Обзор, настройка и тестирование Fireeye HX [Configure Fireeye HX +CM+NX] Часть1

Решение Fireeye HX позволяет отслеживать вредоносную активность на рабочей станции, для более оперативного реагирование на инциденты информационной безопасности, расследование инцидентов (forensic, слепки памяти и т.п.) и изоляцией зараженной станции, для предотвращения распространения инфекции далее по сети.

Недавно HX попал в нашу лабораторию и я сделал базовые настройки и протестировал отработку связки - CM + NX + HX. 

CM - платформа "центрального менеджмента" для остальных устройств, служит так же для обмена индикаторами компрометации (IOC) между всеми устройствами.

NX - предназначен для анализа проходящего через него трафика, на наличие вредоносного кода или аномальной активности.

HX - было упомянуто в самом начале :) 

Топологию можно найти в других постах, просто к ней добавилось устройство HX, которое было подключено к CM :
Базовая настройка Fireeye NX EX FX CM basic config

http://devnulls.blogspot.com/2015/04/fireeye-nx-ex-fx-cm-basic-config.html
Тестирование Fireeye EX в режиме MTA + URL Dynamic Analysis / Test Fireeye EX MTA + URLDA

http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-url-dynamic-analysis.html
BCC. Postfix / MS Exchange + Fireeye EX

http://devnulls.blogspot.com/2015/07/bcc-postfix.html
Настройка и тестирование Fireeye EX в режиме MTA / Fireeye EX MTA config

http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-fireeye-ex-mta-config.html

...

...

Fireeye malware rec "clip" [NX, EX, FX] запись действий малвари

Запись действий (видео) вредоносного файла внутри виртуальной машины гипервизора MVX (Fireeye)

NX#_debug show avc config

NX#_debug avc config vnc_rec enable

Attack Validator Controller Daemon
        Name                                          : avc
        NA Heart-Beat timeout (ms)                    : 30000
        VM Ping Retry Delay (ms)                      : 5000
        VM Ping Retry Max                             : 20

APT Targeted attacks. The dark side of the Internet . Целенаправленные атаки. Темная сторона интернета. [моя презентация]

https://mega.nz/#!kBkCFRqA!lHpY3EKJ6W33m1EW3gG3lDF8jfCO61VsuDjiiA0nmuM

Цели/векторы.

APT. Организация; рынок услуг.

Нашумевшие атаки.

Алгоритм и структура атаки.

Обнаружение/подавление.

BCC. Postfix / MS Exchange + Fireeye EX

Postfix

always_bccAdd the following entry in /etc/postfix/main.cf to forward all mails in the server to fireeyebcc@fireeye.mycorp.com.

always_bcc = fireeyebcc@fireeye.mycorp.com

sender_bcc_maps and recipient_bcc_maps

..........................................
(Вариант с Postfix. BCC)

DNS server (внутренний/внешний, который используется как основной dns для Postfix):

;$TTL 86400
$ORIGIN mycorp.com.
$TTL 3D

...

fireeye         A       192.168.1.116

После чего, Postfix будет копировать мыла на ip 192.168.1.116(адрес на интерфейсе patch3,Fireeye EX, который стоит в режиме BCC, (action - DROP, в настройках))

MS Exchange

Go To Organization Configuration > Hub Transport and select the Send Connectors tab

· Right-click to create a new send connector

· On the ‘Address Space’ page of the wizard, add your BCC domain (fetest.com in this example)

· On the ‘Network Settings’ page, choose ‘Route mail through the following smart hosts’ and

define a new smart host with the IP address of the FireEye (BCC) MTA

· Follow

On the ‘Network Settings’ page, choose ‘Route mail through the following smart hosts’ and
define a new smart host with the IP address of the FireEye (BCC) MTA

Follow the defaults to complete the rest of the wizard

Go To Organization Configuration > Hub Transport and select the Transport Rules tab
· Right-click to create a new transport rule
· On the ‘Conditions’ page of the rule wizard, do not select any conditions (so that the rule
applies unconditionally). You should get a warning that the rule will be applied to every
message
· On the ‘Actions’ page of the wizard, select ‘Blind Carbon Copy…’ and enter the BCC address
· Follow the defaults to complete the wizard and create the rule

fenet-install-FE

fenet dti mil service type CMS username S_355950 password xxx
fenet dti mil service type DTI username S_355950 password xxx
fenet dti source type CDN username S_355950 password xxx
fenet dti source type CMS username S_355950 password xxx
fenet dti source type DTI username S_355950 password xxx
fenet dti upload destination type CMS username S_355950 password xxx
fenet dti upload destination type DTI username S_355950 password xxx
fenet user S_355950 password xxx

Fireeye configuration [EX,FX,CM,NX]

Мануалы / manual по настройке:

NX Series System Administration Guide-
https://mega.co.nz/#!ZMM0XTqI!UZfviyQpcAuF2U4gznzZjYgH4ULtW76CrA79mBgqfFA

NX Series System Operators Guide-
https://mega.co.nz/#!pJVnyRxJ!qXUhCG5PFUC5CT_FWXNXFCYYEhr1Rd1vqwTTQDeIdjE

EX Series System Operators Guide-
https://mega.co.nz/#!RVEQXCgZ!maq0_9l9gIH0FzTWmC76uPScqJrGtq7uHoDOXFl2wjk

FX Series System Operators Guide-
https://mega.co.nz/#!NZlE3AIb!d0JJyIB6faocqGkbrQZr_Esa0Wo205uP94Ll6sMarOM

CM Series System Operators Guide-
https://mega.co.nz/#!sJcTUaZC!LNIjcofWx-qeBmwhy7XCx3WI4sHr-M3t7IQ6XOo_KCA

AX Series System Operators Guide-
https://mega.co.nz/#!sQ8kwAoS!_bEOCo_cO-AG9i_i1KukemzHdMVq0bOM9S6Sl7DHQIA

MAS Series System Operators Guide-
https://mega.co.nz/#!xJNQ1DAI!mdlq9_dsTIdngRv19zk-IOeJS7FZWBZcFnih3x75ehQ


Полная топология:

Для первоначальной настройки (настройка mgmt) два варианта: