Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

Π’ послСднСС врСмя Π² Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π΅ ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΠΉΡ‚ΠΈ ΠΎΠ³Ρ€ΠΎΠΌΠ½ΠΎΠ΅ ΠΊΠΎΠ»-Π²ΠΎ ΠΌΠ°Ρ‚Π΅Ρ€ΠΈΠ°Π»ΠΎΠ² ΠΏΠΎ Ρ‚Π΅ΠΌΠ΅ Π°Π½Π°Π»ΠΈΠ·Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° Π½Π° ΠΏΠ΅Ρ€ΠΈΠΌΠ΅Ρ‚Ρ€Π΅ сСти. ΠŸΡ€ΠΈ этом всС ΠΏΠΎΡ‡Π΅ΠΌΡƒ-Ρ‚ΠΎ ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½Π½ΠΎ Π·Π°Π±Ρ‹Π»ΠΈ ΠΎΠ± Π°Π½Π°Π»ΠΈΠ·Π΅ локального Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ являСтся Π½Π΅ ΠΌΠ΅Π½Π΅Π΅ Π²Π°ΠΆΠ½Ρ‹ΠΌ. Данная ΡΡ‚Π°Ρ‚ΡŒΡ ΠΊΠ°ΠΊ Ρ€Π°Π· ΠΈ посСщСна этой Ρ‚Π΅ΠΌΠ΅. На ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ Flowmon Networks ΠΌΡ‹ вспомним старый Π΄ΠΎΠ±Ρ€Ρ‹ΠΉ Netflow (ΠΈ Π΅Π³ΠΎ Π°Π»ΡŒΡ‚Π΅Ρ€Π½Π°Ρ‚ΠΈΠ²Ρ‹), рассмотрим интСрСсныС кСйсы, Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹Π΅ Π°Π½ΠΎΠΌΠ°Π»ΠΈΠΈ Π² сСти ΠΈ ΡƒΠ·Π½Π°Π΅ΠΌ прСимущСства Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ, ΠΊΠΎΠ³Π΄Π° вся ΡΠ΅Ρ‚ΡŒ Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ ΠΊΠ°ΠΊ Π΅Π΄ΠΈΠ½Ρ‹ΠΉ сСнсор. И самоС Π³Π»Π°Π²Π½ΠΎΠ΅ β€” провСсти ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹ΠΉ Π°Π½Π°Π»ΠΈΠ· локально Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΌΠΎΠΆΠ½ΠΎ ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½Π½ΠΎ бСсплатно, Π² Ρ€Π°ΠΌΠΊΠ°Ρ… Ρ‚Ρ€ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ Π»ΠΈΡ†Π΅Π½Π·ΠΈΠΈ (45 Π΄Π½Π΅ΠΉ). Если Ρ‚Π΅ΠΌΠ° Π²Π°ΠΌ интСрСсна, Π΄ΠΎΠ±Ρ€ΠΎ ΠΏΠΎΠΆΠ°Π»ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΠ΄ ΠΊΠ°Ρ‚. Если ΠΆΠ΅ Ρ‡ΠΈΡ‚Π°Ρ‚ΡŒ лСнь, Ρ‚ΠΎ, забСгая Π²ΠΏΠ΅Ρ€Π΅Π΄, ΠΌΠΎΠΆΠ΅Ρ‚Π΅ Π·Π°Ρ€Π΅Π³ΠΈΡΡ‚Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π½Π° прСдстоящий Π²Π΅Π±ΠΈΠ½Π°Ρ€, Π³Π΄Π΅ ΠΌΡ‹ всС ΠΏΠΎΠΊΠ°ΠΆΠ΅ΠΌ ΠΈ расскаТСм (Ρ‚Π°ΠΌ ΠΆΠ΅ ΠΌΠΎΠΆΠ½ΠΎ Π±ΡƒΠ΄Π΅Ρ‚ ΡƒΠ·Π½Π°Ρ‚ΡŒ ΠΎ прСдстоящСм ΠΎΠ±ΡƒΡ‡Π΅Π½ΠΈΠΈ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Ρƒ).

Π§Ρ‚ΠΎ Ρ‚Π°ΠΊΠΎΠ΅ Flowmon Networks?

ΠŸΡ€Π΅ΠΆΠ΄Π΅ всСго, Flowmon это СвропСйский ИВ-Π²Π΅Π½Π΄ΠΎΡ€. Компания ЧСшская, со ΡˆΡ‚Π°Π±-ΠΊΠ²Π°Ρ€Ρ‚ΠΈΡ€ΠΎΠΉ Π² Π³ΠΎΡ€ΠΎΠ΄Π΅ Π‘Ρ€Π½ΠΎ (вопрос санкций Π΄Π°ΠΆΠ΅ Π½Π΅ поднимаСтся). Π’ своСм Ρ‚Π΅ΠΊΡƒΡ‰Π΅ΠΌ Π²ΠΈΠ΄Π΅ компания прСдставлСна Π½Π° Ρ€Ρ‹Π½ΠΊΠ΅ с 2007 Π³ΠΎΠ΄Π°. Π”ΠΎ этого Π±Ρ‹Π»Π° извСстна ΠΏΠΎΠ΄ Π±Ρ€Π΅Π½Π΄ΠΎΠΌ Invea-Tech. Π’Π°ΠΊ Ρ‡Ρ‚ΠΎ суммарно Π½Π° Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΡƒ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ΠΎΠ² ΠΈ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ ΠΏΠΎΡ‚Ρ€Π°Ρ‡Π΅Π½ΠΎ ΠΏΠΎΡ‡Ρ‚ΠΈ 20 Π»Π΅Ρ‚.

