Flow protocols သည် အတွင်းပိုင်းကွန်ရက်လုံခြုံရေးကို စောင့်ကြည့်ရန် ကိရိယာတစ်ခုဖြစ်သည်။

ဌာနတွင်း ကော်ပိုရိတ် သို့မဟုတ် ဌာနဆိုင်ရာ ကွန်ရက်တစ်ခု၏ လုံခြုံရေးကို စောင့်ကြည့်သည့်အခါ၊ အများအပြားသည် ၎င်းကို သတင်းအချက်အလက် ပေါက်ကြားမှုကို ထိန်းချုပ်ခြင်းနှင့် DLP ဖြေရှင်းချက်များအား အကောင်အထည်ဖော်ခြင်းနှင့် ချိတ်ဆက်ကြသည်။ အကယ်၍ သင်သည် မေးခွန်းကို ရှင်းလင်းရန် ကြိုးစားပြီး အတွင်းကွန်ရက်တွင် တိုက်ခိုက်မှုများကို သင်မည်ကဲ့သို့ သိရှိကြောင်း မေးပါက၊ အဖြေသည် အများအားဖြင့် ကျူးကျော်ဝင်ရောက်မှု ထောက်လှမ်းခြင်းစနစ်များ (IDS) ကို ဖော်ပြခြင်းဖြစ်လိမ့်မည်။ လွန်ခဲ့သော 10-20 နှစ်များက တစ်ခုတည်းသော ရွေးချယ်ခွင့်က ယနေ့ခေတ်တွင် နစ်မွန်းမှုဖြစ်လာသည်။ ပိုမိုထိရောက်မှုရှိပြီး အချို့နေရာများတွင် ကွန်ရက်ပြဿနာများကို ရှာဖွေရန် မူလက ဒီဇိုင်းထုတ်ထားသည့် flow protocols များကို အသုံးပြု၍ အတွင်းပိုင်းကွန်ရက်ကို စောင့်ကြည့်ရန် ဖြစ်နိုင်ချေရှိသော တစ်ခုတည်းသော ရွေးချယ်မှုဖြစ်သော်လည်း အချိန်ကြာလာသည်နှင့်အမျှ အလွန်စိတ်ဝင်စားဖွယ်ကောင်းသော လုံခြုံရေးကိရိယာအဖြစ် ပြောင်းလဲသွားသည်။ အဲဒီမှာ ဘယ်လို flow protocols တွေရှိလဲ၊ ဘယ်ဟာက network attacks တွေကို ပိုကောင်းလဲ၊ flow monitoring ကိုအကောင်အထည်ဖေါ်တဲ့နေရာမှာ အကောင်းဆုံးက ဘယ်ကကောင်းလဲ၊ ဒီလိုအစီအစဥ်ကိုအသုံးပြုတဲ့အခါ ဘာကိုရှာရမလဲ၊ အိမ်တွင်းစက်ကိရိယာတွေပေါ်မှာ ဒါတွေအားလုံးကို ဘယ်လို "ရုတ်သိမ်းမလဲ" ဆိုတာကို ဆွေးနွေးသွားမှာပါ။ ဤဆောင်းပါး၏နယ်ပယ်အတွင်း။

“ပြည်တွင်းအခြေခံအဆောက်အအုံလုံခြုံရေးကို အဘယ်ကြောင့်စောင့်ကြည့်စစ်ဆေးရန် လိုအပ်သနည်း” ဟူသောမေးခွန်းကို ကျွန်ုပ်မဖြေရှင်းပါ။ အဖြေကရှင်းနေပုံရတယ်။ ဒါပေမယ့် ဘယ်လိုပဲဖြစ်ဖြစ် ဒီနေ့ မင်းမရှိရင် မင်းမနေနိုင်ဘူးဆိုတာ သေချာအောင် ထပ်ပြီး လိုချင်ရင်၊ ကြည့်ပါ ဦး Firewall ဖြင့် ကာကွယ်ထားသော ကော်ပိုရိတ်ကွန်ရက်ကို နည်းလမ်း 17 ခုဖြင့် မည်ကဲ့သို့ ထိုးဖောက်နိုင်ပုံအကြောင်း ဗီဒီယိုအတို။ ထို့ကြောင့် ဌာနတွင်း စောင့်ကြည့်စစ်ဆေးခြင်းသည် လိုအပ်သည့်အရာဖြစ်သည်ကို ကျွန်ုပ်တို့ နားလည်သဘောပေါက်ပြီး ကျန်အရာအားလုံးမှာ ၎င်းကို မည်သို့ဖွဲ့စည်းနိုင်သည်ကို နားလည်ရန်ဖြစ်သည်ဟု ကျွန်ုပ်တို့ ယူဆပါသည်။

ကွန်ရက်အဆင့်တွင် အခြေခံအဆောက်အအုံများကို စောင့်ကြည့်ခြင်းအတွက် အဓိကဒေတာရင်းမြစ်သုံးခုကို ကျွန်ုပ်ဖော်ပြပါမည်-

• အချို့သော ခွဲခြမ်းစိတ်ဖြာမှုစနစ်များသို့ ကျွန်ုပ်တို့ ဖမ်းယူ၍ ခွဲခြမ်းစိတ်ဖြာရန်အတွက် တင်ပြသော "ကုန်ကြမ်း" အသွားအလာ၊
• အသွားအလာ ဖြတ်သန်းသော ကွန်ရက် စက်ပစ္စည်းများမှ အဖြစ်အပျက်များ၊
• စီးဆင်းမှု ပရိုတိုကောများထဲမှ တစ်ခုမှတစ်ဆင့် ရရှိသော လမ်းကြောင်းအချက်အလက်။

အကြမ်းထည် အသွားအလာကို ဖမ်းယူခြင်းသည် လုံခြုံရေး အထူးကျွမ်းကျင်သူများကြားတွင် ရေပန်းအစားဆုံး ရွေးချယ်မှုဖြစ်ပြီး၊ ၎င်းသည် သမိုင်းတွင် ပေါ်ထွန်းခဲ့ပြီး ပထမဆုံးဖြစ်ခြင်းကြောင့် ဖြစ်သည်။ သမားရိုးကျ ကွန်ရက်ကျူးကျော်မှု ထောက်လှမ်းခြင်းစနစ်များ (ပထမဆုံး စီးပွားဖြစ် ကျူးကျော်ဝင်ရောက်မှု ထောက်လှမ်းမှုစနစ်မှာ Cisco မှ 1998 ခုနှစ်တွင် ဝယ်ယူခဲ့သည့် Wheel Group မှ NetRanger) သည် ပက်ကတ်များဖမ်းယူခြင်း (နှင့် နောက်ပိုင်းအစည်းအဝေးများ) တွင် တိကျစွာပါဝင်နေပြီး အချို့သော လက်မှတ်များကို ရှာဖွေခဲ့သည် ("အဆုံးအဖြတ်စည်းမျဉ်းများ" FSTEC ဝေါဟာရများ)၊ အချက်ပြတိုက်ခိုက်မှုများ။ ဟုတ်ပါတယ်၊ သင်သည် IDS ကိုအသုံးပြုရုံသာမက အခြားကိရိယာများ (ဥပမာ၊ Wireshark၊ tcpdum သို့မဟုတ် NBAR2 လုပ်ဆောင်ချက်ကို Cisco IOS တွင်) အသုံးပြု၍ ကုန်ကြမ်းအသွားအလာကို ပိုင်းခြားစိတ်ဖြာနိုင်သော်လည်း ၎င်းတို့သည် ပုံမှန်အချက်အလက်များနှင့် လုံခြုံရေးကိရိယာကို ခွဲခြားနိုင်သော အသိပညာအခြေခံမရှိတတ်ပါ။ အိုင်တီကိရိယာ။

ဒီတော့ တိုက်ခိုက်မှုကို ထောက်လှမ်းတဲ့ စနစ်တွေ ရှိတယ်။ ပတ်၀န်းကျင်တွင် ကောင်းမွန်စွာ လုပ်ဆောင်နိုင်သည့် ရှေးအကျဆုံးနှင့် အကျော်ကြားဆုံးနည်းလမ်း (ကော်ပိုရိတ်၊ ဒေတာစင်တာ၊ အပိုင်းစသည်ဖြင့်)၊ သို့သော် ခေတ်သစ်ပြောင်းထားသော ဆော့ဖ်ဝဲလ်သတ်မှတ်ထားသော ကွန်ရက်များတွင် အဆင်မပြေပါ။ သမားရိုးကျ ခလုတ်များကို အခြေခံ၍ တည်ဆောက်ထားသော ကွန်ရက်တစ်ခုတွင်၊ တိုက်ခိုက်မှု ထောက်လှမ်းခြင်းဆိုင်ရာ အာရုံခံကိရိယာများ၏ အခြေခံအဆောက်အအုံသည် ကြီးလွန်းသည် - သင်သည် တိုက်ခိုက်မှုများကို စောင့်ကြည့်စစ်ဆေးလိုသည့် node တစ်ခုစီတွင် အာရုံခံကိရိယာတစ်ခုကို တပ်ဆင်ရမည်ဖြစ်ပါသည်။ မည်သည့် ထုတ်လုပ်သူမဆို သင့်အား အာရုံခံကိရိယာ ရာနှင့်ချီ၍ ရောင်းချရသည်ကို ကျေနပ်သော်လည်း သင့်ဘတ်ဂျက်သည် ထိုကဲ့သို့သော အသုံးစရိတ်များကို မထောက်ပံ့နိုင်ဟု ကျွန်ုပ်ထင်ပါတယ်။ Cisco တွင် (ကျွန်ုပ်တို့သည် NGIPS ၏ developer များဖြစ်သည်) ပင်လျှင် ဈေးနှုန်းပြဿနာသည် ကျွန်ုပ်တို့ရှေ့တွင် ရှိနေသည်ဟု ထင်ရသော်လည်း၊ မနေသင့်ဘူး - အဲဒါ ငါတို့ရဲ့ ဆုံးဖြတ်ချက်ပဲ။ ထို့အပြင်၊ ဤဗားရှင်းတွင်အာရုံခံကိရိယာကိုမည်သို့ချိတ်ဆက်ရမည်နည်း။ ကွက်လပ်သို့? အာရုံခံကိရိယာကိုယ်တိုင်က ပျက်သွားရင် ဘယ်လိုလုပ်မလဲ။ အာရုံခံကိရိယာရှိ ရှောင်ကွင်း module တစ်ခု လိုအပ်ပါသလား။ ခွဲခြမ်းများကို အသုံးပြုပါ (ထိပုတ်ပါ)။ ဤအရာအားလုံးသည် ဖြေရှင်းချက်အား ပိုမိုစျေးကြီးစေပြီး အရွယ်အစားရှိသည့် ကုမ္ပဏီတစ်ခုအတွက် မတတ်နိုင်စေသည်။

