Influunt protocols sicut instrumentum ad vigilantia internum network securitatem

Cum ad vigilantiam securitatem retis interni corporati vel departmentalis pervenerit, multi eam coniungunt cum libero notitiarum moderandis et solutionibus DLP fovendis. Et si quaestionem enucleare conaris et quaerere quomodo impetus in retis internis deprehendas, responsum fere erit mentio intrusionis rationum detectarum (IDS). Et quod una optio 10-20 abhinc annis efficitur hodie anachronismus. Efficacior est, et in quibusdam locis, unica optio possibilis ad vigilantiam retis internae - protocolla uti fluunt, quae principio destinata sunt ad quaerendas difficultates retis (troubleshooting), sed supra tempus transformatum in instrumentum securitatis valde interesting. De protocolla quaenam fluxus sint et quae meliores sint ad deprehendendas retis impetus, ubi optimum est fluere vigilantiam efficere, quid quaerere cum tale schema disponis, et etiam quomodo "tollere" omnia haec in apparatu domestico infra ambitum huius articuli.

Non moror in quaestione "Cur interna infrastructura securitatis magna vigilantia opus est?" Responsio videtur esse manifesta. Sed si tamen iterum efficere velis te sine illo hodie vivere non posse, quaerere breve video quomodo potes reticulum corporatum penetrare munitum a fire pariete per 17 vias. Ponemus ergo quod intelligamus quod magna vigilantia interna est necessaria res, et omne quod reliquum est intelligere quomodo ordinari possit.

Tres praecipuas claves notitias fontes illustrare volo ut sedulam infrastructuram in gradu retis:

• "rudis" negotiatio quam capimus et submittit pro analysi quibusdam systematibus analysi;
• res a retis machinis per quas commercium transit;
• commercii informationes per unum e protocollis influunt.

Rudis negotiatio capere est optio popularis inter artifices securitatis, quia historice apparuit et primus omnium fuit. Conventional retis intrusionis systemata detectio (prima ratio detectionis commercii intrusionis erat NetRanger a Rota Group, anno 1998 a Cisco acquisita) praecise versabantur in deprendindis (et postea sessionibus) in quibus certae subscriptiones requirebantur ("praecepta decretoria" in FSTEC terminology), significatio impetus. Utique, non solum IDS utens, sed etiam aliis instrumentis utens (exempli gratia, Wireshark, tcpdum vel NBAR2 functionis NBARXNUMX in Cisco IOS), sed scientia turpia plerumque caret quae informationem instrumenti securitatis a regulari distinguit. Instrumentum IT.

Ita systemata deprehendendi oppugnant. Vetustissima et popularis methodus inveniendi retis impetus, qui bonum opus in perimetro facit (quacumque - corporatum, centrum datae, segmentum etc.), sed in modernis reticulis switched ac programmatibus definitis deficit. In casu retis structae secundum virgas conventionales, infrastructurae impetus sensoriis deprehensio maior fit - sensorem in unaquaque connexione nodi in quo vis monitorem oppugnare instituere debebis. Opifex, utique, laetus erit tibi centum et milia sensorialium vendere, sed puto rationes oeconomicas has expensas sustinere non posse. Possum dicere etiam apud Cisco (et nos tincidunt NGIPS) facere non possemus, licet rem precii nobis esse videatur. Non stare - nostrum consilium est. Quaeritur praeterea: Quomodo coniungere sensorem in hac versione? Lacunam in? Quid si sensus ipse deficiat? Eget modulus in sensorem bypass? Utere dialecticis (ICTUS)? Ex his omnibus solutionem cariorem reddit eamque immobilem facit ad societatem cuiuslibet quantitatis.

Possis experiri "sensorem" sensorem in SPAN/RSPAN/ERSPAN portum ac negotiationem directam e portubus necessariis ad illum transitum. Haec optio problema ex parte superiore paragrapho descriptum removet, sed aliam ponit - portum span omnino non potest accipere omnia negotiatio quae ad eam mittetur - band satis non erit. Immolare aliquid debebis. Aut e nodis aliquas sine vigilantia relinque (deinde primos prioritizare debes), vel negotiationem non omnem e nodo mitte, sed certum genus. In omni casu, licet impetus aliquos deesset. Praeterea SPAN portus aliis necessitatibus adhiberi potest. Quam ob rem, topologiam retis exsistentem recensere debebimus et fortasse adaptationes ad eam componemus ut reticulum tuum ad maximum numerum sensoriorum quem habes (et cum IT componas).

