ಮಾಹಿತಿ ಭದ್ರತೆಯ ಕ್ಷೇತ್ರದಲ್ಲಿ ವಿಶ್ಲೇಷಣಾತ್ಮಕ ಪರಿಹಾರವಾಗಿದೆ, ಇದು ವಿತರಿಸಿದ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿನ ಬೆದರಿಕೆಗಳ ಸಮಗ್ರ ಮೇಲ್ವಿಚಾರಣೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ. ಸ್ಟೆಲ್ತ್ವಾಚ್ ರೂಟರ್ಗಳು, ಸ್ವಿಚ್ಗಳು ಮತ್ತು ಇತರ ನೆಟ್ವರ್ಕ್ ಸಾಧನಗಳಿಂದ ನೆಟ್ಫ್ಲೋ ಮತ್ತು IPFIX ಅನ್ನು ಸಂಗ್ರಹಿಸುವುದನ್ನು ಆಧರಿಸಿದೆ. ಪರಿಣಾಮವಾಗಿ, ನೆಟ್ವರ್ಕ್ ಸೂಕ್ಷ್ಮ ಸಂವೇದಕವಾಗುತ್ತದೆ ಮತ್ತು ಮುಂದಿನ ಪೀಳಿಗೆಯ ಫೈರ್ವಾಲ್ನಂತಹ ಸಾಂಪ್ರದಾಯಿಕ ನೆಟ್ವರ್ಕ್ ಭದ್ರತಾ ವಿಧಾನಗಳನ್ನು ತಲುಪಲು ಸಾಧ್ಯವಾಗದ ಸ್ಥಳಗಳನ್ನು ನೋಡಲು ನಿರ್ವಾಹಕರಿಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಹಿಂದಿನ ಲೇಖನಗಳಲ್ಲಿ ನಾನು ಈಗಾಗಲೇ ಸ್ಟೆಲ್ತ್ ವಾಚ್ ಬಗ್ಗೆ ಬರೆದಿದ್ದೇನೆ: ಮತ್ತು . ಈಗ ನಾನು ಮುಂದುವರಿಯಲು ಮತ್ತು ಅಲಾರಂಗಳೊಂದಿಗೆ ಹೇಗೆ ಕೆಲಸ ಮಾಡುವುದು ಮತ್ತು ಪರಿಹಾರವು ಉತ್ಪಾದಿಸುವ ಭದ್ರತಾ ಘಟನೆಗಳನ್ನು ತನಿಖೆ ಮಾಡುವುದು ಹೇಗೆ ಎಂದು ಚರ್ಚಿಸಲು ಪ್ರಸ್ತಾಪಿಸುತ್ತೇನೆ. ಉತ್ಪನ್ನದ ಉಪಯುಕ್ತತೆಯ ಬಗ್ಗೆ ಉತ್ತಮ ಕಲ್ಪನೆಯನ್ನು ನೀಡುತ್ತದೆ ಎಂದು ನಾನು ಭಾವಿಸುವ 6 ಉದಾಹರಣೆಗಳಿವೆ.
ಮೊದಲಿಗೆ, ಸ್ಟೆಲ್ತ್ವಾಚ್ ಅಲ್ಗಾರಿದಮ್ಗಳು ಮತ್ತು ಫೀಡ್ಗಳ ನಡುವೆ ಎಚ್ಚರಿಕೆಯ ಕೆಲವು ವಿತರಣೆಯನ್ನು ಹೊಂದಿದೆ ಎಂದು ಹೇಳಬೇಕು. ಮೊದಲನೆಯದು ವಿವಿಧ ರೀತಿಯ ಎಚ್ಚರಿಕೆಗಳು (ಅಧಿಸೂಚನೆಗಳು), ಪ್ರಚೋದಿಸಿದಾಗ, ನೀವು ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಅನುಮಾನಾಸ್ಪದ ವಿಷಯಗಳನ್ನು ಕಂಡುಹಿಡಿಯಬಹುದು. ಎರಡನೆಯದು ಭದ್ರತಾ ಘಟನೆಗಳು. ಈ ಲೇಖನವು 4 ಅಲ್ಗಾರಿದಮ್ಗಳನ್ನು ಪ್ರಚೋದಿಸಿದ ಉದಾಹರಣೆಗಳನ್ನು ಮತ್ತು 2 ಫೀಡ್ಗಳ ಉದಾಹರಣೆಗಳನ್ನು ನೋಡುತ್ತದೆ.
1. ನೆಟ್ವರ್ಕ್ನಲ್ಲಿನ ಅತಿದೊಡ್ಡ ಸಂವಹನಗಳ ವಿಶ್ಲೇಷಣೆ
ಸ್ಟೆಲ್ತ್ವಾಚ್ ಅನ್ನು ಹೊಂದಿಸುವ ಆರಂಭಿಕ ಹಂತವೆಂದರೆ ಹೋಸ್ಟ್ಗಳು ಮತ್ತು ನೆಟ್ವರ್ಕ್ಗಳನ್ನು ಗುಂಪುಗಳಾಗಿ ವ್ಯಾಖ್ಯಾನಿಸುವುದು. ವೆಬ್ ಇಂಟರ್ಫೇಸ್ ಟ್ಯಾಬ್ನಲ್ಲಿ ಸಂರಚಿಸಿ > ಹೋಸ್ಟ್ ಗುಂಪು ನಿರ್ವಹಣೆ ನೆಟ್ವರ್ಕ್ಗಳು, ಹೋಸ್ಟ್ಗಳು ಮತ್ತು ಸರ್ವರ್ಗಳನ್ನು ಸೂಕ್ತ ಗುಂಪುಗಳಾಗಿ ವರ್ಗೀಕರಿಸಬೇಕು. ನೀವು ನಿಮ್ಮ ಸ್ವಂತ ಗುಂಪುಗಳನ್ನು ಸಹ ರಚಿಸಬಹುದು. ಮೂಲಕ, ಸಿಸ್ಕೋ ಸ್ಟೆಲ್ತ್ವಾಚ್ನಲ್ಲಿ ಹೋಸ್ಟ್ಗಳ ನಡುವಿನ ಪರಸ್ಪರ ಕ್ರಿಯೆಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವುದು ಸಾಕಷ್ಟು ಅನುಕೂಲಕರವಾಗಿದೆ, ಏಕೆಂದರೆ ನೀವು ಸ್ಟ್ರೀಮ್ ಮೂಲಕ ಹುಡುಕಾಟ ಫಿಲ್ಟರ್ಗಳನ್ನು ಮಾತ್ರ ಉಳಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ, ಆದರೆ ಫಲಿತಾಂಶಗಳು ಸಹ.
