加密可视性引擎

加密可视性引擎 (EVE) 用于识别使用 TLS 加密的客户端应用和进程。它支持可视性,并允许管理员在其环境中采取行动并实施策略。EVE 技术还可用于识别和阻止恶意软件。

加密可视性引擎概述

加密可视性引擎 (EVE)用于提供对加密会话的更多可视性,而无需对其进行解密。对 TLS 连接的见解源自思科的开源库,该库包含在思科的漏洞数据库 (VDB) 中。库指纹并分析传入的加密会话,并将其与一组已知指纹进行匹配。已知指纹的数据库在思科 VDB 中也可用。


只有运行 Snort 3 的 管理中心管理的设备才支持加密可视性引擎功能。Snort 2 设备和设备管理器受管设备不支持此功能。

EVE 的一些重要功能如下:

  • 您可以使用从 EVE 派生的信息对流量执行访问控制策略操作。

  • Cisco Secure Firewall 中包含的 VDB 能够以高置信度值将应用分配给 EVE 检测到的某些进程。或者,您可以创建自定义应用检测器,以便:

    • 将 EVE 检测到的进程映射到用户定义的新应用。

    • 覆盖用于将应用分配给 EVE 检测到的进程的进程置信度的内置值。

      请参阅 Cisco Secure Firewall Management Center 设备配置指南应用检测一章中的配置自定义应用检测器指定 EVE 进程分配部分。

  • EVE 可以检测在加密流量中创建客户端 Hello 数据包的客户端的操作系统类型和版本。

  • EVE 也支持快速 UDP 互联网连接 (QUIC) 流量的指纹识别和分析。来自客户端 Hello 数据包的服务器名称显示在 连接事件 页面的 URL 字段中。


注意

要在 管理中心上使用 EVE,您的设备上必须具有有效的 IPS 许可证。在没有 IPS 许可证的情况下,策略会显示警告,并且不允许部署。


  • EVE 可以检测 SSL 会话的操作系统类型和版本。操作系统的正常使用(例如运行应用、软件包管理软件等)可以触发操作系统检测。要查看客户端操作系统检测,除了启用 EVE 切换按钮,您还必须在 策略 (Policies) > 网络发现 (Network Discovery)下启用 主机 (Hosts) 。要查看主机 IP 地址上可能的操作系统的列表,请点击 分析 (Analysis) > 主机 (Hosts) > 网络映射 (Network Map),然后选择所需的主机。

  • EVE 无法提供对封装流量的可视性或洞察力。

相关链接

配置 EVE

EVE 工作原理

加密可视性引擎 (EVE) 检查 TLS 握手的客户端 Hello 部分,以识别客户端进程。客户端 Hello 是发送到服务器的初始数据包。这可以很好地指示主机上的客户端进程。此指纹与其他数据(例如目的 IP 地址)相结合,为 EVE 的应用识别提供基础。通过识别 TLS 会话建立中的特定应用指纹,系统可以识别客户端进程并采取适当的操作(允许/阻止)。

EVE 可以识别 5,000 多个客户端进程。系统将许多此类进程映射到客户端应用,以用作访问控制规则中的条件。这使得系统能够在不启用 TLS 解密的情况下识别和控制这些应用。通过使用已知恶意进程的指纹,EVE 技术还可用于识别和阻止加密的恶意流量,而无需出站解密。

通过机器学习 (ML) 技术,思科每天要处理超过 10 亿个 TLS 指纹和超过 10000 个恶意软件样本,以创建和更新 EVE 指纹。然后,使用思科漏洞数据库 (VDB) 软件包将这些更新交付给客户。

如果 EVE 无法识别某个指纹,它会识别客户端应用,并使用目标详细信息(例如 IP 地址、端口和服务器名称)估算第一个数据流的威胁评分。此时,指纹的状态已随机化,可以在调试日志中查看状态。对于具有相同指纹的后续流,EVE 会跳过重新分析并将指纹状态标记为未标记。如果您打算基于 EVE 的“低”或“非常低”分数阈值阻止流量,应阻止初始流。但是,一旦应用的指纹被缓存,将允许以后的流。

危害事件表现

用于加密可视性引擎检测的主机危害表现 (IoC) 事件允许您检查恶意软件置信度非常高的连接事件,如 EVE 所报告的那样。使用恶意客户端从主机生成的加密会话会触发 IoC 事件。您可以查看恶意主机的 IP 地址、MAC 地址和操作系统信息等信息,以及可疑活动的时间戳。

如连接事件中所示,加密可视性威胁置信度评分为“非常高”的会话将 IoC 事件类型化。您必须从 策略 > 网络发现启用 主机 。在 管理中心中,您可以从以下位置查看 IoC 事件的存在情况:

  • 分析 > 感染指标

  • 分析 > 网络映射 > 感染指标 > 选择必须检查的主机。

    您可以在连接事件 (Connection Events) 页面查看产生该 IoC 的会话的进程信息。点击 分析 > 连接 信头 > 事件 以访问 “连接事件” 页面。请注意,您必须从“连接事件表视图”选项卡中手动选择“加密可见性”字段和“IoC”字段。

EVE 中的 QUIC 指纹识别

Snort 可以根据 EVE 识别快速 UDP Internet 连接(QUIC 会话)中的客户端应用程序。QUIC 指纹识别可以:

  • 通过 QUIC 检测应用而不启用解密。

  • 在不启用解密的情况下识别恶意软件。

  • 检测服务应用。您可以根据通过 QUIC 协议检测到的服务分配访问控制规则。

配置 EVE

过程

步骤 1

依次选择策略 > 访问控制

步骤 2

点击要编辑的访问控制策略旁边的 编辑 (编辑图标)

步骤 3

从数据包流末尾的 更多 下拉箭头中选择 高级设置

步骤 4

点击加密可视性引擎 (Encrypted Visibility Engine)旁边的 编辑 (编辑图标)

步骤 5

加密可视性引擎 (Encrypted Visibility Engine) 页面中,启用加密可视性引擎 (EVE) (Encrypted Visibility Engine [EVE]) 切换按钮。

步骤 6

使用 EVE 进行应用检测 (Use EVE for Application Detection) - 默认情况下启用此切换开关,这意味着允许 EVE 将客户端应用分配给进程。

将在连接事件或统一事件的加密可视性指纹 (Encrypted Visibility Fingerprint) 列标题中添加 EVE 的指纹信息。要对收集的 EVE 数据进行进一步分析,可以右键点击指纹信息以打开下拉菜单。在菜单中,点击查看加密可视性引擎进程分析 (View Encrypted Visibility Engine Process Analysis) 以转至 Cisco Secure Firewall 应用检测器站点,然后查看详细信息,例如指纹、VDB 版本等。系统将显示具有相同指纹字符串的不同行,以及与其关联的潜在进程名称及其普遍性。普遍性表示与数据收集系统中的特定指纹关联的进程的频率。您可以选择进程名称,然后点击 提交请求 (Submit Request) ,以提供有关 EVE 进程检测中任何差异的反馈。例如,如果检测到的进程名称与正在发送的流量不匹配,或者根本没有检测到特定指纹的进程名称,则可以提交请求。

具有非思科电子邮件地址的用户当前无法访问 Cisco Secure Firewall 应用检测器 (Secure Firewall Application Detectors) 页面上查看其他详细信息的权限。

如果禁用 使用 EVE 进行应用检测 切换按钮:

  • AppID 识别的客户端将分配给进程,您可以看到 EVE 进程和分数,但没有将 EVE 检测到的进程映射到应用,也不会执行任何操作。您可以在连接事件 (Connection Events)统一事件 (Unified Events) 下查看事件的详细信息。要查看连接事件的差异(有和没有应用分配),请参阅客户端应用 (Client Application) 列标题。