သင်သည် SPAN/RSPAN/ERSPAN ပို့တ်တွင် အာရုံခံကိရိယာကို “ဆွဲထား” ရန် ကြိုးစားနိုင်ပြီး လိုအပ်သော ခလုတ်အပေါက်များမှ ၎င်းထံသို့ လမ်းကြောင်းကို ညွှန်ပြနိုင်သည်။ ဤရွေးချယ်မှုသည် ယခင်စာပိုဒ်တွင်ဖော်ပြထားသည့်ပြဿနာကို တစ်စိတ်တစ်ပိုင်းဖယ်ရှားပေးသော်လည်း အခြားတစ်ခုပေါ်လာသည် - SPAN ပို့တ်သည် ၎င်းထံပေးပို့မည့်အသွားအလာအားလုံးကို လုံးဝလက်မခံနိုင်ပါ - ၎င်းတွင် လုံလောက်သော bandwidth ရှိမည်မဟုတ်ပါ။ တစ်ခုခုကို စတေးရလိမ့်မယ်။ စောင့်ကြည့်ခြင်းမရှိဘဲ အချို့သော node များကို ချန်ထားခဲ့သည် (ထို့နောက် ၎င်းတို့ကို ဦးစွာ ဦးစားပေးရန် လိုအပ်သည်) သို့မဟုတ် node မှ traffic အားလုံးကို မပို့ဘဲ အချို့သော အမျိုးအစားတစ်ခုသာ ဖြစ်သည်။ မည်သို့ပင်ဆိုစေ၊ ကျွန်ုပ်တို့သည် အချို့သော တိုက်ခိုက်မှုများကို လွတ်သွားနိုင်ပါသည်။ ထို့အပြင် SPAN port ကို အခြားလိုအပ်ချက်များအတွက် အသုံးပြုနိုင်ပါသည်။ ရလဒ်အနေဖြင့်၊ ကျွန်ုပ်တို့သည် ရှိပြီးသားကွန်ရက် topology ကို ပြန်လည်သုံးသပ်ပြီး သင့်ကွန်ရက်ကို သင့်တွင်ရှိသော အာရုံခံကိရိယာ အရေအတွက်ဖြင့် အများဆုံးလွှမ်းခြုံနိုင်ရန် (၎င်းကို IT နှင့် ညှိနှိုင်းရန်) ဖြစ်နိုင်ခြေရှိသော ပြုပြင်ပြောင်းလဲမှုများ ပြုလုပ်ရမည်ဖြစ်ပါသည်။

သင့်ကွန်ရက်သည် အချိုးမညီသောလမ်းကြောင်းများကို အသုံးပြုပါက မည်သို့ဖြစ်မည်နည်း။ အကယ်၍ သင်သည် SDN ကို အကောင်အထည် ဖော်ခဲ့ပါက သို့မဟုတ် SDN ကို အကောင်အထည်ဖော်ရန် စီစဉ်နေပါက မည်သို့ဖြစ်မည်နည်း။ ရုပ်ပိုင်းဆိုင်ရာ ခလုတ်ကို လုံးဝမရောက်ရှိနိုင်သော လမ်းကြောင်းသည် virtualized စက်များ သို့မဟုတ် ကွန်တိန်နာများကို စောင့်ကြည့်ရန် လိုအပ်ပါက အဘယ်နည်း။ ဤမေးခွန်းများသည် ရိုးရာ IDS ရောင်းချသူများသည် ၎င်းတို့ကို မည်သို့ဖြေရမည်ကို မသိသောကြောင့် မကြိုက်ကြသည့် မေးခွန်းများဖြစ်သည်။ ဤဖက်ရှင်နည်းပညာများအားလုံးကို ဖောင်းပွနေပြီး သင်မလိုအပ်ကြောင်း ၎င်းတို့က သင့်ကို ဆွဲဆောင်နိုင်မည်ဖြစ်သည်။ အသေးအမွှားစတင်ရန် လိုအပ်ခြင်းအကြောင်း ပြောဆိုကြပေမည်။ သို့မဟုတ်ပါက သင်သည် ကွန်ရက်၏ အလယ်ဗဟိုတွင် အားကောင်းသော ခြွေလှေ့စက်ကို ချထားရန်နှင့် ချိန်ခွင်လျှာကို အသုံးပြု၍ လမ်းကြောင်းအားလုံးကို ညွှန်ပြရန် လိုအပ်သည်ဟု ၎င်းတို့က ပြောကောင်းပြောနိုင်ပေမည်။ သင့်အား မည်သည့်ရွေးချယ်ခွင့်ကို ပေးသည်ဖြစ်စေ ၎င်းသည် သင့်အတွက် မည်ကဲ့သို့ သင့်လျော်ကြောင်း ရှင်းလင်းစွာ နားလည်ရန် လိုအပ်ပါသည်။ ထို့နောက်မှသာ ကွန်ရက်အခြေခံအဆောက်အအုံ၏ သတင်းအချက်အလက်လုံခြုံရေးကို စောင့်ကြည့်လေ့လာရန် ချဉ်းကပ်မှုရွေးချယ်ခြင်းအတွက် ဆုံးဖြတ်ချက်ချပါ။ ပက်ကက်ဖမ်းခြင်းသို့ ပြန်သွားရန်၊ ဤနည်းလမ်းသည် အလွန်ရေပန်းစားပြီး အရေးပါနေသေးသည်ဟု ဆိုချင်သော်လည်း ၎င်း၏ အဓိကရည်ရွယ်ချက်မှာ နယ်စပ်ထိန်းချုပ်ရေးဖြစ်သည်။ သင့်အဖွဲ့အစည်းနှင့်အင်တာနက်ကြားနယ်နိမိတ်များ၊ ဒေတာစင်တာနှင့်အခြားကွန်ရက်ကြားနယ်နိမိတ်များ၊ လုပ်ငန်းစဉ်ထိန်းချုပ်မှုစနစ်နှင့် ကော်ပိုရိတ်အပိုင်းများကြား နယ်နိမိတ်များ။ ဤနေရာများတွင်၊ ဂန္ထဝင် IDS/IPS သည် တည်ရှိပြီး ၎င်းတို့၏တာဝန်များကို ကောင်းမွန်စွာကိုင်တွယ်ဖြေရှင်းပိုင်ခွင့်ရှိသည်။

ဒုတိယရွေးချယ်မှုသို့ ဆက်သွားကြပါစို့။ ကွန်ရက်စက်ပစ္စည်းများမှလာသော ဖြစ်ရပ်များကို ခွဲခြမ်းစိတ်ဖြာခြင်းကိုလည်း တိုက်ခိုက်မှုကို ထောက်လှမ်းရန် ရည်ရွယ်ချက်များအတွက်လည်း အသုံးပြုနိုင်ပြီး ကျူးကျော်ဝင်ရောက်မှု အမျိုးအစားအနည်းငယ်ကိုသာ ထောက်လှမ်းနိုင်သောကြောင့် ၎င်းသည် အဓိကယန္တရားအဖြစ် မဟုတ်ပါ။ ထို့အပြင်၊ ၎င်းသည် အချို့သော တုံ့ပြန်မှုတွင် မွေးရာပါဖြစ်သည် - တိုက်ခိုက်မှုသည် ပထမဦးစွာ ဖြစ်ပွားရမည်၊ ထို့နောက် သတင်းအချက်အလက် လုံခြုံရေးဆိုင်ရာ ပြဿနာကို တစ်နည်းမဟုတ်တစ်နည်းဖြင့် အချက်ပြပေးမည့် ကွန်ရက်စက်ပစ္စည်းတစ်ခုမှ မှတ်တမ်းတင်ရမည်ဖြစ်သည်။ ထိုသို့သောနည်းလမ်းများစွာရှိသည်။ ၎င်းသည် syslog၊ RMON သို့မဟုတ် SNMP ဖြစ်နိုင်သည်။ RMON နှင့် SNMP ကိုအသုံးပြုထားသောကြောင့် ကွန်ရက်စက်ပစ္စည်းပေါ်ရှိ DoS တိုက်ခိုက်မှုကို ကျွန်ုပ်တို့သိရှိရန် လိုအပ်မှသာ ကွန်ရက်စောင့်ကြည့်ခြင်းအတွက် နောက်ဆုံးပရိုတိုကောနှစ်ခုကို အသုံးပြုထားသည်၊ ဥပမာ၊ စက်၏ဗဟိုတွင် ဝန်ကိုစောင့်ကြည့်ရန် ဖြစ်နိုင်သည်။ ပရိုဆက်ဆာ သို့မဟုတ် ၎င်း၏ မျက်နှာပြင်များ။ ၎င်းသည် "စျေးအသက်သာဆုံး" များထဲမှတစ်ခုဖြစ်သည် (လူတိုင်းတွင် syslog သို့မဟုတ် SNMP ရှိသည်)၊ သို့သော် အတွင်းပိုင်းအခြေခံအဆောက်အအုံများ၏ သတင်းအချက်အလက်လုံခြုံရေးကို စောင့်ကြည့်သည့်နည်းလမ်းအားလုံး၏ အထိရောက်ဆုံးလည်းဖြစ်သည် - တိုက်ခိုက်မှုများစွာကို ၎င်းမှကွယ်ဝှက်ထားသည်။ ဟုတ်ပါတယ်၊ ၎င်းတို့ကို လျစ်လျူမရှုသင့်ပါ၊ တူညီသော syslog ခွဲခြမ်းစိတ်ဖြာခြင်းသည် သင့်အား စက်၏ဖွဲ့စည်းပုံဖွဲ့စည်းပုံတွင် ပြောင်းလဲမှုများ၊ ၎င်းကို အပေးအယူလုပ်ခြင်းတို့ကို အချိန်နှင့်တစ်ပြေးညီသိရှိနိုင်စေရန် ကူညီပေးသည်၊ သို့သော် ၎င်းသည် ကွန်ရက်တစ်ခုလုံးပေါ်ရှိတိုက်ခိုက်မှုများကို ရှာဖွေရန်အတွက် အလွန်သင့်လျော်မည်မဟုတ်ပေ။