ಪ್ರಾರಂಭಿಸಲು, ವೆಬ್ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ ನೀವು ಟ್ಯಾಬ್ಗೆ ಹೋಗಬೇಕು ವಿಶ್ಲೇಷಣೆ> ಹರಿವಿನ ಹುಡುಕಾಟ. ನಂತರ ನೀವು ಈ ಕೆಳಗಿನ ನಿಯತಾಂಕಗಳನ್ನು ಹೊಂದಿಸಬೇಕು:
- ಹುಡುಕಾಟ ಪ್ರಕಾರ - ಉನ್ನತ ಸಂಭಾಷಣೆಗಳು (ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಸಂವಾದಗಳು)
- ಸಮಯ ಶ್ರೇಣಿ - 24 ಗಂಟೆಗಳು (ಸಮಯ ಅವಧಿ, ನೀವು ಇನ್ನೊಂದನ್ನು ಬಳಸಬಹುದು)
- ಹುಡುಕಾಟ ಹೆಸರು - ಒಳಗೆ-ಒಳಗೆ ಉನ್ನತ ಸಂಭಾಷಣೆಗಳು (ಯಾವುದೇ ಸ್ನೇಹಪರ ಹೆಸರು)
- ವಿಷಯ - ಹೋಸ್ಟ್ ಗುಂಪುಗಳು → ಹೋಸ್ಟ್ಗಳ ಒಳಗೆ (ಮೂಲ - ಆಂತರಿಕ ಹೋಸ್ಟ್ಗಳ ಗುಂಪು)
- ಸಂಪರ್ಕ (ನೀವು ಪೋರ್ಟ್ಗಳು, ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು)
- ಪೀರ್ - ಹೋಸ್ಟ್ ಗುಂಪುಗಳು → ಹೋಸ್ಟ್ಗಳ ಒಳಗೆ (ಗಮ್ಯಸ್ಥಾನ - ಆಂತರಿಕ ನೋಡ್ಗಳ ಗುಂಪು)
- ಸುಧಾರಿತ ಆಯ್ಕೆಗಳಲ್ಲಿ, ನೀವು ಹೆಚ್ಚುವರಿಯಾಗಿ ಡೇಟಾವನ್ನು ವೀಕ್ಷಿಸುವ ಸಂಗ್ರಾಹಕವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು, ಔಟ್ಪುಟ್ ಅನ್ನು ವಿಂಗಡಿಸಬಹುದು (ಬೈಟ್ಗಳು, ಸ್ಟ್ರೀಮ್ಗಳು, ಇತ್ಯಾದಿ. ಮೂಲಕ). ನಾನು ಅದನ್ನು ಡೀಫಾಲ್ಟ್ ಆಗಿ ಬಿಡುತ್ತೇನೆ.
ಗುಂಡಿಯನ್ನು ಒತ್ತಿದ ನಂತರ ಹುಡುಕು ವರ್ಗಾವಣೆಗೊಂಡ ಡೇಟಾದ ಪ್ರಮಾಣದಿಂದ ಈಗಾಗಲೇ ವಿಂಗಡಿಸಲಾದ ಸಂವಹನಗಳ ಪಟ್ಟಿಯನ್ನು ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ.
ನನ್ನ ಉದಾಹರಣೆಯಲ್ಲಿ ಹೋಸ್ಟ್ 10.150.1.201 (ಸರ್ವರ್) ಕೇವಲ ಒಂದು ಥ್ರೆಡ್ನಲ್ಲಿ ಹರಡುತ್ತದೆ 1.5 GB ಹೋಸ್ಟ್ ಮಾಡಲು ಸಂಚಾರ 10.150.1.200 (ಕ್ಲೈಂಟ್) ಪ್ರೋಟೋಕಾಲ್ ಮೂಲಕ MySQL. ಬಟನ್ ಕಾಲಮ್ಗಳನ್ನು ನಿರ್ವಹಿಸಿ ಔಟ್ಪುಟ್ ಡೇಟಾಗೆ ಹೆಚ್ಚಿನ ಕಾಲಮ್ಗಳನ್ನು ಸೇರಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಮುಂದೆ, ನಿರ್ವಾಹಕರ ವಿವೇಚನೆಯಿಂದ, ನೀವು ಕಸ್ಟಮ್ ನಿಯಮವನ್ನು ರಚಿಸಬಹುದು ಅದು ಯಾವಾಗಲೂ ಈ ರೀತಿಯ ಸಂವಹನವನ್ನು ಪ್ರಚೋದಿಸುತ್ತದೆ ಮತ್ತು SNMP, ಇಮೇಲ್ ಅಥವಾ Syslog ಮೂಲಕ ನಿಮಗೆ ತಿಳಿಸುತ್ತದೆ.
2. ವಿಳಂಬಕ್ಕಾಗಿ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ನಿಧಾನವಾದ ಕ್ಲೈಂಟ್-ಸರ್ವರ್ ಸಂವಹನಗಳ ವಿಶ್ಲೇಷಣೆ
ಟ್ಯಾಗ್ಗಳು SRT (ಸರ್ವರ್ ಪ್ರತಿಕ್ರಿಯೆ ಸಮಯ), RTT (ರೌಂಡ್ ಟ್ರಿಪ್ ಸಮಯ) ಸರ್ವರ್ ವಿಳಂಬಗಳು ಮತ್ತು ಸಾಮಾನ್ಯ ನೆಟ್ವರ್ಕ್ ವಿಳಂಬಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ನಿಧಾನವಾಗಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಅಪ್ಲಿಕೇಶನ್ ಬಗ್ಗೆ ಬಳಕೆದಾರರ ದೂರುಗಳ ಕಾರಣವನ್ನು ನೀವು ತ್ವರಿತವಾಗಿ ಕಂಡುಹಿಡಿಯಬೇಕಾದಾಗ ಈ ಉಪಕರಣವು ವಿಶೇಷವಾಗಿ ಉಪಯುಕ್ತವಾಗಿದೆ.
ಹೇಳಿಕೆಯನ್ನು: ಬಹುತೇಕ ಎಲ್ಲಾ ನೆಟ್ಫ್ಲೋ ರಫ್ತುದಾರರು ಹೇಗೆ ಗೊತ್ತಿಲ್ಲ SRT, RTT ಟ್ಯಾಗ್ಗಳನ್ನು ಕಳುಹಿಸಿ, ಆಗಾಗ್ಗೆ, ಫ್ಲೋಸೆನ್ಸರ್ನಲ್ಲಿ ಅಂತಹ ಡೇಟಾವನ್ನು ನೋಡಲು, ನೀವು ನೆಟ್ವರ್ಕ್ ಸಾಧನಗಳಿಂದ ದಟ್ಟಣೆಯ ನಕಲನ್ನು ಕಳುಹಿಸುವುದನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ. ಫ್ಲೋಸೆನ್ಸರ್ ವಿಸ್ತೃತ IPFIX ಅನ್ನು FlowCollector ಗೆ ಕಳುಹಿಸುತ್ತದೆ.
ನಿರ್ವಾಹಕರ ಕಂಪ್ಯೂಟರ್ನಲ್ಲಿ ಸ್ಥಾಪಿಸಲಾದ ಸ್ಟೀಲ್ಟ್ವಾಚ್ ಜಾವಾ ಅಪ್ಲಿಕೇಶನ್ನಲ್ಲಿ ಈ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಕೈಗೊಳ್ಳಲು ಇದು ಹೆಚ್ಚು ಅನುಕೂಲಕರವಾಗಿದೆ.
ಬಲ ಮೌಸ್ ಬಟನ್ ಆನ್ ಹೋಸ್ಟ್ಗಳ ಒಳಗೆ ಮತ್ತು ಟ್ಯಾಬ್ಗೆ ಹೋಗಿ ಫ್ಲೋ ಟೇಬಲ್.
ಕ್ಲಿಕ್ ಮಾಡಿ ಫಿಲ್ಟರ್ ಮತ್ತು ಅಗತ್ಯ ನಿಯತಾಂಕಗಳನ್ನು ಹೊಂದಿಸಿ. ಉದಾಹರಣೆಯಾಗಿ:
- ದಿನಾಂಕ/ಸಮಯ - ಕಳೆದ 3 ದಿನಗಳಿಂದ
- ಕಾರ್ಯಕ್ಷಮತೆ - ಸರಾಸರಿ ರೌಂಡ್ ಟ್ರಿಪ್ ಸಮಯ >=50ms
ಡೇಟಾವನ್ನು ಪ್ರದರ್ಶಿಸಿದ ನಂತರ, ನಮಗೆ ಆಸಕ್ತಿಯಿರುವ RTT ಮತ್ತು SRT ಕ್ಷೇತ್ರಗಳನ್ನು ನಾವು ಸೇರಿಸಬೇಕು. ಇದನ್ನು ಮಾಡಲು, ಸ್ಕ್ರೀನ್ಶಾಟ್ನಲ್ಲಿನ ಕಾಲಮ್ ಅನ್ನು ಕ್ಲಿಕ್ ಮಾಡಿ ಮತ್ತು ಬಲ ಮೌಸ್ ಬಟನ್ನೊಂದಿಗೆ ಆಯ್ಕೆಮಾಡಿ ಕಾಲಮ್ಗಳನ್ನು ನಿರ್ವಹಿಸಿ. ಮುಂದೆ, RTT, SRT ನಿಯತಾಂಕಗಳನ್ನು ಕ್ಲಿಕ್ ಮಾಡಿ.
ವಿನಂತಿಯನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಿದ ನಂತರ, ನಾನು RTT ಸರಾಸರಿಯಂತೆ ವಿಂಗಡಿಸಿದೆ ಮತ್ತು ನಿಧಾನವಾದ ಸಂವಹನಗಳನ್ನು ನೋಡಿದೆ.
ವಿವರವಾದ ಮಾಹಿತಿಗೆ ಹೋಗಲು, ಸ್ಟ್ರೀಮ್ ಮೇಲೆ ಬಲ ಕ್ಲಿಕ್ ಮಾಡಿ ಮತ್ತು ಆಯ್ಕೆಮಾಡಿ ಹರಿವಿಗಾಗಿ ತ್ವರಿತ ನೋಟ.
ಈ ಮಾಹಿತಿಯು ಹೋಸ್ಟ್ ಎಂದು ಸೂಚಿಸುತ್ತದೆ 10.201.3.59 ಗುಂಪಿನಿಂದ ಮಾರಾಟ ಮತ್ತು ಮಾರ್ಕೆಟಿಂಗ್ ಪ್ರೋಟೋಕಾಲ್ ಮೂಲಕ NFS ಸೂಚಿಸುತ್ತದೆ DNS ಸರ್ವರ್ ಒಂದು ನಿಮಿಷ ಮತ್ತು 23 ಸೆಕೆಂಡುಗಳ ಕಾಲ ಮತ್ತು ಕೇವಲ ಭಯಾನಕ ವಿಳಂಬವನ್ನು ಹೊಂದಿದೆ. ಟ್ಯಾಬ್ನಲ್ಲಿ ಸಂಪರ್ಕಸಾಧನಗಳನ್ನು ಯಾವ ನೆಟ್ಫ್ಲೋ ಡೇಟಾ ರಫ್ತುದಾರರಿಂದ ಮಾಹಿತಿಯನ್ನು ಪಡೆಯಲಾಗಿದೆ ಎಂಬುದನ್ನು ನೀವು ಕಂಡುಹಿಡಿಯಬಹುದು. ಟ್ಯಾಬ್ನಲ್ಲಿ ಟೇಬಲ್ ಪರಸ್ಪರ ಕ್ರಿಯೆಯ ಬಗ್ಗೆ ಹೆಚ್ಚು ವಿವರವಾದ ಮಾಹಿತಿಯನ್ನು ತೋರಿಸಲಾಗಿದೆ.
ಮುಂದೆ, ಫ್ಲೋಸೆನ್ಸರ್ಗೆ ಯಾವ ಸಾಧನಗಳು ದಟ್ಟಣೆಯನ್ನು ಕಳುಹಿಸುತ್ತವೆ ಎಂಬುದನ್ನು ನೀವು ಕಂಡುಹಿಡಿಯಬೇಕು ಮತ್ತು ಸಮಸ್ಯೆ ಹೆಚ್ಚಾಗಿ ಇರುತ್ತದೆ.
