Cisco Cyber Threat Defense

Hasonló dokumentumok
NetFlow és NFSen Flow analízis a HBONE-ban Mohácsi János, NIIF <mohacsi@niif.hu> Kiss Gábor, NIIF <kissg@niif.hu>

Félreértések elkerülése érdekében kérdezze meg rendszergazdáját, üzemeltetőjét!

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Catalyst 6500 Hogyan tovább?

EXTREME NETWORKS MEGOLDÁSOK ANALYTICS & SDN KRUPA ZSOLT ICT SMART SOLUTION SZAKMAI NAP

Everything Over Ethernet

Kommunikációs rendszerek programozása. Switch-ek

InfoVista újdonságok. Sándor Tamás. fımérnök. SCI-Network Távközlési és Hálózatintegrációs zrt. T.: F.:

Újdonságok Nexus Platformon

Szolgáltat. gfelügyeleti gyeleti rendszer fejlesztése. NETWORKSHOP 2010 Sándor Tamás

CCNA Security a gyakorlatban

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

Radware terhelés-megosztási megoldások a gyakorlatban

Dunaújvárosi Főiskolán

C6VN7 II. Catalyst 6500 versus Nexus 7000

Felhő alapú hálózatok (VITMMA02) OpenStack Neutron Networking

SDN a különböző gyártói megközelítések tükrében

Simon János György technikai tanácsadó, CCSP. Biztonsági incidensek hatékony kezelése

Nagybiztonságú, több telephelyes kommunikációs hálózatok

Hegyi Béla, technikai tanácsadó. Cisco MARS Bemutatása

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Next Generation Cyber Security Platform. Pintér András YOUNG ENTERPRISE DAY Október 2.

Forgalmi grafikák és statisztika MRTG-vel

Ethernet/IP címzés - gyakorlat

Változások a Sulinet szűrési szabályokban

Allied Telesis. Szakmai nap 2017 Pásztor András

Hitachi Flash Újdonságok. Szokol Zsolt Senior Solution Consultant 2016 március

Hálózati szolgáltatások OpenStack környezetben

Dr. Wührl Tibor Ph.D. MsC 04 Ea. IP kapcsolás hálózati réteg

Jogában áll belépni?!

III. előadás. Kovács Róbert

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

A HBONE évi fejlesztési eredményei

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

Heterogén MPLS hálózat QoS alkalmazásával

NCS5500 bemutató. Balla Attila

TELE-OPERATOR UTS v.14 Field IPTV műszer. Adatlap

SCHNETv6 IPv6 a Schönherzben. 5/7/12 Tóth Ferenc - IPv6 a Schönherzben 1

Tartalom. A biztonsági veszélyek monitorozása, analizálása és az erre adott válasz. Cisco Security-MARS. Ács György Konzultáns gacs@cisco.

IPv6 Elmélet és gyakorlat

Hálózati hozzáférés vezérlés Cisco alapokon

A HBONE évi fejlesztési eredményei


IH Rendezvényközpont március

Cisco Catalyst 3500XL switch segédlet

2014 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

Hálózati ismeretek. Az együttműködés szükségessége:

A hálózattervezés alapvető ismeretei

Internet Protokoll 6-os verzió. Varga Tamás

Újdonságok Nexus Platformon

IP alapú kommunikáció. 11. Előadás Hálózat Monitoring/Hálózat Manadgement Kovács Ákos

A T-Online Adatpark és Dataplex hálózati megoldásai

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

STANDARD DEVELOPMENT U.L. FACTORY SYSTEMS GROUP IT DEPARTMENT

HBONE+ telepítés, migráció

Új módszerek és eszközök infokommunikációs hálózatok forgalmának vizsgálatához

Gigabit/s sebess«gű internetkapcsolatok m«r«se b ng«szőben

IP alapú komunikáció. 2. Előadás - Switchek 2 Kovács Ákos

SDN a különböző gyártói megközelítések tükrében

Hálózati Technológiák és Alkalmazások. Vida Rolland, BME TMIT október 29. HSNLab SINCE 1992

HP Networking. Hálózat-menedzsment vegyes gyártói környezetben. Légrádi Attila HP Networking TC

A Digitális transzformáció elkerülhetetlen élő példák a felhőn és ködön belül. Tóth Levente Mérnök tanácsadó Cisco Magyarország

GÉANT Hungary (HBONE) fejlesztések

Szolgáltatási szint és performancia menedzsment a PerformanceVisor alkalmazással. HOUG konferencia, 2007 április 19.