Flowmon позиционируСтся ΠΊΠ°ΠΊ Π±Ρ€Π΅Π½Π΄ А-класса. Π Π°Π·Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°Π΅Ρ‚ ΠΏΡ€Π΅ΠΌΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ для ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹Ρ… Π·Π°ΠΊΠ°Π·Ρ‡ΠΈΠΊΠΎΠ² ΠΈ ΠΎΡ‚ΠΌΠ΅Ρ‡Π΅Π½ Π² ΠΊΠ²Π°Π΄Ρ€Π°Ρ‚Π°Ρ… Gartner ΠΏΠΎ Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΡŽ Network Performance Monitoring and Diagnostics (NPMD). ΠŸΡ€ΠΈΡ‡Π΅ΠΌ, Ρ‡Ρ‚ΠΎ интСрСсно, ΠΈΠ· всСх ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ Π² ΠΎΡ‚Ρ‡Π΅Ρ‚Π΅, Flowmon – СдинствСнный Π²Π΅Π½Π΄ΠΎΡ€, ΠΎΡ‚ΠΌΠ΅Ρ‡Π΅Π½Π½Ρ‹ΠΉ Gartner ΠΊΠ°ΠΊ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ ΠΈ для сСтСвого ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π°, ΠΈ для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ (Network Behavior Analysis). ΠŸΠ΅Ρ€Π²ΠΎΠ³ΠΎ мСста ΠΏΠΎΠΊΠ° Π½Π΅ Π·Π°Π½ΠΈΠΌΠ°Π΅Ρ‚, Π½ΠΎ Π·Π° счСт этого ΠΈ Π½Π΅ стоит ΠΊΠ°ΠΊ ΠΊΡ€Ρ‹Π»ΠΎ ΠΎΡ‚ Π‘ΠΎΠΈΠ½Π³Π°.

КакиС Π·Π°Π΄Π°Ρ‡ΠΈ позволяСт Ρ€Π΅ΡˆΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚?

Π“Π»ΠΎΠ±Π°Π»ΡŒΠ½ΠΎ, ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹Π΄Π΅Π»ΠΈΡ‚ΡŒ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΉ ΠΏΡƒΠ» Π·Π°Π΄Π°Ρ‡, Ρ€Π΅ΡˆΠ°Π΅ΠΌΡ‹Ρ… ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°ΠΌΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ:

  1. ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ ΡΡ‚Π°Π±ΠΈΠ»ΡŒΠ½ΠΎΡΡ‚ΡŒ Ρ€Π°Π±ΠΎΡ‚Ρ‹ сСти, Π° Ρ‚Π°ΠΊΠΆΠ΅ сСтСвых рСсурсов Π·Π° счСт ΠΌΠΈΠ½ΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΠΈ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ ΠΈΡ… простоя ΠΈ нСдоступности;
  2. ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ ΠΎΠ±Ρ‰Π΅Π³ΠΎ уровня ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ сСти;
  3. ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ эффСктивности Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π°Π΄ΠΌΠΈΠ½ΠΈΡΡ‚Ρ€ΠΈΡ€ΡƒΡŽΡ‰Π΅Π³ΠΎ пСрсонала, Π·Π° счСт:
    • использования соврСмСнных инструмСнтов ΠΈΠ½Π½ΠΎΠ²Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠ³ΠΎ сСтСвого ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π°, основанных Π½Π° ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎΠ± IP ΠΏΠΎΡ‚ΠΎΠΊΠ°Ρ…;
    • прСдоставлСния Π΄Π΅Ρ‚Π°Π»ΡŒΠ½ΠΎΠΉ Π°Π½Π°Π»ΠΈΡ‚ΠΈΠΊΠΈ ΠΎ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠΈ ΠΈ состоянии сСти – ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΡ… ΠΈ прилоТСниях, Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‰ΠΈΡ… Π² сСти, ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π΅ΠΌΡ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…, Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… рСсурсах, сСрвисах ΠΈ ΡƒΠ·Π»Π°Ρ…;
    • рСагирования Π½Π° ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹ Π΄ΠΎ Ρ‚ΠΎΠ³ΠΎ ΠΊΠ°ΠΊ ΠΎΠ½ΠΈ ΠΏΡ€ΠΎΠΈΠ·ΠΎΠΉΠ΄ΡƒΡ‚, Π° Π½Π΅ послС ΠΏΠΎΡ‚Π΅Ρ€ΠΈ сСрвиса ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌΠΈ ΠΈ ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π°ΠΌΠΈ;
    • сокращСния Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ ΠΈ рСсурсов, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹Ρ… для администрирования сСти ΠΈ IT-инфраструктуры;
    • упрощСния Π·Π°Π΄Π°Ρ‡ поиска нСисправностСй.
  4. ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΠ΅ уровня защищСнности сСти ΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… рСсурсов прСдприятия, Π·Π° счСт использования нСсигнатурных Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ выявлСния аномальной ΠΈ врСдоносной сСтСвой активности, Π° Ρ‚Π°ΠΊΠΆΠ΅ Β«Π°Ρ‚Π°ΠΊ Π½ΡƒΠ»Π΅Π²ΠΎΠ³ΠΎ дня» (zero-day);
  5. обСспСчСниС Ρ‚Ρ€Π΅Π±ΡƒΠ΅ΠΌΠΎΠ³ΠΎ уровня SLA сСтСвых ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΈ Π±Π°Π· Π΄Π°Π½Π½Ρ‹Ρ….

ΠŸΡ€ΠΎΠ΄ΡƒΠΊΡ‚ΠΎΠ²Ρ‹ΠΉ ΠΏΠΎΡ€Ρ‚Ρ„Π΅Π»ΡŒ Flowmon Networks

Π’Π΅ΠΏΠ΅Ρ€ΡŒ рассмотрим нСпосрСдствСнно ΠΏΠΎΡ€Ρ‚Ρ„Π΅Π»ΡŒ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ΠΎΠ² Flowmon Networks ΠΈ ΡƒΠ·Π½Π°Π΅ΠΌ, Ρ‡Π΅ΠΌ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΠΎ занимаСтся компания. Как ΠΌΠ½ΠΎΠ³ΠΈΠ΅ ΡƒΠΆΠ΅ догадались ΠΈΠ· названия, основная спСциализация – Π½Π° Ρ€Π΅ΡˆΠ΅Π½ΠΈΡΡ… для ΠΏΠΎΡ‚ΠΎΠΊΠΎΠ²ΠΎΠ³ΠΎ flow ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°, плюс ряд Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ, Ρ€Π°ΡΡˆΠΈΡ€ΡΡŽΡ‰ΠΈΡ… Π±Π°Π·ΠΎΠ²Ρ‹ΠΉ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π».

По Ρ„Π°ΠΊΡ‚Ρƒ, Flowmon ΠΌΠΎΠΆΠ½ΠΎ Π½Π°Π·Π²Π°Ρ‚ΡŒ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠ΅ΠΉ ΠΎΠ΄Π½ΠΎΠ³ΠΎ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°, ΠΈΠ»ΠΈ Π²Π΅Ρ€Π½Π΅Π΅ – ΠΎΠ΄Π½ΠΎΠ³ΠΎ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ. Π”Π°Π²Π°ΠΉΡ‚Π΅ Ρ€Π°Π·Π±ΠΈΡ€Π°Ρ‚ΡŒΡΡ, Ρ…ΠΎΡ€ΠΎΡˆΠΎ это ΠΈΠ»ΠΈ ΠΏΠ»ΠΎΡ…ΠΎ.