ಇದಲ್ಲದೆ, ಸ್ಟೆಲ್ತ್ವಾಚ್ ಅದು ನಡೆಸುವುದರಲ್ಲಿ ವಿಶಿಷ್ಟವಾಗಿದೆ ದ್ವಿಗುಣಗೊಳಿಸುವಿಕೆ ಡೇಟಾ (ಅದೇ ಸ್ಟ್ರೀಮ್ಗಳನ್ನು ಸಂಯೋಜಿಸುತ್ತದೆ). ಆದ್ದರಿಂದ, ನೀವು ಬಹುತೇಕ ಎಲ್ಲಾ ನೆಟ್ಫ್ಲೋ ಸಾಧನಗಳಿಂದ ಸಂಗ್ರಹಿಸಬಹುದು ಮತ್ತು ಸಾಕಷ್ಟು ನಕಲಿ ಡೇಟಾ ಇರುತ್ತದೆ ಎಂದು ಭಯಪಡಬೇಡಿ. ಇದಕ್ಕೆ ತದ್ವಿರುದ್ಧವಾಗಿ, ಈ ಯೋಜನೆಯಲ್ಲಿ ಯಾವ ಹಾಪ್ ಹೆಚ್ಚಿನ ವಿಳಂಬವನ್ನು ಹೊಂದಿದೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ.
3. HTTPS ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಪ್ರೋಟೋಕಾಲ್ಗಳ ಆಡಿಟ್
ETA (ಎನ್ಕ್ರಿಪ್ಟೆಡ್ ಟ್ರಾಫಿಕ್ ಅನಾಲಿಟಿಕ್ಸ್) ಸಿಸ್ಕೊ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ತಂತ್ರಜ್ಞಾನವಾಗಿದ್ದು, ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಟ್ರಾಫಿಕ್ನಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಸಂಪರ್ಕಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡದೆಯೇ ಪತ್ತೆಹಚ್ಚಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಇದಲ್ಲದೆ, ಈ ತಂತ್ರಜ್ಞಾನವು ನಿಮಗೆ HTTPS ಅನ್ನು TLS ಆವೃತ್ತಿಗಳು ಮತ್ತು ಸಂಪರ್ಕಗಳ ಸಮಯದಲ್ಲಿ ಬಳಸಲಾಗುವ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಪ್ರೋಟೋಕಾಲ್ಗಳಾಗಿ "ಪಾರ್ಸ್" ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ. ದುರ್ಬಲ ಕ್ರಿಪ್ಟೋ ಮಾನದಂಡಗಳನ್ನು ಬಳಸುವ ನೆಟ್ವರ್ಕ್ ನೋಡ್ಗಳನ್ನು ನೀವು ಪತ್ತೆಹಚ್ಚಬೇಕಾದಾಗ ಈ ಕಾರ್ಯವು ವಿಶೇಷವಾಗಿ ಉಪಯುಕ್ತವಾಗಿದೆ.
ಹೇಳಿಕೆಯನ್ನು: ನೀವು ಮೊದಲು StealthWatch ನಲ್ಲಿ ನೆಟ್ವರ್ಕ್ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಸ್ಥಾಪಿಸಬೇಕು - ETA ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಆಡಿಟ್.
ಟ್ಯಾಬ್ಗೆ ಹೋಗಿ ಡ್ಯಾಶ್ಬೋರ್ಡ್ಗಳು → ETA ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಆಡಿಟ್ ಮತ್ತು ನಾವು ವಿಶ್ಲೇಷಿಸಲು ಯೋಜಿಸುವ ಹೋಸ್ಟ್ಗಳ ಗುಂಪನ್ನು ಆಯ್ಕೆಮಾಡಿ. ಒಟ್ಟಾರೆ ಚಿತ್ರಕ್ಕಾಗಿ, ಆಯ್ಕೆ ಮಾಡೋಣ ಹೋಸ್ಟ್ಗಳ ಒಳಗೆ.
TLS ಆವೃತ್ತಿ ಮತ್ತು ಅನುಗುಣವಾದ ಕ್ರಿಪ್ಟೋ ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಔಟ್ಪುಟ್ ಆಗಿರುವುದನ್ನು ನೀವು ನೋಡಬಹುದು. ಅಂಕಣದಲ್ಲಿ ಸಾಮಾನ್ಯ ಯೋಜನೆಯ ಪ್ರಕಾರ ಕ್ರಿಯೆಗಳು ಗೆ ಹೋಗಿ ಹರಿವುಗಳನ್ನು ವೀಕ್ಷಿಸಿ ಮತ್ತು ಹುಡುಕಾಟವು ಹೊಸ ಟ್ಯಾಬ್ನಲ್ಲಿ ಪ್ರಾರಂಭವಾಗುತ್ತದೆ.
ಔಟ್ಪುಟ್ನಿಂದ ಹೋಸ್ಟ್ ಎಂದು ನೋಡಬಹುದು 198.19.20.136 ಗಾಗಿ 12 ಗಂಟೆಗಳ TLS 1.2 ನೊಂದಿಗೆ HTTPS ಅನ್ನು ಬಳಸಲಾಗಿದೆ, ಅಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್ AES-256 ಮತ್ತು ಹ್ಯಾಶ್ ಕಾರ್ಯ SHA-384. ಹೀಗಾಗಿ, ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ದುರ್ಬಲ ಅಲ್ಗಾರಿದಮ್ಗಳನ್ನು ಹುಡುಕಲು ETA ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
4. ನೆಟ್ವರ್ಕ್ ಅಸಂಗತತೆ ವಿಶ್ಲೇಷಣೆ
Cisco StealthWatch ಮೂರು ಪರಿಕರಗಳನ್ನು ಬಳಸಿಕೊಂಡು ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಟ್ರಾಫಿಕ್ ವೈಪರೀತ್ಯಗಳನ್ನು ಗುರುತಿಸಬಹುದು: ಪ್ರಮುಖ ಘಟನೆಗಳು (ಭದ್ರತಾ ಘಟನೆಗಳು), ಸಂಬಂಧ ಘಟನೆಗಳು (ವಿಭಾಗಗಳ ನಡುವಿನ ಪರಸ್ಪರ ಕ್ರಿಯೆಗಳ ಘಟನೆಗಳು, ನೆಟ್ವರ್ಕ್ ನೋಡ್ಗಳು) ಮತ್ತು ವರ್ತನೆಯ ವಿಶ್ಲೇಷಣೆ.
ವರ್ತನೆಯ ವಿಶ್ಲೇಷಣೆ, ಪ್ರತಿಯಾಗಿ, ನಿರ್ದಿಷ್ಟ ಹೋಸ್ಟ್ ಅಥವಾ ಹೋಸ್ಟ್ಗಳ ಗುಂಪಿಗೆ ವರ್ತನೆಯ ಮಾದರಿಯನ್ನು ನಿರ್ಮಿಸಲು ಕಾಲಾನಂತರದಲ್ಲಿ ಅನುಮತಿಸುತ್ತದೆ. ಸ್ಟೆಲ್ತ್ವಾಚ್ ಮೂಲಕ ಹೆಚ್ಚು ಟ್ರಾಫಿಕ್ ಹಾದುಹೋಗುತ್ತದೆ, ಈ ವಿಶ್ಲೇಷಣೆಗೆ ಹೆಚ್ಚು ನಿಖರವಾದ ಎಚ್ಚರಿಕೆಗಳು ಧನ್ಯವಾದಗಳು. ಮೊದಲಿಗೆ, ಸಿಸ್ಟಮ್ ಬಹಳಷ್ಟು ತಪ್ಪಾಗಿ ಪ್ರಚೋದಿಸುತ್ತದೆ, ಆದ್ದರಿಂದ ನಿಯಮಗಳನ್ನು ಕೈಯಿಂದ "ತಿರುಚಿ" ಮಾಡಬೇಕು. ಮೊದಲ ಕೆಲವು ವಾರಗಳವರೆಗೆ ನೀವು ಅಂತಹ ಘಟನೆಗಳನ್ನು ನಿರ್ಲಕ್ಷಿಸಬೇಕೆಂದು ನಾನು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ, ಏಕೆಂದರೆ ಸಿಸ್ಟಮ್ ಸ್ವತಃ ಸರಿಹೊಂದಿಸುತ್ತದೆ ಅಥವಾ ಅವುಗಳನ್ನು ವಿನಾಯಿತಿಗಳಿಗೆ ಸೇರಿಸುತ್ತದೆ.
ಕೆಳಗೆ ಪೂರ್ವನಿರ್ಧರಿತ ನಿಯಮದ ಉದಾಹರಣೆಯಾಗಿದೆ ಅಸಂಗತತೆ, ಇದು ಈವೆಂಟ್ ಅಲಾರಾಂ ಇಲ್ಲದೆ ಬೆಂಕಿಯಿಡುತ್ತದೆ ಎಂದು ಹೇಳುತ್ತದೆ ಇನ್ಸೈಡ್ ಹೋಸ್ಟ್ಗಳ ಗುಂಪಿನಲ್ಲಿರುವ ಹೋಸ್ಟ್ ಇನ್ಸೈಡ್ ಹೋಸ್ಟ್ಗಳ ಗುಂಪಿನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುತ್ತದೆ ಮತ್ತು 24 ಗಂಟೆಗಳ ಒಳಗೆ ಟ್ರಾಫಿಕ್ 10 ಮೆಗಾಬೈಟ್ಗಳನ್ನು ಮೀರುತ್ತದೆ.
ಉದಾಹರಣೆಗೆ, ನಾವು ಎಚ್ಚರಿಕೆಯನ್ನು ತೆಗೆದುಕೊಳ್ಳೋಣ ಡೇಟಾ ಸಂಗ್ರಹಣೆ, ಅಂದರೆ ಕೆಲವು ಮೂಲ/ಗಮ್ಯಸ್ಥಾನ ಹೋಸ್ಟ್ ಅತಿಥೇಯಗಳ ಗುಂಪು ಅಥವಾ ಹೋಸ್ಟ್ನಿಂದ ಅಸಹಜವಾಗಿ ದೊಡ್ಡ ಪ್ರಮಾಣದ ಡೇಟಾವನ್ನು ಅಪ್ಲೋಡ್ ಮಾಡಿದೆ/ಡೌನ್ಲೋಡ್ ಮಾಡಿದೆ. ಈವೆಂಟ್ ಮೇಲೆ ಕ್ಲಿಕ್ ಮಾಡಿ ಮತ್ತು ಪ್ರಚೋದಿಸುವ ಅತಿಥೇಯಗಳನ್ನು ಸೂಚಿಸುವ ಟೇಬಲ್ಗೆ ಹೋಗಿ. ಮುಂದೆ, ಕಾಲಮ್ನಲ್ಲಿ ನಾವು ಆಸಕ್ತಿ ಹೊಂದಿರುವ ಹೋಸ್ಟ್ ಅನ್ನು ಆಯ್ಕೆ ಮಾಡಿ ಡೇಟಾ ಸಂಗ್ರಹಣೆ.
162k “ಪಾಯಿಂಟ್ಗಳು” ಪತ್ತೆಯಾಗಿವೆ ಎಂದು ಸೂಚಿಸುವ ಈವೆಂಟ್ ಅನ್ನು ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ನೀತಿಯ ಪ್ರಕಾರ, 100k “ಪಾಯಿಂಟ್ಗಳನ್ನು” ಅನುಮತಿಸಲಾಗಿದೆ - ಇವು ಆಂತರಿಕ ಸ್ಟೆಲ್ತ್ವಾಚ್ ಮೆಟ್ರಿಕ್ಗಳಾಗಿವೆ. ಕಾಲಮ್ನಲ್ಲಿ ಕ್ರಿಯೆಗಳು ಡಾ ಹರಿವುಗಳನ್ನು ವೀಕ್ಷಿಸಿ.
ಅದನ್ನು ನಾವು ಗಮನಿಸಬಹುದು ಆತಿಥೇಯ ನೀಡಲಾಗಿದೆ ರಾತ್ರಿ ಹೋಸ್ಟ್ ಜೊತೆ ಸಂವಾದ ನಡೆಸಿದರು 10.201.3.47 ಇಲಾಖೆಯಿಂದ ಮಾರಾಟ ಮತ್ತು ಮಾರ್ಕೆಟಿಂಗ್ ಪ್ರೋಟೋಕಾಲ್ ಮೂಲಕ , HTTPS ಮತ್ತು ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗಿದೆ 1.4 GB. ಬಹುಶಃ ಈ ಉದಾಹರಣೆಯು ಸಂಪೂರ್ಣವಾಗಿ ಯಶಸ್ವಿಯಾಗುವುದಿಲ್ಲ, ಆದರೆ ಹಲವಾರು ನೂರು ಗಿಗಾಬೈಟ್ಗಳಿಗೆ ಸಹ ಪರಸ್ಪರ ಕ್ರಿಯೆಗಳ ಪತ್ತೆಯನ್ನು ನಿಖರವಾಗಿ ಅದೇ ರೀತಿಯಲ್ಲಿ ನಡೆಸಲಾಗುತ್ತದೆ. ಆದ್ದರಿಂದ, ವೈಪರೀತ್ಯಗಳ ಹೆಚ್ಚಿನ ತನಿಖೆಯು ಆಸಕ್ತಿದಾಯಕ ಫಲಿತಾಂಶಗಳಿಗೆ ಕಾರಣವಾಗಬಹುದು.
