加密可视性引擎

加密可视性引擎 (EVE) 用于识别使用 TLS 加密的客户端应用和进程。它支持可视性,并允许管理员在其环境中采取行动并实施策略。EVE 技术还可用于识别和阻止恶意软件。

加密可视性引擎概述

加密可视性引擎 (EVE)用于提供对加密会话的更多可视性,而无需对其进行解密。对 TLS 连接的见解源自思科的开源库,该库包含在思科的漏洞数据库 (VDB) 中。库指纹并分析传入的加密会话,并将其与一组已知指纹进行匹配。已知指纹的数据库在思科 VDB 中也可用。


只有运行 Snort 3 的 管理中心管理的设备才支持加密可视性引擎功能。Snort 2 设备, 设备管理器管理的设备或 CDO 不支持此功能。

EVE 的一些重要功能如下:

  • 您可以使用从 EVE 派生的信息对流量执行访问控制策略操作。

  • Cisco Secure Firewall 中包含的 VDB 能够以高置信度值将应用分配给 EVE 检测到的某些进程。或者,您可以创建自定义应用检测器,以便:

    • 将 EVE 检测到的进程映射到用户定义的新应用。

    • 覆盖用于将应用分配给 EVE 检测到的进程的进程置信度的内置值。

      请参阅 Cisco Secure Firewall Management Center 设备配置指南应用程序检测一章中的配置自定义应用程序检测器指定 EVE 进程分配部分。

  • EVE 可以检测在加密流量中创建客户端 Hello 数据包的客户端的操作系统类型和版本。

  • EVE 也支持快速 UDP 互联网连接 (QUIC) 流量的指纹识别和分析。来自客户端 Hello 数据包的服务器名称显示在 连接事件 页面的 URL 字段中。


注意

要在 管理中心上使用 EVE,您的设备上必须具有有效的 IPS 许可证。在没有 IPS 许可证的情况下,策略会显示警告,并且不允许部署。


  • EVE 可以检测 SSL 会话的操作系统类型和版本。操作系统的正常使用(例如运行应用、软件包管理软件等)可以触发操作系统检测。要查看客户端操作系统检测,除了启用 EVE 切换按钮,您还必须在 策略 (Policies) > 网络发现 (Network Discovery)下启用 主机 (Hosts) 。要查看主机 IP 地址上可能的操作系统的列表,请点击 分析 (Analysis) > 主机 (Hosts) > 网络映射 (Network Map),然后选择所需的主机。

  • EVE 无法提供对封装流量的可视性或洞察力。

相关链接

配置 EVE

配置 EVE 例外规则

EVE 工作原理

加密可视性引擎 (EVE) 检查 TLS 握手的客户端 Hello 部分,以识别客户端进程。客户端 Hello 是发送到服务器的初始数据包。这可以很好地指示主机上的客户端进程。此指纹与其他数据(例如目的 IP 地址)相结合,为 EVE 的应用识别提供基础。通过识别 TLS 会话建立中的特定应用指纹,系统可以识别客户端进程并采取适当的操作(允许/阻止)。

EVE 可以识别 5,000 多个客户端进程。系统将许多此类进程映射到客户端应用,以用作访问控制规则中的条件。这使得系统能够在不启用 TLS 解密的情况下识别和控制这些应用。通过使用已知恶意进程的指纹,EVE 技术还可用于识别和阻止加密的恶意流量,而无需出站解密。

通过机器学习 (ML) 技术,思科每天要处理超过 10 亿个 TLS 指纹和超过 10000 个恶意软件样本,以创建和更新 EVE 指纹。然后,使用思科漏洞数据库 (VDB) 软件包将这些更新交付给客户。

如果 EVE 无法识别指纹,则会识别客户端应用,并使用 IP 地址、端口和服务器名称等目的地详细信息估算第一个流量的威胁评分。此时,指纹的状态是随机的,可以在调试日志中查看状态。对于具有相同指纹的后续流,EVE 会跳过重新分析,并将指纹状态标记为未标记。如果您打算根据 EVE 的“低”或“极低”分数阈值来阻止流量,则初始流会被阻止。但是,一旦缓存了应用的指纹,就会允许未来的流。

