KATA 7.0 и Network Detection and Response

Приветствуем вас на портале TS University!

В данной статье мы рассмотрим новый продукт от "Лаборатории Касперского" — Kaspersky Network Detection and Response или Kaspersky NDR. Мы много говорили про платформу KATA в цикле статей про Symphony XDR, и этот материал не будет исключением, ведь NDR — это её новая функциональность. Начиная с версии 7.0. Kaspersky NDR усиливает синергию защиты от целевых и сложных атак компонентов статического и динамического анализа на периметре сети, а также обнаружения и реагирования на конечных узлах в рамках всей платформы KATA.

Для начала разберёмся, что такое Network Detection and Response и с чем его едят.
NDR — это относительно новый класс решений, который подразумевает расширение возможностей уже классических Network Traffic Analysis (NTA) решений. NTA, в свою очередь, стали развитием Intrusion Detection System (IDS) решений. И хотя статей про все эти технологии уже написано много, всё же стоит верхнеуровнево вспомнить о них, начиная со старшей.

• Intrusion Detection System — классический детектор аномалий в трафике. Использует сигнатуры для выявления атак. Генерирует алерты при сработке. В случае если IDS расположен в разрез (например: в NGFW решениях), может быть дополнен Intrusion Prevention System, которая разрывает соединение при обнаружении.
• Network Traffic Analysis расширяет возможности IDS по обнаружению, выявляя скрытые угрозы и целевые атаки в сетевом трафике. Зачастую использует машинное обучение и поведенческий анализ. NTA обеспечивает лучшую защиту от новых и неизвестных угроз путем выявления этих угроз и подсвечивания их администратору через отправку уведомления.

Для всех экспертных продуктов по защите от сложных атак критично время реакции, и именно этого не достаёт решениям NTA. Хорошо, если в организации есть SIEM и SOAR, которые интегрированы дополнительно с сетевым оборудованием. Но часто бывает, что это не так. Поэтому появление инструментов реагирования, встроенных в NTA, породило NDR.

Таким образом, Network Detection and Response —логичная эволюция NTA решений.
Как я уже упомянул, NDR — это часть платформы KATA, поэтому и лицензирование связанно. Вы можете приобрести NDR как Add-on для уже имеющейся лицензии KATA и можете купить NDR Only отдельно.

В этой статье из-за аналогичной архитектуры решения и схожести в развертывании и управлении я буду опираться на информацию из статей блока KATA цикла по Symphony XDR: https://university.tssolution.ru/articles/kaspersky-symphony-xdr. Если вы ранее никогда не имели дела с платформой KATA, то настоятельно рекомендую сначала ознакомиться с этими статьями.

Те, кто знакомы с KATA, уже знают, что в этой системе есть возможность обрабатывать SPAN-трафик. В рамках этой обработки выявляются аномалии при помощи IDS, изучается FTP, HTTP, SMTP, SMB и NFS-трафик на предмет вредоносных объектов, а также изучаются DNS-запросы.

Давайте пройдёмся по основным функциям, которые даёт именно Kaspersky NDR:

• NTA обнаружения на основе глубокого анализа пакетов (DPI-определение и разбор протоколов)
• Построение карты сети
• Поддержка TLS fingerprinting для выявления угроз в зашифрованном трафике
• Хранение и поиск по сырому трафику
• Таблица сессий
• Возможность поиска сетевых событий по имени/пути процесса за счёт интеграции с Kaspersky Endpoint Security
• Список активов, инвентаризация сети и поиск неавторизованных устройств
• Оценка рисков
• Реагирование на сетевых устройствах

Стоит отметить, что в любой инсталляции при любом доступном лицензировании Kaspersky NDR будет включать в себя возможности SPAN-обнаружения из основного функционала KATA.

С версией KATA 7.0 интерфейс немного изменился, но не сильно.
Что же нового появилось в интерфейсе администратора?

Раздел Endpoint Agents, который ранее был доступен, если активировать функциональность KEDR, теперь стал вкладкой в разделе Активы. В целом она останется пустой, если не использовать функциональность KEDR.

2. Журналы

Ранее тут были только настройки записи активности пользователей. Теперь есть ещё и системные журналы.

В сообщениях приложения можно посмотреть записи о работе служб.

А в веб-интерфейсе в аудите можно посмотреть информацию о действиях пользователей системы.

3. Серверы Sensor

Вкладка достаточно сильно видоизменилась. Здесь мы видим все подключенные Сенсоры к нашей центральной ноде, можем управлять ими и добавлять новые.