Quid si retis tuis itineribus asymmetricis utitur? Quid si implesti vel paras ad efficiendum SDN? Quid si machinis virtualisatis vel vasis monitoriis indigere, quarum negotiatio ad physicam omnino transitum non attingit? Hae sunt quaestiones quas venditores IDS traditi non amant quia illis respondere nesciunt. Forsitan tibi persuadebunt omnes hasce modulos technologias hype esse et eo non egere. Forsitan loquentur opuscula de necessitate incipere. Vel fortasse dicent te validissimum trituratorem in medio retis ponere et omnem negotiationem ad eam utentem librariorum dirigere. Quidquid optionis offertur tibi, debes clare intelligere quomodo tibi deceat. Et solum post hoc consilium capio de accessu ad vigilantiam informationis securitatis retis infrastructuram. Reversus ad captationem fasciculi, dicere volo hanc methodum pergere popularis et magni momenti esse, sed principale propositum eius est terminus imperium; termini inter ordinationem tuam et interreti, termini inter centrum datorum et reliquos retis, termini inter processum rationi et segmentum corporatum. His in locis, classic IDS/IPS ius habent adhuc exsistere et bene obire muneribus suis.

Transeamus ad secundam optionem. Analysis rerum, quae ex retis machinis oriuntur, etiam ad proposita deprehendendi impetum adhiberi potest, sed non sicut principale machinamentum, cum tantum parvum genus intrusionum deprehendere sinit. Praeterea inest in reactivitate aliqua - oppugnatio primum incurrere debet, deinde per retis notam notari debet, quod uno modo vel alio problema cum notitia securitatis significabit. Plures sunt modi. Posset hic esse syslog, RMON vel SNMP. Duo postrema protocolla ad vigilantiam retis in contextu securitatis informationis tantum adhibentur si opus est impetum DoS in ipso instrumento retis deprehendere, cum uti RMON et SNMP fieri potest, exempli gratia, onus in fabrica centrali monitori processus vel eius interfaces. Hoc unum est "vilissimi" (omnis syslog vel SNMP habet), sed etiam inefficax omnium methodorum vigilantiae informationis securitatis internae infrastructurae - multi impetus simpliciter absconditi sunt. Utique non omittendum est, eademque analysis syslog adiuvat ut opportune ad cognoscendas mutationes in ipsius fabricae figmento, compromisso, sed non valde idoneus ad deprehendendas impetus in tota retis.

Tertia optio est explorare informationes circa negotiationem transeuntem per fabrica quae unum ex pluribus protocollis fluxum sustinet. In hoc casu, quantumvis protocolli, substructura infrastructura necessario in tribus consistit partibus;

• De generatione vel exportatione fluxus. Solet munus hoc ad iter, transitum vel aliam machinam retis tribui, quae per se transeundo mercaturam retis permittit tibi parametros clavos extrahere ex eo, qui deinde ad moduli collectionis traducuntur. Exempli gratia, Cisco protocollum Netflow sustinet non solum in iter et virgas, inclusas virtuales et industriales, sed etiam in wireless moderatoris, igniculis et etiam servientibus.
• Collectio monachi. Cum in retis recentioribus plus quam unam machinam retis habere soleat, quaestio fluit de colligendis et solidandis oritur, quae solvitur utendi, quos vocant, collectores, qui processus receptae fluit et deinde ad analysim transmittunt.
• Fluere analysis Analystor principale munus intellectuale accipit et, variis algorithmis applicans ad rivulos, quasdam conclusiones trahit. Exempli gratia, in parte functionis IT, talis analyser potest analysor retis bottlenecks cognoscere vel profile onus negotiationis resolvere ad ulteriorem network optimiizationem. Et ad securitatem informationem, talis analystor notitias perpluo deprehendere potest, dilatatio codicis malitiosi vel impetus DoS.

