陕西瑞金电子科技有限公司
2009年12月
修改记录
本文档中所包含的信息属于机密信息,如无的书面许可,任何人都无权复制或利用。
目录
1.前言 (4)
1.1文档目的 (4)
1.2文档范围 (4)
1.3目标读者 (4)
2.CS-MARS介绍 (5)
3.CS-MARS配置 (6)
3.1CS-MARS初始化 (6)
3.2CS-MARS网络设备自动发现 (6)
3.3添加网络安全设备 (8)
3.4定期更新设备发现 (10)
4.CS-MARS事件分析介绍 (11)
5.CS-MARS RULE (13)
5.1自带RULE规则库 (13)
5.2自定义CS-MARS规则 (13)
6.CS-MARS拓扑发现及系统统计信息 (16)
6.1拓朴结构及设备查看 (16)
6.2系统统计信息 (17)
7.安全事件操作(INCIDENT) (18)
7.1查看I NCIDENT (18)
7.2攻击分析过程 (19)
7.3攻击缓解 (21)
8.MARS的报表功能 (24)
8.1过去1天最大访问目的IP端口报告 (24)
8.2过去1天最大S OURCE设备 (24)
8.3过去1天最大D ESTINA TION设备 (25)
8.4过去1天产生R EPORT最多的设备 (25)
8.5自定义R EPORT (26)
9.CS-MARS管理 (27)
9.1L ICENSE信息 (27)
9.2用户管理 (27)
1.前言
1.1文档目的
使用了CISCO公司的CS-MARS系统对全网的安全事件进行统筹管理,目前CS-MARS系统已上线运行,并进行了基本的配置和使用。
1.2文档范围
本文档用于作CS-MARS系统的使用参考文档。
1.3目标读者
本文档的主要目标读者为计算机网络项目组相关领导和技术人员。
2.CS-MARS介绍
在一个大型的网络系统中,布置了各种各样的网络设备,例如路由器、交换机、防火墙、VPN、IDS/IPS等等,这些设备都带有简单的或者极高的安全规则,在一定范围内保护网络不受攻击。但对一个大型网络来说,设备的数量比较庞大,如果所有的设备事件都一一分析查看,将耗费大量的管理时间和人力,所以一套设备可以对全网中所有的安全事件进行全局管理、分析和决策。
CISCO安全监控分析和响应系统(CS-MARS),简单的说CS-MARS的功能就是可以接受各种设备的事件和数据,进行事件分析、汇总,然后根据需要生成相关的报告结果. 以达到识别和消除网络攻击。
CS-MARS监控系统是基于TCP/IP协议进行工作,只要是IP路径可达的设备,都可以将本身的Log/Snmp信息发送给CS-MARS系统,由CS-MARS系统收集到网络系统所有的syslog进行统一分析,从全局角度检测系统中存在的故障点。
3.CS-MARS配置
3.1CS-MARS初始化
MARS系统采用UNIX的内核,重启后第一次进行采用缺省的用户名:pnadmin 第一次登录密码:pnadmin
配置了passwd后,进入到MARS系统(CLI界面),通过“?”可获取配置命令的帮助
由于CS-MARS是基于GUI进行管理,为了可以通过IE登录到CS-MARS 系统,在第一次通过CLI登录后,首先需要给连接网络的网卡端口进行IP地址设置。
通过命令ifconfig eth0 10.10.1.212 255.255.255.0修改MARS的eth0的IP地址,更新后,MARS自动重启。
重启后,还需要给CS-MARS配置缺省网关,通过命令gateway 10.10.1.254完成网关的设置。
设置了IP地址和GATEWAY后,可以通过ping来测试CS-MARS系统与其它设备的连通性。
-----注意事项:MARS有两个物理接口(Eth0和Eth1),其中Eth0用于搜集网络设备的日志信息,Eth1用于带外管理使用。两个接口不允许配置在同一个网段。
3.2CS-MARS网络设备自动发现
1.打开IE浏览器,输入https://10.10.1.212,接受受认证证书,登录到管
理界面,用户名密码为pnadmin/pnadmin
-----注意:提前安装软件SVGView 以便可以观看全部MARS提供的全部报表图。
第一次登陆时需升级License Files,该文件可以通过cisco网站使用PAK
获得(图二)。
图1.登录界面
图2.升级License Files
2.配置交换机SNMP community string
以Core-SW1为例:
Core-SW1(config)#snmp-server community cisco RO
Core-SW1(config)#snmp-server enable traps
Core-SW1(config)#snmp-server host 10.10.1.212 informs version 2c cisco
Core-SW1(config)#snmp-server host 10.10.1.212 version 2c cisco
3.点击ADMIN->“Community string and network”选项,填入需要发现设
备的IP地址段和Community string(Community string 为网络交换机的SNMP Community string) 后,点击“ADD”,完成相关IP网段之后,点击“submit”,如下图:
图3.输入网络设备的Community属性
4.按“back”返回主菜单,点击“valid network”,填入有效的发现网络之
后,点击“ADD”,单击“discovery device”进行设备发现,结束后点
击“submit”,如下图所示:
图4.输入有效网络
5.检查新发现的设备列表,点击“admin”--“Security monitor device”,
可以检查已被发现的设备清单,如下图所示:
的
图5.被发现设备
3.3添加网络安全设备
1.配置安全设备SNMP community string
以ASA5540为例
asa5540-1(config)#snmp-server community cisco
asa5540-1(config)#snmp-server host inside 10.10.1.212 community cisco asa5540-1(config)#snmp-server enable traps all
2.点击“admin”--“security monitor devices”,添加需要增加管理工作的
设备,示例如下图所示:
图6.添加安全设备
3.在添加安全设备时,CS-MARS上需要添加设备的软件版本要与设备的