Тут же видим все сетевые интерфейсы сенсоров. К интерфейсам мы можем привязать точку мониторинга, если хотим обрабатывать трафик с него.

1. Управление парольными политиками

Теперь можно управлять ротацией пароля внутренних пользователей и задавать смену пароля после первой аутентификации.

Здесь можно указать настройки для подключения к KATA сторонних систем по REST API.

Также тут можно управлять настройками сервера интеграции.

Сертификат в файле свёртки отсюда используется для подключения KES к NDR. Чуть позже мы посмотрим, как это делается.

3. Коннекторы и Секреты

Здесь располагается часть параметров, связанных с функционалом NDR. Для того чтобы обеспечить функционал реагирования, в KATA используется понятие коннекторов. Коннекторы обеспечивают подключение к сторонней системе и выполнение некоторых действий, например, отправки письма, создания события в SIEM или изменения правил на межсетевом экране.

Один из типов коннекторов — это Активный опрос. Он интересен тем, что позволяет подключать KATA напрямую к хостам по различным протоколам и таким образом сканировать их и добавлять информацию в систему.

Для того, чтобы подключаться к различным устройствам, предусмотрена система безопасного хранения учетных данных и хранятся они в разделе Секреты.

Поддерживается несколько разных типов учетных данных.

Далеко не уходя от администрирования разберёмся, как подключать наши антивирусные агенты к KATA для работы с NDR.

Это значительное преимущество именно Kaspersky NDR, ввиду того, что агенты Kaspersky Endpoint Security уже используются многими организациями и будет достаточно настроить политику и включить компонент в самом Kaspersky Endpoint Security.

Важно упомянуть, что возможность такой интеграции появляется в KES для Windows начиная с версии 12.7 и KES для Linux начиная с версии 12.2. Обязательно: у вас должен быть установлен свежий плагин управления для настройки NDR!

Интеграция KES с NDR даёт выявление аномалий и построение взаимосвязей между узлами без необходимости обязательного направления в систему SPAN-трафика. KES передаёт информацию о всех сетевых соединениях на устройстве, а также о процессах, которые этот трафик породили. NDR может обогащать данные SPAN при помощи информации с KES и таким образом ускорять Threat Hunting.

Небольшое отступление. В случае Kaspersky Endpoint Security для Windows перед обновлением агентов до 12.7+ добавьте компонент NDR в перечень устанавливаемых.

В случае если у вас уже развернута новая версия Kaspersky Endpoint Security в сети, используйте задачу изменения состава компонентов для добавления NDR.

Теперь давайте приступим к подключению. Подключение состоит из двух этапов: выгрузка файла свертки (архив с сертификатом сенсора) и настройка политики KES для работы NDR.

Для начала идём в раздел Параметры -> Серверы подключений и во вкладку Серверы интеграций. Нажмите «Добавить сервер интеграции» и в выпадающем списке выберите сервер, выполняющий роль сенсора. В моём случае он встроен в центральный узел KATA.

Для дополнительной безопасности вы можете настроить проверку сертификатов агентов.

Нажмите «Сохранить».

Убедитесь, что сенсор включен. Если нет — включите. Далее нажмите на кнопку «Получить файл свёртки для клиентов». Загрузится архив.

Теперь перейдём в Kaspersky Security Center. Откройте политику KES группы устройств, которые хотите подключить к KATA.

В разделе Detection and Response перейдите в Network Detection and Response (KATA). Укажите адрес сервера и загрузите сертификат из архива, полученного ранее.

Не забывайте закрывать замки, чтобы параметры политики применились.

Если всё сделано правильно, то в локальном интерфейсе KES вы увидите блок NDR с зеленым индикатором.

В отчете о работе компонента вы можете проверить подключение к серверу KATA.

Теперь перейдём в веб интерфейс под ролью Старший сотрудник службы безопасности.

В рамках NDR функциональности у нас есть набор новых разделов, связанных с безопасностью.

Уже знакомая вкладка с приходом NDR пополнилась новыми технологиями — NDR:IDS и NDR:EA

Сгенерируем тестовый алерт на основе сетевой активности.

Перейдя к алерту мы можем посмотреть какой сенсор стал источником данных, время создания/изменения, конкретную точку мониторинга и ID сетевого интерфейса.

Дополнительно здесь есть много прочей детальной информации по самому событию: полезная нагрузка, правило IDS, URL, IP/MAC связанных устройств, протокол и прочее.

