Flowmon

Jak začít s analýzou provozu a
detekcí anomálií ve vaší síti

1
Nastavení cílů a způsobu sběru dat
V tomto kroku porozumíme vaší síťové infrastruktuře a vybereme vhodný zdroj dat. Díky tomu bude možné odhadnout náklady na projekt.
Využijte zařízení třetích stran jako zdroj dat
Flowmon dokáže zpracovat NetFlow data z jakýchkoliv zdrojů, a poskytnout tak včasnou detekci a varování před běžnými i dosud neznámými útoky nebo síťovými anomáliemi. Můžete pro to využít zařízení třetích stran jako jsou switche, routery, packet brokery nebo firewally.

Tento způsob získávání dat je ideální pro start a zároveň využijete své dřívější investice. Na druhou stranu však vyžaduje více změn v konfiguraci a poskytuje méně detailů.

Kompatibilita

Využijte Flowmon jako zdroj dat
Nasazením sondy Flowmon získáte maximální úroveň viditelnosti v síti, škálovatelnost a enterprise funkce beze změn ve vaší infrastruktuře. Zjistěte více o výkonných Flowmon sondách.

Schopnost Flowmonu detekovat škodlivý software (malware) zvyšuje viditelnost do aplikační vrstvy, protokolů DNS a HTTP, spolu s vestavěným IDS systémem a databází hrozeb.

Sonda přichází jako hardware, virtuální zařízení nebo jako cloudová služba. Připojuje se přes SPAN port nebo TAP a plynule generuje data NetFlow/IPFIX, které obohacuje o informace z L2 – L7 vrstev.

Zjistit více o Obohacených datových tocích

2
Určení rozsahu monitorování
V tomto kroku vybereme cenově nejvhodnější variantu Flowmon kolektoru s ohledem na vaše požadavky na výkon řešení a ukládání dat.

Flowmon kolektor přijímá data ze zdrojů, které jste si zvolili v předchozím kroku. Data jsou zde uložena pro zpracování, vizualizaci a analytiku.

Díky minimálnímu přenosu dat mezi sondami a kolektory jsou nízké i požadavky na vytížení šířky pásma. Všechna data mohou pro vyšší bezpečnost šifrována

Flowmon kolektory jsou k dispozici v několika variantách lišících se velikostí úložiště a výkonem. Na základě požadavků na uchování dat lze zvolit zařízení s velikostí úložiště od 0,5 TB do 192 TB.

Můžete si zvolit, zda se bude jednat o zařízení hardwarové, virtuální (kompatibilní s hypervizory VMware, Hyper-V a KVM) nebo cloudové řešení v prostředí Amazon AWS, MS Azure a Google Cloud.

3
Porozumění vašim očekáváním
Flowmon ADS je systém detekce anomálií, který rozšiřuje funkce Flowmon kolektoru o automatickou detekci bezpečnostních rizik, útoků a vnitřních hrozeb.

Detekční systém využívá automatickou konfiguraci založenou na základních informacích sítě, kterou vám krok za krokem přiblíží průvodce. Automatická konfigurace nastavuje nejběžnější metody a kalibrace, které zajistí hned po nasazení nulový počet falešně pozitivních detekcí.

Pokud si přejete definovat své vlastní specifické metody detekce, můžete využít náš koncept uživatelsky definovaných vzorů, které jsou formulovány podobně jednoduchými příkazy jako u SQL.

Flowmon můžete pomocí skriptu integrovat s množstvím různých síťových zařízení, které jsou schopné dále reagovat na detekovanou událost. Například při detekci komunikace s botnet C&C serverem, Flowmon automaticky spustí skript, kterým se spojí s firewallem a vytvoří pravidlo pro zablokování této komunikace v reálném čase.

Flowmon Anomaly Detection System je velmi otevřený systém, který je možné obohatit o další zdroje dat a získat tak ještě širší pohled na síťové anomálie. Může jít o identitu uživatele (User Identity), black listy nebo detekce z IDS Suricata.

Administrátor je na detekovaný útok upozorněn buď e-mailem, syslogem nebo SNMP. Flowmon je taktéž zdrojem logů pro systémy SIEM. Přináší tak viditelnost do nejzranitelnější části sítě (LAN) a zvyšuje potenciál detekce SIEM.

Nasazení společně s modulem Flowmon Traffic Recorder umožňuje automatické spuštění záchytu paketů v plném rozsahu a jejich uložení pro následnou forenzní analýzu útoku

Jak probíhá nasazení řešení Flowmon?

 

Implementace krok za krokem

Řešení Flowmon ADS jsme nasadili s cílem zvýšit bezpečnost a kontrolu nad naší infrastrukturou. Dříve jsme neměli k dispozici žádný systém pro monitorování anomálií na počítačové síti. Některé incidenty jsme řešili analýzou logů, které máme k dispozici na vyžádání z centrály dm drogerie markt. Pokud jsme chtěli zkontrolovat určité datové toky, které se nám jevily jako podezřelé, nezbývalo nám než se vydat trnitou cestou manuální analýzy.

Případová studie

Vyzkoušejte Flowmon ve své síti

Zkusit trial neboProces implementace