တတိယရွေးချယ်မှုမှာ flow protocol အများအပြားထဲမှ တစ်ခုကို ပံ့ပိုးပေးသည့် စက်ပစ္စည်းတစ်ခုမှတစ်ဆင့် ဖြတ်သန်းသွားသည့် လမ်းကြောင်းဆိုင်ရာ အချက်အလက်များကို ခွဲခြမ်းစိတ်ဖြာရန်ဖြစ်သည်။ ဤကိစ္စတွင်၊ ပရိုတိုကော မည်သို့ပင်ရှိစေကာမူ၊ threading အခြေခံအဆောက်အအုံတွင် လိုအပ်သောအစိတ်အပိုင်းသုံးခုပါဝင်သည်-

• မျိုးဆက် သို့မဟုတ် စီးဆင်းမှု တင်ပို့ခြင်း။ ဤအခန်းကဏ္ဍကို အများအားဖြင့် router၊ switch သို့မဟုတ် အခြားသော network device တစ်ခုတွင် တာဝန်ပေးအပ်ထားပြီး၊ ၎င်းသည် ကွန်ရက်အသွားအလာကို သူ့အလိုလိုဖြတ်သန်းခြင်းဖြင့် ၎င်းမှ key parameters များကို ထုတ်ယူနိုင်ပြီး၊ ထို့နောက် collection module သို့ ပို့လွှတ်မည်ဖြစ်သည်။ ဥပမာအားဖြင့်၊ Cisco သည် Netflow protocol ကို virtual နှင့် industrial များအပါအဝင် routers များနှင့် switches များတွင်သာမက wireless controllers၊ firewalls နှင့် servers များတွင်လည်း ပံ့ပိုးပေးပါသည်။
• စုစည်းစီးဆင်းမှု။ ခေတ်မီကွန်ရက်တစ်ခုတွင် အများအားဖြင့် ကွန်ရက်ကိရိယာတစ်ခုထက်မကရှိသည်ကို ထည့်သွင်းစဉ်းစားပါက၊ လက်ခံရရှိသည့် စီးဆင်းမှုများကို ခွဲခြမ်းစိတ်ဖြာရန်အတွက် ပို့လွှတ်ခြင်းဟုခေါ်သော စုဆောင်းသူဟုခေါ်သော စုဆောင်းခြင်းဆိုင်ရာ ပြဿနာကို စုဆောင်းခြင်းနှင့် စုစည်းခြင်းဆိုင်ရာ ပြဿနာဖြစ်ပေါ်လာပါသည်။
• စီးဆင်းမှုဖြာ ခွဲခြမ်းစိတ်ဖြာသူသည် ပင်မဉာဏ်ရည်ဉာဏ်သွေးလုပ်ငန်းကို လုပ်ဆောင်ပြီး အမျိုးမျိုးသော အယ်လဂိုရီသမ်များကို တိုက်ရိုက်ထုတ်လွှင့်မှုတွင် အသုံးပြုကာ အချို့သော ကောက်ချက်ဆွဲသည်။ ဥပမာအားဖြင့်၊ IT လုပ်ဆောင်ချက်၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့်၊ ထိုကဲ့သို့သော ခွဲခြမ်းစိတ်ဖြာသူသည် ကွန်ရက်ပိတ်ဆို့မှုများကို ခွဲခြားသတ်မှတ်နိုင်သည် သို့မဟုတ် ကွန်ရက်ပိုကောင်းအောင်ပြုလုပ်ရန်အတွက် traffic load ပရိုဖိုင်ကို ပိုင်းခြားစိတ်ဖြာနိုင်သည်။ သတင်းအချက်အလက်လုံခြုံရေးအတွက်၊ ထိုသို့သောခွဲခြမ်းစိတ်ဖြာသူသည် ဒေတာပေါက်ကြားမှု၊ အန္တရာယ်ရှိသောကုဒ်များပျံ့နှံ့မှု သို့မဟုတ် DoS တိုက်ခိုက်မှုများကို သိရှိနိုင်သည်။

ဤသုံးဆင့်ဗိသုကာလက်ရာသည် ရှုပ်ထွေးလွန်းသည်ဟု မထင်လိုက်ပါနှင့် - အခြားရွေးချယ်စရာများ (SNMP နှင့် RMON နှင့် အလုပ်လုပ်သော ကွန်ရက်စောင့်ကြည့်ရေးစနစ်များမှလွဲ၍) သည်လည်း ၎င်းနှင့်အညီ လုပ်ဆောင်သည်။ ကျွန်ုပ်တို့တွင် ကွန်ရက်ကိရိယာ သို့မဟုတ် သီးသန့်အာရုံခံကိရိယာ ဖြစ်နိုင်သည့် ခွဲခြမ်းစိတ်ဖြာမှုအတွက် ဒေတာဂျင်နရေတာတစ်ခုရှိသည်။ ကျွန်ုပ်တို့တွင် စောင့်ကြည့်ရေးအခြေခံအဆောက်အအုံတစ်ခုလုံးအတွက် နှိုးစက်စုဆောင်းမှုစနစ်နှင့် စီမံခန့်ခွဲမှုစနစ်တစ်ခုရှိသည်။ နောက်ဆုံး အစိတ်အပိုင်းနှစ်ခုကို node တစ်ခုတည်းတွင် ပေါင်းစပ်နိုင်သော်လည်း အနည်းနှင့်အများ ကြီးမားသောကွန်ရက်များတွင် ၎င်းတို့ကို အတိုင်းအတာနှင့် ယုံကြည်စိတ်ချရမှုသေချာစေရန်အတွက် ၎င်းတို့ကို အနည်းဆုံး စက်ပစ္စည်းနှစ်ခုတွင် ဖြန့်ကျက်ထားလေ့ရှိသည်။

ပက်ကတ်တစ်ခုစီ၏ ခေါင်းစီးနှင့် ကိုယ်ထည်ဒေတာကို လေ့လာပြီး ၎င်းတွင်ပါရှိသော ဆက်ရှင်များပေါ်တွင် အခြေခံထားသည့် ပက်ကတ်ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် မတူဘဲ၊ စီးဆင်းမှုခွဲခြမ်းစိတ်ဖြာမှုသည် ကွန်ရက်အသွားအလာနှင့်ပတ်သက်သည့် မက်တာဒေတာစုဆောင်းခြင်းအပေါ် မူတည်သည်။ ဘယ်အချိန်၊ ဘယ်လောက်၊ ဘယ်နေရာကနေ ဘယ်လို... ဒါတွေဟာ အမျိုးမျိုးသော flow protocols တွေသုံးပြီး network telemetry ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် ဖြေတဲ့မေးခွန်းတွေပါ။ အစပိုင်းတွင် ၎င်းတို့အား စာရင်းဇယားခွဲခြမ်းစိတ်ဖြာရန်နှင့် ကွန်ရက်ပေါ်ရှိ အိုင်တီပြဿနာများကို ရှာဖွေရန်အသုံးပြုခဲ့သော်လည်း နောက်ပိုင်းတွင် ခွဲခြမ်းစိတ်ဖြာမှုယန္တရားများ ဖွံ့ဖြိုးလာသည်နှင့်အမျှ ၎င်းတို့အား လုံခြုံရေးရည်ရွယ်ချက်များအတွက် တူညီသော telemetry တွင် အသုံးချနိုင်ခဲ့သည်။ flow analysis သည် packet capture ကို အစားထိုးခြင်း သို့မဟုတ် အစားထိုးခြင်းမဟုတ်ကြောင်း ထပ်မံသတိပြုသင့်ပါသည်။ ဤနည်းလမ်းများတစ်ခုစီတွင်၎င်း၏ကိုယ်ပိုင်အသုံးချဧရိယာရှိသည်။ သို့သော် ဤဆောင်းပါး၏ ဆက်စပ်မှုတွင်၊ ၎င်းသည် အတွင်းပိုင်းအခြေခံအဆောက်အအုံများကို စောင့်ကြည့်ရန် အသင့်တော်ဆုံးဖြစ်သည့် flow analysis ဖြစ်သည်။ သင့်တွင် တိုက်ခိုက်မှုတစ်ခုအား ကျော်ဖြတ်၍မရသော ကွန်ရက်စက်ပစ္စည်းများ (ဆော့ဖ်ဝဲလ်သတ်မှတ်ထားသော ပါရာဒိုင်းတစ်ခုတွင် သို့မဟုတ် ပုံသေစည်းမျဉ်းများအတိုင်း လုပ်ဆောင်သည်ဖြစ်စေ) ။ ၎င်းသည် ဂန္ထဝင် IDS အာရုံခံကိရိယာကို ကျော်ဖြတ်နိုင်သော်လည်း flow protocol ကို ပံ့ပိုးပေးသည့် ကွန်ရက်စက်ပစ္စည်းသည် မရနိုင်ပါ။ ဒါက ဒီနည်းလမ်းရဲ့ အားသာချက်ပါ။

အခြားတစ်ဖက်တွင်၊ သင်သည် တရားဥပဒေစိုးမိုးရေးအတွက် အထောက်အထားများ လိုအပ်ပါက သို့မဟုတ် သင့်ကိုယ်ပိုင် အဖြစ်အပျက် စုံစမ်းစစ်ဆေးရေးအဖွဲ့အတွက် ပက်ကတ်ဖမ်းခြင်းမရှိဘဲ သင်လုပ်ဆောင်နိုင်မည် မဟုတ်ပေ။ သတင်းအချက်အလက်လုံခြုံရေးနယ်ပယ်တွင် လျင်မြန်စွာသိရှိနိုင်မှုနှင့် ဆုံးဖြတ်ချက်ချရန်အတွက် လိုအပ်ပါသည်။ တစ်ဖက်တွင်၊ တယ်လီမီတာခွဲခြမ်းစိတ်ဖြာမှုကို အသုံးပြု၍ သင်သည် ကွန်ရက်အသွားအလာအားလုံးကို “ရေး” နိုင်သည် (တစ်စုံတစ်ခုလျှင် Cisco သည် ဒေတာစင်တာများနှင့် ပတ်သက်သည် :-)၊ သို့သော် တိုက်ခိုက်မှုတွင် ပါ၀င်သည့်အရာများသာဖြစ်သည်။ ဤကိစ္စတွင် Telemetry ခွဲခြမ်းစိတ်ဖြာခြင်းကိရိယာများသည် သမားရိုးကျ packet ဖမ်းယူမှု ယန္တရားများကို ကောင်းစွာ ဖြည့်စွက်ပေးမည်ဖြစ်ပြီး ရွေးချယ်မှု ဖမ်းယူခြင်းနှင့် သိမ်းဆည်းခြင်းအတွက် အမိန့်များပေးသည်။ မဟုတ်ပါက သင့်တွင် ကြီးမားသော သိုလှောင်မှု အခြေခံအဆောက်အအုံတစ်ခု ရှိရပါမည်။