Noli putare hanc architecturam trium ordinum nimis perplexam esse - omnia alia bene (nisi forte systemata retis vigilantia cum SNMP et RMON laborantibus) etiam secundum eam operari. Data generantis ad analysim habemus, quae machinam retis vel sensorem solius esse potest. Systema collectionis tumultuatum habemus et systema administrationis infrastructurae vigilantiae totius habemus. Duo postrema in uno nodo coniungi possunt, sed in retiacula plus minusve magna plerumque per duas saltem machinas diffundi solent ut scalabilitas et commendatio in tuto collocetur.

Dissimilis analysi fasciculus, qui innititur in pervestigatione capitis et corporis data cuiusque fasciculi ac sessionum quae constat, analysi fluere nititur in colligendis metadata de retis negotiationis. Quando, quantum, unde et ubi, quomodo... Hae sunt interrogationes telemetriae retis per analysin respondentes variis protocollis fluunt. Initio adhibitae sunt ad analysin statisticam et IT difficultates in retiaculis inveniunt, sed tunc, ut analyticae machinae evolutae sunt, fieri potest eas ad easdem telemetria ad securitatem proposita applicare. Notatu dignum est iterum analysin fluxum non reponere vel fasciculum captas reponere. Unaquaeque harum methodum suam partem applicationis habet. Sed in contextu huius articuli, analysis fluit quae maxime apta est ad substructionem internam vigilantiam. Cogitationes retis habes (sive operantur in paradigma programmate definito sive secundum regulas statas) impetum praeterire non posse. Sensorem classicum IDS praeterire potest, sed fabrica retis quae protocollum fluxum sustinet non potest. Haec utilitas est huius methodi.

E contra, si probationes ad legis necessitatem vel propriam incidentes inquisitionis equos, facere non potes sine fasciculo captis - telemetria retis exemplum non est negotiationis quod ad probationes colligendas adhiberi potest; opus est ad deprehensionem ac decernendorum in campo securitatis notitiarum. E contra, analysi telemetria utens, "scribere" non potes omnia retis negotiatio (si quid, Cisco agit de centris notitiis :-), sed ea tantum quae in oppugnatione versantur. Instrumenta telemetria analysi hac in re perficiet traditionalis fasciculi machinationes bene prehendentes, praecipiens de captivitate ac repositione selectiva. Alioquin infrastructuram colossalem habebis.

Cogitemus retis operantem ad celeritatem 250 Mbit/sec. Si vis totum hoc volumen condere, tunc 31 MB repositionis indigebis pro secunda transmissione negotiationis, 1,8 GB pro uno minuto, 108 GB unius horae, et 2,6 TB pro uno die. Cotidiana notitia ex retis cum bands 10 Gbit/s condere, necesse est 108 TB repositionis. Sed quidam regulatores cautionem datam pro annis requirunt... Ad memoriam repetendam, quae analysin influunt adiuvat efficiendum, adiuvat haec bona per ordines magnitudinis reducere. Obiter si loquimur de ratione voluminis retis memoriae telemetriae notae et notitiae plenariae captionis, tunc est circiter 1 ad 500. Eadem bona supra posita, plenam transcriptionem omnium diurnorum negotiationis erit 5 et 216 GB, respective (vos can etiam recitare in ictu regulari coegi).

Si instrumentorum ad analysin retis rudis data, modus capiendi eadem fere est a venditore ad venditorem, in casu analysi fluxi res alia est. Plures sunt optiones protocolla profluentium, differentiae quarum in contextu securitatis cognoscere debes. Maxime populare est protocollum Netflow a Cisco elaboratum. Plures versiones huius protocolli sunt, discrepantes in suis facultatibus et quantitati negotiationis informationis notatae. Praesens versio nona est (V9 Netflow), ex qua industria vexillum Netflow v10, etiam IPFIX notum, amplificata est. Hodie plurimi venditores retis in apparatu Netflow vel IPFIX sustinent. Sed variae sunt aliae optiones pro fluxu protocolla - sFlow, jFlow, cFlow, rFlow, NetStream, etc., quarum sFlow est maxime popularis. Hoc genus est quod saepissime a fabricatoribus domesticis instrumentorum retis innititur propter suam facilitatem exsecutionis. Quae sunt differentiae cardinis inter Netflow, quae facta est vexillum facto et sfluxus? Pluribus clavis ones lumine volo. Primum, Netflow agros usuario-customizabiles habet ut agris fixis in sFlow oppositi. Secundo, et hoc est principalissimum in nobis, sFlow collectae telemetriae gustatae; contraque simplex pro Netflow et IPFIX. Quid intersit?

