Статья 5. Интерфейс

Приветствуем вас в пятой статье цикла «PT NAD Getting Started» на платформе TS University!

В предыдущих статьях мы обсудили настройку и установку PT NAD. В этом и следующих материалах будет подробно рассмотрен доступный функционал решения.

Для упрощения понимания, а также для разделения статей функционал будет условно поделен на две категории: инструментарий базового администрирования и инструментарий продвинутого администрирования.

Под базовым администрированием мы подразумеваем те инструменты, которые оператор будет использовать чаще всего. А также варианты, не требующие особой подготовки для использования.

В данной статье речь пойдет о базовом функционале интерфейса PT NAD.

После успешной установки PT NAD и внесения необходимых настроек (описанных в предыдущих статьях), пользователь может попасть в веб-интерфейс продукта.

Для этого необходимо в адресной строке браузера ввести <адрес сервера>, на котором установлен PT NAD. Перейдя по адресу сервера пользователь попадает в первичный интерфейс, где ему необходимо «авторизоваться» под учетной записью.

При первом входе необходимо воспользоваться стандартными учетными данными:

• логин administrator
• пароль Administr@t0r

Данная учетная запись имеет привилегии администратора, поэтому сразу же после входа в продукт настоятельно рекомендуется изменить пароль.

Пройдя авторизацию, пользователь попадает на главную страницу PT NAD, которая представлена вкладкой «Дашборды».

Помимо вкладки с дашбордами в верхней левой части интерфейса можно заметить следующие:
· Сессии
· Атаки
· Сетевые связи
· Лента активностей
· Узлы

Данные вкладки представляют собой основные элементы администрирования PT NAD и интересны больше всего потому, что именно в них представлено большинство информации. А также именно в них происходит основная работа по мониторингу, оперированию и расследованию.

Однако перед рассмотрением функционала каждой вкладки необходимо изучить общие для них инструменты.

Если идти сверху вниз по WEB-странице, то можно отметить снизу от перечня вкладок поле, в котором отображается диаграмма скорости захватываемого трафика.

Еще ниже находится пустое поле ввода: данное поле позволяет задавать запросы для фильтрации данных.

Рядом с полем ввода можно отметить такие функциональные кнопки, как: «Автообновление», «Выпустить отчет», «Количество атак» и «Количество индикаторов компрометации».

Так как эта вкладка является также и главной страницей, мы считаем, что начать повествование об основном функционале PT NAD лучше всего будет именно с неё.

Данная вкладка позволяет провести оперативную оценку на основе предоставляемых статистических данных о трафике сети за определенный промежуток времени.

В зависимости от настройки вкладки можно оценивать такие параметры трафика, как:

• использованные транспортные и прикладные протоколы
• ОС узлов
• список переданных файлов
• список сетевых связей и многое другое

Вкладка «дашборды» как и многое другое в PT NAD, способна гибко настраиваться под конкретного оператора. Настраиваемые части этой вкладки можно разделить на две категории: виджеты и дашборды.

Дашборды — это редактируемый набор виджетов.

По умолчанию доступно три заранее настроенных страницы с наборами виджетов:

• Трафик
• Обнаруженное ПО
• Атаки

Максимальное количество дашбордов: 10.

Виджеты — это заранее представленные нередактируемые поля с информацией в виде диаграмм, гистограмм, тепловых карт, таблиц и т. д. (их можно свободно размещать на дашбордах в зависимости от нужд оператора).

Виджеты интерактивные: оператор, например, может сортировать строки в таблицах по нажатию на заголовок столбца. Также информацию можно напрямую экспортировать из виджетов, например, скачать в формате JSON или в формате CSV.

В дальнейшем речь пойдет про настройку дашбордов. Поэтому, как ранее упоминалось, необходимо объяснить функцию кнопки «Автообновление».

Функция автообновления, в зависимости от выбранного оператором периода фильтрации, производит автообновление данных на дашбордах. Это может быть полезно оператору при длительном наблюдении за изменениями в трафике. Частота автообновления дашбордов напрямую зависит от длительности выбранного периода фильтрации.

Для удобства мы занесли данные о частоте автообновления на дашбордах в таблицу:

Кроме того, необходимо отметить, что (в отличие от создания, удаления и переименования дашбордов), функция добавления виджетов на дашборды является не такой тривиальной.

Именно поэтому мы видим определённый смысл в том, чтобы познакомить вас со списком доступных виджетов, разделенных при этом на категории.

Ниже представлено поле похожее на диаграмму скорости трафика. Однако данное поле вдобавок ещё и разделено на временные отрезки, а также показывает цветом скорость входящего и исходящего трафика. Синий — входящий, фиолетовый — исходящий.