Hálózati rendszerek adminisztrációja JunOS OS alapokon

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Számítógépes Hálózatok 2011

CISCO gyakorlati segédlet. Összeállította: Balogh Zoltán

Lajber Zoltán. Bevezetés. Informatikai Hivatal. Tervezési szempontok: teljesítmény, karbantarthatóság, biztonság.

Számítógép hálózatok

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

ESZKÖZTÁMOGATÁS A TESZTELÉSBEN

Organizáció. Számítógépes Hálózatok Gyakorlati jegy. Vizsga. Web-oldal

Tájékoztató. Használható segédeszköz: -

IP alapú kommunikáció. 3. Előadás Switchek 3 Kovács Ákos

1. Az ajánlatkérő neve és címe: Nemzeti Választási Iroda (1054 Budapest Alkotmány u. 3.)

Előadás témája: DVR-ek és hálózati beállításuk Szentandrási-Szabó Attila Műszaki és kereskedelmi igazgató

Oracle Enterprise Manager: Az első teljesértékű felhő üzemeltetési megoldás

Cisco Alkalmazásközpontú Application Centric Infrastructure

Huawei Cisco Interworking Szolgáltatói környezetben

Windows Screencast teszt

Tűzfalak működése és összehasonlításuk

Számítógépes Hálózatok ősz 2006

Organizáció. Számítógépes Hálózatok ősz Tartalom. Vizsga. Web-oldal

SzIP kompatibilis sávszélesség mérések


4. Az alkalmazások hatása a hálózat tervezésre

Adatközpontok összekapcsolása. Balla Attila

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 3. óra. Kocsis Gergely, Kelenföldi Szilárd

The Power To Develop. i Develop

Lajber Zoltán. Bevezetés

Az IBM megközelítése a végpont védelemhez

1. Kapcsolók konfigurálása

VL IT i n du s t ri al Kommunikációs vázlat

Routing IPv4 és IPv6 környezetben. Professzionális hálózati feladatok RouterOS-el

Számítógépes Hálózatok GY 9.hét

VMware vsphere. Virtuális Hálózatok Biztonsága. Andrews IT Engineering Kft.

1. Forgalomirányítók konfigurálása

Átírás:

Cisco Cyber Threat Defense v. 1. Segyik István rendszermérnök (isegyik@cisco.com) Cisco Global Virtual Engineering Február, 2014.

Tartalom A Cisco Cyber Threat Defense röviden NetFlow és egyéb Flow-k Lancope Stealthwatch technológia Lancope Stealthwatch kontra más NetFlow feldolgozó rendszerek Cisco Public 2

Cisco Cyber Threat Defense Elsősorban hálózatbiztonsági telemetria rendszer. A rendszer komponensei: NetFlow (ha lehet v9) adat exportálásra képes Cisco eszközök; Lancope Stealthwatch telemetria rendszer. A Lancope Stealthwatch rendszer elemei megtalálhatóak a Cisco árlistában. (Nem mindegyik, amit a Lancope OEM szerződéssel árul, az nem. Ezekre van Cisco helyettesítő megoldás.) Azonban lényeges megjegyezni: A terméktámogatást a Lancope komponensekre a Lancope biztosítja; Nem OEM termék: nincs Cisco logo, nincs Cisco specifikus szoftver vagy hardver verzió; A Cisco Security Intelligence Operations (SIO) egyelőre nem látja el a rendszert reputációs input-tal. (Ugyanakkor technikailag képes lenne rá.) Cisco Public 3

NetFlow Cisco Public 4

NetFlow röviden A NetFlow TM egy Cisco technológia, Egy technológia, amely forgalmi paramétereket és statisztikákat rögzít. Hasonló egy tűzfal naplóhoz, DE: Nem flow eseményeket rögzít, hanem flow paramétereket és statisztikákat; Általában sokkal részletesebb. A NetFlow folyamatosan fejlődik: v5: Elterjedt, sok régebbi eszközben támogatott; v9: Flexible NetFlow relatív új technológia, jelenleg a legjobb, az IPFIX (IETF szabvány) protokoll alapja. Pontosság alapján megkülönböztetünk: Mintavételezett: csak X csomagot az Y-ból vesz figyelembe a statisztikai rekordok generálásánál; Teljeskörű: minden csomag feldolgozásra kerül. Cisco Public 5

