network-monitoring

Sledovanie počítačovej siete je zložené z dvoch základných častí:

1. Monitoring prevádzky - je použitie systému, ktorý nepretržite sleduje počítačovú sieť, pomalé alebo zlyhávajúce prvky. Správca siete tak získava prehľad o:

• dostupnosti služieb a serverov,
• vyťaženosti liniek, CPU, smerovačov, prepínačov, a iných zariadení.

Informácie na vyhodnocovanie sa získavajú hlavne cez protokol SNMP.
 
2. Analýza dát - je použitie systému na zber a následnú analýzu dát za účelom odhalenia anomálií, ktoré naznačujú možné infiltrovanie útočníkov do vnútornej infraštruktúry.

• Využitie NetFlow protokolu
• Network Behavior Analysis
• Filtrovanie paketov

Monitoring v reálnom čase (FMC) - monitoring v rámci dátovej infraštruktúry, centralizovaný a integrovaný do dohľadového centra, monitoring uplinkov a fixných dátových sietí pre potreby „čo, kde, ako, s kým“. Monitoring výkonnostných a prevádzkových parametrov komunikačnej infraštruktúry.

• Network Performance Monitoring
• Monitoring VoIP prevádzky
• Grafy a tabuľky komunikácii, formulár pre detailné analýzy
• Top N štatistiky (užívatelia, služby, navštevované servery, web stránky a pod.)
• Nástroj uľahčujúci optimalizáciu infraštruktúry, dohľad a správu sietí, identifikáciu používaných aplikácií
• Užívateľský definované pohľady (pobočky, servery, užívatelia)
• Upozornenia na email - alerty, dynamické tresholdy a ďalšie

Analýza chovania siete (ADS) - detekcia akejkoľvek bezpečnostnej, či prevádzkovej anomálie, hrozby alebo nerozpoznateľného rizika v rámci komunikačných dátových sietí. Systém plne integrovateľný do SIEM riešení, alebo ďalších bezpečnostných riešení tretích strán.

Detekcia zmien chovania a podozrivého chovania dátovách sietí je zameraná na:

• útoky (scan portov, slovníkové útoky, DoS, Telnet, APT, Zero Day),
• anomálie prevádzky (DNS, multicast, vysoká variabilita komunikácie, VoIP),
• anomálie chovania IP adries (zmena profilu chovania),
• nežiaduca aplikácia (P2P siete, on-line komunikátory, TOR, TeamViewer),
• malware (viry, spyware, botnety, komunikácie s adresami na blacklistech),
• pošta (odchádzajúci SPAM, nelegitímne poštovné servery),
• prevádzkové problémy (oneskorenie, preťaženie, reverzné DNS záznamy, výpadky služieb),
• potenciálne úniky dát (upload na verejné servery, webové úložištia),
• porušenie bezpečnostných politík (obchádzanie proxy serverov, neznáme zariadenia),
• špecifické metódy (sledovanie senzorovej siete).

Monitoring výkonnostných parametrov aplikácií  (APM) - presné a detailné informácie o tom, ako daná aplikácia funguje u každého užívateľa, ako dlho trvá spracovanie jednotlivých transakcií, aké veľké je oneskorenie na sieťovej vrstve, koľko užívateľov s aplikáciou pracuje, kedy je aplikácia najviac zaťažená a mnoho iných detailov. Identifikujete tak problém na aplikácii alebo jej častiach skôr, než Vás s nimi konfrontujú užívatelia.

Detailný pohľad na výkon aplikácie

• „Správanie sa“ aplikácií jednotlivým užívateľom
• Identifikácia problémov skôr, než ju ohlási užívateľ
• Identifikácia príčin výkonnostných problémov
• Meranie reálnej doby odozvy a chovania sa aplikácie
• Poskytovanie „tvrdých dát“ pre upg. HW
• Monitoring užívateľských transakcií v reálnom čase bez nutnosti inštalácie SW, tzv. „AGENTLESS“

 Nahrávanie záznamu dátovej komunikácie (TR)

• „Full / OnDemand Packet Capture“ – nahrávanie dátovej komunikácie na L2-L7
• Ukladanie do PCAP formátu
• Vhodné pre ďalšie forénzne analýzy, napr. v nástrojoch Wireshark
• Rozšírenie možností identifikácie prevádzkových problémov

Prínosy riešenia

• Monitorovanie prevádzky na sieti v reálnom čase, zvýšenie bezpečnosti siete a možnosť odhalenia vonkajších i vnútorných útokov, analyzovanie dlhodobých štatistík s rozlíšením na jednotlivé počítače, aplikácie a konverzácie ,detailné sledovanie užívateľov a služieb, efektívne plánovanie kapacít liniek.
• Dlhodobé uloženie štatistík o sieťovej prevádzke a dodržovanie vyhlášky a Zákona o elektronických komunikáciách.
• Rýchle a presné riešenie problémov na sieti, okamžitá identifikácia akejkoľvek anomálie prostredníctvom automatizovaného alertingu.
• Prostredníctvom kvalifikovaného reportingu získavanie prehľadných výpisov o sieťovej prevádzke, ľahké plánovanie a monitorovanie QoS, kontroly peeringu a dohôd o kvalitách služieb (SLA).

Riešenie detekuje akúkoľvek anomáliu či udalosť v danom okamžiku výskytu na sieti. Prostredníctvom kolektoru sa údaje uchovávaju a ukladajú v agregovanom stave po akúkoľvek potrebnú dobu (dohľad, forénzne vyšetrovanie a pod.).