network-monitoring
Sledovanie počítačovej siete je zložené z dvoch základných častí:
1. Monitoring prevádzky - je použitie systému, ktorý nepretržite sleduje počítačovú sieť, pomalé alebo zlyhávajúce prvky. Správca siete tak získava prehľad o:
- dostupnosti služieb a serverov,
- vyťaženosti liniek, CPU, smerovačov, prepínačov, a iných zariadení.
Informácie na vyhodnocovanie sa získavajú hlavne cez protokol SNMP.
2. Analýza dát - je použitie systému na zber a následnú analýzu dát za účelom odhalenia anomálií, ktoré naznačujú možné infiltrovanie útočníkov do vnútornej infraštruktúry.
- Využitie NetFlow protokolu
- Network Behavior Analysis
- Filtrovanie paketov
Monitoring v reálnom čase (FMC) - monitoring v rámci dátovej infraštruktúry, centralizovaný a integrovaný do dohľadového centra, monitoring uplinkov a fixných dátových sietí pre potreby „čo, kde, ako, s kým“. Monitoring výkonnostných a prevádzkových parametrov komunikačnej infraštruktúry.
- Network Performance Monitoring
- Monitoring VoIP prevádzky
- Grafy a tabuľky komunikácii, formulár pre detailné analýzy
- Top N štatistiky (užívatelia, služby, navštevované servery, web stránky a pod.)
- Nástroj uľahčujúci optimalizáciu infraštruktúry, dohľad a správu sietí, identifikáciu používaných aplikácií
- Užívateľský definované pohľady (pobočky, servery, užívatelia)
- Upozornenia na email - alerty, dynamické tresholdy a ďalšie
Analýza chovania siete (ADS) - detekcia akejkoľvek bezpečnostnej, či prevádzkovej anomálie, hrozby alebo nerozpoznateľného rizika v rámci komunikačných dátových sietí. Systém plne integrovateľný do SIEM riešení, alebo ďalších bezpečnostných riešení tretích strán.
Detekcia zmien chovania a podozrivého chovania dátovách sietí je zameraná na:
- útoky (scan portov, slovníkové útoky, DoS, Telnet, APT, Zero Day),
- anomálie prevádzky (DNS, multicast, vysoká variabilita komunikácie, VoIP),
- anomálie chovania IP adries (zmena profilu chovania),
- nežiaduca aplikácia (P2P siete, on-line komunikátory, TOR, TeamViewer),
- malware (viry, spyware, botnety, komunikácie s adresami na blacklistech),
- pošta (odchádzajúci SPAM, nelegitímne poštovné servery),
- prevádzkové problémy (oneskorenie, preťaženie, reverzné DNS záznamy, výpadky služieb),
- potenciálne úniky dát (upload na verejné servery, webové úložištia),
- porušenie bezpečnostných politík (obchádzanie proxy serverov, neznáme zariadenia),
- špecifické metódy (sledovanie senzorovej siete).
Monitoring výkonnostných parametrov aplikácií (APM) - presné a detailné informácie o tom, ako daná aplikácia funguje u každého užívateľa, ako dlho trvá spracovanie jednotlivých transakcií, aké veľké je oneskorenie na sieťovej vrstve, koľko užívateľov s aplikáciou pracuje, kedy je aplikácia najviac zaťažená a mnoho iných detailov. Identifikujete tak problém na aplikácii alebo jej častiach skôr, než Vás s nimi konfrontujú užívatelia.
Detailný pohľad na výkon aplikácie
- „Správanie sa“ aplikácií jednotlivým užívateľom
- Identifikácia problémov skôr, než ju ohlási užívateľ
- Identifikácia príčin výkonnostných problémov
- Meranie reálnej doby odozvy a chovania sa aplikácie
- Poskytovanie „tvrdých dát“ pre upg. HW
- Monitoring užívateľských transakcií v reálnom čase bez nutnosti inštalácie SW, tzv. „AGENTLESS“
Nahrávanie záznamu dátovej komunikácie (TR)
- „Full / OnDemand Packet Capture“ – nahrávanie dátovej komunikácie na L2-L7
- Ukladanie do PCAP formátu
- Vhodné pre ďalšie forénzne analýzy, napr. v nástrojoch Wireshark
- Rozšírenie možností identifikácie prevádzkových problémov
Prínosy riešenia
- Monitorovanie prevádzky na sieti v reálnom čase, zvýšenie bezpečnosti siete a možnosť odhalenia vonkajších i vnútorných útokov, analyzovanie dlhodobých štatistík s rozlíšením na jednotlivé počítače, aplikácie a konverzácie ,detailné sledovanie užívateľov a služieb, efektívne plánovanie kapacít liniek.
- Dlhodobé uloženie štatistík o sieťovej prevádzke a dodržovanie vyhlášky a Zákona o elektronických komunikáciách.
- Rýchle a presné riešenie problémov na sieti, okamžitá identifikácia akejkoľvek anomálie prostredníctvom automatizovaného alertingu.
- Prostredníctvom kvalifikovaného reportingu získavanie prehľadných výpisov o sieťovej prevádzke, ľahké plánovanie a monitorovanie QoS, kontroly peeringu a dohôd o kvalitách služieb (SLA).
Riešenie detekuje akúkoľvek anomáliu či udalosť v danom okamžiku výskytu na sieti. Prostredníctvom kolektoru sa údaje uchovávaju a ukladajú v agregovanom stave po akúkoľvek potrebnú dobu (dohľad, forénzne vyšetrovanie a pod.).