Еще ниже представлено основное окно работы. Оно выглядит как список сетевых сессий, которые уже проанализированы по параметрам, представленным в виде столбцов. По умолчанию сессии отсортированы по времени начала сессии.

Однако это можно изменить, нажав на название нужного столбца.

Что касается настройки данного поля, здесь можно выполнять стандартные операции:

• добавить дополнительные столбцы
• скрыть ненужные
• изменить их порядок и изменить ширину столбца

По умолчанию в таблице сессий отображаются столбцы:
· Ошибки обработки сессии (
). Наличие значка
в строке сессии говорит о том, что при обработке трафика сессии были обнаружены ошибки;
· !. Уровень опасности атаки или другого события. Если в записи была добавлена отметка о ложном срабатывании правила, значок уровня опасности зачеркнут;
Файлы. Признак того, что во время сессии были переданы файлы, распознанные PT NAD;
Начало. Дата и время начала сессии;
Конец. Дата и время окончания сессии: если сессия еще активна, вместо времени отображается значок (при наведении на него курсора во всплывающей подсказке отображается время получения последней информации о сессии);
IOC. Обнаруженные индикаторы компрометации;
Хранилище. Название выделенного хранилища, в котором хранятся данные о сессии и её трафик;
Транспорт. Протокол транспортного уровня;
Протокол. Протокол прикладного уровня;
IP-адрес отправителя. IP-адрес узла, отправившего сетевой запрос;
Порт отправителя;
Домен отправителя;
Страна отправителя;
IP-адрес получателя. IP-адрес узла, получившего сетевой запрос;
Порт получателя;
Домен получателя;
Страна получателя;
Отправленный объем. Объем данных, переданных в рамках сессии;
Полученный объем. Объем данных, полученных в рамках сессии.
Просмотр подробной информации о сессии
Для подробного рассмотрения содержимого сессии необходимо в правой части страницы перейти по кнопке с двумя стрелками или двойным нажатием на конкретную сессию. Откроется страница с подробной информацией и расширенным описанием всего, что было в столбцах.
Отдельно необходимо отметить следующие функции:

• Во-первых, отправить сессию в выделенное хранилище для последующего отдельного разбора
• Во-вторых, скачать дамп сессии в формате PCAP для последующего разбора сессии, например, в программе «Wireshark»
• В-третьих, скачать вложенные файлы, если таковые имеются

Кроме того, есть возможность быстрого создания фильтра по одному из атрибутов. Вся информация, представленная в продукте и при этом подсвеченная синим цветом, интерактивна, и при клике на нее оператором она будет добавлена как фильтр.

Вкладка «Атаки» составляет важную часть аналитической работы PT NAD.

PT NAD анализирует пакеты трафика на предмет компрометирующих признаков. Сами компрометирующие признаки определяются при выявлении определенных сетевых взаимодействий с последующим их сравнением с написанными аналитиками PT NAD. Или же лично оператором шаблонами взаимодействий, которые называются правила для обнаружения атак.

Правила для обнаружения атак — это совокупность признаков в метаданных трафика, по которым PT NAD обнаруживает атаку или фазу ее проведения. Правило также определяет свойства атаки (название, класс и уровень опасности) и может содержать справочную информацию о ней, например, описание эксплуатируемой уязвимости и рекомендации для оператора.

Подробнее о правилах мы расскажем в следующей статье.

Визуально данная вкладка похожа на вкладку «Сессии». Однако в данном инструменте представлены не сессии сетевых взаимодействий, а перечень сработавших правил, который представлен в табличном виде.

Необходимо также отметить, что был несколько изменен функционал относительно вкладки «Сессии»: строка «общий трафик» была заменена на строку количества атак.

Поле скорости трафика было изменено на гистограмму распределения атак по времени и их классу опасности.

Далее идет перечень обнаруженных атак в табличном виде.

По умолчанию в таблице отображаются столбцы:
!. Уровень опасности атаки или другого события. Если в записи была добавлена отметка о ложном срабатывании правила, значок уровня опасности зачеркнут;
Название. Название правила, по срабатыванию которого была сгенерирована запись. Если в записи была добавлена отметка о ложном срабатывании, название зачеркнуто;
Класс. Класс атаки или другого события;
Риск эксплуатации. Информация о риске эксплуатации уязвимости, полученная от MaxPatrol SIEM (при настроенной интеграции с этим продуктом;
Обнаружена. Дата и время срабатывания правила;
IOC. Обнаруженные индикаторы компрометации;
IP-адрес атакующего. IP-адрес узла, который является источником атаки;
Страна атакующего. Страна, в которой находится узел, являющийся источником атаки;
IP-адрес атакуемого. IP-адрес узла, который является целью атаки;
Страна атакуемого. Страна, в которой находится узел, являющийся целью атаки.
В первом столбце у каждой сессии указана ее опасность в виде цветного квадратного индикатора.
Используется четыре цвета:
— Красный: высокая опасность;
— Желтый: средняя опасность;
— Голубой: низкая опасность;
— Серый: другие события, на которые следует обратить внимание.