Отсюда сразу можно перейти к похожим алертам и скачать PCAP-файл.

Отдельная страница для просмотра событий NDR, отражающих определенные изменения в сети, которые требуют внимания специалиста ИБ.

События регистрируются на основании 4 технологий:

• IDS
• Внешние системы — события, полученные по KATA Platform API
• Контроль активов — события, связанные с устройствами сети, полученные на основе сетевых данных от SPAN или EPP
• Защита конечных устройств — события об угрозах, полученных от EPP решений

Для каждого события указывается название, дата получения, оценка и пр.
Можно перейти к событию и посмотреть детали, добавить исключение, изменить статус, показать связи, скачать PCAP файл, копировать детали в буфер обмена и экспортировать информацию.

Дополнительно будут показаны причины и рекомендации.

Посмотреть все типы событий, которые регистрируются, можно в параметрах в разделе Типы событий.

В пользовательских правилах теперь правила IDS дополнены правилами NDR и называются Обнаружение вторжений.

Вы можете добавить свои правила. Стандартные правила можно только отключать/включать, они обновляются регулярно вместе с обновлением баз.

В отличие от интерфейса администратора в интерфейсе сотрудника ИБ мы видим в разделе Активы множество вкладок:

1. Устройства — список всех устройств и их свойств, полученных из трафика и EPP решений.

Устройства в списке можно объединять или добавлять вручную новые. Устройствам можно задавать статус, связывать по портам и VLAN с другими устройствами, добавлять в группы, создавать задания, а также экспортировать и импортировать.

Первое, что мы видим на странице устройства — это состояние безопасности, значимость, статус, категория, сетевое имя и группа.
Про статусы устройств мы поговорим детальнее.

Всего в системе присутствует 3 предопределённых статуса устройств:

• Разрешённые
• Неразрешённые
• Неиспользуемое

Статус по умолчанию зависит от режима работы механизма обнаружения активности устройств. Этот режим задаётся в разделе Серверы Sensor. Причем можно задать для всех сенсоров, работающих с конкретным центральным узлом, для каждого сенсора в отдельности и для отдельных точек мониторинга на интерфейсах сенсоров.

По умолчанию включено наследование для сенсоров и точек мониторинга, они применяют настройки технологий центрального узла.

Режимов работы у технологии обнаружения устройств два — обучение и наблюдение.

Режим обучения рекомендуется включать на начальном этапе эксплуатации на заранее определённое время. В данном режиме всем найденным или уже добавленным устройствам присваивается статус «Разрешенное», кроме тех случаев, когда устройству был присвоен статус «Неразрешенное» вручную. Вы можете указать, когда данный режим должен автоматически переключиться в режим наблюдения.

Режим наблюдения является штатным для системы. В таком режиме по умолчанию новому устройству присваивается статус «Неразрешенное». Если устройство уже присутствует в системе со статусом «Неиспользуемое», то ему тоже автоматически присвоится статус «Неразрешенное».

Статус «Неиспользуемое» автоматически присваивается «разрешенному» устройству, если оно не проявляет активность более 30 дней. При этом если задать статус вручную, то это поведение можно изменить для определённых устройств, редко появляющихся в сети.

Помимо сетевых данных, NDR по возможности собирает инвентаризационную информацию об оборудовании, программном обеспечении, агенте EDR и приложении EPP.
В дополнительных вкладках можно посмотреть детальнее адреса на интерфейсах, связь с другими устройствами и оборудование.

2. Пользователи

Здесь NDR собирает в единое место перечень всех пользователей на всех узлах сети. Соответственно, можно найти, например, на каких хостах сети был замечен тот или иной пользователь.

3. Исполняемые файлы

Также ведётся инвентаризация всех исполняемых файлов.

Можно посмотреть все хосты, где был обнаружен конкретный исполняемый файл и связанные события.

4. Endpoint Agents
На этой вкладке собирается информация о хостах с EDR агентом. В случае если у вас нет лицензии на KEDR, вкладка будет пуста.

5. Адресные пространства
Вы можете распределить всю сеть на различные адресные пространства и искать хосты, исходя из этого. По умолчанию уже имеется адресное пространство Default и набор стандартных подсетей. NDR будет помещать каждое устройство в свою подсеть и автоматически дополнительно делить подсети исходя из информации о их адресах и масках сети.

При создании новых адресных пространств вы можете указать правила, по которым устройства будут распределяться в них.

6. Активный опрос
Здесь можно назначить задачу активного опроса для получения дополнительных данных с устройств. Про него я писал ранее.