实际版本一致,而且被管理的设备的软件版本需要满足CS-MARS的需求(软件版本请查阅MARS的Release Notes)。为了让CS-MARS了解网络的详细拓扑,需要把每台加入的设备的login password,enable password和SNMP community配置对。填完之后,按Discovery,此时设备已经添加完毕。
注:如果添加设备不成功,CS-MARS会提供添加设备错误的原因,可根据原因改正
4.要使CS-MARS收集的安全设备的数据,还必须都将安全设备的日志信
息发给CS-MARS。
logging enable
logging timestamp
logging list auth-infomational level informational class auth
logging buffered errors
logging trap informational
logging asdm errors
logging host inside 10.10.1.212
3.4定期更新设备发现
初始化了网络拓扑后,可以设置CS-MARS自动更新的系统拓扑,保证网络系统的完整性
1.在Admin的首页,点击“Topology/Monitored Device Update Scheduler”
选项
2.选择“Default Discovery Group”---“edit”,对设备自动发现的内容进行
配置,如下图所示:
图7.设备定期更新
4.CS-MARS事件分析介绍
CS-MARS通过从各设备收集来的syslog信息,通过分析比较,汇总出事件的整体过程,事件分析中关键词语为:
Raw message----从各设备发给CS-MARS的最初信息定义为raw message,为第一个等级的信息
Event----CS-MARS将各种raw message定义为Event,它是CS-MARS分析的原始信息
Session----CS-MARS对所有的Event进行智能分析、统一,把相同的Event 归纳为session(例如有相同的源、目的、协议等)
Rule----攻击事件规则,CS-MARS使用Rule对session进行分析
Incident----事件,CS-MARS根据session前后的关联性,升级到Incident 各种状态之间的关联如下:
图8.事件分析流程图
由于最初收集的是大量的Event,CS-MARS通过一步步形成Session 汇聚升级至Incident,过程可用下图说明:
图9.事件分析过程示意图
5.CS-MARS RULE
如前所述,CS-MARS使用rule对各种session进行智能关联分析,在分析后决定是否将session升级为Incident
5.1自带RULE规则库
CS-MARS自身就带有一个非常大型的Rule库,在这个Rule库是汇集了大部分网络攻击的行为特征,通过自带的Rule规则库,CS-MARS可以分析出现在网络上大部分的攻击事件
点击“Rule”可以查看到CS-MARS自身带有的所有Rule库,如下图所示:
图10.Rul规则库
5.2自定义CS-MARS规则
CS-MARS缺省提供了相当多的规则,根据这些规则可以产生相应的报表,
除此之外,还可以通过自定义规则的方式增加客户化的安全规则,用于特定环境或特定要求之下的事件分析。自定义规则可以通过修改系统规则或增加规则的方式创建:
1.通过修改system rule生成。首先找到作为生成基础的System rule,选上,
然后按Duplicate,然后对rule中的配置作相应的调整或增减。
图11.修改system rule生成新规则
2.创建新规则。进入RULE页面,按ADD 创建规则,进入规则命名页面
(图9.增加新规则),规则命名完之后,按NEXT到规则格式页面,根
据MARS提示,到达某一参数时,选择你需要的参数值填入参数框里
(图10. 配置新规则参数),填完所有参数,到达确认框,按YES应用
(图11. 确认新规则)。
图12.增加新规则
图13.配置新规则参数
图14.确认新规则
3.激活规则和去激活规则。规则建立后无法删除,当不需要使用某规则时,
可以通过去激活实现。只要把ACTIVE规则勾上,按change status 就可将规则处于非激活状态。(图12.规则的激活状态)
图15.规则的激活状态
6.CS-MARS拓扑发现及系统统计信息
6.1 拓朴结构及设备查看
对于CS-MARS的分析功能来说,对网络拓扑的认识非常重要,主要是基于以下几点:
1.利用网络拓扑发现同一个进程的不同事件和流程
2.利用网络拓扑减少误报
3.利用网络拓扑发现最理想的防御点
4.利用网络拓扑发现攻击路径和网络热点
5.利用网络拓扑提高证据分析能力
MARS通过对所有被管理安全设备的分析,可以生成完整的网络拓扑图。进入Summary 页面,在Hotspot Graph 面板按full topo graph 就可以看到整体的拓朴结构。
网络拓扑图如下:
图16.整网拓扑图
6.2 系统统计信息
MARS可以实时地显示系统的统计信息,如收到的安全事件数量,分别属于什么等级(高、中、低),收到的session数量,收到的Netflow事件数量,以及进行关联后,信息的压缩比率等。
图17.系统统计信息
7.安全事件操作(Incident)
MARS具有丰富详尽的安全事件查看功能,管理员能够通过MARS的界面即使地获得网络当前发生的事件。同时,通过MARS的矢量分析以及建议,可以采取有效的办法缓解或消除各种不正常的安全事件。
7.1 查看Incident
1.点击SUMMARY 页面,可以点击“Incidents”查看攻击事件的整个拓
扑
2.在INCIDENTS页面中,该页面已列出近来发生incident 清单,如果
Incident数量较多,可以根据Rule的规则对Incident进行查看,如下图
所示:
图18.安全事件(Incident)清单
7.2 攻击分析过程
MARS可以实现具体攻击的分析,通过对某个安全事件的查看,就能得到攻击的类型,源、目标和攻击跳板的信息。
1.选择某一Incident
图19.Incident选择
2.查看某一Incident
图20.点view查看incident
图21.incident描述
3.Incident对应的Rule
图22.Incident---Rule
4.Incident汇总路径及session信息
图23.路径分析选择
图24.路径分析及session信息
5.Incident的矢量分析
针对每一incident,CS-MARS都使用直观的攻击图给出其矢量分析的原因,如下图所示: