网络流量分析

网络流量分析(NTA)允许您监视流经网络的流量,并向您的团队提供哪些系统正在相互通信、它们正在使用哪些应用程序和协议、它们正在与谁通信等等的可见性。NTA还包括一个内置的入侵检测系统(IDS),具有一组自定义的Rapid7签名和各种其他内置检测,使您能够更深入地了解攻击者的活动,更早地检测入侵,并满足遵从性需求。

NTA由Insight Network Sensor提供动力,包括入侵检测系统事件、DNS和DHCP事件等开箱即用的功能。

增强的网络流量分析(ENTA)是Ultimate包特性,以前作为附加模块提供。ENTA使您可以访问所有原始的网络流数据和由network Traffic Sensor收集的丰富元数据,包括IP地址、端口、基于内容的应用程序识别,以及归属于特定用户和设备的其他元数据。

安装Insight网络传感器?

查看Insight传感器网络文档

用于InsightIDR的网络流量分析

通过InsightIDR的网络流量分析,您可以使用网络数据来检测恶意入侵者,生成基于规则的警报,并将关键上下文添加到调查中。在InsightIDR中开始收集数据后,您可以在“日志搜索”特性中查看处理后的网络流量。此外,您可以使用网络传感器数据作为自定义构建报告和仪表板的基础,其中列出了顶级应用程序、进行入站连接的顶级外部客户端和其他数据点。

它是如何工作的?

Rapid7s网络流量分析产品由Insight网络传感器提供动力。我们的传感器作为无源、非内联组件插入您的网络。这允许它在不影响网络性能的情况下获得完全可见性。为了最大限度地利用传感器,在每个网络聚合点(核心交换机是理想的)放置一个传感器,或者将网络可见性与传统日志记录或端点数据源结合在一起可以实现强大的组合。

一旦传感器开始查看流量,InsightIDR将使用网络传感器数据生成基于穿越环境的网络流量的调查和警报。

InsightIDR可以使用网络传感器数据生成基于穿越您环境的网络流量的调查和警报,其中一个是基于IPv4流量数据的新的调查数据源。InsightIDR还利用网络传感器从网络数据包中提取的DNS和DHCP信息来产生其他可操作的警报。

关键用例

对网络流量的可见性对于组织的安全至关重要。使用Rapid7的网络流量分析,您可以看到您的网络流量,您可以检测潜在的恶意网络活动,并可以调查更多的上下文事件。

在这个视频中,了解如何使用日志搜索查询网络流量数据,并创建自定义仪表板。

获得高级网络能见度

Insight Network Sensor使您能够查看、搜索和分析网络流事件,以便您能够了解网络上正在发生的事情。这有助于您了解什么是正常的,当它发生时,识别什么是不正常的。

通过一整套开箱即用的、基于网络的图表、图表和表格,IDR使您能够快速查看网络上发生的情况。

检测潜在的恶意网络活动

Insight Network Sensor将网络流量和IDS事件记录发送到IDR云,用于攻击者行为分析。这些ABA警报是在基于Rapid7威胁情报团队制定的特别策划的规则检测到特定网络条件时产生的。这些警报将指向我们认为需要进一步调查的情况。

我们认识到每个环境都是独特的。使用Insight Network Sensor提供的数据,您还可以根据网络流和IDS事件创建自定义警报,以检测网络上的特定条件。

提高调查

在调查过程中,背景对于判断警报是否为假阳性至关重要。使用Insight Network Sensor,可以将网络流和IDS数据添加到任何调查中,以提供对与警报相关的潜在恶意活动的洞察。

如何开始

  1. 建立InsightIDR的网络流量分析
  2. 监控你的数据

建立InsightIDR的网络流量分析

以下部分将指导您完成在网络上设置单个传感器的过程。

  1. 安装Insight Sensor
  2. 配置网络活动仪表板
  3. 配置自定义警报
  4. 完成NTA的推出

任务1:安装Insight网络传感器

有关要求列表、传感器安装位置的指导方针以及详细的部署说明,请参见Insight网络传感器帮助网站。

任务2:配置网络活动仪表板

为了充分利用网络传感器数据,我们建议您配置两个仪表板:一个用于监视网络中的数据流,另一个用于监视外围活动。您可以用定制的卡片来填充每个仪表板,以便深入了解网络数据。有关这些卡片的详细描述,请参见自定义卡片。

添加内部网络活动仪表板

  1. 从左边的菜单中,单击指示板
  2. 点击添加仪表板
  3. 鼠标悬停在“添加卡片”上,点击从图书馆
  4. 从预配置的卡片列表中,选择网络流:内部网络活动
  5. 选择所有8张卡片,单击添加卡
  6. 命名您的仪表板。您可以通过单击和拖动每张卡片来安排卡片的显示。

添加Network Perimeter仪表板

  1. 从左边的菜单中,单击指示板
  2. 点击添加仪表板
  3. 鼠标悬停在“添加卡片”上,点击从图书馆
  4. 从预配置的卡片列表中,选择网络流量:网络周长
  5. 选中13张卡片,单击添加卡
  6. 命名您的仪表盘和安排卡片显示。