Π―Π΄Ρ€ΠΎΠΌ систСмы являСтся ΠΊΠΎΠ»Π»Π΅ΠΊΡ‚ΠΎΡ€, ΠΎΡ‚Π²Π΅Ρ‡Π°ΡŽΡ‰ΠΈΠΉ Π·Π° сбор Π΄Π°Π½Π½Ρ‹Ρ… ΠΏΠΎ всСвозмоТным flow ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°ΠΌ, ΠΊΠ°ΠΊ NetFlow v5/v9, jFlow, sFlow, NetStream, IPFIX… Π’ΠΏΠΎΠ»Π½Π΅ Π»ΠΎΠ³ΠΈΡ‡Π½ΠΎ, Ρ‡Ρ‚ΠΎ для ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ Π½Π΅ Π°Ρ„Ρ„ΠΈΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΉ Π½ΠΈ с ΠΎΠ΄Π½ΠΈΠΌ ΠΈΠ· ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»Π΅ΠΉ сСтСвого оборудования – Π²Π°ΠΆΠ½ΠΎ ΠΏΡ€Π΅Π΄Π»ΠΎΠΆΠΈΡ‚ΡŒ Ρ€Ρ‹Π½ΠΊΡƒ ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½Ρ‹ΠΉ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚, Π½Π΅ привязанный ΠΊ ΠΊΠ°ΠΊΠΎΠΌΡƒ-Ρ‚ΠΎ ΠΎΠ΄Π½ΠΎΠΌΡƒ стандарту ΠΈΠ»ΠΈ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρƒ.

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks
Flowmon Collector

ΠšΠΎΠ»Π»Π΅ΠΊΡ‚ΠΎΡ€ выпускаСтся ΠΊΠ°ΠΊ Π² Π²ΠΈΠ΄Π΅ Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½ΠΎΠ³ΠΎ сСрвСра, Ρ‚Π°ΠΊ ΠΈ Π² Π²ΠΈΠ΄Π΅ Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΌΠ°ΡˆΠΈΠ½Ρ‹ (VMware, Hyper-V, KVM). ΠšΡΡ‚Π°Ρ‚ΠΈ, аппаратная ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ° Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° Π½Π° кастомизированных сСрвСрах DELL, Ρ‡Ρ‚ΠΎ автоматичСски снимаСт Π±ΠΎΠ»ΡŒΡˆΡƒΡŽ Ρ‡Π°ΡΡ‚ΡŒ вопросов с Π³Π°Ρ€Π°Π½Ρ‚ΠΈΠ΅ΠΉ ΠΈ RMA. БобствСнной Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½ΠΎΠΉ ΡΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰Π΅ΠΉ ΡΠ²Π»ΡΡŽΡ‚ΡΡ Ρ€Π°Π·Π²Π΅ Ρ‡Ρ‚ΠΎ FPGA ΠΏΠ»Π°Ρ‚Ρ‹ Π·Π°Ρ…Π²Π°Ρ‚Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π½Ρ‹Π΅ Π΄ΠΎΡ‡Π΅Ρ€Π½Π΅ΠΉ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠ΅ΠΉ Flowmon, ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰ΠΈΠ΅ ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΡ‚ΡŒ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ Π½Π° скоростях Π΄ΠΎ 100 Gbps.

Но Ρ‡Ρ‚ΠΎ Π΄Π΅Π»Π°Ρ‚ΡŒ, Ссли Π½Π° ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰Π΅ΠΌ сСтСвом ΠΎΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠΈ Π½Π΅Ρ‚ возмоТности Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ качСствСнный flow? Или ΠΆΠ΅ Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠ° Π½Π° ΠΎΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠ΅ слишком высока? НС ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ°:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks
Flowmon Prob

На этот случай Flowmon Networks ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ собствСнныС Π·ΠΎΠ½Π΄Ρ‹ (Flowmon Probe), ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°ΡŽΡ‚ΡΡ Π² ΡΠ΅Ρ‚ΡŒ Ρ‡Π΅Ρ€Π΅Π· SPAN ΠΏΠΎΡ€Ρ‚ ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π° ΠΈΠ»ΠΈ с использованиСм пассивных TAP Ρ€Π°Π·Π²Π΅Ρ‚Π²ΠΈΡ‚Π΅Π»Π΅ΠΉ.

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks
SPAN (mirror port) ΠΈ TAP Π²Π°Ρ€ΠΈΠ°Π½Ρ‚Ρ‹ внСдрСния

Π’ этом случаС «сырой» Ρ‚Ρ€Π°Ρ„ΠΈΠΊ, ΠΏΠΎΡΡ‚ΡƒΠΏΠ°ΡŽΡ‰ΠΈΠΉ Π½Π° Flowmon Probe, прСобразуСтся Π² Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½Ρ‹ΠΉ IPFIX, содСрТащий Π±ΠΎΠ»Π΅Π΅ 240 ΠΌΠ΅Ρ‚Ρ€ΠΈΠΊ с ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠ΅ΠΉ. Π’ Ρ‚ΠΎ врСмя ΠΊΠ°ΠΊ Π² стандартном NetFlow ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π΅, Π³Π΅Π½Π΅Ρ€ΠΈΡ€ΡƒΠ΅ΠΌΠΎΠΌ сСтСвым ΠΎΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ, содСрТится Π½Π΅ Π±ΠΎΠ»Π΅Π΅ 80 ΠΌΠ΅Ρ‚Ρ€ΠΈΠΊ. Π­Ρ‚ΠΎ позволяСт ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ Π²ΠΈΠ΄ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π½Π° 3 ΠΈ 4 уровнях, Π½ΠΎ ΠΈ Π½Π° 7 ΡƒΡ€ΠΎΠ²Π½Π΅ ΠΏΠΎ ΠΌΠΎΠ΄Π΅Π»ΠΈ ISO OSI. Π’ ΠΈΡ‚ΠΎΠ³Π΅, сСтСвыС администраторы ΠΌΠΎΠ³ΡƒΡ‚ ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΡ‚ΡŒ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ функционирования Ρ‚Π°ΠΊΠΈΡ… ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΈ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ², ΠΊΠ°ΠΊ e-mail, HTTP, DNS, SMB…

ΠšΠΎΠ½Ρ†Π΅ΠΏΡ‚ΡƒΠ°Π»ΡŒΠ½ΠΎ, логичСская Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Π° систСмы выглядит ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

