Zákazníci spoléhající na Flowmon ADS
Flowmon ADS využívá řady detekčních mechanismů analyzujících síťový provoz z různých pohledů. Tím pádem umí podchytit široké spektrum hrozeb a útočných scénářů.
Příklad: Útočník se snaží prolomit obranu silou (brute-force). Pomocí entropického modelování Flowmon ADS zachytí nestandardní, opakující se chování, které je typické pro slovníkový útok.
Příklad: Zařízení v krátké době překročilo běžný počet požadavků na DNS server. Jinými slovy, daný stroj se chová jinak, než ostatní zařízení v síti, což indikuje jeho zneužití pro krádež dat.
Příklad: Zařízení kontaktuje větší množství jiných zařízení po celém světě, vybírá si jen některé a z nich pak stahuje obsah. Stahování je ukončeno ve stejný čas. Systém danou aktivitu vyhodnotí jako využívání bittorrent sítě.
Příklad: Vestavěná inteligence řešení Flowmon se naučí, jak vypadá běžný provoz pro různé síťové protokoly ve vaší síti. V jednom momentě upozorní na nestandardní ICMP komunikaci, která se standardně používá pro diagnostiku a kontrolní účely. Pakety v dané komunikaci jsou mnohem větší, než je normální, což indikuje nestandardní transfer dat. Při hlubším šetření je identifikováno vynášení uživatelských údajů, které je kontrolováno malwarem.
Příklad: Flowmon threat intelligence udržuje aktuální databázi reputačních feedů a indikátorů kompromitace. Pomocí metody blacklist porovnává aktivitu v síti s reputačními databázemi a umožňuje tak detekovat, například, komunikaci s botnet command & control centry.
Součástí Flowmon ADS je systém Suricata IDS pro signaturní detekci hrozeb. Ten dovoluje zachytit známé, podezřelé vzory chování. V rozhraní ADS s nimi pak lze pracovat jako se standardní událostí detekovanou Flowmon ADS.
Analytický pohled poskytuje vizualizaci útoku, včetně jeho kontextu. Možnost rozpadu události na větší detail (drill-down) dovoluje plně porozumět, co se ve vaší síti děje.
Incidenty jsou hodnoceny podle vašich priorit. Jednoduchý průvodce konfigurací vás provede nastavením a přizpůsobením systému vašim potřebám.
Flowmon ADS lze integrovat s celou řadou nástrojů, jako jsou systémy řízení přístupu k síti (Network Access Control), autentifikační systémy, firewally a ostatní systémy pro okamžitou reakci na incident.
Využijte širokých integračních možností s komplementárními nástroji a platformami, například pomocí syslog, SNMP, REST API nebo pomocí skriptů. Flowmon slouží jako vitální zdroj informací pro nástroje typu log management, SIEM, big data platformy, systémy pro správu incidentů a automatizační bezpečnostní nástroje.
Využijte svoji stávající infrastrukturu jako sensor. Generujte NetFlow, IPFIX, jFlow nebo NetStream ze síťových prvků a dalších zdrojů, jako jsou veřejná cloudová prostředí, firewally, virtualizační platformy nebo packet brokery.
Zjistěte, který uživatel nebo hostname byl zapojen do útoku pomocí sbírání logů z autentifikačních systémů a jejich korelováním ve Flowmonu. Každá autentifikační služba nebo výrobce umožňující propojení přes syslog je podporován, včetně Cisco ISE a AD/LDAP.
Posílejte do svého log management nástroje nebo SIEMu komplexní logy společně s dalšími informacemi přes syslog nebo SNMP. Maximalizujte viditelnost napříč IT prostředím nebo automaticky logujte události do svého ticketovacího systému.
Automatizujte reakci na bezpečnostní incident pomocí integrace Flowmonu s firewally, SDN kontrolery a dalšími technologiemi pro řízení přístupu k síti nebo incident response nástroji. Nebo si připravte vlastní mitigační scénář, který se spustí, jakmile se objeví bezpečnostní incident.
Reakci na útok lze automatizovat například integrací se síťovými nebo autentifikačními nástroji. Jakmile je detekována událost, Flowmon se může spojit například s Cisco ISE prostřednictvím pxGrid a dát podezřelou IP adresu do karantény.
Podezřelou událost Flowmon zobrazuje v její úplnosti. Evidence útoku, včetně potřebného kontextu, vizualizace, síťová data nebo záznam provozu v plném rozsahu pro forenzní analýzu umožňuje rychlé a správné rozhodování.
Flowmon umožňuje automaticky spustit záznam provozu v plném rozsahu (full packet capture) při detekci události. Díky funkci Rolling Memory Buffer jsou součástí záznamu také provozní síťová data z doby před začátkem útoku.Pomocí filtru ukládáte jen tu část záznamu útoku, která je relevantní.
Unikátní kombinace včasné detekce, systému varování na bezpečnostní událost a viditelnosti do síťového provozu umožňuje síťovým, provozním a bezpečnostním týmům skutečně spolupracovat na hledání příčiny incidentu a jeho řešení. Flowmon představuje společný zdroj dat respektující jejich potřeby.
Možnost definovat vlastní pravidla pomocí syntaxu podobného SQL dává plnou flexibilitu pro vytváření vlastních detekčních metod.
Korelací logů z vašeho autentizačního systému ve Flowmonu přesně určíte, který uživatel a hostname jsou součástí útoku. Flowmon podporuje libovolný autentikační sytém využívající syslog, včetně Cisco ISE a LDAP.
Pokročilý detekční engine Flowmonu využívá strojového učení a modelování entropie pro detekci podezřelého chování a anomálií v síťovém provozu. Díky tomu je možné odhalovat útoky typu APT, malware, vnitřní a další hrozby obcházející signaturní nástroje.
Vzory chování umožňují odhalit podezřelou aktivitu uživatelů, zařízení nebo serverů. Porozuměním chování protokolů jako je DNS, DHCP, ICMP a SMTP zle odhalit exfiltraci dat, průzkum sítě vedený útočníky a další nežádoucí aktivity.
Systém Flowmon obsahuje předdefinované konfigurace pro celou řadu typů sítí. Po počáteční konfiguraci dochází k automatickému přizpůsobení systému pomocí průvodce, díky čemuž lze maximalizovat relevanci detekovaných eventů.
Detekujte síťové anomálie a incidenty v reálném čase. Informace o události jsou průběžně updatovány, takže máte všechny potřebné informace i kontext pro řešení situace.
Využijte předdefinovaná pravidla pro prioritizaci událostí nebo stanovte svá vlastní na globální, skupinové nebo uživatelské úrovni. Vytvářejte vlastní dashboardy pro bezpečnostní specialisty, správce sítě, pracovníky helpdesku nebo manažery.
K dalšímu posílení svých detekčních schopností Flowmon využívá informace z komerčních a komunitních databází hrozeb. Upozornění na možnou kompromitaci, komunikaci s podezřelými zařízeními, jako jsou C&C servery nebo phishingové stránky.
30 denní trial s asistencí při počáteční konfiguraci Vyzkoušet Flowmon ADS