Finge te librum velle legere "Securitas Operations Center: Aedificium, Operans, et Servatum tuum SOC" collegarum meorum - Gary McIntyre, Joseph Munitz et Nadem Alfardan (potes partem libri e ligamento extrahere). Habes tres optiones ut finem tuum assequendum - totum librum percurras, percurras in omni pagina 10 vel 20th, vel conare invenire narrationem notionum key in blog vel servitio sicut SmartReading. Ita telemetria insculpta legit omnem "paginam" negotiationis retis, id est, metadatam pro singulis fasciculis dividendo. Sampleta telemetria est studium selectivum negotiationis in spe quae exempla selecta continebunt quod tibi opus est. Secundum canalem celeritatem, telemetria gustata mittetur ad analysin omnem 64th, 200th, 500th, 1000th, 2000 vel etiam 10000 conleci.

In contextu securitatis magnae informationis, hoc significat quod telemetria gustata bene convenit ad deprehendendas DDoS impetus, scandendi et dilatandi codicem malignum, sed falli potest impetus atomicus vel multi-packe qui in sample missi pro analysi non sunt comprehensi. Unsamped telemetria talia incommoda non habet. Cum hoc manifesti impetus multo latius patet. Brevis hic index eventuum est, qui utens instrumenta telemetria analyseos retis deteguntur.

Utique, fons apertus quidam analystor Netflow non sinet te id facere, cum eius praecipuum munus est telemetriam colligere et fundamentalem analysin in eo ex IT parte ducere. Ad cognoscendas minas securitatis notitiarum quae in fluxu fundantur, analysrem variis machinis et algorithmis aptare oportet, quae problemata cybersecuritates in vexillum vel consuetudinem Netflow agrorum innixum cognoscent, ac notitias externas ex variis comminationibus intelligentiae fontibus locupletent, etc.

Ergo, si optio erit, elige Netflow vel IPFIX. Sed etsi instrumentum tuum solum cum sFlow, ut domestici artifices operatur, etiam hoc casu in contextu securitatis prodesse potes.

Aestate MMXIX, facultates quas ferrariae retis Russicae artifices habent et omnes enucleavi, exclusis NSG, Polygonum et Craftway, subsidium sFlow denuntiaverunt (saltem Zelax, Natex, Eltex, QTech, Rusteleteh).

Proxima quaestio facies est ubi ad effectum deducendi subsidium securitatis proposita? Nam non omnino recte quaeritur. Instrumenta moderna fere semper protocolla fluunt sustinet. Quare aliter quaestionem reformare volo - ubi efficacissima est telemetria colligere ex parte securitatis? Responsio satis perspicua erit - in plano accessu, ubi C% omnium negotiationis videbis, ubi singulas informationes de exercituum (MAC, VLAN, interface ID), ubi etiam monitor P100P negotiatio inter exercituum potes, quae Est critica ad intuens deprehendendi et distribuendi malivoli codicem. In gradu medio, non potes videre aliquas negotiationes, sed per ambitum, quartam omnium negotiationis tuae videbis. Sed si aliqua de causa in retis tuis machinas alienas habes, quae oppugnatores "intrare et exire" sine perimetro permittunt, inde telemetria dividens nihil tibi dabit. Ergo, pro maximo coverage, commendatur ut telemetria collectio in accessu gradu possit. Eodem tempore notandum est quod, etiamsi loquimur de virtualizatione vel vasis, subsidia fluunt saepe etiam in virgas virtuales modernas inveniri, quae permittit vos illic quoque negotiationem regere.