အမြန်နှုန်း 250 Mbit/sec ဖြင့် လုပ်ဆောင်နေသော ကွန်ရက်တစ်ခုကို စိတ်ကူးကြည့်ကြပါစို့။ ဤအသံအတိုးအကျယ်အားလုံးကို သိမ်းဆည်းလိုပါက တစ်စက္ကန့်အတွက် သိုလှောင်မှု 31 MB၊ တစ်မိနစ်အတွက် 1,8 GB၊ တစ်နာရီအတွက် 108 GB နှင့် တစ်ရက်အတွက် 2,6 TB လိုအပ်မည်ဖြစ်သည်။ Bandwidth 10 Gbit/s ရှိသော ကွန်ရက်တစ်ခုမှ နေ့စဉ်ဒေတာကို သိမ်းဆည်းရန်၊ သိုလှောင်မှု 108 TB လိုအပ်မည်ဖြစ်သည်။ သို့သော် အချို့သော ထိန်းကျောင်းသူများသည် လုံခြုံရေးဒေတာကို နှစ်ပေါင်းများစွာ သိမ်းဆည်းရန် လိုအပ်ပါသည်။... လိုအပ်သလောက် မှတ်တမ်းတင်ခြင်း၊ စီးဆင်းမှု ခွဲခြမ်းစိတ်ဖြာခြင်းသည် သင့်အား အကောင်အထည်ဖေါ်ရာတွင် အထောက်အကူဖြစ်စေသော ပမာဏ၏ အတိုင်းအတာဖြင့် ဤတန်ဖိုးများကို လျှော့ချပေးပါသည်။ စကားမစပ်၊ ကျွန်ုပ်တို့သည် မှတ်တမ်းတင်ထားသော ကွန်ရက်တယ်လီမီတာဒေတာနှင့် ပြီးပြည့်စုံသောဒေတာဖမ်းယူမှု၏ ပမာဏအချိုးကို ပြောဆိုပါက၊ ၎င်းသည် ခန့်မှန်းခြေအားဖြင့် 1 မှ 500 ဖြစ်သည်။ အထက်တွင်ပေးခဲ့သော တူညီသောတန်ဖိုးများအတွက် နေ့စဉ်အသွားအလာအားလုံး၏ မှတ်တမ်းအပြည့်အစုံကို သိမ်းဆည်းခြင်း၊ 5 နှင့် 216 GB အသီးသီးရှိလိမ့်မည် (၎င်းကိုပုံမှန် flash drive တွင်ပင်မှတ်တမ်းတင်နိုင်သည်။

ကုန်ကြမ်းကွန်ရက်ဒေတာကို ခွဲခြမ်းစိတ်ဖြာရန် ကိရိယာများအတွက်၊ ရောင်းချသူမှ ရောင်းချသူသို့ ဖမ်းယူသည့်နည်းလမ်းသည် နီးပါးတူညီပါက၊ စီးဆင်းမှုခွဲခြမ်းစိတ်ဖြာမှုတွင် အခြေအနေသည် ကွဲပြားသည်။ စီးဆင်းမှုပရိုတိုကောများအတွက် ရွေးချယ်စရာများစွာရှိပြီး၊ လုံခြုံရေးအခြေအနေတွင် သင်သိရန်လိုအပ်သည့် ကွဲပြားမှုများရှိသည်။ လူကြိုက်အများဆုံးမှာ Cisco မှ ဖန်တီးထားသော Netflow protocol ဖြစ်သည်။ ဤပရိုတိုကော၏ ဗားရှင်းများစွာ ရှိပြီး ၎င်းတို့၏ စွမ်းဆောင်ရည်များနှင့် မှတ်တမ်းတင်ထားသော ယာဉ်ကြောအသွားအလာ ပမာဏ ကွဲပြားပါသည်။ လက်ရှိဗားရှင်းသည် IPFIX ဟုလည်းသိကြသော စက်မှုလုပ်ငန်းစံနှုန်း Netflow v9 ကို အခြေခံ၍ ကိုးခုမြောက် (Netflow v10) ဖြစ်သည်။ ယနေ့တွင်၊ ကွန်ရက်ရောင်းချသူအများစုသည် ၎င်းတို့၏စက်ပစ္စည်းများတွင် Netflow သို့မဟုတ် IPFIX ကို ပံ့ပိုးပေးသည်။ သို့သော် sFlow သည် ရေပန်းအစားဆုံးဖြစ်သည့် sFlow၊ jFlow၊ cFlow၊ rFlow၊ NetStream စသည်တို့အတွက် အခြားရွေးချယ်စရာများစွာရှိပါသည်။ ၎င်းသည် အကောင်အထည်ဖော်ရန် လွယ်ကူခြင်းကြောင့် ကွန်ရက်စက်ပစ္စည်းများ၏ ပြည်တွင်းထုတ်လုပ်သူများမှ ပံ့ပိုးပေးလေ့ရှိသော ဤအမျိုးအစားဖြစ်သည်။ အမှန်အတိုင်း စံဖြစ်လာသော Netflow နှင့် sFlow အကြား အဓိက ကွာခြားချက်များကား အဘယ်နည်း။ အဓိကအချက် တော်တော်များများကို ပေါ်လွင်စေမယ်။ ပထမ၊ Netflow တွင် sFlow ရှိ ပုံသေအကွက်များနှင့် ဆန့်ကျင်ဘက်အဖြစ် အသုံးပြုသူစိတ်ကြိုက်ပြင်ဆင်နိုင်သော အကွက်များရှိသည်။ ဒုတိယအနေနှင့်၊ ဤအရာသည် ကျွန်ုပ်တို့၏ကိစ္စတွင် အရေးကြီးဆုံးဖြစ်သည်၊ sFlow သည် နမူနာယူထားသော တယ်လီမီတာကို စုဆောင်းသည်။ Netflow နှင့် IPFIX အတွက်နမူနာမပါသောတစ်ခုနှင့်ဆန့်ကျင်ဘက်။ သူတို့ကြားက ကွာခြားချက်ကဘာလဲ။

စာအုပ်ဖတ်ဖို့ ဆုံးဖြတ်လိုက်တာကို စိတ်ကူးကြည့်ပါ"လုံခြုံရေး လည်ပတ်ရေးစင်တာ- သင်၏ SOC တည်ဆောက်ခြင်း၊ လည်ပတ်ခြင်းနှင့် ထိန်းသိမ်းခြင်းကျွန်ုပ်၏လုပ်ဖော်ကိုင်ဖက်များ၏ - Gary McIntyre၊ Joseph Munitz နှင့် Nadem Alfardan (စာအုပ်၏တစ်စိတ်တစ်ပိုင်းကို link မှဒေါင်းလုဒ်လုပ်နိုင်သည်။ သင့်ရည်မှန်းချက်ကိုအောင်မြင်ရန် ရွေးချယ်စရာသုံးမျိုးရှိသည် - စာအုပ်တစ်အုပ်လုံးကိုဖတ်ပါ၊ ၎င်းကိုဖြတ်ကျော်ပါ၊ စာမျက်နှာ 10 သို့မဟုတ် 20 တိုင်းတွင်ရပ်တန့်ခြင်း သို့မဟုတ် SmartReading ကဲ့သို့သောဘလော့ဂ် သို့မဟုတ် ဝန်ဆောင်မှုတွင် အဓိကကျသောအယူအဆများကို ပြန်ပြောပြရန်ကြိုးစားပါ။ ထို့ကြောင့်၊ နမူနာမဲ့ telemetry သည် network traffic ၏ "page" တိုင်းကိုဖတ်နေသည်၊ ဆိုလိုသည်မှာ packet တစ်ခုစီအတွက် metadata ကိုခွဲခြမ်းစိတ်ဖြာခြင်းပင်ဖြစ်သည်။ နမူနာပုံစံ တယ်လီမီတာ ဆိုသည်မှာ ရွေးချယ်ထားသော နမူနာများတွင် သင်လိုအပ်သောအရာများ ပါဝင်လိမ့်မည်ဟု မျှော်လင့်ခြင်းဖြင့် အသွားအလာကို ရွေးချယ်လေ့လာခြင်းဖြစ်သည်။ ချန်နယ်အမြန်နှုန်းပေါ်မူတည်၍ 64th၊ 200th၊ 500th၊ 1000th၊ 2000th သို့မဟုတ် 10000th packet တိုင်းကို ခွဲခြမ်းစိတ်ဖြာရန်အတွက် နမူနာယူထားသော telemetry ကို ပေးပို့မည်ဖြစ်ပါသည်။

သတင်းအချက်အလက်လုံခြုံရေးစောင့်ကြည့်ခြင်း၏အခြေအနေတွင်၊ ဆိုလိုသည်မှာ နမူနာပြထားသော telemetry သည် DDoS တိုက်ခိုက်မှုများ၊ စကင်ဖတ်စစ်ဆေးခြင်းနှင့် အန္တရာယ်ရှိသောကုဒ်များဖြန့်ခြင်းအတွက် ကောင်းစွာသင့်လျော်သော်လည်း ခွဲခြမ်းစိတ်ဖြာရန်အတွက်ပေးပို့သောနမူနာတွင်မပါဝင်သည့် အနုမြူဗုံး သို့မဟုတ် အစုံလိုက်တိုက်ခိုက်မှုများကို လွတ်သွားနိုင်သည်။ နမူနာမယူသော တယ်လီမီတာတွင် ထိုကဲ့သို့သော အားနည်းချက်များ မရှိပါ။ ဤသို့ဖြင့်၊ ရှာဖွေတွေ့ရှိထားသော တိုက်ခိုက်မှုအကွာအဝေးသည် ပိုမိုကျယ်ပြန့်လာသည်။ ဤသည်မှာ ကွန်ရက် တယ်လီမီတာ ခွဲခြမ်းစိတ်ဖြာမှု ကိရိယာများကို အသုံးပြု၍ ရှာဖွေတွေ့ရှိနိုင်သည့် ဖြစ်ရပ်တိုများ စာရင်းဖြစ်သည်။