ಹೇಳಿಕೆಯನ್ನು: SMC ವೆಬ್ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ, ಡೇಟಾವು ಟ್ಯಾಬ್ಗಳಲ್ಲಿದೆ ಡ್ಯಾಶ್ಬೋರ್ಡ್ಗಳು ಕಳೆದ ವಾರ ಮತ್ತು ಟ್ಯಾಬ್ನಲ್ಲಿ ಮಾತ್ರ ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ ಮಾನಿಟರ್ ಕಳೆದ 2 ವಾರಗಳಲ್ಲಿ. ಹಳೆಯ ಘಟನೆಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಮತ್ತು ವರದಿಗಳನ್ನು ರಚಿಸಲು, ನೀವು ನಿರ್ವಾಹಕರ ಕಂಪ್ಯೂಟರ್ನಲ್ಲಿ ಜಾವಾ ಕನ್ಸೋಲ್ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಬೇಕಾಗುತ್ತದೆ.
5. ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ ಸ್ಕ್ಯಾನ್ಗಳನ್ನು ಕಂಡುಹಿಡಿಯುವುದು
ಈಗ ಫೀಡ್ಗಳ ಕೆಲವು ಉದಾಹರಣೆಗಳನ್ನು ನೋಡೋಣ - ಮಾಹಿತಿ ಭದ್ರತಾ ಘಟನೆಗಳು. ಈ ಕಾರ್ಯವು ಭದ್ರತಾ ವೃತ್ತಿಪರರಿಗೆ ಹೆಚ್ಚು ಆಸಕ್ತಿಯನ್ನುಂಟುಮಾಡುತ್ತದೆ.
ಸ್ಟೆಲ್ತ್ವಾಚ್ನಲ್ಲಿ ಹಲವಾರು ಪೂರ್ವನಿಗದಿ ಸ್ಕ್ಯಾನ್ ಈವೆಂಟ್ ಪ್ರಕಾರಗಳಿವೆ:
- ಪೋರ್ಟ್ ಸ್ಕ್ಯಾನ್-ಮೂಲವು ಗಮ್ಯಸ್ಥಾನ ಹೋಸ್ಟ್ನಲ್ಲಿ ಬಹು ಪೋರ್ಟ್ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುತ್ತದೆ.
- Addr tcp ಸ್ಕ್ಯಾನ್ - ಮೂಲವು ಒಂದೇ TCP ಪೋರ್ಟ್ನಲ್ಲಿ ಸಂಪೂರ್ಣ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುತ್ತದೆ, ಗಮ್ಯಸ್ಥಾನ IP ವಿಳಾಸವನ್ನು ಬದಲಾಯಿಸುತ್ತದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಮೂಲವು TCP ಮರುಹೊಂದಿಸುವ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಸ್ವೀಕರಿಸುತ್ತದೆ ಅಥವಾ ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ಸ್ವೀಕರಿಸುವುದಿಲ್ಲ.
- Addr udp ಸ್ಕ್ಯಾನ್ - ಗಮ್ಯಸ್ಥಾನ IP ವಿಳಾಸವನ್ನು ಬದಲಾಯಿಸುವಾಗ ಮೂಲವು ಅದೇ UDP ಪೋರ್ಟ್ನಲ್ಲಿ ಸಂಪೂರ್ಣ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುತ್ತದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಮೂಲವು ICMP ಪೋರ್ಟ್ ತಲುಪಲಾಗದ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಸ್ವೀಕರಿಸುತ್ತದೆ ಅಥವಾ ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ಸ್ವೀಕರಿಸುವುದಿಲ್ಲ.
- ಪಿಂಗ್ ಸ್ಕ್ಯಾನ್ - ಉತ್ತರಗಳನ್ನು ಹುಡುಕಲು ಮೂಲವು ಸಂಪೂರ್ಣ ನೆಟ್ವರ್ಕ್ಗೆ ICMP ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸುತ್ತದೆ.
- ಸ್ಟೆಲ್ತ್ ಸ್ಕ್ಯಾನ್ tсp/udp - ಮೂಲವು ಒಂದೇ ಸಮಯದಲ್ಲಿ ಗಮ್ಯಸ್ಥಾನ ನೋಡ್ನಲ್ಲಿ ಅನೇಕ ಪೋರ್ಟ್ಗಳಿಗೆ ಸಂಪರ್ಕಿಸಲು ಒಂದೇ ಪೋರ್ಟ್ ಅನ್ನು ಬಳಸುತ್ತದೆ.
ಎಲ್ಲಾ ಆಂತರಿಕ ಸ್ಕ್ಯಾನರ್ಗಳನ್ನು ಏಕಕಾಲದಲ್ಲಿ ಹುಡುಕಲು ಹೆಚ್ಚು ಅನುಕೂಲಕರವಾಗಿಸಲು, ನೆಟ್ವರ್ಕ್ ಅಪ್ಲಿಕೇಶನ್ ಇದೆ ಸ್ಟೆಲ್ತ್ ವಾಚ್ - ಗೋಚರತೆಯ ಮೌಲ್ಯಮಾಪನ. ಟ್ಯಾಬ್ಗೆ ಹೋಗುತ್ತಿದ್ದೇನೆ ಡ್ಯಾಶ್ಬೋರ್ಡ್ಗಳು → ಗೋಚರತೆಯ ಮೌಲ್ಯಮಾಪನ → ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ ಸ್ಕ್ಯಾನರ್ಗಳು ಕಳೆದ 2 ವಾರಗಳಲ್ಲಿ ಸ್ಕ್ಯಾನಿಂಗ್-ಸಂಬಂಧಿತ ಭದ್ರತಾ ಘಟನೆಗಳನ್ನು ನೀವು ನೋಡುತ್ತೀರಿ.