Π¦Π΅Π½Ρ‚Ρ€Π°Π»ΡŒΠ½ΠΎΠΉ Ρ‡Π°ΡΡ‚ΡŒΡŽ всСй «экосистСмы» Flowmon Networks являСтся Collector, ΠΏΠΎΠ»ΡƒΡ‡Π°ΡŽΡ‰ΠΈΠΉ Ρ‚Ρ€Π°Ρ„ΠΈΠΊ с ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰Π΅Π³ΠΎ сСтСвого оборудования ΠΈΠ»ΠΈ собствСнных Π·ΠΎΠ½Π΄ΠΎΠ² (Probe). Но для Enterprise Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡ‚ΡŒ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π» ΠΈΡΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ для ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° сСтСвого Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° Π±Ρ‹Π»ΠΎ Π±Ρ‹ слишком просто. Π­Ρ‚ΠΎ ΡƒΠΌΠ΅ΡŽΡ‚ Π΄Π΅Π»Π°Ρ‚ΡŒ ΠΈ Open Source Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ, ΠΏΡƒΡΡ‚ΡŒ ΠΈ Π½Π΅ с Ρ‚Π°ΠΊΠΎΠΉ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒΡŽ. Π¦Π΅Π½Π½ΠΎΡΡ‚ΡŒΡŽ Flowmon ΡΠ²Π»ΡΡŽΡ‚ΡΡ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ ΠΌΠΎΠ΄ΡƒΠ»ΠΈ, Ρ€Π°ΡΡˆΠΈΡ€ΡΡŽΡ‰ΠΈΠ΅ Π±Π°Π·ΠΎΠ²Ρ‹ΠΉ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»:

  • ΠΌΠΎΠ΄ΡƒΠ»ΡŒ Anomaly Detection Security – выявлСниС аномальной сСтСвой активности, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Π°Ρ‚Π°ΠΊΠΈ Β«Π½ΡƒΠ»Π΅Π²ΠΎΠ³ΠΎ дня», Π½Π° основании эвристичСского Π°Π½Π°Π»ΠΈΠ·Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΈ Ρ‚ΠΈΠΏΠΎΠ²ΠΎΠ³ΠΎ сСтСвого профиля;
  • ΠΌΠΎΠ΄ΡƒΠ»ΡŒ Application Performance Monitoring – ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ сСтСвых ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π±Π΅Π· установки Β«Π°Π³Π΅Π½Ρ‚ΠΎΠ²Β» ΠΈ влияния Π½Π° Ρ†Π΅Π»Π΅Π²Ρ‹Π΅ систСмы;
  • ΠΌΠΎΠ΄ΡƒΠ»ΡŒ Traffic Recorder – запись Ρ„Ρ€Π°Π³ΠΌΠ΅Π½Ρ‚ΠΎΠ² сСтСвого Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΏΠΎ Π½Π°Π±ΠΎΡ€Ρƒ ΠΏΡ€Π΅Π΄ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹Ρ… ΠΏΡ€Π°Π²ΠΈΠ» ΠΈΠ»ΠΈ ΠΏΠΎ Ρ‚Ρ€ΠΈΠ³Π³Π΅Ρ€Ρƒ с модуля ADS, для дальнСйшСго Ρ‚Ρ€Π°Π±Π»ΡˆΡƒΡ‚ΠΈΠ½Π³Π° ΠΈ/ΠΈΠ»ΠΈ расслСдования ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ΠΎΠ² Π˜Π‘;
  • ΠΌΠΎΠ΄ΡƒΠ»ΡŒ DDoS Protection – Π·Π°Ρ‰ΠΈΡ‚Π° ΠΏΠ΅Ρ€ΠΈΠΌΠ΅Ρ‚Ρ€Π° сСти ΠΎΡ‚ Π²ΠΎΠ»ΡŽΠΌΠ΅Ρ‚Ρ€ΠΈΡ‡Π΅ΡΠΊΠΈΡ… Π°Ρ‚Π°ΠΊ ΠΎΡ‚ΠΊΠ°Π·Π° Π² обслуТивании DoS/DDoS, Π² Ρ‚ΠΎΠΌ числС Π°Ρ‚Π°ΠΊ Π½Π° прилоТСния (OSI L3/L4/L7).

Π’ Ρ€Π°ΠΌΠΊΠ°Ρ… Π΄Π°Π½Π½ΠΎΠΉ ΡΡ‚Π°Ρ‚ΡŒΠΈ ΠΌΡ‹ рассмотрим, ΠΊΠ°ΠΊ всС Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ Π²ΠΆΠΈΠ²ΡƒΡŽ Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ 2 ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ – Network Performance Monitoring and Diagnostics ΠΈ Anomaly Detection Security.
Π˜ΡΡ…ΠΎΠ΄Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅:

  • сСрвСр Lenovo RS 140 с Π³ΠΈΠΏΠ΅Ρ€Π²ΠΈΠ·ΠΎΡ€ΠΎΠΌ VMware 6.0;
  • ΠΎΠ±Ρ€Π°Π· Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΌΠ°ΡˆΠΈΠ½Ρ‹ Flowmon Collector, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ½ΠΎ ΡΠΊΠ°Ρ‡Π°Ρ‚ΡŒ Ρ‚ΡƒΡ‚;
  • ΠΏΠ°Ρ€Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€ΠΎΠ² с ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΎΠΉ flow ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ².

Π¨Π°Π³ 1. Π˜Π½ΡΡ‚Π°Π»Π»ΡΡ†ΠΈΡ Flowmon Collector

Π Π°Π·Π²Π΅Ρ€Ρ‚Ρ‹Π²Π°Π½ΠΈΠ΅ Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΌΠ°ΡˆΠΈΠ½Ρ‹ Π½Π° VMware происходит ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½Π½ΠΎ стандартным ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ ΠΈΠ· OVF шаблона. Π’ ΠΈΡ‚ΠΎΠ³Π΅ ΠΏΠΎΠ»ΡƒΡ‡Π°Π΅ΠΌ Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΡƒΡŽ ΠΌΠ°ΡˆΠΈΠ½Ρƒ ΠΏΠΎΠ΄ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ CentOS ΠΈ с Π³ΠΎΡ‚ΠΎΠ²Ρ‹ΠΌ ΠΊ Ρ€Π°Π±ΠΎΡ‚Π΅ ПО. ВрСбования ΠΊ рСсурсам – Π³ΡƒΠΌΠ°Π½Π½Ρ‹Π΅:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

ΠžΡΡ‚Π°Π΅Ρ‚ΡΡ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ Π±Π°Π·ΠΎΠ²ΡƒΡŽ ΠΈΠ½ΠΈΡ†ΠΈΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΡŽ ΠΏΠΎ ΠΊΠΎΠΌΠ°Π½Π΄Π΅ sysconfig:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

НастраиваСм IP Π½Π° ΠΏΠΎΡ€Ρ‚Ρƒ управлСния, DNS, врСмя, Hostname ΠΈ ΠΌΠΎΠΆΠ΅ΠΌ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Ρ‚ΡŒΡΡ ΠΊ WEB-интСрфСйсу.