Sed quia rem sustuli, quaestioni respondere debeo: quid si instrumentum, physicum vel virtuale, protocolla non suppeditat? An inclusio eius prohibita est (exempli gratia, in segmentis industrialibus ad fidem faciendam)? An in plumbo ad altum CPU onus vertit (hoc in ferramentis vetustioribus accidit)? Ad hanc problema solvendam speciales sunt sensores virtuales ( sensores fluunt ), qui sunt per se dialectici ordinariae , quae per se negotiationem transeunt et eam in modum fluunt ad moduli collectionem . Verum, in hoc casu omnia problemata quae superius locuti sumus in relatione ad instrumenta capiendi fasciculi accipimus. Hoc est, intelligere debes non solum utilitates technologiarum analyseos fluentis, sed etiam limites eius.

Alterum illud, quod commemorari interest, cum instrumenta analyseos fluenta loquuntur. Si in relatione ad medium conventionales securitatis eventus generandi utimur EPS metrica (eventus per secundam), haec indicator non applicatur ad analysin telemetriam; reponitur per FPS (per alterum fluxum). Ut in casu EPS, in antecessum computari non potest, sed aestimare potes proximum numerum sequelarum quas particularis fabrica generat secundum suum munus. Tabulas in Interrete invenire potes cum valoribus approximatis pro diversis rationibus inceptis machinis et condicionibus, quae permittet te aestimare quaenam licentiarum instrumenta analysi indiges et quaenam eorum architectura futura sit? Re vera IDS sensorem limitatur quadam banda quae « trahere » potest, et fluens collector suas habet limitationes intelligendas. Itaque in magnis, retiacula geographica distributa esse solent plures collectores. Cum descriptus quomodo network monitored intus CiscoNumerum collectorum nostrorum iam ex eis sunt XXI, et hoc est retis per quinque continentes dispersos et circiter dimidium decies centena milia machinis activae dinumeratis).

Utimur nostra solutione ut magna ratio Netflow Cisco Stealthwatchquae imprimis in solvendis quaestionibus securitatis notavimus. Multas machinas aedificatas habet ad deprehendendas anomalas, suspectas et clare malignas actiones, quae sinit te deprehendere varias minas amplis - ex cryptominis ad scillam informationem, ex dilatatione malivoli codicis ad fraudem. Sicut plerique analysres fluunt, Stealthwatch secundum tres gradus schematis (generantis - collectoris - analysris aedificatur), sed suppletur pluribus notis interesting quae magni momenti sunt in contextu materiae de qua agitur. Primum, cum fasciculo solutionum captarum integrat (qualis est fasciculus Cisco Securitatis Analyzer), quae te permittit in sessiones retis selectas recordari postea profundiore investigatione et analysi. Secundo, specialiter ad securitatem munerum ampliandam, specialem nvzFlow protocollum enucleavimus, quod tibi permittit "passim" actionem applicationum in nodis ultimis (servatoribus, operibus, etc.) in telemetria ac collectori transmittere ad ulteriorem analysim. Si in versione sua originali Stealthwatch operatur cum quolibet fluxu protocollo (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) in gradu retis, tunc nvzFlow firmamentum data ratione etiam in gradu nodi permittit. augere efficientiam totius systematis et plus impetus videre quam analysres retis conventionales fluere.

Patet cum de analysi Netflow loqueretur ex parte securitatis, mercatum non limitatur ad unam solutionem e Cisco. Tam commerciali quam liberis solutionibus communibus uti potes. Mirum admodum est si exempla in Cisco blog petentes solutiones citare, ideo pauca dicam quomodo telemetria retis utentes duobus popularibus, nominatim similibus, sed tamen diversis instrumentis - SILK et ELK explicari possunt.

Sericum instrumentorum (ratio pro Internet-Level Knowledge) est analysi mercaturae, ab Americano CERT/CC evoluta et quae sustinet in contextu articuli hodierni, Netflow (5th et 9th, versiones populares), IPFIX et sFlow et varias utilitates (rwfilter, rwcount, rwflowpack, etc.) ad varias operationes in retis telemetria exercendas, ut signa ab legitimis actionibus in ea deprehendantur. Sed duo puncta notanda sunt. SILK est instrumentum lineae mandatum quod analysin in linea facit ut hoc mandatum intrando (deprehensio ICMP facis plus quam 200 bytes);

