Moduł Analizy Sieci w Energy Logserver

Analiza pakietów sieciowych jest obligatoryjna, jeśli chcemy być pewni, czy bezpieczeństwo w firmie jest nienaruszone. Dzięki analizie pakietów sieciowych możemy wykryć wiele zagrożeń, jak np. próba połączenia z niechcianymi stronami www, rozprzestrzenianie się malwere po sieci wewnętrznej, przesyłanie dużych/wielu pakietów, komunikacja z hostami produkcyjnymi, itp. Bez analizy pakietów sieciowych reagujemy na zdarzenia po fakcie, czyli czasem wtedy, kiedy „jest już za późno”.

Energy Logserver posiada moduł do analizy Netflow i Sflow w warstwie 4 i 7. Jego wdrożenie nie dodaje żadnych skomplikowanych elementów, a jedynie tworzy odpowiednie indeksy. W zależności od potrzeb – może być to jeden indeks, sumujący cały ruch, lub może być ich kilka, w zależności od preferowanego podziału.

Na jego bazie możemy tworzyć wizualizację i dashboardy dla potrzeb personalnych, bądź SOC.

Z listy Indeksów wybieramy ten, który zbiera ruch flow (w tym wypadku „netflow”)

Ukazuje się lista eventów w tym indeksie. Wszystkie eventy są podzielone już na pola, którymi możemy się posłużyć.

Wiedząc, że adres strony to „31.179.250.196”, możemy stworzyć wizualizację, która pokaże nam przesłane dane do strony:

Mając taką wizualizację, możemy stworzyć kolejne dotyczące innych obszarów i zgrupować je w  dashboard, ilustrujący to co się dzieje na naszej stronie www, czy sieci biurowej.