  • 连接事件或统一事件中的 已加密可视性指纹 (Encrypted Visibility Fingerprint) 字段为空。

步骤 7

启用基于威胁置信度阻止恶意软件进程 (Block Malware Processes Based on Threat Confidence Level) 切换按钮,以根据 EVE 的威胁置信度阻止前缀为 Malware_ 的恶意客户端进程。

默认阻止阈值为 99%,这意味着:

  • 如果 EVE 检测到流量为恶意软件且置信度为 99% 或更高,则流量会被阻止。

  • 如果 EVE 检测到流量为恶意软件且其置信度低于 99%,则 EVE 不会采取任何措施。

 

如果 EVE 已阻止流量,则在连接事件 (Connection Events) 页面中,原因 (Reason) 列标题会显示加密可视性阻止 (Encrypted Visiblity Block)

步骤 8

使用滑块根据 EVE 的威胁置信度调整阻止阈值,范围从 非常低非常高

步骤 9

要进行进一步精细控制,请启用高级模式 (Advanced Mode) 切换按钮。现在,您可以为阻止流量分配特定的 EVE 威胁置信度。默认阻止阈值为 99%。

小心

 

为了获得最佳性能,我们建议不要将阈值设置为低于 50%。

步骤 10

点击确定 (OK)

步骤 11

点击保存 (Save)

下一步做什么

部署配置更改。

查看 EVE 事件

启用加密可视性引擎 (Encrypted Visibility Engine) 并部署访问控制策略后,您可以开始通过系统发送实时流量。您可以在“连接事件”页面或“统一事件”页面查看已记录的连接事件。

请在 管理中心 中按照以下步骤访问连接事件。

过程

步骤 1

依次点击 分析 (Analysis) > 连接 (Connections) > 事件 (Events)

步骤 2

点击连接事件的表视图 (Table View of Connection Events) 选项卡。

您还可以在 统一事件 查看器中查看连接事件字段。点击 Analytics > 统一事件 以访问 “统一事件” 页面。

加密可视化引擎 (Encrypted Visibility Engine) 可以识别发起连接的客户端进程、客户端上的 OS 以及该进程是否包含恶意软件。

连接事件 (Connection Events) 页面中,您必须显式启用为 加密可视性引擎 (Encrypted Visibility Engine) 添加的以下列。

  • 加密可视性进程名称

  • 加密可视性进程置信度分数

  • 加密可视性威胁置信度

  • 加密可视性威胁置信度分数

  • 检测类型

有关这些字段的信息,请参阅 《Cisco Secure Firewall Management Center 管理指南》中的“连接和 中的“安全相关连接 事 件字段”


连接事件 (Connection Events) 页面中,如果为进程分配了应用,则检测类型 (Detection Type) 列会显示加密可视化引擎 (Encrypted Visibility Engine),表示客户端应用已被 EVE 识别。如果没有为进程名称分配应用, 检测类型 列会显示 AppID ,表示识别客户端应用的引擎是 AppID。

查看 EVE 控制面板

您可以在以下控制面板中查看 EVE 分析信息:

开始之前

  • 在访问控制策略中,必须在 高级设置 下启用 加密可视性引擎(EVE)

过程

步骤 1

前往概述 (Overview) > 控制面板 (Dashboards),然后点击控制面板 (Dashboard)

步骤 2

摘要控制面板 (Summary Dashboard) 窗口中,点击交换机控制面板链接,然后从下拉框中选择应用统计信息 (Application Statistics)

步骤 3

选择 加密可视性引擎 (Encrypted Visibility Engine) 选项卡以查看以下两个控制面板:

  • 排名靠前的加密可视化引擎发现进程 - 显示网络中使用的排名靠前的 TLS 进程名称和连接计数。您可以点击表中的进程名称,查看 连接事件 页面的过滤视图,该视图按进程名称进行过滤。

  • 按加密可视化引擎威胁置信度的连接 - 按恶意软件置信度级别(非常高,非常低等)显示连接。您可以点击表中的 威胁 置信度级别,查看 ”连接事件“ 页面的过滤视图,该视图按置信度级别进行过滤。