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

non valde commodus. IsiLK GUI uti potes, sed vitam tuam multo faciliorem non faciet, solum munus visualizationis solvendum et analyticum non reposuit. Et hoc est secundum. Solutiones commerciales dissimiles, quae iam habent solidam basim analyticam, detectionem algorithmorum anomalium, profluvium respondentem, etc., in casu SILK, debebis haec omnia facere, quae paulo diversae competentiae a te exigent quam ab usu iam paratae. instrumenta ad usum. Hoc nec bonum nec malum est - hoc enim instrumentum fere liberum est quod tu scis quid faciendum putet, et hoc solum adiuvabit (Mus instrumenta commercialia sunt dependentia a competentiis utentium utentium, quamvis etiam assumant. qui analystae saltem fundamenta investigationum retis ac vigilantiae intelligunt). Sed ad Sericam redeamus. Opus cycli analysti cum hoc spectat:

• Hypothesin formans. Intellegere oportet quid intra telemetriam retis quaeramus, attributa singularia cognosce quibus aliquas anomalias vel minas cognoscemus.
• Exemplar aedificandi. Hypothesin evulgata, programma hoc eodem Pythone, putamine vel aliis instrumentis non inclusa in SILK, utentes.
• Testis. Tempus est ut hypothesis nostrae rectitudinem reprimat, quae confirmatur vel refellitur utendi utilitates SilK incipiens a 'rw', 'set', 'pera'.
• Analysis realium data. In operatione industriae, SILK nos adiuvat ut aliquid cognoscamus et analysta respondeat quaestionibus: "Numquid invenimus quod expectavimus?", "An hoc respondeat hypothesi nostra?", "Quomodo numerus positivorum falsorum minuendus est?", "Quomodo ut amplio gradu agnitionis? et sic porro.
• EMENDATIOR. In ultimo gradu, id quod antea factum est emendamus - exemplaria creamus, codicem emendamus et optimizemus, hypothesin reformulamus ac declaramus, etc.

Hic cyclus etiam Cisco Stealthwatch applicandus erit, unus tantum ultimus horum quinque graduum ad maximum automatarium, numerum errorum analyticorum minuendo et efficientiam incidentis deprehensionis augendo. Exempli gratia, in SiLK retis statisticis locupletare potes cum notitia externa in malitiosis IPs scriptis manu scriptis adhibitis, et in Cisco Stealthwatch est constructum in functione quae statim terrorem prae se fert si commercium network commercium cum IP inscriptionibus e notatione intercedit.

Si altius in "solutionem" pyramis ad programmatum analysin fluens, tum post absolutum sericum liberum erit particeps ELK, tribus componentibus clavibus constans - Elasticsearch (indicem, inquisitionem et analysim datam), Logstash (input/output data ) et Kibana ( Visualization ) . Dissimile SILK, ubi tibi omnia scribenda habes, ELK iam multos bibliothecas/modulas (solutis, nonnullis non) paratas habet, qui analysin telemetria retis automare. Exempli gratia, GeoIP colum in Logstash permittit te ad IP inscriptiones monitores coniungi cum suis locorum situ (Stealthwatch hoc in pluma aedificatum habet).

ELK etiam maiusculas communitas habet quae absentes partes perficit pro hac solutione vigilantia. Exempli gratia, laborare cum Netflow, IPFIX et sFlow modulo uti potes elastiflow "si non contenti sunt Module Logstash Netflow, quod solum Netflow sustinet.

ELK, dum plus efficientiae in colligendis fluxibus et in eo quaerendis dat, nunc dives in analyticis constructus deest ad deprehendendas anomalias et minas in retis telemetria. Hoc est, secundum cyclum vitae supra descriptum, exempla violationis describere independenter debebis et tunc in systemate pugnae uteris (nulla ibi constructa in exemplaribus).

Sunt, utique, extensiones urbanae pro ELK, quae iam nonnulla exempla continent ad detegendas anomalias in retis telemetria, sed huiusmodi extensiones pecunia constant et hic quaeritur an ludus candelae valeat - simile exemplar scribe tibi, eme eius. exsequendam pro instrumento monitorio tuo, vel solutionem paratissimae emite Analysis negotiationis Network classis.

