Network Probe

Monitoring infrastruktury IT nie może odbyć się bez wnikliwej analizy ruchu sieciowego. Ze względu na potrzeby wysokowydajnego parsowania kopii ruchu sieciowego oraz Netflow do Energy Logserver dodano dedykowaną sondę sieciową. Wzbogaca ona dane zbierane
w systemie, dzięki czemu usprawnia prace zarówno administratorom sieci jak i pracownikom SOC.

Architektura rozwiązania ELS Network Probe pozwala na przyjmowanie i analizę w czasie rzeczywistym gigabitów danych z ruchu sieciowego oraz dziesiątek tysięcy flow na sekundę w ramach jednej instancji. Rozbudowane i rozproszone środowiska mogą mieć zaimplementowane wiele sond, które współpracują ze sobą i przedstawiają pełny obraz komunikacji.

Moduł Network Probe można podzielić na dwie podstawowe funkcjonalności.

Wydajny Kolektor

Po pierwsze jest to wydajny kolektor ruchu Netflow, zbierający dane ze źródeł wykorzystujące różne typu protokoły, jak: Netflow v5, v9 IPFIX, jflow, sflow, czy NetStream. Sondę rekomendujemy wszędzie tam, gdzie występuje duży wolumen danych, który byłby trudny do przyjęcia
w ramach podstawowego wdrożenia systemu Energy Logserver Log Management Plan.

Analiza kopii ruchu

Drugą bardzo istotną cechą jest pasywna kolekcja kopii ruchu sieciowego, pozwalająca spojrzeć dokładniej na analizę zdarzeń w ramach monitorowanej sieci IT/OT. Taka analiza wykracza poza standardowy zakres oferowany przez rozwiązania klasy IDS. Wspierane jest wiele popularnych protokołów.

Sonda w łatwy sposób pomaga wykryć podejrzane lub niebezpieczne zachowania w sieci, a zarazem ułatwia identyfikowanie źródło problemu. Network Probe zapewnia możliwości prowadzenia analiz w kontekście bezpieczeństwa, pozwalających w sposób automatyczny wykryć niedozwolone transakcje oraz komunikacje. Porównując je z dostarczanymi przez Energy Logserver bazami IoC, które zawierają informacje o sygnaturach, adresach IP, hashami zainfekowanych plików, czy też nazwami domen i adresów URL jesteśmy w stanie znacznie przyspieszyć pracę analizy incydentów bezpieczeństwa. Bazując na analizie behawioralnej, moduł jest w stanie rozpoznawać ataki typu Zero-day oraz identyfikować niestandardowe zachowania użytkowników sieci.

Analiza kopii ruchu warstw L2-L7 daje również możliwość badania wydajnościowego sieci, dostarczając informacji o poprawności działania usług DNS, DHCP, czasach (SRT) Server Response Time i (RTT) Round Trip Time. Sonda dostarcza także informacji o używanych aplikacjach w sieci
i ich wykorzystaniu przez użytkowników, a co za tym idzie wspomaga proces identyfikacji potencjalnych problemów wydajnościowych.