Π¨Π°Π³ 2. Установка Π»ΠΈΡ†Π΅Π½Π·ΠΈΠΈ

Π’Ρ€ΠΈΠ°Π»ΡŒΠ½Π°Ρ лицСнзия Π½Π° ΠΏΠΎΠ»Ρ‚ΠΎΡ€Π° мСсяца гСнСрируСтся ΠΈ скачиваСтся вмСстС с ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΌΠ°ΡˆΠΈΠ½Ρ‹. ΠŸΠΎΠ΄Π³Ρ€ΡƒΠΆΠ°Π΅Ρ‚ΡΡ Ρ‡Π΅Ρ€Π΅Π· Configuration Center -> License. Π’ ΠΈΡ‚ΠΎΠ³Π΅ Π²ΠΈΠ΄ΠΈΠΌ:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

ВсС Π³ΠΎΡ‚ΠΎΠ²ΠΎ. МоТно ΠΏΡ€ΠΈΡΡ‚ΡƒΠΏΠ°Ρ‚ΡŒ ΠΊ Ρ€Π°Π±ΠΎΡ‚Π΅.

Π¨Π°Π³ 3. Настройка рСсивСра Π½Π° ΠΊΠΎΠ»Π»Π΅ΠΊΡ‚ΠΎΡ€Π΅

На Π΄Π°Π½Π½ΠΎΠΌ этапС Π½ΡƒΠΆΠ½ΠΎ ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒΡΡ, ΠΊΠ°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ Π² систСму Π±ΡƒΠ΄ΡƒΡ‚ ΠΏΠΎΡΡ‚ΡƒΠΏΠ°Ρ‚ΡŒ Π΄Π°Π½Π½Ρ‹Π΅ с источников. Как ΠΌΡ‹ Π³ΠΎΠ²ΠΎΡ€ΠΈΠ»ΠΈ Ρ€Π°Π½ΡŒΡˆΠ΅, это ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΠΎΠ΄ΠΈΠ½ ΠΈΠ· flow ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² ΠΈΠ»ΠΈ SPAN ΠΏΠΎΡ€Ρ‚ Π½Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π΅.

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

Π’ нашСм ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ Π±ΡƒΠ΄Π΅ΠΌ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΡ€ΠΈΠ΅ΠΌ Π΄Π°Π½Π½Ρ‹Ρ… ΠΏΠΎ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°ΠΌ NetFlow v9 ΠΈ IPFIX. Π’ этом случаС, Π² качСствС Ρ‚Π°Ρ€Π³Π΅Ρ‚Π° ΠΌΡ‹ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅ΠΌ IP адрСс Management интСрфСйса – 192.168.78.198. Π˜Π½Ρ‚Π΅Ρ€Ρ„Π΅ΠΉΡΡ‹ eth2 ΠΈ eth3 (с Ρ‚ΠΈΠΏΠΎΠΌ Monitoring interface) ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ для ΠΏΡ€ΠΈΠ΅ΠΌΠ° ΠΊΠΎΠΏΠΈΠΈ «сырого» Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° со SPAN ΠΏΠΎΡ€Ρ‚Π° ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π°. Π˜Ρ… пропускаСм, Π½Π΅ наш случай.
Π”Π°Π»Π΅Π΅ провСряСм ΠΏΠΎΡ€Ρ‚ ΠΊΠΎΠ»Π»Π΅ΠΊΡ‚ΠΎΡ€Π°, ΠΊΡƒΠ΄Π° Π΄ΠΎΠ»ΠΆΠ΅Π½ ΠΏΠΎΡΡ‚ΡƒΠΏΠ°Ρ‚ΡŒ Ρ‚Ρ€Π°Ρ„ΠΈΠΊ.

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

Π’ нашСм случаС ΠΊΠΎΠ»Π»Π΅ΠΊΡ‚ΠΎΡ€ ΠΎΠΆΠΈΠ΄Π°Π΅Ρ‚ Ρ‚Ρ€Π°Ρ„ΠΈΠΊ Π½Π° ΠΏΠΎΡ€Ρ‚Ρƒ UDP/2055.

Π¨Π°Π³ 4. Настройка сСтСвого оборудования для экспорта flow

Настройку NetFlow Π½Π° ΠΎΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠΈ Cisco Systems, Π½Π°Π²Π΅Ρ€Π½ΠΎΠ΅, ΠΌΠΎΠΆΠ½ΠΎ Π½Π°Π·Π²Π°Ρ‚ΡŒ ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½Π½ΠΎ ΠΎΠ±Ρ‹Ρ‡Π½Ρ‹ΠΌ Π΄Π΅Π»ΠΎΠΌ для любого сСтСвого администратора. Для нашСго ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π° ΠΌΡ‹ возьмСм Ρ‡Ρ‚ΠΎ-Π½ΠΈΠ±ΡƒΠ΄ΡŒ Π±ΠΎΠ»Π΅Π΅ Π½Π΅ΠΎΠ±Ρ‹Ρ‡Π½ΠΎΠ΅. НапримСр, ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ‚ΠΎΡ€ MikroTik RB2011UiAS-2HnD. Π”Π°, ΠΊΠ°ΠΊ Π½ΠΈ странно, Ρ‚Π°ΠΊΠΎΠ΅ Π±ΡŽΠ΄ΠΆΠ΅Ρ‚Π½ΠΎΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ для ΠΌΠ°Π»Ρ‹Ρ… ΠΈ Π΄ΠΎΠΌΠ°ΡˆΠ½ΠΈΡ… офисов Ρ‚ΠΎΠΆΠ΅ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρ‹ NetFlow v5/v9 ΠΈ IPFIX. Π’ настройках Π·Π°Π΄Π°Π΅ΠΌ Ρ‚Π°Ρ€Π³Π΅Ρ‚ (адрСс ΠΊΠΎΠ»Π»Π΅ΠΊΡ‚ΠΎΡ€Π° 192.168.78.198 ΠΈ ΠΏΠΎΡ€Ρ‚ 2055):

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

И добавляСм всС доступныС для экспорта ΠΌΠ΅Ρ‚Ρ€ΠΈΠΊΠΈ:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

На этом ΠΌΠΎΠΆΠ½ΠΎ ΡΠΊΠ°Π·Π°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ базовая настройка Π·Π°Π²Π΅Ρ€ΡˆΠ΅Π½Π°. ΠŸΡ€ΠΎΠ²Π΅Ρ€ΡΠ΅ΠΌ, поступаСт Π»ΠΈ Π² систСму Ρ‚Ρ€Π°Ρ„ΠΈΠΊ.