Más Flow reporting technológiák IPFIX: Cisco NetFlow v9 alapokon nyugvó IETF szabvány, néhány Cisco eszköz már támogatja; Jflow vagy cflowd: Juniper Networks NetStream: 3Com/HP NetStream: Huawei Technologies Cflowd: Alcatel-Lucent Rflow: Ericsson AppFlow: Citrix sflow: IETF szabvány, főleg switch-eken alkalmazott, (erősen) mintavételezett. Cisco Public 6

OpenFlow? Open Network Foundation (ONF) által szponzorált protokoll. Nem monitorozási, hanem adattovábbítási technológia (NetFlow is annak indult, de a CEF leváltotta). Egyes Cisco Nexus platformokon támogatott. Cisco Public 7

NetFlow v9 Széleskörben támogatott Cisco és más gyártók eszközein. Számos paramétert rögzíthet (80+): Fizikai interfész; L2 mezők (pl. VLAN id); MPLS tag; IPv4 és IPv6 paraméterek; L4-L7 Alkalmazás információk NBAR(2); Csomag tartalmának első X byte-ja; Különböző- a csomagban nem megtalálható meta-adatok (pl. BGP AS, RTT); Stb. A rekordok testreszabhatóak, a Collector számára az Exporter sémát küld minden csomagban. Több információ: http://www.cisco.com/en/us/docs/ios-xml/ios/fnetflow/configuration/xe-3s/fnf-xe-3s-book.html Cisco Public 8

NetFlow v9 csomag példa struktúra Cisco Public 9

NetFlow v9 csomag példa PCAP Cisco Public 10

NetFlow Cisco eszközökön Router platformok: ISR (IOS) platformok: teljeskörű NetFlow v5/9 támogatás szoftveresen. ASR (IOS XE) platformok: teljeskörű NetFlow v5/9 támogatás hardveresen. LAN switch-ek: Catalyst 2960X: limitált mezőkkel, mintavételezett (1/32-1/1022) NetFlow Lite. Catalyst 3560X, 3750X: széleskörű NetFlow csak uplink-en speciális 10G uplink modullal (akár mintavételezés nélkül). Catalyst 3850: széleskörű NetFlow hardverben támogatva (akár mintavételezés nélkül). Catalyst 4500: Supervisor 7-től széleskörű NetFlow támogatás hardveresen támogatva (csak mintavételezés nélküli). Catalyst 6500: széleskörű NetFlow támogatás hardveresen támogatva (régebbi supervisor-ok esetén lehetnek limitációk). Cisco Public 11

NetFlow Cisco eszközökön Adatközponti platformok: Nexus 1000v: NetFlow; Nexus 31xx: sflow; Nexus 3548: - Nexus 3000: sflow; Nexus 5500, 5600: -, NetFlow elérhető lesz Márciusban; Nexus 6000: -, NetFlow elérhető lesz Márciusban; Nexus 7000: NetFlow. Cisco NetFlow Generation Appliance-ek: SPAN portra kapcsolható; NetFlow v5, v9 and IPFIX támogatás; Kb. 40 Gbps forgalom teljeskörű elemzése (3240-es modell). Cisco Public 12

NetFlow (NSEL) az ASA tűzfalakban ASA NSEL-t (Network Security Event Logging) támogat. A Cisco CTD rendszer ezt is támogatja. NetFlow (v9) alapú telemetria elérhető a Cisco ASA tűzfalakban ASA OS 8.4-től. Néhány fontos különbség: Nem testreszabhatóak a rekordok; Előre definiált sémák vannak, amelyek egyazon vagy eltérő kollektorokhoz küldhetőek. Tűzfal specifikus mezők, mint például ASA ASP (stateful FW, NAT, stb.) paraméterek. Kisebb teljesítmény igénye van, mint a részletes Syslog alapú naplózásnak. Cisco Public 13