ဟုတ်ပါတယ်၊ အချို့သော open source Netflow analyzer သည် သင့်အား ၎င်းကိုလုပ်ဆောင်ရန်ခွင့်ပြုမည်မဟုတ်ပါ၊ ၎င်း၏အဓိကတာဝန်မှာ telemetry ကိုစုဆောင်းရန်နှင့် IT ရှုထောင့်မှအခြေခံခွဲခြမ်းစိတ်ဖြာမှုကိုလုပ်ဆောင်ရန်ဖြစ်သည်။ စီးဆင်းမှုအပေါ်အခြေခံ၍ သတင်းအချက်အလက်လုံခြုံရေးခြိမ်းခြောက်မှုများကို ခွဲခြားသတ်မှတ်ရန်၊ စံနမူနာ သို့မဟုတ် စိတ်ကြိုက် Netflow အကွက်များပေါ်အခြေခံ၍ ဆိုက်ဘာလုံခြုံရေးပြဿနာများကို ခွဲခြားသတ်မှတ်ပေးမည့် ခွဲခြမ်းစိတ်ဖြာသူအား အမျိုးမျိုးသော အင်ဂျင်များနှင့် အယ်လဂိုရီသမ်များဖြင့် တပ်ဆင်ရန် လိုအပ်ပါသည်။

ထို့ကြောင့် သင့်တွင် ရွေးချယ်စရာတစ်ခုရှိပါက Netflow သို့မဟုတ် IPFIX ကိုရွေးချယ်ပါ။ သို့သော် သင့်စက်ပစ္စည်းများသည် ပြည်တွင်းထုတ်လုပ်သူများကဲ့သို့ sFlow နှင့်သာ အလုပ်လုပ်လျှင်ပင်၊ ဤအခြေအနေမျိုးတွင်ပင် သင့်အနေဖြင့် ၎င်းကို လုံခြုံရေးအခြေအနေတွင် အကျိုးခံစားနိုင်မည်ဖြစ်သည်။

2019 ခုနှစ် နွေရာသီတွင်၊ NSG၊ Polygon နှင့် Craftway အပါအဝင် ရုရှားကွန်ရက် ဟာ့ဒ်ဝဲထုတ်လုပ်သူများ၏ စွမ်းရည်များကို ခွဲခြမ်းစိတ်ဖြာပြီး sFlow (အနည်းဆုံး Zelax၊ Natex၊ Eltex၊ QTech၊ Rusteleteh) အတွက် ပံ့ပိုးမှုကို ကြေညာခဲ့သည်။

သင်ရင်ဆိုင်ရမည့် နောက်ထပ်မေးခွန်းမှာ လုံခြုံရေးရည်ရွယ်ချက်များအတွက် flow support ကို မည်သည့်နေရာတွင် အကောင်အထည်ဖော်ရမည်နည်း။ တကယ်တော့ မေးခွန်းက လုံးလုံးမှန်တာမဟုတ်ဘူး။ ခေတ်မီစက်ကိရိယာများသည် စီးဆင်းမှုပရိုတိုကောများကို အမြဲလိုလို ပံ့ပိုးပေးသည်။ ထို့ကြောင့်၊ မေးခွန်းကို ကွဲပြားစွာ ပြုပြင်ပြောင်းလဲရပါမည်- လုံခြုံရေးရှုထောင့်မှ တယ်လီမီတာကို စုဆောင်းရန် အဘယ်မှာ အထိရောက်ဆုံးနည်း။ အဖြေသည် အတော်လေး သိသာထင်ရှားနေလိမ့်မည် - ဝင်ရောက်မှုအဆင့်တွင်၊ သင်သည် အသွားအလာအားလုံး၏ 100% ကိုမြင်ရမည်ဖြစ်ပြီး၊ hosts များ (MAC၊ VLAN၊ interface ID) တွင်အသေးစိတ်အချက်အလက်များပါရှိမည်ဖြစ်ပြီး၊ hosts များအကြား P2P လမ်းကြောင်းကိုပင်စောင့်ကြည့်နိုင်သည်။ အန္တရာယ်ရှိသောကုဒ်များကို စကင်န်ဖတ်စစ်ဆေးခြင်းနှင့် အန္တရာယ်ရှိသောကုဒ်များ ဖြန့်ဖြူးခြင်းအတွက် အရေးကြီးပါသည်။ core အဆင့်တွင်၊ သင်သည် အသွားအလာအချို့ကို ရိုးရှင်းစွာမမြင်ရသော်လည်း ပတ်၀န်းကျင်အဆင့်တွင်၊ သင့်ကွန်ရက်အသွားအလာအားလုံး၏ လေးပုံတစ်ပုံကို သင်တွေ့လိမ့်မည်။ အကယ်၍ သင့်တွင် အကြောင်းတစ်ခုခုကြောင့် တိုက်ခိုက်သူများအား ပတ်၀န်းကျင်ကို မဖြတ်ဘဲ “ဝင်/ထွက်” နိုင်စေမည့် နိုင်ငံခြားစက်ပစ္စည်းများ ရှိနေပါက၊ ၎င်းမှ တယ်လီမီတာကို ပိုင်းခြားစိတ်ဖြာခြင်းက သင့်အား မည်သည့်အရာမှ ပေးမည်မဟုတ်ပါ။ ထို့ကြောင့်၊ အမြင့်ဆုံးလွှမ်းခြုံမှုအတွက်၊ ဝင်ရောက်မှုအဆင့်တွင် တယ်လီမီတာစုဆောင်းမှုကို ဖွင့်ရန် အကြံပြုထားသည်။ တစ်ချိန်တည်းမှာပင်၊ ကျွန်ုပ်တို့သည် virtualization သို့မဟုတ် containers အကြောင်းပြောနေလျှင်ပင်၊ flow support ကို ခေတ်မီ virtual switches များတွင် တွေ့ရလေ့ရှိပြီး ထိုနေရာတွင် traffic ကို ထိန်းချုပ်နိုင်စေသည် ။

ဒါပေမယ့် ကျွန်တော် ခေါင်းစဉ်တင်ပြီးကတည်းက မေးခွန်းကို ဖြေဖို့ လိုပါတယ်- စက်ပစ္စည်း၊ ရုပ်ပိုင်းဆိုင်ရာ သို့မဟုတ် virtual သည် flow protocols များကို မပံ့ပိုးပါက မည်သို့ဖြစ်မည်နည်း။ သို့မဟုတ် ၎င်း၏ပါဝင်မှုကို တားမြစ်ထားသလား (ဥပမာ၊ ယုံကြည်စိတ်ချရမှုသေချာစေရန် စက်မှုကဏ္ဍများတွင်)။ သို့မဟုတ် ၎င်းကိုဖွင့်ထားခြင်းကြောင့် CPU load မြင့်မားခြင်း (၎င်းသည် ဟာ့ဒ်ဝဲအဟောင်းများတွင် ဖြစ်တတ်သည်)။ ဤပြဿနာကိုဖြေရှင်းရန်အတွက်၊ ၎င်းတို့သည် ၎င်းတို့ဖြတ်သန်းသွားလာမှုနှင့် စုစည်းမှုပုံစံသို့ စီးဆင်းမှုပုံစံဖြင့် ထုတ်လွှင့်သည့် မရှိမဖြစ်လိုအပ်သော သာမန်ခွဲခြမ်းများဖြစ်သည့် အထူးပြု virtual sensors (flow sensors) များရှိပါသည်။ ဤကိစ္စတွင်၊ ပက်ကတ်ဖမ်းကိရိယာများနှင့် ဆက်စပ်၍ အထက်တွင်ပြောခဲ့သည့် ပြဿနာအားလုံးကို ကျွန်ုပ်တို့ ရရှိပါသည်။ ဆိုလိုသည်မှာ၊ flow analysis နည်းပညာ၏ အားသာချက်များသာမက ၎င်း၏ ကန့်သတ်ချက်များကိုလည်း နားလည်ရန် လိုအပ်ပါသည်။

flow analysis tools အကြောင်းပြောတဲ့အခါ မှတ်သားထားရမယ့် နောက်ထပ်အချက်တစ်ချက်။ အကယ်၍ ကျွန်ုပ်တို့သည် EPS မက်ထရစ် (တစ်စက္ကန့်လျှင် ဖြစ်ရပ်) ကို အသုံးပြုသည့် သမားရိုးကျ လုံခြုံရေး ဖြစ်ရပ်များ ဖန်တီးခြင်းနည်းလမ်းနှင့် ဆက်စပ်ပါက ဤညွှန်ကိန်းသည် တယ်လီမက်ထရီ ခွဲခြမ်းစိတ်ဖြာမှုတွင် အကျုံးဝင်မည်မဟုတ်ပါ။ FPS (တစ်စက္ကန့်စီးဆင်းမှု) ဖြင့်အစားထိုးသည်။ EPS ကိစ္စကဲ့သို့ပင်၊ ၎င်းကိုကြိုတင်တွက်ချက်၍မရသော်လည်း၊ စက်ပစ္စည်းတစ်ခု၏လုပ်ငန်းတာဝန်ပေါ်မူတည်၍ထုတ်ပေးသောအနီးစပ်ဆုံးအရေအတွက်ကို ခန့်မှန်းနိုင်ပါသည်။ ခွဲခြမ်းစိတ်ဖြာမှုကိရိယာများအတွက် သင်လိုအပ်သည့် လိုင်စင်များနှင့် ၎င်းတို့၏ဗိသုကာပုံများသည် မည်သို့ဖြစ်မည်ကို ခန့်မှန်းနိုင်စေမည့် လုပ်ငန်းသုံးစက်ပစ္စည်း အမျိုးအစားများနှင့် အခြေအနေများအတွက် အနီးစပ်ဆုံးတန်ဖိုးများရှိသော ဇယားများကို အင်တာနက်ပေါ်တွင် သင်ရှာဖွေနိုင်ပါသည်။ အမှန်မှာ IDS အာရုံခံကိရိယာအား ၎င်းသည် "ဆွဲယူနိုင်သည်" ဟူသော လှိုင်းနှုန်းတစ်ခုဖြင့် ကန့်သတ်ထားပြီး၊ flow collector တွင် နားလည်ထားရမည့် ကန့်သတ်ချက်များရှိသည်။ ထို့ကြောင့် ကြီးမားသော၊ ပထဝီဝင်အရ ဖြန့်ဝေသည့်ကွန်ရက်များတွင် အများအားဖြင့် စုဆောင်းသူအများအပြားရှိသည်။ ဖော်ပြလိုက်တော့ Cisco အတွင်းရှိ ကွန်ရက်ကို မည်သို့ စောင့်ကြည့်နေသနည်း။ကျွန်ုပ်တို့၏စုဆောင်းသူအရေအတွက်ကို ကျွန်ုပ်ပေးထားပြီးဖြစ်သည် - ၎င်းတို့အထဲမှ 21 ခုရှိသည်။ ၎င်းသည် တိုက်ကြီးငါးခုတွင် ပြန့်ကျဲနေသောကွန်ရက်တစ်ခုအတွက်ဖြစ်ပြီး အသုံးပြုနေသောစက်ပစ္စည်းပေါင်း သန်းဝက်ခန့်ကို နံပါတ်တပ်ခြင်းဖြစ်သည်)။

ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ကိုယ်ပိုင်ဖြေရှင်းချက်ကို Netflow စောင့်ကြည့်ရေးစနစ်အဖြစ် အသုံးပြုပါသည်။ Cisco Stealth နာရီလုံခြုံရေးပြဿနာများကို ဖြေရှင်းရာတွင် အထူးအာရုံစိုက်ထားသည်။ ၎င်းတွင် မှားယွင်းသော၊ သံသယဖြစ်ဖွယ်ရှိပြီး ရှင်းရှင်းလင်းလင်း အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်များကို ထောက်လှမ်းရန်အတွက် တပ်ဆင်ထားသောအင်ဂျင်များစွာပါရှိပြီး၊ cryptomining မှ အချက်အလက်ပေါက်ကြားခြင်းအထိ၊ အန္တရာယ်ရှိသောကုဒ်ပျံ့နှံ့မှုမှ လိမ်လည်မှုအထိ အမျိုးမျိုးသောခြိမ်းခြောက်မှုများကို ရှာဖွေတွေ့ရှိနိုင်စေမည့် တပ်ဆင်ထားသောအင်ဂျင်များစွာပါရှိသည်။ စီးဆင်းမှုခွဲခြမ်းစိတ်ဖြာသူအများစုကဲ့သို့ပင်၊ Stealthwatch ကို အဆင့်သုံးဆင့်အစီအစဥ် (ဂျင်နရေတာ - စုဆောင်းသူ - ခွဲခြမ်းစိတ်ဖြာသူ) အရ တည်ဆောက်ထားသော်လည်း ထည့်သွင်းစဉ်းစားထားသည့် ပစ္စည်း၏အခြေအနေတွင် အရေးကြီးသည့် စိတ်ဝင်စားဖွယ်ကောင်းသော အင်္ဂါရပ်များစွာဖြင့် ဖြည့်စွက်ထားသည်။ ပထမဦးစွာ၊ ၎င်းသည် packet capture solutions (ဥပမာ Cisco Security Packet Analyzer) နှင့် ပေါင်းစပ်ပြီး နောက်ပိုင်းတွင် နက်ရှိုင်းသော စုံစမ်းစစ်ဆေးမှုနှင့် ခွဲခြမ်းစိတ်ဖြာမှုများအတွက် ရွေးချယ်ထားသော ကွန်ရက်အစည်းအဝေးများကို မှတ်တမ်းတင်နိုင်စေပါသည်။ ဒုတိယအနေဖြင့်၊ အထူးသဖြင့် လုံခြုံရေးတာဝန်များကို ချဲ့ထွင်ရန်အတွက်၊ ကျွန်ုပ်တို့သည် သင့်အား end node (ဆာဗာများ၊ အလုပ်ရုံများ စသည်ဖြင့်) ပေါ်ရှိ application များ၏ လုပ်ဆောင်ချက်များကို “ထုတ်လွှင့်” နိုင်စေမည့် အထူး nvzFlow ပရိုတိုကောကို တီထွင်ခဲ့ပြီး ထပ်မံခွဲခြမ်းစိတ်ဖြာရန်အတွက် ၎င်းအား စုဆောင်းသူထံ ပေးပို့နိုင်မည်ဖြစ်သည်။ ၎င်း၏မူရင်းဗားရှင်းတွင် Stealthwatch သည် ကွန်ရက်အဆင့်တွင် မည်သည့်စီးဆင်းမှုပရိုတိုကော (sFlow၊ rFlow၊ Netflow၊ IPFIX၊ cFlow၊ jFlow၊ NetStream) နှင့် အလုပ်လုပ်ပါက၊ ထို့ကြောင့် nvzFlow ပံ့ပိုးမှုသည် node အဆင့်တွင်လည်း ဒေတာဆက်စပ်မှုကို ခွင့်ပြုပါသည်။ စနစ်တစ်ခုလုံး၏ စွမ်းဆောင်ရည်ကို မြှင့်တင်ပေးပြီး သမားရိုးကျ ကွန်ရက်စီးဆင်းမှု ခွဲခြမ်းစိတ်ဖြာသူများထက် တိုက်ခိုက်မှုများကို ပိုမိုကြည့်ရှုနိုင်သည်။

လုံခြုံရေးရှုထောင့်မှကြည့်လျှင် Netflow ခွဲခြမ်းစိတ်ဖြာမှုစနစ်များအကြောင်းပြောသောအခါ၊ စျေးကွက်သည် Cisco မှဖြေရှင်းချက်တစ်ခုတည်းအတွက် အကန့်အသတ်မရှိသည်မှာ ရှင်းပါသည်။ သင်သည် စီးပွားဖြစ်နှင့် အခမဲ့ သို့မဟုတ် မျှဝေဆော့ဖ်ဝဲဖြေရှင်းချက်နှစ်ခုလုံးကို အသုံးပြုနိုင်သည်။ Cisco ဘလော့ဂ်တွင် ပြိုင်ဘက်များ၏ ဖြေရှင်းချက်များကို နမူနာအဖြစ် ကိုးကားပါက အလွန်ထူးဆန်းသည်၊ ထို့ကြောင့် လူကြိုက်များသော၊ နာမည်ဆင်တူသော်လည်း ကွဲပြားသောကိရိယာနှစ်ခုဖြစ်သည့် SiLK နှင့် ELK ကို အသုံးပြု၍ ကွန်ရက်တယ်လီမီတာကို ခွဲခြမ်းစိတ်ဖြာနိုင်ပုံအကြောင်း စကားအနည်းငယ်ပြောပါမည်။

SiLK သည် အမေရိကန် CERT/CC မှ ဖန်တီးထားသော ယာဉ်အသွားအလာ ခွဲခြမ်းစိတ်ဖြာမှုအတွက် ကိရိယာအစုံ (အင်တာနက်အဆင့် အသိပညာ) ကိရိယာအစုံအလင်ဖြစ်ပြီး ယနေ့ခေတ်ဆောင်းပါး၏ ဆက်စပ်မှုတွင် Netflow (5th နှင့် 9th၊ ရေပန်းအစားဆုံးဗားရှင်းများ) IPFIX နှင့် sFlow နှင့် အမျိုးမျိုးသော utilities (rwfilter, rwcount, rwflowpack, etc.) ကို အသုံးပြုပြီး ၎င်းတွင် ခွင့်ပြုချက်မရှိဘဲ လုပ်ဆောင်မှုများ၏ လက္ခဏာများကို သိရှိနိုင်ရန် ကွန်ရက်တယ်လီမီတာတွင် အမျိုးမျိုးသော လုပ်ဆောင်ချက်များကို လုပ်ဆောင်ရန်။ ဒါပေမယ့် သတိထားရမယ့် အရေးကြီးတဲ့ အချက်နှစ်ချက်ရှိပါတယ်။ SiLK သည် ဤကဲ့သို့သော ညွှန်ကြားချက်များကို ထည့်သွင်းခြင်းဖြင့် အွန်လိုင်းတွင် ခွဲခြမ်းစိတ်ဖြာမှုကို လုပ်ဆောင်သည့် ကွန်မန်းလိုင်းတူးလ်တစ်ခု ( 200 bytes ထက်ကြီးသော ICMP အစုံလိုက်များကို ရှာဖွေခြင်း)

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

သိပ်အဆင်မပြေဘူး။ iSiLK GUI ကို သင်သုံးနိုင်သည်၊ သို့သော် ၎င်းသည် သင့်ဘဝကို ပိုမိုလွယ်ကူစေမည်မဟုတ်ပါ၊၊ အမြင်အာရုံပုံဖော်ခြင်းလုပ်ဆောင်ချက်ကို ဖြေရှင်းရုံသာမက အကဲခတ်သူအား အစားမထိုးပါ။ ဒါက ဒုတိယအချက်ပါ။ ခိုင်မာသော ခွဲခြမ်းစိတ်ဖြာမှုအခြေခံရှိပြီးသားဖြစ်သော စီးပွားရေးဖြေရှင်းချက်များနှင့် မတူဘဲ၊ SiLK တွင် သင်ကိုယ်တိုင်လုပ်ဆောင်ရမည်ဖြစ်ပြီး၊ အဆင်သင့်အသုံးပြုခြင်းထက် အနည်းငယ်ကွဲပြားသောအရည်အချင်းများ လိုအပ်မည်ဖြစ်သည်- အသုံးပြုရန်ကိရိယာများ။ ၎င်းသည် ကောင်းမွန်သည်မဟုတ် ဆိုးသည်မဟုတ်ပါ - ဤအရာသည် သင်ဘာလုပ်ရမည်ကို သိသည်ဟု ယူဆသည့် မည်သည့် အခမဲ့ tool ၏ အင်္ဂါရပ်တစ်ခုဖြစ်ပြီး ၎င်းသည် သင့်အတွက်သာ ကူညီပေးလိမ့်မည် (လုပ်ငန်းသုံးကိရိယာများသည် သုံးစွဲသူများ၏ အရည်အချင်းများအပေါ်တွင်မူတည်သည်ဟုလည်း ယူဆကြသော်လည်း၊ လေ့လာဆန်းစစ်သူများသည် ကွန်ရက်စုံစမ်းစစ်ဆေးခြင်းနှင့် စောင့်ကြည့်ခြင်းဆိုင်ရာ အခြေခံများကို အနည်းဆုံးနားလည်ကြောင်း)။ ဒါပေမယ့် SiLK ကိုပြန်ကြရအောင်။ ၎င်းနှင့်အတူ ခွဲခြမ်းစိတ်ဖြာသူ၏ လုပ်ငန်းလည်ပတ်မှုမှာ ဤကဲ့သို့ ဖြစ်ပုံရသည်။