ಬಟನ್ ಅನ್ನು ಕ್ಲಿಕ್ ಮಾಡಲಾಗುತ್ತಿದೆ ವಿವರಗಳು, ನೀವು ಪ್ರತಿ ನೆಟ್ವರ್ಕ್ನ ಸ್ಕ್ಯಾನಿಂಗ್ ಪ್ರಾರಂಭ, ಟ್ರಾಫಿಕ್ ಟ್ರೆಂಡ್ ಮತ್ತು ಅನುಗುಣವಾದ ಅಲಾರಂಗಳನ್ನು ನೋಡುತ್ತೀರಿ.
ಮುಂದೆ, ನೀವು ಹಿಂದಿನ ಸ್ಕ್ರೀನ್ಶಾಟ್ನಲ್ಲಿನ ಟ್ಯಾಬ್ನಿಂದ ಹೋಸ್ಟ್ಗೆ "ವಿಫಲಗೊಳಿಸಬಹುದು" ಮತ್ತು ಭದ್ರತಾ ಈವೆಂಟ್ಗಳನ್ನು ನೋಡಬಹುದು, ಹಾಗೆಯೇ ಈ ಹೋಸ್ಟ್ಗಾಗಿ ಕಳೆದ ವಾರದ ಚಟುವಟಿಕೆಯನ್ನು ನೋಡಬಹುದು.
ಉದಾಹರಣೆಯಾಗಿ, ಈವೆಂಟ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸೋಣ ಪೋರ್ಟ್ ಸ್ಕ್ಯಾನ್ ಆತಿಥೇಯರಿಂದ 10.201.3.149 ಮೇಲೆ 10.201.0.72, ಒತ್ತುವುದು ಕ್ರಿಯೆಗಳು > ಅಸೋಸಿಯೇಟೆಡ್ ಫ್ಲೋಗಳು. ಥ್ರೆಡ್ ಹುಡುಕಾಟವನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ ಮತ್ತು ಸಂಬಂಧಿತ ಮಾಹಿತಿಯನ್ನು ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ.
ಈ ಹೋಸ್ಟ್ ಅನ್ನು ಅದರ ಪೋರ್ಟ್ಗಳಲ್ಲಿ ಒಂದರಿಂದ ನಾವು ಹೇಗೆ ನೋಡುತ್ತೇವೆ 51508/TCP ಪೋರ್ಟ್ ಮೂಲಕ ಗಮ್ಯಸ್ಥಾನ ಹೋಸ್ಟ್ ಅನ್ನು 3 ಗಂಟೆಗಳ ಹಿಂದೆ ಸ್ಕ್ಯಾನ್ ಮಾಡಲಾಗಿದೆ 22, 28, 42, 41, 36, 40 (TCP). Netflow ರಫ್ತುದಾರರಲ್ಲಿ ಎಲ್ಲಾ Netflow ಕ್ಷೇತ್ರಗಳನ್ನು ಬೆಂಬಲಿಸದ ಕಾರಣ ಕೆಲವು ಕ್ಷೇತ್ರಗಳು ಮಾಹಿತಿಯನ್ನು ಪ್ರದರ್ಶಿಸುವುದಿಲ್ಲ.
6. CTA ಬಳಸಿಕೊಂಡು ಡೌನ್ಲೋಡ್ ಮಾಡಲಾದ ಮಾಲ್ವೇರ್ನ ವಿಶ್ಲೇಷಣೆ
CTA (ಕಾಗ್ನಿಟಿವ್ ಥ್ರೆಟ್ ಅನಾಲಿಟಿಕ್ಸ್) - ಸಿಸ್ಕೋ ಕ್ಲೌಡ್ ಅನಾಲಿಟಿಕ್ಸ್, ಇದು ಸಿಸ್ಕೋ ಸ್ಟೆಲ್ತ್ವಾಚ್ನೊಂದಿಗೆ ಸಂಪೂರ್ಣವಾಗಿ ಸಂಯೋಜಿಸುತ್ತದೆ ಮತ್ತು ಸಹಿ ವಿಶ್ಲೇಷಣೆಯೊಂದಿಗೆ ಸಹಿ-ಮುಕ್ತ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಪೂರೈಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಇದು ಟ್ರೋಜನ್ಗಳು, ನೆಟ್ವರ್ಕ್ ವರ್ಮ್ಗಳು, ಶೂನ್ಯ-ದಿನ ಮಾಲ್ವೇರ್ ಮತ್ತು ಇತರ ಮಾಲ್ವೇರ್ಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಮತ್ತು ಅವುಗಳನ್ನು ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ವಿತರಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ. ಅಲ್ಲದೆ, ಹಿಂದೆ ಹೇಳಿದ ETA ತಂತ್ರಜ್ಞಾನವು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಟ್ರಾಫಿಕ್ನಲ್ಲಿ ಇಂತಹ ದುರುದ್ದೇಶಪೂರಿತ ಸಂವಹನಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಅಕ್ಷರಶಃ ವೆಬ್ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿನ ಮೊದಲ ಟ್ಯಾಬ್ನಲ್ಲಿ ವಿಶೇಷ ವಿಜೆಟ್ ಇದೆ ಕಾಗ್ನಿಟಿವ್ ಥ್ರೆಟ್ ಅನಾಲಿಟಿಕ್ಸ್. ಸಂಕ್ಷಿಪ್ತ ಸಾರಾಂಶವು ಬಳಕೆದಾರರ ಹೋಸ್ಟ್ಗಳಲ್ಲಿ ಪತ್ತೆಯಾದ ಬೆದರಿಕೆಗಳನ್ನು ಸೂಚಿಸುತ್ತದೆ: ಟ್ರೋಜನ್, ಮೋಸದ ಸಾಫ್ಟ್ವೇರ್, ಕಿರಿಕಿರಿಗೊಳಿಸುವ ಆಯ್ಡ್ವೇರ್. "ಎನ್ಕ್ರಿಪ್ಟೆಡ್" ಪದವು ವಾಸ್ತವವಾಗಿ ETA ಯ ಕೆಲಸವನ್ನು ಸೂಚಿಸುತ್ತದೆ. ಹೋಸ್ಟ್ ಅನ್ನು ಕ್ಲಿಕ್ ಮಾಡುವುದರ ಮೂಲಕ, ಅದರ ಬಗ್ಗೆ ಎಲ್ಲಾ ಮಾಹಿತಿ, CTA ಲಾಗ್ಗಳು ಸೇರಿದಂತೆ ಭದ್ರತಾ ಘಟನೆಗಳು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತವೆ.