NetFlow konfiguráció ennyire egyszerű is lehet J interface Dialer 1 ip flow ingress ip flow egress! ip flow-export TheWall#sh source Vlan1 ip cache flow ip flow-export IP version packet 9 size distribution (20380379 total packets): ip flow-export destination 1-32 64 10.100.0.134 96 128 160 9996192 224 256 288 320 352 384 416 448 480!.000.263.056.060.031.004.002.002.037.001.001.001.002.001.001 ip flow-top-talkers top 10... sort-by bytes match protocol Protocol tcp Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 788 0.0 1 58 0.0 0.1 15.3 TCP-FTP 65 0.0 5 64 0.0 1.2 10.9... SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Di1 64.103.25.233 Local 195.56.3.67 06 C814 1146 69 Vl1 195.56.3.67 Di1* 144.254.221.39 11 EB76 1194 4955... Cisco Public 14

NetFlow konfiguráció vagy ennyire szofisztikált J flow record input-usage-record match interface input match flow direction match application name account-onresolution collect interface output collect counter bytes long collect counter packets collect timestamp sys-uptime first collect timestamp sys-uptime last collect connection new-connections collect connection sum-duration flow monitor input-usage-monitor record input-usage-record exporter exp1 cache timeout inactive 300 cache timeout active 300 cache entries 5000 flow record output-usage-record match interface output match flow direction match application name account-onresolution collect interface input collect counter bytes long collect counter packets collect timestamp sys-uptime first collect timestamp sys-uptime last collect connection new-connections collect connection sum-duration interface GigabitEthernet0/1/1 description *** ingress ***** ip address 1.1.1.254 255.255.255.0 ip flow monitor input-usage-monitor input ip flow monitor tr-monitor sampler my-sampler input flow monitor output-usage-monitor record output-usage-record exporter exp1 cache timeout inactive 300 cache timeout active 300 cache entries 5000 sampler my-sampler mode random 1 out-of 1000 granularity Connection flow record tr-record match connection transaction-id collect ipv4 protocol collect ipv4 source address collect ipv4 destination address collect transport source-port collect transport destinationport collect interface input collect interface output flow monitor tr-monitor record tr-record exporter exp1 cache timeout event transaction-end cache entries collect 30000 flow direction collect flow sampler collect counter bytes long collect counter packets collect timestamp sys-uptime first collect timestamp sys-uptime last flow exporter exp1 destination 10.56.128.231 collect application name transport udp 2055 collect flow end-reason option interface-table collect timeout connection 300 initiator option sampler-table timeout 300 option application-table timeout 300 Cisco Public 15

Lancope Stealthwatch TM Cisco Public 16

A probléma bejuthat vagy éppen keletkezhet is belül... Cisco Public 17

A probléma bejuthat vagy éppen keletkezhet is belül... A legtöbb rendszerben telemetria adatokat csak néhány ponton gyűjtünk és elemzünk: Internet peremzóna (tűzfalnapló, ALG napló fájlok); DC peremzóna (tűzfalnapló, még ez is ritka); LAN Access zóna (Hozzáférést vezérlő rendszer eseményei); Honeypot-ok (főleg IPS megoldásokkal, ez sem elterjedt). A fentiek meglehetősen inhomogén és esetenként drága megoldások. A Lancope Stealthwatch TM : Rálátást biztosít a forgalom mennyiségére, forgalmi vektorokra, hosztokra és alkalmazásokra a belső hálózat egészére kiterjedően; Riaszt potenciális incidensek keletkezésekor; Jelentéseket készít a forgalmi statisztikákról és az észlelt incidensekről; Be is avatkozhat (egyelőre nem elterjedt telepítési mód). Cisco Public 18

Lancope Stealthwatch architektúra Cisco Public 19

Milyen információkat gyűjt a Stealthwatch? A Stealthwatch NetFlow (és egyéb...flow) rekordokat gyűjt; Ha lehet, akkor teljeskörű- nem mintavételezett módon generáltakat; Opcionálisan SNMP Poll-t is használhat az eszköz interfész állapotának és nevének kiolvasására; Mit NEM gyűjt: Flow Records SNMP MIB statisztikákat; (legtöbbször 5 perces átlag értékek, nem elég pontosak); Tűzfal, IPS, stb. eseményeket Syslog-ban vagy SDEE, estreamer stb. protokollokon. Cisco Public 20