Механизм сортировки идентичен механизму из вкладки «Сессии». Первоначально атаки отсортированы по времени, однако каждый столбец является интерактивным, и по нему можно задать фильтрацию.

В таблице могут встречаться IP-адреса, домены и идентификаторы узлов. Из таблицы вы можете получить подробную информацию о них. Если узел известен продукту, то вы можете просмотреть сводку об этом узле. Если IP-адрес или домен относятся к неизвестному узлу, то вы можете перейти к просмотру статистики по этому IP-адресу или домену на дашбордах. А также получить информацию о них на внешних ресурсах.

Также, как и во вкладке «Сессии» здесь присутствует возможность перейти в подробный разбор срабатывания атаки.

В данном окне будут представлены:

• дата срабатывания
• название правила
• класс опасности
• тип ВПО
• к какой тактике и технике MITRE ATT&CK относится атака и что рекомендуется сделать для устранения

В правой части представлен дополнительный функционал, характерный для записей во вкладке «Атаки» и позволяющий отметить срабатывание как ложное, создать исключение, скачать дамп или файлы и отправить их в хранилище.

Вкладка сетевых связей имеет две функции:

• Выявление наиболее активных узлов и визуализация их сетевых взаимодействий (если не были применены фильтры);
• Отображение сетевых связей определённых узлов при применении фильтров

Данные функции полезны при расследовании инцидентов для создания картины сетевых взаимодействий и возможного анализа активности определенных узлов.

Важно помнить, что по умолчанию данный инструмент отображает 10 узлов, но можно увеличить данное количество до 20.

Ввиду ограничения в 20 узлов в некоторых случаях на схеме присутствуют связи с узлом 0.0.0.0. Данный узел подразумевает под собой объединение множественных сессий (например, при сканировании узлом диапазона адресов). При просмотре карточки сессии можно будет увидеть конкретные адреса сетевых устройств.

При нажатии на узел отображаются его IP-адрес и DNS-имя (при наличии).

Важно помнить, что по умолчанию данный инструмент отображает 10 узлов, но можно увеличить данное количество до 20.

Ввиду ограничения в 20 узлов в некоторых случаях на схеме присутствуют связи с узлом 0.0.0.0. Данный узел подразумевает под собой объединение множественных сессий (например, при сканировании узлом диапазона адресов). При просмотре карточки сессии можно будет увидеть конкретные адреса сетевых устройств.

При нажатии на узел отображаются его IP-адрес и DNS-имя (при наличии).

Кликнув на линию связи (ребро графа) между двумя узлами, пользователь системы увидит всплывающее окно со следующей информацией о взаимодействии между этими узлами:

• IP-адреса узлов;
• информацию о связи между узлами;
• DNS-имена узлов;
• зафиксированные атаки и информацию о них.

Отображаемые в данной вкладке активности можно отсортировать по дате обнаружения или по их опасности. Над несколькими отмеченными активностями можно выполнить массовую операцию, например, действие «Не отслеживать».

Каждая активность имеет свое меню, из которого можно открыть информацию о ней в новом окне браузера (обратите внимание на автоматически формируемый для этого фильтр).

Можно выбрать решение по этой активности (например, если она уже была устранена или оказалась ложным срабатыванием).

Инструмент «Узлы» позволяет просмотреть устройства в сети и их роли, определенные автоматически на основании по генерируемого узлом сетевого трафика. Нетипичный трафик у определенных категорий узлов явно сигнализирует о необходимости проведения расследования.

В верхней части вкладки присутствует поле фильтрации узлов. В любом поле панели фильтрации можно вводить несколько значений (с запятой в качестве разделителя). В полях допускается ввод части значения (кроме номеров портов, их нужно вводить полностью). При этом для неполного поиска по идентификаторам и IP-адресам узлов допускается ввод только начальной части значений.

Важно помнить, что при фильтрации по нескольким значениям в одном поле фильтра используется логический оператор «ИЛИ» для выбранных значений.