• ယူဆချက်တစ်ခု ရေးဆွဲခြင်း။ ကျွန်ုပ်တို့သည် ကွန်ရက်တယ်လီမီတာအတွင်း၌ ကျွန်ုပ်တို့ရှာဖွေရမည့်အရာကို နားလည်ရမည်၊ အချို့သောကွဲလွဲချက်များ သို့မဟုတ် ခြိမ်းခြောက်မှုများကို ကျွန်ုပ်တို့သိရှိနိုင်စေမည့် ထူးခြားသောအရည်အချင်းများကို သိရှိနားလည်ရပါမည်။
• မော်ဒယ်တစ်ခုတည်ဆောက်ခြင်း။ သီအိုရီတစ်ခုကို ရေးဆွဲပြီးနောက်၊ SiLK တွင်မပါဝင်သော တူညီသော Python၊ shell သို့မဟုတ် အခြားကိရိယာများကို အသုံးပြု၍ ပရိုဂရမ်ပြုလုပ်ပါသည်။
• စမ်းသပ်ခြင်း။ ယခုအခါ SiLK utilities များကို 'rw', 'set', 'bag' တို့ဖြင့် စတင်အသုံးပြု၍ အတည်ပြု သို့မဟုတ် ငြင်းဆိုထားသည့် ကျွန်ုပ်တို့၏ယူဆချက်၏ မှန်ကန်မှုကို စစ်ဆေးရန် အလှည့်ရောက်ရှိလာပါသည်။
• အချက်အလက်အစစ်အမှန်များကိုခွဲခြမ်းစိတ်ဖြာခြင်း။ စက်မှုလုပ်ငန်းလည်ပတ်မှုတွင် SiLK သည် ကျွန်ုပ်တို့အား တစ်စုံတစ်ခုအား ဖော်ထုတ်ရန် ကူညီပေးပြီး ဆန်းစစ်သူသည် "ကျွန်ုပ်တို့မျှော်လင့်ထားသည့်အရာကို တွေ့ရှိခဲ့သလား"၊ "၎င်းသည် ကျွန်ုပ်တို့၏ယူဆချက်နှင့် ကိုက်ညီပါသလား။"၊ "မှားယွင်းသောအပြုသဘောဆောင်သည့်အရေအတွက်ကို မည်ကဲ့သို့ လျှော့ချနိုင်သနည်း"၊ "မည်သို့လုပ်ဆောင်မည်နည်း။ အသိအမှတ်ပြုမှုအဆင့်ကို မြှင့်တင်ရန်။ » နောက် ... ပြီးတော့။
• တိုးတက်မှု။ နောက်ဆုံးအဆင့်တွင်၊ ကျွန်ုပ်တို့သည် အစောပိုင်းလုပ်ဆောင်ခဲ့သည့်အရာများကို ပိုမိုကောင်းမွန်အောင် လုပ်ဆောင်သည် - ကျွန်ုပ်တို့သည် နမူနာပုံစံများကို ဖန်တီးခြင်း၊ ကုဒ်ကို ပိုမိုကောင်းမွန်အောင်နှင့် အကောင်းဆုံးဖြစ်အောင် ပြုလုပ်ခြင်း၊ အယူအဆကို ပြုပြင်ပြောင်းလဲခြင်းနှင့် ရှင်းလင်းခြင်း စသည်ဖြင့်။

ဤစက်ဝန်းသည် Cisco Stealthwatch နှင့်လည်း သက်ဆိုင်မည်ဖြစ်ပြီး၊ နောက်ဆုံးတစ်ခုကသာ ဤအဆင့်ငါးဆင့်ကို အမြင့်ဆုံးသို့ အလိုအလျောက်ပြုလုပ်ပေးကာ၊ ခွဲခြမ်းစိတ်ဖြာသူအမှားအရေအတွက်ကို လျှော့ချကာ အဖြစ်အပျက်ကို သိရှိနိုင်မှု၏ စွမ်းဆောင်ရည်ကို တိုးမြင့်စေသည်။ ဥပမာအားဖြင့်၊ SiLK တွင် သင်သည် လက်ဖြင့်ရေးထားသော scripts များကို အသုံးပြု၍ အန္တရာယ်ရှိသော IP များပေါ်တွင် ပြင်ပဒေတာများဖြင့် ကွန်ရက်စာရင်းအင်းများကို ဖြည့်စွမ်းနိုင်ပြီး Cisco Stealthwatch တွင် ၎င်းသည် အမည်ပျက်စာရင်းမှ IP လိပ်စာများနှင့် အပြန်အလှန်တုံ့ပြန်မှုများပါရှိသည့် ကွန်ရက်အသွားအလာတွင် နှိုးဆော်ချက်ကို ချက်ချင်းပြသသည့် တပ်ဆင်သည့်လုပ်ဆောင်ချက်ဖြစ်သည်။

အကယ်၍ သင်သည် စီးဆင်းမှုခွဲခြမ်းစိတ်ဖြာမှုဆော့ဖ်ဝဲအတွက် "အခပေး" ပိရမစ်တွင် ပိုမိုမြင့်မားသွားပါက၊ လုံးဝအခမဲ့ SiLK ပြီးနောက်တွင် အဓိက အစိတ်အပိုင်း သုံးခုပါဝင်သည် - Elasticsearch (ညွှန်းကိန်းထုတ်ခြင်း၊ ရှာဖွေခြင်းနှင့် ဒေတာခွဲခြမ်းစိတ်ဖြာခြင်း)၊ Logstash (ဒေတာထည့်သွင်းခြင်း/ထွက်ရှိမှု) ပါဝင်သည်။ ) နှင့် Kibana (စိတ်ကူးပုံဖော်ခြင်း)။ SiLK နှင့်မတူဘဲ၊ အရာအားလုံးကို သင်ကိုယ်တိုင်ရေးသားရမည့်အပြင် ELK တွင် ကွန်ရက်တယ်လီမီတာ၏ခွဲခြမ်းစိတ်ဖြာမှုကို အလိုအလျောက်လုပ်ဆောင်ပေးသည့် အဆင်သင့်လုပ်ထားသည့်စာကြည့်တိုက်/ မော်ဂျူးများစွာရှိပြီး (အချို့မှာ အခကြေးငွေမဟုတ်) ရှိသည်။ ဥပမာအားဖြင့်၊ Logstash ရှိ GeoIP စစ်ထုတ်မှုသည် သင့်အား စောင့်ကြည့်ထားသော IP လိပ်စာများကို ၎င်းတို့၏ ပထဝီဝင်တည်နေရာနှင့် ချိတ်ဆက်နိုင်စေသည် (Stealthwatch တွင် ဤထည့်သွင်းထားသော အင်္ဂါရပ်ပါရှိသည်)။

ELK တွင် ဤစောင့်ကြည့်ရေးဖြေရှင်းချက်အတွက် ပျောက်ဆုံးနေသော အစိတ်အပိုင်းများကို ပြီးမြောက်အောင် လုပ်ဆောင်နေသော အတော်လေးကြီးမားသော အသိုက်အဝန်းတစ်ခုလည်း ရှိပါသည်။ ဥပမာအားဖြင့်၊ Netflow၊ IPFIX နှင့် sFlow တို့နှင့်အလုပ်လုပ်ရန် သင်သည် module ကိုသုံးနိုင်သည်။ elastiflowNetflow ကိုသာ ပံ့ပိုးပေးသည့် Logstash Netflow Module ကို သင် မကျေနပ်ပါက၊

စီးဆင်းမှု စုဆောင်းခြင်းနှင့် ရှာဖွေခြင်းတွင် ပိုမိုထိရောက်မှု ပေးစွမ်းနိုင်သော်လည်း ELK သည် လက်ရှိတွင် ကွန်ရက်တယ်လီမက်ထရီတွင် ကွဲလွဲချက်များနှင့် ခြိမ်းခြောက်မှုများကို ထောက်လှမ်းရန်အတွက် ကြွယ်ဝသော built-in ခွဲခြမ်းစိတ်ဖြာမှု ကင်းမဲ့နေပါသည်။ ဆိုလိုသည်မှာ၊ အထက်တွင်ဖော်ပြထားသော ဘဝစက်ဝန်းအတိုင်း၊ သင်သည် ချိုးဖောက်မှုပုံစံများကို လွတ်လပ်စွာဖော်ပြပြီးနောက် ၎င်းကို တိုက်ခိုက်ရေးစနစ်တွင် အသုံးပြုရပါမည် (ထိုနေရာတွင် တပ်ဆင်ထားသော မော်ဒယ်များမရှိပါ)။

ELK အတွက် ပိုမိုဆန်းပြားသော extension များ ရှိသည်၊ အချို့သော ကွန်ရက် တယ်လီမက်ထရီတွင် ကွဲလွဲချက်များကို ထောက်လှမ်းရန် မော်ဒယ်များပါရှိပြီး၊ သို့သော် အဆိုပါ extension များသည် ငွေကုန်ကြေးကျများပြီး ဤနေရာတွင် ဂိမ်းသည် ဖယောင်းတိုင်ဖိုးရှိမရှိ မေးခွန်းဖြစ်ပါသည် - အလားတူ မော်ဒယ်ကို သင်ကိုယ်တိုင် ရေးပါ၊ ၎င်းကို ဝယ်ပါ။ သင်၏စောင့်ကြည့်ရေးကိရိယာအတွက် အကောင်အထည်ဖော်ခြင်း သို့မဟုတ် Network Traffic Analysis အတန်း၏ အဆင်သင့်လုပ်ထားသော ဖြေရှင်းချက်ကို ဝယ်ယူပါ။

ယေဘူယျအားဖြင့်၊ ကွန်ရက်တယ်လီမီတာစနစ်တွင် ကွဲလွဲချက်များနှင့် ခြိမ်းခြောက်မှုများကို စောင့်ကြည့်ရန်အတွက် ငွေသုံးခြင်းသည် ပိုကောင်းကြောင်း ငြင်းခုံခြင်းသို့ မဝင်ချင်ပါ။ သို့မဟုတ် ၎င်းကို သင်ကိုယ်တိုင် တွက်ချက်ပြီး အလားတူ စိတ်ကြိုက်ပြင်ဆင်ပါ။ ခြိမ်းခြောက်မှုအသစ်တစ်ခုစီအတွက် SiLK၊ ELK သို့မဟုတ် nfdump သို့မဟုတ် OSU Flow Tools (ကျွန်ုပ်သည် ၎င်းတို့အနက်မှ နောက်ဆုံးနှစ်ခုအကြောင်းပြောနေခြင်းဖြစ်သည် ပြောတယ်။ နောက်ဆုံးအချိန်)? လူတိုင်းသည် ၎င်းတို့အတွက် ရွေးချယ်ကြပြီး လူတိုင်းတွင် ရွေးချယ်ခွင့် နှစ်ခုထဲမှ တစ်ခုခုကို ရွေးချယ်ရန် ရည်ရွယ်ချက်ရှိကြသည်။ ကွန်ရက်တယ်လီမီတာသည် သင့်အတွင်းပိုင်းအခြေခံအဆောက်အအုံ၏ ကွန်ရက်လုံခြုံရေးကို သေချာစေရန်အတွက် အလွန်အရေးကြီးသည့်ကိရိယာဖြစ်ကြောင်း ပြသလိုခြင်းဖြစ်ပြီး၊ မီဒီယာတွင် နာမည်ဖော်ပြထားသော ကုမ္ပဏီစာရင်းတွင် မပါဝင်စေရန်အတွက် ၎င်းကို လျစ်လျူရှုထားသင့်သည်” ဟက်ခ်ခံရခြင်း”၊ “သတင်းအချက်အလက် လုံခြုံရေး လိုအပ်ချက်များနှင့် မကိုက်ညီ”၊ “၎င်းတို့၏ ဒေတာနှင့် သုံးစွဲသူဒေတာများ၏ လုံခြုံရေးကို မစဉ်းစားပါ။

