Benvido ao noso próximo mini curso. Nesta ocasión falaremos do noso novo servizo -
Aquí, imos facer unha pequena digresión. Estou seguro de que moitas persoas están pensando agora: "En que se diferencia isto
O que un administrador de rede pode comprobar usando esta auditoría:
- Análise de tráfico da rede — como se cargan as canles, que protocolos se utilizan, que servidores ou usuarios consomen a maior cantidade de tráfico.
- Retrasos e perdas de rede — o tempo medio de resposta dos teus servizos, a presenza de perdas en todas as túas canles (a capacidade de atopar un pescozo de botella).
- Análise de tráfico de usuarios — Análise exhaustiva do tráfico de usuarios. Volumes de tráfico, aplicacións utilizadas, problemas no traballo cos servizos corporativos.
- Avaliación do rendemento da aplicación — identificar a causa dos problemas no funcionamento das aplicacións corporativas (retrasos de rede, tempo de resposta dos servizos, bases de datos, aplicacións).
- Monitorización de SLA — detecta e informa automaticamente os atrasos e as perdas críticas ao utilizar as túas aplicacións web públicas en función do tráfico real.
- Busca anomalías na rede — Suplantación de DNS/DHCP, bucles, servidores DHCP falsos, tráfico DNS/SMTP anómalo e moito máis.
- Problemas coas configuracións — detección de tráfico ilexítimo de usuarios ou servidores, que pode indicar unha configuración incorrecta de interruptores ou cortalumes.
- Informe exhaustivo — un informe detallado sobre o estado da súa infraestrutura de TI, que lle permite planificar o traballo ou adquirir equipos adicionais.
O que un especialista en seguridade da información pode comprobar:
- Actividade viral — detecta o tráfico viral dentro da rede, incluído o malware descoñecido (día 0) en función da análise do comportamento.
- Distribución de ransomware — a capacidade de detectar ransomware, aínda que se estenda entre ordenadores veciños sen saír do seu propio segmento.
- Actividade anormal — tráfico anormal de usuarios, servidores, aplicacións, tunelización ICMP/DNS. Identificar ameazas reais ou potenciais.
- Ataques á rede — dixitalización de portos, ataques de forza bruta, DoS, DDoS, intercepción de tráfico (MITM).
- Fuga de datos corporativos — detección de descargas (ou cargas) anormais de datos corporativos dos servidores de ficheiros da empresa.
- Dispositivos non autorizados — detección de dispositivos ilexítimos conectados á rede corporativa (determinación do fabricante e do sistema operativo).
- Aplicacións non desexadas — uso de aplicacións prohibidas dentro da rede (Bittorent, TeamViewer, VPN, Anonymizers, etc.).
- Cryptominers e botnets — comprobando na rede se hai dispositivos infectados que se conectan a servidores C&C coñecidos.
Informes
En función dos resultados da auditoría, poderás ver todas as analíticas nos paneis de control de Flowmon ou nos informes PDF. Abaixo amósanse algúns exemplos.
Análise xeral de tráfico
Panel personalizado
Actividade anormal
Dispositivos detectados
Esquema de proba típico
Escenario #1 - unha oficina
A característica fundamental é que pode analizar tanto o tráfico externo como o interno que non é analizado polos dispositivos de protección perimetral da rede (NGFW, IPS, DPI, etc.).
Escenario #2 - varias oficinas
Video tutorial
Resumo
A auditoría CheckFlow é unha excelente oportunidade para os xestores de TI/IS:
- Identifique os problemas actuais e potenciais na súa infraestrutura de TI;
- Detectar problemas coa seguridade da información e a eficacia das medidas de seguridade existentes;
- Identificar o problema clave no funcionamento das aplicacións empresariais (parte de rede, parte de servidor, software) e os responsables de solucionalo;
- Reducir significativamente o tempo para solucionar problemas na infraestrutura de TI;
- Xustificar a necesidade de ampliar as canles, a capacidade do servidor ou a compra adicional de equipos de protección.
Tamén recomendo ler o noso artigo anterior -
Se estás interesado neste tema, estade atento (
Só os usuarios rexistrados poden participar na enquisa.
¿Utiliza analizadores NetFlow/sFlow/jFlow/IPFIX?
-
55,6%Si 5
-
11,1%Non, pero penso usar 1
-
33,3%No 3
Votaron 9 usuarios. 1 usuario abstívose.
Fonte: www.habr.com