Поле фильтрации состоит из следующих параметров:

• Узел. Поиск узла по его идентификатору, названию, IP-адресу и (или) домену;
• Тип. Поиск узла по его типу (допускается множественный выбор);
• Роль. Поиск узла по его ролям;
• Группа. Поиск узла по группам узлов, в которые он входит (или когда-либо входил);
• Вход. Трафик (протокол, баннер, порт). Поиск узла по типу поступающего на него трафика (по прикладным протоколам, баннерам и портам);
• Исход. Трафик (протокол, баннер). Поиск узла по типу отправляемого им трафика (по прикладным протоколам и баннерам клиентов);
• Ещё. Поиск узла по логинам, которые были обнаружены в связанном с ним трафике, или по наличию в записи о нем пользовательских изменений или комментария.

При этом само рабочее поле вкладки представлено в табличном виде похожем на аналогичные во вкладках «Сессии» и «Атаки».

Для каждого узла указаны следующие данные:

• Идентификатор: идентификатор узла;
• Пользовательские изменения (иконка карандаша): наличие в строке узла значка говорит о том, что вы или другой пользователь PT NAD изменили тип или роли узла, или же задали ему свое название;
• Название: тип и название узла;
• IP-адрес: последний замеченный IP-адрес узла;
• Роли: роли узла (например DHCP-сервер, служба каталогов или контроллер домена);
• Группы: группы, в которые входил узел за все время наблюдения;
• Домены: доменные имена узла за все время наблюдения;
• ОС: операционные системы, использование которых было замечено на узле за все время наблюдения;
• Входящий трафик: прикладные протоколы, использование которых было обнаружено во входящих соединениях узла за все время наблюдения;
• Исходящий трафик: прикладные протоколы, использование которых было обнаружено в исходящих соединениях узла за все время наблюдения;
• Логины во вход. трафике: логины, которые использовались при успешной аутентификации и были обнаружены во входящем трафике на узел за все время наблюдения;
• Логины в исходящем трафике: логины, которые использовались при успешной аутентификации и были обнаружены в исходящем трафике с узла за все время наблюдения;
• Обнаружен: дата и время начала первой сессии, в которой узел впервые был обнаружен;
• Был активен: дата и время завершения последней сессии, в которой был замечен узел;
• Изменен: дата и время последнего изменения информации об узле (без учета пользовательских изменений);
• Комментарий: пользовательский комментарий к узлу.

В правом верхнем углу располагается функционал для «продвинутого» администрирования PT NAD.

Большинство из данных инструментов будет рассмотрено в следующей статье. Однако мы считаем, что необходимо остановиться на нескольких инструментах, которые носят глобальный характер и скорее относятся к базовому администрированию.

Такими инструментами будут:

• Список хранилищ
• Период фильтрации
• Трафик за последний час
• Мониторинг состояния

А также такие вкладки, как:

• Администрирование
• Справка
• «Настройки»

Они будут рассмотрены нами в следующих материалах, так как включают в себя множество возможностей администрирования и требуют подробного описания каждой из них.

PT NAD имеет собственную файловую систему, которая собирает данные для последующего анализа и обработки оператором. По желанию оператора также возможно сохранение отдельных сетевых сессий и целых временных промежутков трафика.

Файловая система PT NAD разделяется на потоковые и выделенные хранилища.

Изначально в PT NAD существует только одно хранилище, в которое записывается весь поступивший с сенсора трафик в формате PCAP. Для каждого сенсора будет выделено собственное хранилище. Данные хранилища считаются основными. Они необходимы для непосредственной работы продукта, настройки уведомлений и регулярных отчетов по текущему трафику. А также экспорта исходной копии и метаданных поступающего трафика, формирования ленты активностей и составления списка узлов.

В случае односерверной конфигурации данное хранилище по умолчанию носит название live1. Такие хранилища называются потоковыми.

Потоковые хранилища во избежания переполнения автоматически форматируются скриптом ротации, который можно отдельно настроить в конфигурационном файле ptdpi.settings.yaml. По умолчанию скрипт ротации удаляет самые старые файлы в хранилище по достижению 90% заполненности диска для сырого трафика. Либо через две недели для метаданных Elasticsearch.

Для сохранения отдельных сессий и промежутков записанного трафика существуют отдельные хранилища, которые можно свободно создавать и удалять по желанию оператора. Такие хранилища называются выделенными. Данные хранилища являются логическими и для них не нужно вставлять отдельные физические носители (однако, такой вариант также возможен).

В ходе работы можно свободно переключаться между хранилищами без потери их работоспособности. То есть, если оператор переключился с потокового хранилища на выделенное, потоковое хранилище продолжит собирать данные и не потеряет информацию.