К примеру, так выглядит опрос по SSH и полученные сведения об устройстве:

Один из самых занимательных разделов. Тут тоже есть набор вкладок, давайте на них взглянем.

1. Карта сетевых взаимодействий

Преимущество именно решения Kaspersky NDR в том, что можно строить карту сети даже без SPAN, только с использованием антивирусных агентов EPP. Решение, получая информацию о сетевых сессиях, будет автоматически искать и связывать узлы.

Карта сети интерактивна, вы можете перейти к информации об узле, кликнув по нему. Вы можете двигать узлы, группировать, менять форму отображения.

Карта привязана ко времени, поэтому вы можете посмотреть взаимодействие узлов не только в текущий момент, но и ретроспективно.

Вы можете нажать на само соединение и посмотреть информацию по связи двух узлов.

Узлы, связанные с инцидентами, будут отображаться красным цветом на карте.

2. Топологическая карта

В отличие от карты взаимодействий, здесь отображается связь на уровне соединений устройств. Например, можно указать, какие устройства подключены в какие порты коммутатора, и какими портами коммутаторы связаны между собой. Связь устройств выставляется вручную. По умолчанию все устройства не связаны друг с другом.

3. Сетевые сессии

Все сессии, полученные из трафика и с EPP, регистрируются в таблице сессий.

По каждой сессии можно детально посмотреть кто, куда и сколько передавал.

В случае если по данной сессии был записан трафик со SPAN, вы сможете скачать по ней PCAP файл.

Также доступен из меню сессии быстрый переход к устройствам, событиям, алертам и карте сети.

Помимо этого, по пакетам также доступен очень гибкий поиск в рамках Threat Hunting с использованием технологии Berkley Packet Filter, а также по регулярным выражениям, точкам мониторинга и адресным пространствам. То есть поиск осуществляется не по данным в таблице сессий, а именно по записанному сырому трафику, который впоследствии можно загрузить в виде PCAP для дальнейшего изучения.

В данном разделе будут освещаться такие аспекты, как устаревшая ОС, использование утилит удалённого управления, небезопасная версия протокола SSH и пр. Риски будут ранжироваться и сортироваться.

Все типы рисков перечислены в параметрах в разделе «Типы рисков».

Помимо функций безопасности расширились также и возможности по отчётам.

Появились 4 предустановленных отчёта в рамках NDR защиты: краткий отчёт, отчет об активах, отчёт о безопасности системы и полный отчёт.

Вы можете формировать отчёт по расписанию и отправлять его на требуемые почтовые адреса.

Сформированные отчёты помещаются в отдельную вкладку.

Каждый отчет предоставляется в формате PDF в виде различной инфографики.

Как я ранее говорил, в рамках Kaspersky NDR можно реагировать через сторонние системы. Один из методов реагирования мы уже рассмотрели — Active poll, давайте поговорим про остальные. И начнём разговор мы с понятия коннекторов.

Коннекторы — специальные программные модули, которые предоставляют возможность KATA взаимодействовать со сторонними системами. Причем через коннекторы мы можем как получать информацию, так и передавать.

Коннекторы бывают управляемыми и неуправляемыми. В случае неуправляемого коннектора функции регистрации коннектора в KATA, запуск/остановка или удаление его программных модулей выполняются вручную на узле размещения этого коннектора. А в управляемых коннекторах эти функции могут быть выполнены самой KATA. Все коннекторы, предоставленные вендором — управляемые.

Всего из коробки в KATA 7.0 доступно 7 коннекторов для реагирования:

• Syslog. Позволяет отправлять данные о событиях на Syslog сервер.
• SIEM. Позволяет отправлять данные о событиях в SIEM систему.
• Generic. Позволяет интегрироваться сторонним системам с KATA через KATA API.
• Email. Позволяет отправлять данные о событиях в виде почтового сообщения.
• Active poll. Активный опрос устройств для получения сведений о них.
• KUMA. Позволяет интегрировать KATA с Kaspersky Unified Monitoring and Analysis Platform и отправлять в неё информацию об устройствах и рисках, а также применять в KUMA команды на изменение статусов устройств.
• Cisco Switch. Позволяет управлять доступом устройств к сети на коммутаторах Cisco. Можно ограничить доступ создав правило блокировки в списках контроля доступа по MAC адресам и IP адресам, а также можно отключать Ethernet-порты, к которым подключены устройства.

Коннекторы привязываются к событиям и будут автоматически использоваться при их наступлении.