任务3:配置自定义警报

网络流量分析包括开箱即用的入侵检测警报,当检测到可疑的恶意网络活动时通知您。然而,您可能想要跟踪某些特定于环境的行为,这些行为在我们的开箱即用检测中没有考虑到。使用InsightIDR,您可以通过创建自己的自定义警报来实现这一点。

任务4:完成你的网络流量分析

现在您已经完成了第一个传感器的设置过程,并配置了仪表板和自定义警报,现在可以开始考虑更广泛的网络流量分析方法了。

部署额外的传感器

洞察网络传感器可以放置在您的整个网络,以实现您的环境所需的能见度和警报。传感器可以放置在:

  • 任何网络入口或出口点,以获得对入站或出站流量的可见性。
  • 网络段边界,以查看在这些段之间移动的流量(即用户和服务器网络;VPN聚合点;虚拟化环境)。
  • 用户网段查看用户主机之间的横向移动。
  • 每个区域数据中心用于具有多个站点的组织。您的环境的特定需求(包括您需要网络可见性的地方)将决定您应该在哪里放置额外的传感器。

监控你的数据

一旦数据开始流入InsightIDR,您就可以开始通过日志搜索、调查和自定义构建仪表板监控网络活动。

搜索网络流量日志

您可以从Log Search特性访问处理过的传感器数据,并通过运行特定的查询聚合数据。为了说明这一点,我们将使用一个在系统上触发警报的IP地址。

您可以从Log Search特性访问处理过的传感器数据,并通过运行特定的查询聚合数据。为了说明这一点,我们将使用一个在系统上触发警报的IP地址。

搜索您的日志:

  1. 从左边的菜单中,单击日志搜索
  2. 在“日志集”下,选择网络流,并扩展适用的数据集。
  3. 从Entry记录中,突出显示要搜索的字段,例如IP地址,将其粘贴到search栏中,然后运行搜索。在我们的示例中,搜索结果将显示与该IP地址相关联的所有流活动。
  4. 要对搜索中的数据进行分组,请单击“功能”,并输入字段。例如,您可以按“app_protocol_description”对数据进行分组,以查看与该IP地址相关的所有网络流量应用程序。
  5. 点击搜索

同样的搜索也可以在用户或资产上执行,您可以使用用户名或资产名来查看与之通信的应用程序。

为调查增加证据

当异常活动触发警报时,调查就会自动开启。通过InsightIDR的网络流量分析,您可以添加传感器数据作为调查的证据。

为调查增加证据:

  1. 转到“调查”,选择要更新的调查。
  2. 在你的调查记录上方,点击添加数据>日志数据
  3. 对您想要添加到调查中的数据进行查询。例如,IP地址。
  4. 选择要添加的条目,单击发送到调查
  5. 在“添加原始日志数据”页面,为证据添加上下文。
  6. 单击Save。日志线将出现在调查时间线。

查看自定义仪表板数据

本节包含对开箱即用的自定义卡的描述。

网络流:内部网络活动下面的卡片提供了网络内正在发生的事情的摘要。

自定义卡

描述

HTTP内部服务器

基于流量的内部HTTP服务器。允许您评估跨网络采用HTTPS的努力。

基于流量的最活跃内部系统

顶级系统在网络上发送和接收数据。

网络应用程序崩溃

在网络上运行的顶级应用程序的故障。

基于网络的应用程序

基于发送和接收数据量的顶级应用和协议。

Top Destination Ports in Use

基于目的端口的网络活动。

顶级Unattributed系统

与没有资产名称的客户端关联的网络活动。

基于流量的Top用户

根据发送和接收的数据量排名第一的用户。

总网络流量

网络传感器处理的网络流量总量。

网络流:周边活动这些卡片描述了在您的网络网关发生的活动,并提供了进入和退出您的网络的所有数据的摘要。

自定义卡

描述

按国家使用的DNS服务器

显示基于DNS服务器使用情况的top国家。

入站端口活动

显示防火墙上开放的端口,并标识已与内部客户端建立连接的任何外部源地址。

入站RDP连接

大多数活动的外部IP地址试图使用远程桌面协议(RDP)连接入站。

入站TLS1.0或TLS1.1连接

顶级服务器内部托管接受来自外部客户端的TLS 1.0或TLS 1.1连接。

网络周边活动

网络设备对外部应用程序和服务产生的总流量。

出站应用程序

应用程序使用基于连接到网络外围的IP地址。

出站端口活动

防火墙的端口打开,源地址是内部的,目的地址是外部的。

顶尖土力工程处知识产权组织

Top解决Geo IP组织基于流量。

顶入站的应用

大多数源IP地址是外部的活跃应用程序。

顶入站的客户

顶级外部客户端根据传输的数据量连接入站到网络。

前入境国家

根据GEOIP属性显示当前连接到网络的国家。

前海外客户

根据传输的数据量显示从网络出站连接的顶级内部客户端。

Top Outbound Geo IP Organizations

出站流量。Top解决Geo IP组织基于流量。