По умолчанию в веб-интерфейсе продукта отображаются данные из потоковых хранилищ. При переключении между хранилищами PT NAD предложит переместиться в тот временной промежуток, в котором обнаружен последний записанный сетевой трафик для выбранного хранилища.
Выполнять работу с хранилищами можно по нажатию иконки
в правом верхнем углу экрана. Данная иконка доступна из вкладок «Дашборды», «Сессии», «Атаки» и «Сетевые связи».

Выполнять работу с хранилищами можно по нажатию иконки
в правом верхнем углу экрана. Данная иконка доступна из вкладок «Дашборды», «Сессии», «Атаки» и «Сетевые связи».

В этой функции доступен поиск по названиям хранилищ, а также функция импорта трафика из сторонних источников в формате PCAP. Для импорта трафика необходимо либо создать новое выделенное хранилище, либо записать в уже существующее. Если в хранилище сразу не импортировать файл PCAP, его создание будет прервано.

В списке потоковые хранилища отображаются первыми, независимо от сортировки данных. Импортировать трафик в потоковое хранилище нельзя. Необходимо помнить, что перенос данных создает дополнительную нагрузку на ЦПУ сервера и на дисковую подсистему сервера, что может повлиять на обработку захватываемой копии сырого трафика.

Данный инструмент является частью системы фильтрации трафика в PT NAD, однако не требует специального изучения инструмента и поэтому условно относится к базовому интерфейсу (в отличие от фильтрации данных по атрибутам сессий и атак).

Эта функция имеет иконку и позволяет выбрать интервал времени, за который будет отображен сетевой трафик в рабочей области.

Присутствуют как преднастроенные временные промежутки для выбора, так и возможность выбрать определенный необходимый оператору промежуток.

При выборе промежутка необходимо отметить одну важную вещь касательно нагрузки на вычислительные мощности сервера (которая уже была частично освещена ранее в разделе про хранилища). Желательно максимально сужать интервал времени, за который будет выполняться поиск: каждый поисковый запрос вызывает обращение к БД Elasticsearch.

В ней же происходит чтение соответствующих файлов, что создает дополнительную нагрузку на систему и занимает определенное время. Чем крупнее интервал времени, охватываемый запросом оператора, тем больше становится объем данных, который необходимо прочитать для обработки запроса. Также на время ответа системы напрямую влияет быстродействие используемых накопителей.

Так, например:
— за последний час: поиск происходит очень быстро, данные еще находятся в кэше ОЗУ;
— за последние восемь часов: поиск происходит быстро. Часть данных находится в кэше, часть необходимо прочитать с накопителей;
— за последние сутки: появляется заметная задержка между отправлением запроса и получением результата поиска. В кэше находится небольшая доля нужных данных;
— за трое суток: задержка в обработке запроса оператора может достигать нескольких минут. Необходимо прочитать много гигабайт файлов с накопителей.
Если сервер хранит данные за месяц работы и оператор системы отправит запрос на поиск информации в хранимых данных за первые десять суток, то потребуется прочесть огромный объем данных с накопителей (и все они не будут находиться в кэше). Это может вызвать длительное ожидание ответа системы, вплоть до появления ошибок с таймаутами в интерфейсе продукта.

Трафик за последний час
Последней рассмотренной функцией будет «Трафик за последний час». Данный инструмент позволяет пользователю оперативно переключиться на отображение актуальных сессий, захваченных за последний час. Он также полезен при ручном обновлении временного периода.

Находится этот инструмент в верхней правой части экрана и выглядит так:

За мониторинг PT NAD отвечает цветной индикатор в верхней правой части WEB-страницы. Он имеет три цветовых обозначения: красный, желтый и зеленый.

— Красный цвет означает наличие проблем, требующих внимания. Например, это может быть неработающий системный сервис.
— Желтый цвет обозначает наличие уведомлений. Например, это может быть уведомление о скором окончании действия лицензии продукта.
— Зеленый цвет указывает на отсутствие значимых системных событий.

При нажатии на индикатор при красном и желтом цвете будут отображены проблемы и уведомления с их кратким описанием. Если же цвет зеленый, то будет написано, что ошибок не обнаружено.

На этом наше обширное обсуждение базового интерфейса PT NAD завершено.

В данной статье мы рассмотрели функционал основных рабочих инструментов, таких как: «Дашборды», «Сессии», «Атаки», «Сетевые связи», «Лента активностей», «Узлы», «Список хранилищ», «Период для фильтрации», «Трафик за последний час» и «Мониторинг».

В следующем материале мы представим вам подробное объяснение продвинутых функций администрирования продукта.

До встречи на TS University!