Π¨Π°Π³ 5. ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΈ эксплуатация модуля Network Performance Monitoring and Diagnostics

ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ Π½Π°Π»ΠΈΡ‡ΠΈΠ΅ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΎΡ‚ источника ΠΌΠΎΠΆΠ½ΠΎ Π² Ρ€Π°Π·Π΄Π΅Π»Π΅ Flowmon Monitoring Center –> Sources:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

Π’ΠΈΠ΄ΠΈΠΌ, Ρ‡Ρ‚ΠΎ Π΄Π°Π½Π½Ρ‹Π΅ поступаСт Π² систСму. Бпустя Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ΅ врСмя послС Ρ‚ΠΎΠ³ΠΎ, ΠΊΠ°ΠΊ ΠΊΠΎΠ»Π»Π΅ΠΊΡ‚ΠΎΡ€ Π½Π°ΠΊΠΎΠΏΠΈΡ‚ Ρ‚Ρ€Π°Ρ„ΠΈΠΊ, Π²ΠΈΠ΄ΠΆΠ΅Ρ‚Ρ‹ Π½Π°Ρ‡Π½ΡƒΡ‚ ΠΎΡ‚ΠΎΠ±Ρ€Π°ΠΆΠ°Ρ‚ΡŒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

ΠŸΠΎΡΡ‚Ρ€ΠΎΠ΅Π½Π° систСма ΠΏΠΎ ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΡƒ drill down. Π’ΠΎΠ΅ΡΡ‚ΡŒ, ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒ, выбирая ΠΈΠ½Ρ‚Π΅Ρ€Π΅ΡΡƒΡŽΡ‰ΠΈΠΉ Π΅Π³ΠΎ Ρ„Ρ€Π°Π³ΠΌΠ΅Π½Ρ‚ Π½Π° схСмС ΠΈΠ»ΠΈ Π³Ρ€Π°Ρ„ΠΈΠΊΠ΅, «проваливаСтся» Π΄ΠΎ Ρ‚ΠΎΠ³ΠΎ уровня Π³Π»ΡƒΠ±ΠΈΠ½Ρ‹ Π΄Π°Π½Π½Ρ‹Ρ…, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π΅ΠΌΡƒ Π½ΡƒΠΆΠ½Ρ‹:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

Π’ΠΏΠ»ΠΎΡ‚ΡŒ Π΄ΠΎ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΎ ΠΊΠ°ΠΆΠ΄ΠΎΠΌ сСтСвом соСдинСнии ΠΈ ΠΊΠΎΠ½Π½Π΅ΠΊΡ‚Π΅:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

Π¨Π°Π³ 6. ΠœΠΎΠ΄ΡƒΠ»ΡŒ Anomaly Detection Security

Π­Ρ‚ΠΎΡ‚ ΠΌΠΎΠ΄ΡƒΠ»ΡŒ ΠΌΠΎΠΆΠ½ΠΎ Π½Π°Π·Π²Π°Ρ‚ΡŒ, ΠΏΠΎΠΆΠ°Π»ΡƒΠΉ, ΠΎΠ΄Π½ΠΈΠΌ ΠΈΠ· самых интСрСсных, благодаря использованию бСзсигнатурных ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² обнаруТСния Π°Π½ΠΎΠΌΠ°Π»ΠΈΠΉ Π² сСтСвом Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ΅ ΠΈ врСдоносной сСтСвой активности. Но это Π½Π΅ Π°Π½Π°Π»ΠΎΠ³ IDS/IPS систСм. Π Π°Π±ΠΎΡ‚Π° с ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΌ начинаСтся с Π΅Π³ΠΎ «обучСния». Для этого Π² ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΌ Π²ΠΈΠ·Π°Ρ€Π΄Π΅ ΡƒΠΊΠ°Π·Ρ‹Π²Π°ΡŽΡ‚ΡΡ всС ΠΊΠ»ΡŽΡ‡Π΅Π²Ρ‹Π΅ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Ρ‹ ΠΈ слуТбы сСти, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ:

  • адрСса шлюза, DNS, DHCP ΠΈ NTP сСрвСров,
  • адрСсация Π² сСгмСнтах ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΠΈ сСрвСров.

ПослС этого систСма ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄ΠΈΡ‚ Π² Ρ€Π΅ΠΆΠΈΠΌ обучСния, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Π² срСднСм длится ΠΎΡ‚ 2 нСдСль Π΄ΠΎ 1 мСсяца. Π—Π° это врСмя систСма Ρ„ΠΎΡ€ΠΌΠΈΡ€ΡƒΠ΅Ρ‚ baseline Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°, Ρ…Π°Ρ€Π°ΠΊΡ‚Π΅Ρ€Π½ΠΎΠ³ΠΎ нСпосрСдствСнно для нашСй сСти. ΠŸΡ€ΠΎΡ‰Π΅ говоря, систСма ΠΈΠ·ΡƒΡ‡Π°Π΅Ρ‚:

  • ΠΊΠ°ΠΊΠΎΠ΅ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ являСтся Ρ…Π°Ρ€Π°ΠΊΡ‚Π΅Ρ€Π½Ρ‹ΠΌ для ΡƒΠ·Π»ΠΎΠ² сСти?
  • ΠΊΠ°ΠΊΠΈΠ΅ ΠΎΠ±ΡŠΠ΅ΠΌΡ‹ Π΄Π°Π½Π½Ρ‹Ρ… ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ ΠΏΠ΅Ρ€Π΅Π΄Π°ΡŽΡ‚ΡΡ ΠΈ ΡΠ²Π»ΡΡŽΡ‚ΡΡ Π½ΠΎΡ€ΠΌΠ°Π»ΡŒΠ½Ρ‹ΠΌΠΈ для сСти?
  • ΠΊΠ°ΠΊΠΎΠ΅ врСмя Ρ€Π°Π±ΠΎΡ‚Ρ‹ являСтся Ρ‚ΠΈΠΏΠΎΠ²Ρ‹ΠΌ для ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ?
  • ΠΊΠ°ΠΊΠΈΠ΅ прилоТСния Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚ Π² сСти?
  • ΠΈ ΠΌΠ½ΠΎΠ³ΠΎΠ΅ Π΄Ρ€ΡƒΠ³ΠΎΠ΅..