CTA ಯ ಪ್ರತಿ ಹಂತದ ಮೇಲೆ ತೂಗಾಡುವ ಮೂಲಕ, ಈವೆಂಟ್ ಪರಸ್ಪರ ಕ್ರಿಯೆಯ ಬಗ್ಗೆ ವಿವರವಾದ ಮಾಹಿತಿಯನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ. ಸಂಪೂರ್ಣ ವಿಶ್ಲೇಷಣೆಗಾಗಿ, ಇಲ್ಲಿ ಕ್ಲಿಕ್ ಮಾಡಿ ಘಟನೆಯ ವಿವರಗಳನ್ನು ವೀಕ್ಷಿಸಿ, ಮತ್ತು ನಿಮ್ಮನ್ನು ಪ್ರತ್ಯೇಕ ಕನ್ಸೋಲ್ಗೆ ಕರೆದೊಯ್ಯಲಾಗುತ್ತದೆ ಕಾಗ್ನಿಟಿವ್ ಥ್ರೆಟ್ ಅನಾಲಿಟಿಕ್ಸ್.
ಮೇಲಿನ ಬಲ ಮೂಲೆಯಲ್ಲಿ, ತೀವ್ರತೆಯ ಮಟ್ಟದಿಂದ ಈವೆಂಟ್ಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲು ಫಿಲ್ಟರ್ ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ನೀವು ನಿರ್ದಿಷ್ಟ ಅಸಂಗತತೆಯನ್ನು ಸೂಚಿಸಿದಾಗ, ಬಲಭಾಗದಲ್ಲಿ ಅನುಗುಣವಾದ ಟೈಮ್ಲೈನ್ನೊಂದಿಗೆ ಲಾಗ್ಗಳು ಪರದೆಯ ಕೆಳಭಾಗದಲ್ಲಿ ಗೋಚರಿಸುತ್ತವೆ. ಹೀಗಾಗಿ, ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರು ಯಾವ ಸೋಂಕಿತ ಹೋಸ್ಟ್ ಅನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ಅರ್ಥಮಾಡಿಕೊಳ್ಳುತ್ತಾರೆ, ಅದರ ನಂತರ ಯಾವ ಕ್ರಮಗಳು, ಯಾವ ಕ್ರಿಯೆಗಳನ್ನು ಮಾಡಲು ಪ್ರಾರಂಭಿಸಿದವು.
ಕೆಳಗೆ ಇನ್ನೊಂದು ಉದಾಹರಣೆಯಾಗಿದೆ - ಹೋಸ್ಟ್ಗೆ ಸೋಂಕು ತಗುಲಿದ ಬ್ಯಾಂಕಿಂಗ್ ಟ್ರೋಜನ್ 198.19.30.36. ಈ ಹೋಸ್ಟ್ ದುರುದ್ದೇಶಪೂರಿತ ಡೊಮೇನ್ಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು ಪ್ರಾರಂಭಿಸಿತು, ಮತ್ತು ಲಾಗ್ಗಳು ಈ ಸಂವಹನಗಳ ಹರಿವಿನ ಮಾಹಿತಿಯನ್ನು ತೋರಿಸುತ್ತವೆ.
ಮುಂದೆ, ಸ್ಥಳೀಯರಿಗೆ ಧನ್ಯವಾದಗಳು ಹೋಸ್ಟ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸುವುದು ಉತ್ತಮ ಪರಿಹಾರಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ ಹೆಚ್ಚಿನ ಚಿಕಿತ್ಸೆ ಮತ್ತು ವಿಶ್ಲೇಷಣೆಗಾಗಿ ಸಿಸ್ಕೋ ISE ಯೊಂದಿಗೆ.
ತೀರ್ಮಾನಕ್ಕೆ
Cisco StealthWatch ಪರಿಹಾರವು ನೆಟ್ವರ್ಕ್ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ಮಾಹಿತಿ ಸುರಕ್ಷತೆಯ ವಿಷಯದಲ್ಲಿ ನೆಟ್ವರ್ಕ್ ಮಾನಿಟರಿಂಗ್ ಉತ್ಪನ್ನಗಳಲ್ಲಿ ನಾಯಕರಲ್ಲಿ ಒಂದಾಗಿದೆ. ಇದಕ್ಕೆ ಧನ್ಯವಾದಗಳು, ನೀವು ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಕಾನೂನುಬಾಹಿರ ಸಂವಹನಗಳು, ಅಪ್ಲಿಕೇಶನ್ ವಿಳಂಬಗಳು, ಹೆಚ್ಚು ಸಕ್ರಿಯ ಬಳಕೆದಾರರು, ವೈಪರೀತ್ಯಗಳು, ಮಾಲ್ವೇರ್ ಮತ್ತು APT ಗಳನ್ನು ಕಂಡುಹಿಡಿಯಬಹುದು. ಇದಲ್ಲದೆ, ನೀವು ಸ್ಕ್ಯಾನರ್ಗಳು, ಪೆಂಟೆಸ್ಟರ್ಗಳನ್ನು ಕಾಣಬಹುದು ಮತ್ತು HTTPS ಟ್ರಾಫಿಕ್ನ ಕ್ರಿಪ್ಟೋ-ಆಡಿಟ್ ಅನ್ನು ನಡೆಸಬಹುದು. ನೀವು ಇನ್ನೂ ಹೆಚ್ಚಿನ ಬಳಕೆಯ ಸಂದರ್ಭಗಳನ್ನು ಇಲ್ಲಿ ಕಾಣಬಹುದು .
ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಎಲ್ಲವೂ ಎಷ್ಟು ಸರಾಗವಾಗಿ ಮತ್ತು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ಪರಿಶೀಲಿಸಲು ನೀವು ಬಯಸಿದರೆ, ಕಳುಹಿಸಿ .
ಮುಂದಿನ ದಿನಗಳಲ್ಲಿ, ನಾವು ವಿವಿಧ ಮಾಹಿತಿ ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳ ಕುರಿತು ಹಲವಾರು ತಾಂತ್ರಿಕ ಪ್ರಕಟಣೆಗಳನ್ನು ಯೋಜಿಸುತ್ತಿದ್ದೇವೆ. ನೀವು ಈ ವಿಷಯದಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ, ನಂತರ ನಮ್ಮ ಚಾನಲ್ಗಳಲ್ಲಿನ ನವೀಕರಣಗಳನ್ನು ಅನುಸರಿಸಿ (, , , )!
ಮೂಲ: www.habr.com