Nolo in genere disputare quod melius est pecuniam expendere et solutionem paratam emere ad vigilantia anomalia et minas in retis telemetria (exempli gratia, Cisco Stealthwatch) vel instar te ipsum et eundem morem exercere. SILK, ELK vel nfdump vel OSU Instrumenta novas minas profluunt (de duobus ultimis eorum loquor. dixit ultimo tempore)? Quisque sibi eligit et quisque suas habet causas ut unamquamque duarum optionum eligant. Modo volui ostendere retis telemetria instrumentum gravissimum esse in curanda retis securitatis infrastructurae internae tuae et illud non debes negligere, ne cum indice societatum coniungas, cuius nomen in instrumentis cum epithetis memoratur". detruncati, "non obsecundantes informationibus securitatis requisitis" ", "non cogitans de securitate notitiarum et emptorum notitiarum eorum".

Summatim, vellem deponere apices clavium quos sequi debes cum securitatis informationis aedificandae magna infrastructura internae tuae:

1. Noli te circumscribere modo perimetri! Utere (et elige) retis infrastructuram non solum ut negotiationem moveat a puncto A ad punctum B, sed etiam ad quaestiones cybersecuritates electronicas.
2. Investigare de notitia securitatis magnae machinae in retis tuis instrumentis exsistentibus et his utere.
3. Nam vigilantia interna, telemetriam analysim praeferre - sinit te deprehendere usque ad 80-90% omnium retis notitiarum securitatem incidentes, dum id quod fieri non potest cum facis retiacula et spatium salvificum ad omnium rerum notitiarum securitatem accommodandas.
4. Ad monitor fluit, utere Netflow v9 vel IPFIX - plura praebent informationes in contextu securitatis et te monitorem non solum IPv4, sed etiam IPv6, MPLS, etc.
5. Protocollo usus incompleto fluxu - plus informationis praebet ad minas deprehendendas. Verbi gratia, Netflow vel IPFIX.
6. Compesce sarcinam in apparatu retis tuo - ne fluxum quoque protocollum tractare possis. Deinde considera usu virtuali sensoriis seu generationis Netflow Appliance.
7. Exsequendam potestatem primum omnium in gradu accessi - hoc tibi dabit copiam omnium negotiationis videndi 100%.
8. Si nullam electionem habes et instrumento retis Russico uteris, elige unum quod protocolla profluentia sustinet vel habet SPAN/RSPAN portus.
9. Miscere intrusionem/oppugnationem detectionis/praeventionis systemata in marginibus et systemata analysis fluunt in retis internis (including in nubibus).

Quod ad extremum attinet, exemplum quod iam ante dedi. Vides si antea ministerium securitatis notitiarum Cisco fere totum suum informationem securitatis vigilantiae systematis aedificavit in ex intrusione systemata et subscriptio modi deprehensio, nunc tantum 20% incidentium rationem habent. Alia XX% cadit in systemata analysin fluenta, quae suggerit has solutiones non esse libidinem, sed instrumentum reale in activitate informationis securitatis operas hodierni incepti. Praeterea, maximi momenti habes ad exsequendam retis infrastructuram, collocationem in qua ulterius muniri potest, assignando functiones magnas securitatis notitiae ad ornatum.

Speciatim non attingo thema respondendi anomaliis vel minis, quae in retis fluit, sed iam manifestum esse puto quod vigilantia non solum cum minarum detectione finire debet. Sequatur responsio et potius in modo latae sententiae vel automated. Sed hoc est argumentum separatum.

Additional Information:

• Description of Cisco IOS Netflow
• Netflow matrix auxilium in variis solutionibus Cisco
• Rector configurans Netflow in variis Cisco Platforms
• sFlow Community
• Lab usura Stealtjwatch, SILK et ELK ad resolvendum Netflow ex prospectu securitatis
• Sericum website
• Trecenta pagina dux exemplorum serico utendi cum talentis
• Logstash Netflow amet
• Cisco GRADATUS Guide ad Netflow Analysis in ELK
• Analysis of NetFlow v.9 Cisco ASA per Logstash (ELK)
• Cisco Stealthwatch SOLUTIO

1545 PS. Si facilius omnia quae supra scripta sunt audies, tunc temporis longam propositionem quae huius notae fundamentum est inspicere potes.

Source: www.habr.com