အနှစ်ချုပ်ရစေရန်၊ သင်၏အတွင်းပိုင်းအခြေခံအဆောက်အအုံဆိုင်ရာ သတင်းအချက်အလက်လုံခြုံရေးစောင့်ကြည့်ခြင်းကို တည်ဆောက်ရာတွင် လိုက်နာသင့်သည့် အဓိကအကြံပြုချက်များကို ဖော်ပြလိုပါသည်။

1. သင့်ကိုယ်သင် ပတ်၀န်းကျင်တွင်သာ ကန့်သတ်မထားပါနှင့်။ အမှတ် A မှ အမှတ် B သို့ အသွားအလာကို ရွှေ့ရန်သာမက ဆိုက်ဘာလုံခြုံရေးပြဿနာများကို ဖြေရှင်းရန် (ရွေးချယ်) ကွန်ရက်အခြေခံအဆောက်အအုံကို အသုံးပြုပါ။
2. သင့်ကွန်ရက်စက်ပစ္စည်းရှိ ရှိပြီးသား အချက်အလက်လုံခြုံရေး စောင့်ကြည့်ရေးယန္တရားများကို လေ့လာပြီး ၎င်းတို့ကို အသုံးပြုပါ။
3. အတွင်းပိုင်းစောင့်ကြည့်မှုအတွက်၊ တယ်လီမီတာခွဲခြမ်းစိတ်ဖြာမှုကိုဦးစားပေးပါ - ၎င်းသည် ကွန်ရက်ပက်ကေ့ဂျ်များကိုဖမ်းယူရာတွင် မဖြစ်နိုင်သောအရာကိုလုပ်ဆောင်နေစဉ်တွင် ကွန်ရက်အချက်အလက်လုံခြုံရေးဖြစ်ရပ်အားလုံး၏ 80-90% အထိ သိရှိနိုင်စေမည်ဖြစ်သည်။
4. စီးဆင်းမှုများကို စောင့်ကြည့်ရန်၊ Netflow v9 သို့မဟုတ် IPFIX ကိုသုံးပါ - ၎င်းတို့သည် လုံခြုံရေးအခြေအနေတစ်ခုတွင် အချက်အလက်ပိုမိုပေးဆောင်ကာ IPv4 သာမက IPv6၊ MPLS စသည်တို့ကိုပါ စောင့်ကြည့်ခွင့်ပြုထားသည်။
5. နမူနာမပါသော စီးဆင်းမှုပရိုတိုကောကို အသုံးပြုပါ - ခြိမ်းခြောက်မှုများကို ထောက်လှမ်းရန်အတွက် အချက်အလက်များ ပိုမိုပေးဆောင်သည်။ ဥပမာ၊ Netflow သို့မဟုတ် IPFIX။
6. သင့်ကွန်ရက်စက်ပစ္စည်းပေါ်ရှိ ဝန်ကိုစစ်ဆေးပါ - ၎င်းသည် စီးဆင်းမှုပရိုတိုကောကိုလည်း ကိုင်တွယ်ဆောင်ရွက်နိုင်မည်မဟုတ်ပေ။ ထို့နောက် virtual အာရုံခံကိရိယာများ သို့မဟုတ် Netflow Generation Appliance ကို အသုံးပြုရန် စဉ်းစားပါ။
7. ဝင်ရောက်မှုအဆင့်တွင် ဦးစွာထိန်းချုပ်မှုကို အကောင်အထည်ဖော်ပါ - ၎င်းသည် သင့်အား အသွားအလာအားလုံး၏ 100% မြင်ရန်အခွင့်အရေးပေးလိမ့်မည်။
8. သင့်တွင် ရွေးချယ်စရာမရှိ၍ ရုရှားကွန်ရက်စက်ပစ္စည်းကို အသုံးပြုနေပါက၊ စီးဆင်းမှုပရိုတိုကောများကို ပံ့ပိုးပေးသည့် သို့မဟုတ် SPAN/RSPAN ဆိပ်ကမ်းများပါရှိသော တစ်ခုကို ရွေးချယ်ပါ။
9. အနားရှိ ကျူးကျော်ဝင်ရောက်ခြင်း/တိုက်ခိုက်မှု ထောက်လှမ်းခြင်း/ကြိုတင်ကာကွယ်ရေးစနစ်များနှင့် အတွင်းပိုင်းကွန်ရက် (တိမ်တိုက်များအပါအဝင်) အတွင်းရှိ စီးဆင်းမှုခွဲခြမ်းစိတ်ဖြာမှုစနစ်များကို ပေါင်းစပ်ပါ။

နောက်ဆုံး အကြံပြုချက် နဲ့ ပတ်သတ်ပြီး ကျွန်တော် အရင်က ပေးဖူးတဲ့ ပုံဥပမာ တစ်ခု ပေးချင်ပါတယ်။ ယခင်က Cisco သတင်းအချက်အလက် လုံခြုံရေး ဝန်ဆောင်မှုသည် ကျူးကျော်ဝင်ရောက်မှု ထောက်လှမ်းမှုစနစ်များနှင့် လက်မှတ်ရေးထိုးနည်းများကို အခြေခံ၍ ၎င်း၏ သတင်းအချက်အလက် လုံခြုံရေး စောင့်ကြည့်ရေးစနစ်ကို လုံးလုံးနီးပါး တည်ဆောက်ခဲ့ပါက၊ ယခုအခါ ၎င်းတို့သည် အဖြစ်အပျက်များ၏ 20% သာ ရှိသည်ကို သင်မြင်ရပါသည်။ နောက်ထပ် 20% သည် flow analysis systems တွင် အကျုံးဝင်သည် ၊ ဤဖြေရှင်းနည်းများသည် နှမြောစရာမဟုတ်သော်လည်း ခေတ်မီလုပ်ငန်းတစ်ခု၏ သတင်းအချက်အလက်လုံခြုံရေးဝန်ဆောင်မှုများ၏ လုပ်ဆောင်မှုများတွင် တကယ့်ကိရိယာတစ်ခုဖြစ်ကြောင်း အကြံပြုပါသည်။ ထို့အပြင်၊ ၎င်းတို့၏ အကောင်အထည်ဖော်မှုအတွက် အရေးကြီးဆုံးအရာမှာ သင့်တွင်ရှိသည် - ကွန်ရက်အခြေခံအဆောက်အအုံ၊ သတင်းအချက်အလက်လုံခြုံရေးစောင့်ကြည့်ရေးလုပ်ဆောင်ချက်များကို ကွန်ရက်သို့ ပေးဆောင်ခြင်းဖြင့် နောက်ထပ်အကာအကွယ်ပေးနိုင်သည့် ရင်းနှီးမြှုပ်နှံမှုများ။

ကွန်ရက်စီးဆင်းမှုများတွင် ဖော်ပြထားသော ကွဲလွဲချက်များ သို့မဟုတ် ခြိမ်းခြောက်မှုများကို တုံ့ပြန်ခြင်းဆိုင်ရာ ခေါင်းစဉ်ကို အတိအကျ မထိခဲ့မိသော်လည်း စောင့်ကြည့်လေ့လာခြင်းသည် ခြိမ်းခြောက်မှုကို ထောက်လှမ်းရုံမျှဖြင့် မပြီးဆုံးသင့်ကြောင်း ရှင်းရှင်းလင်းလင်းရှိနေပြီဟု ကျွန်ုပ်ထင်ပါတယ်။ ၎င်းကို တုံ့ပြန်မှုဖြင့် လိုက်နာသင့်ပြီး အလိုအလျောက် သို့မဟုတ် အလိုအလျောက်မုဒ်တွင် ပိုကောင်းသည်။ ဒါပေမယ့် ဒါက သီးခြားဆောင်းပါးအတွက် ခေါင်းစဉ်တစ်ခုပါ။

အပိုဆောင်းသတင်းအချက်အလက်:

• Cisco IOS Netflow ၏ ရှင်းလင်းချက်
• Netflow သည် Cisco ဖြေရှင်းချက်အမျိုးမျိုးတွင် matrix ကို ပံ့ပိုးပေးသည်။
• Cisco ပလပ်ဖောင်းအမျိုးမျိုးရှိ Netflow ကိုပြင်ဆင်ခြင်းလမ်းညွှန်
• sFlow အသိုင်းအဝိုင်း
• လုံခြုံရေးရှုထောင့်မှ Netflow ကိုခွဲခြမ်းစိတ်ဖြာရန် Stealtjwatch၊ SiLK နှင့် ELK ကိုအသုံးပြု၍ ဓာတ်ခွဲခန်း
• SiLK ဝဘ်ဆိုဒ်
• ဥပမာများစွာဖြင့် SiLK အသုံးပြုခြင်းအတွက် စာမျက်နှာ သုံးရာပါ လမ်းညွှန်
• Logstash Netflow Module
• Cisco သည် ELK ရှိ Netflow ခွဲခြမ်းစိတ်ဖြာခြင်းအတွက် အဆင့်ဆင့်လမ်းညွှန်
• Logstash (ELK) ကို အသုံးပြု၍ NetFlow v.9 Cisco ASA ကို လေ့လာခြင်း
• Cisco Stealthwatch ဖြေရှင်းချက်

PS. အထက်မှာရေးထားတဲ့အရာအားလုံးကို နားထောင်ရတာ ပိုလွယ်တယ်ဆိုရင်၊ ဒီမှတ်စုရဲ့အခြေခံကို ဖန်တီးထားတဲ့ တစ်နာရီကြာတင်ဆက်မှုကို ကြည့်ရှုနိုင်ပါတယ်။

source: www.habr.com