危害事件表现

用于加密可视性引擎检测的主机危害表现 (IoC) 事件允许您检查恶意软件置信度非常高的连接事件,如 EVE 所报告的那样。使用恶意客户端从主机生成的加密会话会触发 IoC 事件。您可以查看恶意主机的 IP 地址、MAC 地址和操作系统信息等信息,以及可疑活动的时间戳。

如连接事件中所示,加密可视性威胁置信度评分为“非常高”的会话将 IoC 事件类型化。您必须从 策略 > 网络发现启用 主机 。在 管理中心中,您可以从以下位置查看 IoC 事件的存在情况:

  • 分析 > 感染指标

  • 分析 > 网络映射 > 感染指标 > 选择必须检查的主机。

    您可以从以下位置查看生成 IoC 的会话的进程信息:

    分析 > 连接事件 > 连接事件视图表 > IoC 列。请注意,您必须手动选择加密可视性字段和 IoC 字段。

EVE 中的 QUIC 指纹识别

Snort 可以根据 EVE 识别快速 UDP Internet 连接(QUIC 会话)中的客户端应用程序。QUIC 指纹识别可以:

  • 通过 QUIC 检测应用而不启用解密。

  • 在不启用解密的情况下识别恶意软件。

  • 检测服务应用。您可以根据通过 QUIC 协议检测到的服务分配访问控制规则。

配置 EVE

过程

步骤 1

依次选择策略 > 访问控制

步骤 2

点击要编辑的访问控制策略旁边的 编辑 (编辑图标)

步骤 3

从数据包流末尾的 更多 下拉箭头中选择 高级设置

步骤 4

点击加密可视性引擎 (Encrypted Visibility Engine)旁边的 编辑 (编辑图标)

步骤 5

加密可视性引擎 (Encrypted Visibility Engine) 页面中,启用加密可视性引擎 (EVE) (Encrypted Visibility Engine [EVE]) 切换按钮。

步骤 6

使用 EVE 进行应用检测 (Use EVE for Application Detection) - 默认情况下启用此切换开关,这意味着允许 EVE 将客户端应用分配给进程。

将在连接事件或统一事件的加密可视性指纹 (Encrypted Visibility Fingerprint) 列标题中添加 EVE 的指纹信息。要对收集的 EVE 数据进行进一步分析,可以右键点击指纹信息以打开下拉菜单。在菜单中,点击查看加密可视性引擎进程分析 (View Encrypted Visibility Engine Process Analysis) 以转至 Cisco Secure Firewall 应用检测器站点,然后查看详细信息,例如指纹、VDB 版本等。系统将显示具有相同指纹字符串的不同行,以及与其关联的潜在进程名称及其普遍性。普遍性表示与数据收集系统中的特定指纹关联的进程的频率。您可以选择进程名称,然后点击 提交请求 (Submit Request) ,以提供有关 EVE 进程检测中任何差异的反馈。例如,如果检测到的进程名称与正在发送的流量不匹配,或者根本没有检测到特定指纹的进程名称,则可以提交请求。

具有非思科电子邮件地址的用户当前无法访问安全防火墙应用检测器 (Secure Firewall Application Detectors) 页面上查看其他详细信息的权限。

如果禁用 使用 EVE 进行应用检测 切换按钮:

  • AppID 识别的客户端将分配给进程,您可以看到 EVE 进程和分数,但没有将 EVE 检测到的进程映射到应用,也不会执行任何操作。您可以在连接事件 (Connection Events)统一事件 (Unified Events) 下查看事件的详细信息。要查看连接事件的差异(有和没有应用分配),请参阅客户端应用 (Client Application) 列标题。

