Wykrywanie i alertowanie anomalii w ruchu sieciowym

Do monitorowania anomalii w ruchu używamy różnych podejść. Oczywiście możemy obsługiwać takie zdarzenia w Energy Logserver dedykowaną sondą sieciową, która jest wyposażona w moduł Netflow Analazing i domyślnie wykrywa anomalie. Takie sondy odbierają przepływ sieciowy z wybranego span portu i mogą być również używane jako urządzenie wirtualne.

Niezależnie od zastosowania sondy - w Energy Logserver używamy do tego naszego modułu alarmowego, w którym wybieramy odpowiednie podejście.
W przypadku niektórych klientów używamy typu Metric Aggregation, w którym ustalamy próg wysyłanych / odbieranych danych.

Ale Energy Logserver ma również zestaw predefiniowanych alertów, a wśród nich są: Netflow - DNS traffic abnormal typu Spike. Ta reguła działa na zasadzie porównaniu rzeczywistych ram czasowych z poprzednimi i obliczeniu różnicy między nimi. W ten sposób wykrywamy nagły wzrost (lub spadek) wybranego wzoru.

Innym podejściem jest monitorowanie nowych, nie widzianych wcześniej wartości w wybranym polu (jak nowy adres url w naszych logach) per użytkownik, źródło lub inny parametr.

 

Energy Logserver może łączyć ze sobą wiele alertów w jeden, skorelowany przez pola i warunki z typami Chain lub Logical.