Π’ ΠΈΡ‚ΠΎΠ³Π΅ ΠΌΡ‹ ΠΏΠΎΠ»ΡƒΡ‡Π°Π΅ΠΌ инструмСнт, Π²Ρ‹ΡΠ²Π»ΡΡŽΡ‰ΠΈΠΉ Π»ΡŽΠ±Ρ‹Π΅ Π°Π½ΠΎΠΌΠ°Π»ΠΈΠΈ Π² нашСй сСти ΠΈ отклонСния ΠΎΡ‚ Ρ…Π°Ρ€Π°ΠΊΡ‚Π΅Ρ€Π½ΠΎΠ³ΠΎ повСдСния. Π’ΠΎΡ‚ ΠΏΠ°Ρ€Π° ΠΏΡ€ΠΈΠΌΠ΅Ρ€ΠΎΠ², ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ позволяСт ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΡ‚ΡŒ систСма:

  • распространСниС Π² сСти Π½ΠΎΠ²ΠΎΠ³ΠΎ врСдоносного ПО, Π½Π΅ Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΈΡ€ΡƒΠ΅ΠΌΠΎΠ³ΠΎ сигнатурами антивирусов;
  • построСниС DNS, ICMP ΠΈΠ»ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… Ρ‚ΡƒΠ½Π½Π΅Π»Π΅ΠΉ ΠΈ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Π° Π΄Π°Π½Π½Ρ‹Ρ… Π² ΠΎΠ±Ρ…ΠΎΠ΄ мСТсСтСвого экрана;
  • появлСниС Π² сСти Π½ΠΎΠ²ΠΎΠ³ΠΎ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π°, Π²Ρ‹Π΄Π°ΡŽΡ‰Π΅Π³ΠΎ сСбя Π·Π° DHCP ΠΈ/ΠΈΠ»ΠΈ DNS сСрвСр.

ΠŸΠΎΡΠΌΠΎΡ‚Ρ€ΠΈΠΌ, ΠΊΠ°ΠΊ это выглядит Π² ΠΆΠΈΠ²ΡƒΡŽ. ПослС Ρ‚ΠΎΠ³ΠΎ, ΠΊΠ°ΠΊ Π’Π°ΡˆΠ° систСма ΠΏΡ€ΠΎΡˆΠ»Π° ΠΎΠ±ΡƒΡ‡Π΅Π½ΠΈΠ΅ ΠΈ построила baseline Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° сСти, ΠΎΠ½Π° Π½Π°Ρ‡ΠΈΠ½Π°Π΅Ρ‚ Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Ρ‹:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

Главная страница модуля – Π²Ρ€Π΅ΠΌΠ΅Π½Π½ΠΎΠΉ Π³Ρ€Π°Ρ„ΠΈΠΊ с ΠΎΡ‚ΠΎΠ±Ρ€Π°ΠΆΠ΅Π½ΠΈΠ΅ΠΌ выявлСнных ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ΠΎΠ². Π’ нашСм ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ Π²ΠΈΠ΄ΠΈΠΌ явный всплСск, ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π½ΠΎ ΠΌΠ΅ΠΆΠ΄Ρƒ 9 ΠΈ 16 часами. ВыдСляСм Π΅Π³ΠΎ ΠΈ смотрим ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½Π΅Π΅.

Π―Π²Π½ΠΎ прослСТиваСтся аномальноС ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ° Π² сСти. НачинаСтся всС с Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ хост с адрСсом 192.168.3.225 Π½Π°Ρ‡Π°Π» Π³ΠΎΡ€ΠΈΠ·ΠΎΠ½Ρ‚Π°Π»ΡŒΠ½ΠΎΠ΅ сканированиС сСти ΠΏΠΎ ΠΏΠΎΡ€Ρ‚Ρƒ 3389 (сСрвис Microsoft RDP) ΠΈ Π½Π°Ρ…ΠΎΠ΄ΠΈΡ‚ 14 ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… Β«ΠΆΠ΅Ρ€Ρ‚Π²Β»:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

ΠΈ

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

Π‘Π»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΉ зафиксированный ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚ – хост 192.168.3.225 Π½Π°Ρ‡ΠΈΠ½Π°Π΅Ρ‚ брутфорс Π°Ρ‚Π°ΠΊΡƒ ΠΏΠΎ ΠΏΠ΅Ρ€Π΅Π±ΠΎΡ€Ρƒ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ Π½Π° сСрвис RDP (ΠΏΠΎΡ€Ρ‚ 3389) Π½Π° выявлСнных Ρ€Π°Π½Π΅Π΅ адрСсах:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

Π’ ΠΈΡ‚ΠΎΠ³Π΅ Π°Ρ‚Π°ΠΊΠΈ Π½Π° ΠΎΠ΄Π½ΠΎΠΌ ΠΈΠ· Π²Π·Π»ΠΎΠΌΠ°Π½Π½Ρ‹Ρ… хостов фиксируСтся SMTP аномалия. Π”Ρ€ΡƒΠ³ΠΈΠΌΠΈ словами, Π½Π°Ρ‡Π°Π»Π°ΡΡŒ рассылка БПАМ:

Π‘Π΅Ρ‚Π΅Π²ΠΎΠΉ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ ΠΈ выявлСния аномальной сСтСвой активности с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ Flowmon Networks

Π”Π°Π½Π½Ρ‹ΠΉ ΠΏΡ€ΠΈΠΌΠ΅Ρ€ являСтся наглядной дСмонстрациСй возмоТностСй Ρ€Π°Π±ΠΎΡ‚Ρ‹ систСмы ΠΈ модуля Anomaly Detection Security, Π² частности. Об эффСктивности судитС сами. На этом Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½Ρ‹ΠΉ ΠΎΠ±Π·ΠΎΡ€ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ ΠΌΡ‹ Π·Π°Π²Π΅Ρ€ΡˆΠ°Π΅ΠΌ.