  • 连接事件或统一事件中的 已加密可视性指纹 (Encrypted Visibility Fingerprint) 字段为空。

步骤 7

启用基于威胁置信度阻止恶意软件进程 (Block Malware Processes Based on Threat Confidence Level) 切换按钮,以根据 EVE 的威胁置信度阻止前缀为 Malware_ 的恶意客户端进程。

默认阻止阈值为 99%,这意味着:

  • 如果 EVE 检测到流量为恶意软件且置信度为 99% 或更高,则流量会被阻止。

  • 如果 EVE 检测到流量为恶意软件且其置信度低于 99%,则 EVE 不会采取任何措施。

 

如果 EVE 已阻止流量,则在连接事件 (Connection Events) 页面中,原因 (Reason) 列标题会显示加密可视性阻止 (Encrypted Visiblity Block)

步骤 8

使用滑块根据 EVE 的威胁置信度调整阻止阈值,范围从 非常低非常高

步骤 9

要进行进一步精细控制,请启用高级模式 (Advanced Mode) 切换按钮。现在,您可以为阻止流量分配特定的 EVE 威胁置信度。默认阻止阈值为 99%。

小心

 

为了获得最佳性能,我们建议不要将阈值设置为低于 50%。

步骤 10

点击确定 (OK)

步骤 11

点击保存 (Save)

下一步做什么

部署配置更改。

查看 EVE 事件

启用加密可视性引擎 (Encrypted Visibility Engine) 并部署访问控制策略后,您可以开始通过系统发送实时流量。您可以在连接事件 (Connection Events) 页面中查看记录的连接事件。要访问连接事件,请在 管理中心 中:

过程

步骤 1

依次点击 分析 (Analysis) > 连接 (Connections) > 事件 (Events)

步骤 2

点击连接事件的表视图 (Table View of Connection Events) 选项卡。

您还可以在 分析 菜单下的 统一事件 查看器中查看连接事件字段。

加密可视化引擎 (Encrypted Visibility Engine) 可以识别发起连接的客户端进程、客户端上的 OS 以及该进程是否包含恶意软件。

连接事件 (Connection Events) 页面中,您必须显式启用为 加密可视性引擎 (Encrypted Visibility Engine) 添加的以下列。

  • 加密可视性进程名称

  • 加密可视性进程置信度分数

  • 加密可视性威胁置信度

  • 加密可视性威胁置信度分数

  • 检测类型

有关这些字段的信息,请参阅《Cisco Secure Firewall 管理中心管理指南》中的连接和安全相关连接事件章节中的连接和安全智能事件字段部分。


连接事件 (Connection Events) 页面中,如果为进程分配了应用,则检测类型 (Detection Type) 列会显示加密可视化引擎 (Encrypted Visibility Engine),表示客户端应用已被 EVE 识别。如果没有为进程名称分配应用, 检测类型 列会显示 AppID ,表示识别客户端应用的引擎是 AppID。

查看 EVE 控制面板

您可以在以下控制面板中查看 EVE 分析信息:

开始之前

要查看加密可视性引擎 (EVE) 构件,请执行以下操作:

  • 在访问控制策略中,必须在 高级设置 (Advanced Settings) 下启用加密可视性引擎 (EVE) (Encrypted Visisibility Engine [EVE])

过程

步骤 1

前往概述 (Overview) > 控制面板 (Dashboards),然后点击控制面板 (Dashboard)

步骤 2

摘要控制面板 (Summary Dashboard) 窗口中,点击交换机控制面板链接,然后从下拉框中选择应用统计信息 (Application Statistics)

步骤 3

选择 加密可视性引擎 (Encrypted Visibility Engine) 选项卡以查看以下两个控制面板:

  • 排名靠前的加密可视化引擎发现进程 - 显示网络中使用的排名靠前的 TLS 进程名称和连接计数。您可以点击表中的进程名称,查看 连接事件 页面的过滤视图,该视图按进程名称进行过滤。

  • 按加密可视化引擎威胁置信度的连接 - 按恶意软件置信度级别(非常高,非常低等)显示连接。您可以点击表中的 威胁 置信度级别,查看 ”连接事件“ 页面的过滤视图,该视图按置信度级别进行过滤。

