Velkommen til vårt neste minikurs. Denne gangen skal vi snakke om vår nye tjeneste -
Her, la oss gjøre en liten digresjon. Jeg er bare sikker på at mange mennesker nå tenker: "Hvordan er dette forskjellig fra
Hva en nettverksadministrator kan sjekke ved å bruke denne revisjonen:
- Nettverkstrafikkanalyse — hvordan kanalene lastes, hvilke protokoller som brukes, hvilke servere eller brukere som bruker størst trafikk.
- Nettverksforsinkelser og tap — gjennomsnittlig responstid for tjenestene dine, tilstedeværelsen av tap på alle kanalene dine (muligheten til å finne en flaskehals).
- Brukertrafikkanalyse — omfattende analyse av brukertrafikk. Trafikkmengder, applikasjoner brukt, problemer med å jobbe med bedriftstjenester.
- Evaluering av applikasjonsytelse — identifisere årsaken til problemer i driften av bedriftsapplikasjoner (nettverksforsinkelser, responstid for tjenester, databaser, applikasjoner).
- SLA-overvåking — oppdager og rapporterer automatisk kritiske forsinkelser og tap ved bruk av offentlige nettapplikasjoner basert på reell trafikk.
- Søk etter nettverksavvik — DNS/DHCP-spoofing, loops, falske DHCP-servere, unormal DNS/SMTP-trafikk og mye mer.
- Problemer med konfigurasjoner – gjenkjenning av illegitim bruker- eller servertrafikk, noe som kan indikere feilaktige innstillinger av brytere eller brannmurer.
- Omfattende rapport — en detaljert rapport om tilstanden til IT-infrastrukturen din, slik at du kan planlegge arbeid eller kjøpe ekstra utstyr.
Hva en informasjonssikkerhetsspesialist kan sjekke:
- Viral aktivitet — oppdager viral trafikk i nettverket, inkludert ukjent skadelig programvare (0-dagers) basert på atferdsanalyse.
- Distribusjon av løsepengevare — muligheten til å oppdage løsepengevare, selv om den sprer seg mellom nabodatamaskiner uten å forlate sitt eget segment.
- Unormal aktivitet — unormal trafikk av brukere, servere, applikasjoner, ICMP/DNS-tunnelering. Identifisere reelle eller potensielle trusler.
- Nettverksangrep — portskanning, brute-force-angrep, DoS, DDoS, trafikkavlytting (MITM).
- Bedriftsdatalekkasje — påvisning av unormal nedlasting (eller opplasting) av bedriftsdata fra firmaets filservere.
- Uautoriserte enheter — påvisning av illegitime enheter koblet til bedriftsnettverket (avgjør produsent og operativsystem).
- Uønskede applikasjoner — bruk av forbudte applikasjoner i nettverket (Bittorent, TeamViewer, VPN, Anonymizers, etc.).
- Kryptominere og botnett — sjekke nettverket for infiserte enheter som kobler til kjente C&C-servere.
Rapportering
Basert på revisjonsresultatene vil du kunne se all analyse på Flowmon-dashboards eller i PDF-rapporter. Nedenfor er noen eksempler.
Generell trafikkanalyse
Egendefinert dashbord
Unormal aktivitet
Oppdaget enheter
Typisk testopplegg
Scenario #1 - ett kontor
Nøkkelfunksjonen er at du kan analysere både ekstern og intern trafikk som ikke blir analysert av nettverksperimeterbeskyttelsesenheter (NGFW, IPS, DPI, etc.).
Scenario #2 - flere kontorer
Videoopplæring
Oppsummering
CheckFlow-revisjon er en utmerket mulighet for IT/IS-ledere:
- Identifiser nåværende og potensielle problemer i din IT-infrastruktur;
- oppdage problemer med informasjonssikkerhet og effektiviteten til eksisterende sikkerhetstiltak;
- Identifiser nøkkelproblemet i driften av forretningsapplikasjoner (nettverksdel, serverdel, programvare) og de som er ansvarlige for å løse det;
- Reduser tiden det tar å feilsøke problemer i IT-infrastrukturen betydelig;
- Begrunn behovet for å utvide kanaler, serverkapasitet eller tilleggskjøp av beskyttelsesutstyr.
Jeg anbefaler også å lese vår forrige artikkel -
Hvis du er interessert i dette emnet, så følg med (
Kun registrerte brukere kan delta i undersøkelsen.
Bruker du NetFlow/sFlow/jFlow/IPFIX-analysatorer?
-
55,6%Ja 5
-
11,1%Nei, men jeg har tenkt å bruke 1
-
33,3%No3
9 brukere stemte. 1 bruker avsto.
Kilde: www.habr.com