Π—Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅

Π Π΅Π·ΡŽΠΌΠΈΡ€ΡƒΠ΅ΠΌ, ΠΊΠ°ΠΊΠΈΠ΅ Π²Ρ‹Π²ΠΎΠ΄Ρ‹ ΠΎ Flowmon ΠΌΡ‹ ΠΌΠΎΠΆΠ΅ΠΌ ΡΠ΄Π΅Π»Π°Ρ‚ΡŒ Π² сухом остаткС:

  • Flowmon – Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ ΠΏΡ€Π΅ΠΌΠΈΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ уровня для ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹Ρ… Π—Π°ΠΊΠ°Π·Ρ‡ΠΈΠΊΠΎΠ²;
  • благодаря ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ ΠΈ совмСстимости, сбор Π΄Π°Π½Π½Ρ‹Ρ… доступСн с Π»ΡŽΠ±Ρ‹Ρ… источников: сСтСвого оборудования (Cisco, Juniper, HPE, Huawei…) ΠΈΠ»ΠΈ собствСнных Π·ΠΎΠ½Π΄ΠΎΠ² (Flowmon Probe);
  • возмоТности ΠΏΠΎ ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΡƒΠ΅ΠΌΠΎΡΡ‚ΠΈ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ Π½Π°Ρ€Π°Ρ‰ΠΈΠ²Π°Ρ‚ΡŒ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π» систСмы посрСдством добавлСния Π½ΠΎΠ²Ρ‹Ρ… ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΠΎΠ²Ρ‹ΡˆΠ°Ρ‚ΡŒ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΡŒ благодаря Π³ΠΈΠ±ΠΊΠΎΠΌΡƒ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄Ρƒ ΠΊ Π»ΠΈΡ†Π΅Π½Π·ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡŽ;
  • Π·Π° счСт использования Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ бСзсигнатурного Π°Π½Π°Π»ΠΈΠ·Π°, систСма позволяСт ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Ρ‚ΡŒ Π΄Π°ΠΆΠ΅ Π½Π΅ извСстныС антивирусам ΠΈ IDS/IPS систСмам zero-day Π°Ρ‚Π°ΠΊΠΈ;
  • благодаря ΠΏΠΎΠ»Π½ΠΎΠΉ «прозрачности» с Ρ‚ΠΎΡ‡ΠΊΠΈ зрСния установки ΠΈ присутствия систСмы Π² сСти – Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ Π½Π΅ влияСт Π½Π° Ρ€Π°Π±ΠΎΡ‚Ρƒ Π΄Ρ€ΡƒΠ³ΠΈΡ… ΡƒΠ·Π»ΠΎΠ² ΠΈ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ Π’Π°ΡˆΠ΅ΠΉ ИВ инфраструктуры;
  • Flowmon – СдинствСнноС Π½Π° Ρ€Ρ‹Π½ΠΊΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅, ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°ΡŽΡ‰Π΅Π΅ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° Π½Π° скоростях Π΄ΠΎ 100 Π“Π±ΠΈΡ‚/с;
  • Flowmon – Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ для сСтСй любого ΠΌΠ°ΡΡˆΡ‚Π°Π±Π°;
  • Π»ΡƒΡ‡ΡˆΠ΅Π΅ ΡΠΎΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΠ΅ Ρ†Π΅Π½Π° / Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π» срСди Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½Ρ‹Ρ… Ρ€Π΅ΡˆΠ΅Π½ΠΈΠΉ.

Π’ Π΄Π°Π½Π½ΠΎΠΌ ΠΎΠ±Π·ΠΎΡ€Π΅ ΠΌΡ‹ рассмотрСли ΠΌΠ΅Π½Π΅Π΅ 10% ΠΎΠ±Ρ‰Π΅Π³ΠΎ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»Π° Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ. Π’ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΉ ΡΡ‚Π°Ρ‚ΡŒΠ΅ ΠΌΡ‹ расскаТСм ΠΏΡ€ΠΎ ΠΎΡΡ‚Π°Π»ΡŒΠ½Ρ‹Π΅ ΠΌΠΎΠ΄ΡƒΠ»ΠΈ Flowmon Networks. На ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π΅ модуля Application Performance Monitoring ΠΌΡ‹ ΠΏΠΎΠΊΠ°ΠΆΠ΅ΠΌ ΠΊΠ°ΠΊ администраторы бизнСс ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΌΠΎΠ³ΡƒΡ‚ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ Π΄ΠΎΡΡ‚ΡƒΠΏΠ½ΠΎΡΡ‚ΡŒ Π½Π° Π·Π°Π΄Π°Π½Π½ΠΎΠΌ ΡƒΡ€ΠΎΠ²Π½Π΅ SLA, Π° Ρ‚Π°ΠΊΠΆΠ΅ максимально быстро Π΄ΠΈΠ°Π³Π½ΠΎΡΡ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹.

Π’Π°ΠΊΠΆΠ΅, Ρ…ΠΎΡ‚ΠΈΠΌ ΠΏΡ€ΠΈΠ³Π»Π°ΡΠΈΡ‚ΡŒ Вас Π½Π° наш Π²Π΅Π±ΠΈΠ½Π°Ρ€ (10.09.2019), посвящСнный Ρ€Π΅ΡˆΠ΅Π½ΠΈΡΠΌ Π²Π΅Π½Π΄ΠΎΡ€Π° Flowmon Networks. Для ΠΏΡ€Π΅Π΄Π²Π°Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ рСгистрации просим Вас ΠΏΡ€ΠΎΠΉΡ‚ΠΈ Ρ€Π΅Π³ΠΈΡΡ‚Ρ€Π°Ρ†ΠΈΡŽ Ρ‚ΡƒΡ‚.
На этом ΠΏΠΎΠΊΠ° всС, спасибо Π·Π° Π’Π°Ρˆ интСрСс!

Волько зарСгистрированныС ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ ΡƒΡ‡Π°ΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ Π² опросС. Π’ΠΎΠΉΠ΄ΠΈΡ‚Π΅, поТалуйста.

Π˜ΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚Π΅ Π»ΠΈ Π²Ρ‹ Netflow для ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° сСти?

  • Π”Π°

  • НСт, Π½ΠΎ ΠΏΠ»Π°Π½ΠΈΡ€ΡƒΡŽ

  • НСт

ΠŸΡ€ΠΎΠ³ΠΎΠ»ΠΎΡΠΎΠ²Π°Π»ΠΈ 9 ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ. Π’ΠΎΠ·Π΄Π΅Ρ€ΠΆΠ°Π»ΠΈΡΡŒ 3 ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