NetFlow rekord feldolgozás Stealthwatch-ben A Flow Collector -oknak meglehetősen nagy adatmennyiséget kell feldolgozniuk. A Flow Collector -ok a feldolgozott statisztikai adatokat küldik csak el a Management Console számára. A kezdeti feldolgozás: Deduplikáció (több eszköz is jelenthet ugyanarről az adatfolyamról), de úgy, hogy teljes forgalmi vektor információ megmarad. Aggregáció (egy adatfolyam több rekordból áll össze: minél tovább él, annál több rekord). Hosztonkénti és hoszt csoportonkénti viselkedés-analízis dinamikus normál érték tanulással. A Lancope jelenleg élen jár a hatékonyságban és a feldolgozási kapacitásban. Cisco Public 21

Viselkedés-analízis a Stealthwatch rendszerben Összetett normál érték menedzsment. Hosztonként és hoszt csoportonkénti részletességgel. Dinamikusan tanulhat normál értékeket. Egyedülálló feldolgozási logika amely Concern Index TM mérőszámokat eredményez: Concern Index: magas értéke potenciálisan fertőzött hosztot jelöl; Target Index: magas értéke potenciálisan Flood típusú támadás célpontjait jelöli; File Sharing Index: magas értéke potenciálisan Peer-to-Peer forgalmat bonyolító hosztot jelöl. Látványos és könnyen értelmezhető grafikus megjelenítés. Cisco Public 22

Viselkedés-analízis a Stealthwatch rendszerben Cisco Public 23

Alkalmazás felismerés a Stealthwatch rendszerben A Stealthwatch képes a hálózati alkalmazások felismerésére. Alkalmazás-felismerési módszerek: Cisco, illetve más gyártók alkalmazás felismerési motorjai flow rekordban elküldött alkalmazás azonosító; Stealthwatch Flow Sensor-ral gyűjtött adatok esetén Lancope elemző motor által generált azonosító IPFIX rekordban; Flow Collector-on történő feldolgozás során generált alkalmazás azonosító. A Flow Sensor és Flow Collector elemző motorjai szoftver frissítés során tanulnak meg új alkalmazásokat. Cisco Public 24

Adatok grafikus reprezentációja a Stealthwatch rendszerben Fejlett grafikus interfész: Egymásból generálható táblázatok; Speciális ábrák; Aktív térképek. Testreszabható dashboard -ok. Egyszerűsítik a használatot. Látványossabbá teszik az eredményeket J Cisco Public 25

Adatok grafikus reprezentációja a Stealthwatch rendszerben Cisco Public 26

Context információk a Stealthwatch rendszerben Azonosítási és reputációs információk külső hosztokról: Statikus Lancope geolokációs adatbázis; Stealthwatch API külső reputációs információk lekérdezéséhez; A Cisco SIO reputációs adatbázis egyenlőre nem támogatott. Azonosítási és reputációs információk belső hosztokról: Lancope által OEM szerződés keretein belül árult Identity Management megoldás. Értelemszerűen Cisco-n keresztül, Cisco cikkszám alatt nem elérhető. A Stealthwatch le tudja kérdezni az ISE-t a Session API -n keresztül felhasználónév-ip cím összerendelés céljából. Statikus attribútumokkal láthatunk el hosztokat és hoszt csoportokat. Cisco Public 27

Lancope Stealthwatch architektúra Cisco Public 28

Lancope Stealthwatch rendszer skálázhatósága Komponens Max eszköz Rendszer skálázhatósága Cisco NDE képes Catalyst switch-ek Cisco NBAR és NDE képes IOS(XE) routerek Cisco ASA tűzfalak Cisco Identity Services Engine Maximum 50.000 NetFlow forrás - 1 rendszer Max. 250.000 konkurens végpont per rendszer SMC 2 (1 redundáns) Max. 25 Flow Collector menedzsmentje FlowCollector 4000 25 Max. 120.000 flow/second per FlowCollector FlowReplicator 1 Maximum 20.000 pps befelé, 60.000 pps kifelé Cisco Public 29

Lancope Stealthwatch Management Console Modell Max. FlowCollector Adatbázis Méret! SMC-500 1 1 TB 1U! SMC-1000 Max. 5 1 TB 2U! SMC-2000 Max. 25 2 TB 2U Mindegyik platform RAID 5 hot-swap disk alrendszerrel és redundáns táppal szerelt. Cisco Public 30