配置 EVE 例外规则

您可以创建加密可视性引擎 (EVE) 例外规则来绕过 EVE 的阻止操作,从而确保可信连接和服务的连续性。您可以在例外规则中添加进程名称和目标 IP 地址等属性。例如,您可能希望绕过受信任网络的 EVE 阻止判定。根据威胁置信度,绕过网络中的所有连接都免于执行 EVE 阻止判定。

过程

步骤 1

依次选择策略 > 访问控制

步骤 2

点击要编辑的访问控制策略旁边的 编辑 (编辑图标)

步骤 3

从数据包流行末尾的更多下拉箭头选择高级设置 (Advanced Settings)

步骤 4

加密可视性引擎 (EVE) (Encrypted Visibility Engine [EVE]) 旁边,点击 编辑 (编辑图标)

步骤 5

加密可视性引擎 (Encrypted Visibility Engine) 页面中,点击加密可视性引擎 (EVE) (Encrypted Visibility Engine [EVE]) 切换按钮以启用 EVE。

步骤 6

启用根据 EVE 分数阻止流量 (Block Traffic Based on EVE Score) 开关来根据 EVE 的威胁置信度来阻止流量。

步骤 7

点击添加例外规则 (Add Exception Rule) 并添加以下一个或多个属性。

  1. 进程名称 (Process Name) 选项卡下,输入 EVE 识别的进程名称,然后点击窗口右侧的添加到进程 (Add to Process)

    可以将多个进程名称添加到同一例外规则。基于进程名称的 EVE 例外列表仅适用于 EVE 识别的进程名称,这些进程名称区分大小写和空格。

  2. 网络对象 (Network Objects) 选项卡下,执行以下操作之一:

    • 从列表中选择一个或多个 IP 地址,并将其添加到选定网络 (Selected Networks) 列表中。

    • 选定网络 (Selected Networks) 下,手动输入 IP 地址,然后点击 + 以将其添加到选定网络列表中。

  3. (可选)在所有选项卡上提供的注释 (Comment) 字段中,您可以输入将所需属性添加到 EVE 例外规则的原因。

步骤 8

点击保存 (Save) 保存 EVE 例外规则。

步骤 9

在设备上保存并部署访问控制策略。

当连接匹配例外规则时,它会绕过 EVE 的阻止判定。您还可以在 统一事件 查看器中查看 EVE 的操作。原因 (Reason) 列标题显示 EVE 已豁免 (EVE Exempted),用于识别此类绕过 EVE 的流量。

从统一事件添加例外规则

您可以使用统一事件 (Unified Events) 窗口为 EVE 阻止的连接添加例外规则。

过程

步骤 1

点击分析 (Analysis) > 统一事件 (Unified Events)

步骤 2

在原因为加密可视性阻止 (Encrypted Visibility Block)原因 (Reason) 列中,点击单元格内的省略号图标(三个垂直的点)。

步骤 3

从下拉列表中选择添加 EVE 例外规则 (Add EVE Exception Rule)

步骤 4

在显示的加密可视性引擎 (Encrypted Visibility Engine) 窗口中,规则会自动添加到例外列表的底部。您可以在保存和部署配置之前查看并更改添加的规则。

事件扩充

Talos 分类法和加密可视性引擎 (EVE) 可丰富 MITRE ATT&CK 的情景。Talos 和 EVE 扩充都使用 Talos 分类法进行传达。启用 EVE 时,EVE 扩充有效。有关启用 EVE 的详细信息,请参阅配置 EVE

连接事件 (Connection Events) 页面上,可以查看作为扩充事件内容的一部分添加的以下列标题。您必须明确启用这些列。

  • MITRE ATT&CK

  • 其他扩充

有关这些字段的信息,请参阅《Cisco Secure Firewall 管理中心管理指南 7.6》中的“连接和安全相关连接事件”章节中的“连接和安全智能事件字段”部分。