherheit Seite.

Integrationen

Reveal (x) 360 bietet mehrere Integrationen von Drittanbietern, die das Erkennung- und Reaktionsmanagement verbessern und einen besseren Einblick in den Netzwerkverkehr bieten können.
Cortex XSOAR
Exportieren Sie ExtraHop-Erkennungen, führen Sie Antwort-Playbooks aus und fragen Sie Gerätedetails in Cortex XSOAR ab.
Crowdstrike
Importieren Sie Bedrohungsinformationen aus CrowdStrike Falcon X, sehen Sie sich Details zu CrowdStrike-Geräten an und speichern Sie diese Geräte aus dem ExtraHop-System.
CrowdStrike Falcon Logwaage
Geben Sie Filterkriterien für ExtraHop-Sicherheitserkennungen an und exportieren Sie die Ergebnisse nach CrowdStrike Falcon LogScale.
Microsoft 365
Importieren Sie Microsoft 365-Erkennungen und -Ereignisse, überwachen Sie Microsoft 365-Metriken in integrierten Dashboards und zeigen Sie Details zu Risikoereignissen in Datensätzen an.
Microsoft-Protokollentschlüsselung
Entschlüsseln Sie den Datenverkehr über Microsoft-Protokolle wie LDAP, RPC, SMB und WSMan, um die Erkennung von Sicherheitsangriffen in Ihrer Microsoft Windows-Umgebung zu verbessern.
QRadar
Exportieren Sie ExtraHop-Erkennungen und zeigen Sie sie in Ihrem QRadar SIEM an.
Splunk
Exportieren Sie ExtraHop-Erkennungen und zeigen Sie sie in Ihrem Splunk-SIEM an.
Splunk SOAR
Exportieren und zeigen Sie ExtraHop-Erkennungen, -Metriken und -Pakete in Ihrer Splunk SOAR-Lösung an.
Last modified 2023-11-07