Lancope Stealthwatch Flow Collector Modell Maximum Flow per Second Ajánlott Exporter (db.) Max. Exporter (db.) Ajánlott hoszt kapacitás (db.) Maximum hoszt kapacitás (db.) Adatbázis! FC-1000 30,000 250 500 150,000 250,000 1 TB! FC-2000 60,000 500 1000 300,000 500,000 2 TB! FC-4000 120,000 1000 2000 600,000 1,000,000 4 TB FONTOS: ugyanaz a Flow Collector nem kezelhet Netflow-t és sflow-t. Mindegyik platform RAID 5 hot-swap disk alrendszerrel és redundáns táppal szerelt. Cisco Public 31

Lancope Stealthwatch Flow Sensor Modell Feldolgozási kapacitás Monitorozó interfész Interfész sebesség Média Méret Redundáns táp! FS-250! FS-250x 100 Mbps 2 10/100/1000 UTP 1U-Rövid Nincs! FS-1000 1Gbps 3 10/100/1000 UTP 1U-Rövid Nincs! FS-2000 2.5 Gbps 5 10/100/1000 UTP vagy SFP 1U Van! FS-3000 5 Gbps 1 or 2 10Gb SFP 1U Van A Flow Sensor IPFIX rekordokat generál részletes QoS paraméterekkel. A Cisco NGA (40Gbps NetFlow v9) egy alternatíva nagyobb kapacitással, de kevésbbé részletes rekordokkal. Cisco Public 32

Lancope Stealthwatch Flow Replicator Modell Feldolgozási kapacitás Physical Layer Form Factor Redundant Power FR-1000 FR-2000 10,000 pps bejövő 20,000 pps kimenő 20,000 pps bejövő 60,000 pps kimenő UTP 1U rövid Nincs UTP vagy SFP 1U Van Replikálhat NetFlow-t, más Flow export technológiát, illetve akármilyen UDP alapú protokollt, pl. SNMP vagy Syslog. Cisco Public 33

Lancope Stealth Watch kontra más NetFlow feldolgozó rendszerek Cisco Public 34

A Lancope Stealthwatch egy SIEM rendszer? Nem, nem az. A Stealthwatch nem gyűjt eseményeket és riasztásokat külső eszközöktől. A Lancope a Splunk-ot ajánlja integrált riasztás és esemény menedzsment céljára. (a Sourcefire is...) Cisco Public 35

Stealthwatch kontra Cisco NetFlow feldolgozó rendszerek Cisco Network Analysis Module (és NAM appliance): NetFlow rekord kollektor és NetFlow rekord generátor egyben. Speciális protokollokat is kezel, mint: Cisco Security Group Tag, PPPoE, IPIP, VxLAN, OTV, LISP, FabricPath, CAPWAP. Packet Capture képesség (PCAP). Képes riasztásokra, de statikus szabályrendszer alapján. Inkább hálózat menedzsment jellegű feldolgozás, mintsem biztonsági. Cisco Prime Infrastructure: NetFlow rekordokat is gyűjthet, egyéb paraméterek mellett (SNMP, speciálist API-k). Infrastruktúra menedzsment alkalmazás. Cisco Public 36

Stealthwatch kontra Cisco NetFlow feldolgozó rendszerek Cisco Insight Manager: Kifejezetten az ASR 1000-es routereken kínált Application Visibility Control alrendszer monitorozására. Linux alapú virtuális appliance. OEM szoftver komponenseket használ. Forgalmi és alkalmazás statisztikák generálására ajánlott. Sourcefire Defense Center: A NetFlow rekord feldolgozás csak opcionális részfunkciója. Igazából csak megerősíti a begyűjtött és feldolgozott adatok pontosságát, illetve a szabályrendszer működését. A NetFlow-n mért forgalomnak át is kelle haladnia egy 3D NGIPS/NGFW appliance-en. A FireSIGHT context monitorozó alrendszer rendkívül részletes és hasznos, a gyűjtött és feldolgozott információk beépíthetőek a szabályrendszerbe. Ugyanakkor ott működik, ahol 3D appliance-en keresztül megy a forgalom. Cisco Public 37

Köszönjük!

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés