OP5 Monitor Release 8
Moduł Analizy Sieci w Energy Logserver
Analiza pakietów sieciowych jest obligatoryjna, jeśli chcemy być pewni, czy bezpieczeństwo w firmie jest nienaruszone. Dzięki analizie pakietów sieciowych możemy wykryć wiele zagrożeń, jak np. próba połączenia z niechcianymi stronami www, rozprzestrzenianie się malwere po sieci wewnętrznej, przesyłanie dużych/wielu pakietów, komunikacja z hostami produkcyjnymi, itp. Bez analizy pakietów sieciowych reagujemy na zdarzenia po fakcie, czyli czasem wtedy, kiedy „jest już za późno”.
Energy Logserver posiada moduł do analizy Netflow i Sflow w warstwie 4 i 7. Jego wdrożenie nie dodaje żadnych skomplikowanych elementów, a jedynie tworzy odpowiednie indeksy. W zależności od potrzeb – może być to jeden indeks, sumujący cały ruch, lub może być ich kilka, w zależności od preferowanego podziału.
Na jego bazie możemy tworzyć wizualizację i dashboardy dla potrzeb personalnych, bądź SOC.
Z listy Indeksów wybieramy ten, który zbiera ruch flow (w tym wypadku „netflow”)
Ukazuje się lista eventów w tym indeksie. Wszystkie eventy są podzielone już na pola, którymi możemy się posłużyć.
Wiedząc, że adres strony to „31.179.250.196”, możemy stworzyć wizualizację, która pokaże nam przesłane dane do strony:
Mając taką wizualizację, możemy stworzyć kolejne dotyczące innych obszarów i zgrupować je w dashboard, ilustrujący to co się dzieje na naszej stronie www, czy sieci biurowej.
Inne wpisy
