Verkkoliikenteen seuranta ja monitorointi

ExtraHop Reveal(x) – verkkoliikenteen seuranta ja monitorointi (Network Detection and Response)
SecOPs tiimit työskentelevät tänä päivänä yhä monimutkaisempien hyökkäysten ja haittaohjelmien torjunnan parissa. False positive tapaukset ja ylimääräinen häly työllistävät tekijöitä. Usein käytössä on useampia työkaluja, joiden avulla ongelmia ja hyökkäyksiä pyritään eliminoimaan.

Reveal(X) on työkalu, joka antaa näkyvyyden koko verkkoliikenteeseen TCP Layer 2-7 tasoille. Se näkee kaikki liikennettä generoivat laitteet, sovellukset ja käyttäjät. Liikenne ryhmitellään ja sitä analysoidaan koneoppimisen yli 4700 ominaisuuden avulla.

Intuitiivinen käyttöliittymä antaa työkalut poikkeamien havaitsemiseen ja ohjaa sen syntysijoille. Ongelmaan voidaan tarttua reaaliaikaisesti ja tehokkaasti. Hyökkäyksen onnistuessa tulee GDPR:n mukaan pystyä 72 tunnin sisällä raportoimaan mitä on tapahtunut ja mitä tietoja on viety.

Tietojen hankinta vie aikaa ja resursseja. Usein logeja joudutaan pyytämään eri tahoilta, kuten esimerksi palvelimien ylläpidosta tai palomuurien-, kuormantasaajien-, tietokantojen-, sovellusten- ja työasemien hallinnoijilta. Pahimmassa tapauksessa osa näistä voi olla kolmannen osapuolen takana.

Reveal(x) yhdistää SecOps, NetOps ja ITOps tekijät saman näkymän äärelle ja auttaa selvittämään tietoliikenteen ongelmia tai siihen kohdistuvia hyökkäyksiä.

Kuinka ExtraHop Reveal(x) toimii (pähkinänkuoressa)

Kun Reveal(x) järjestelmä asennetaan tietoliikenneverkkoon se alkaa välittömästi keräämään dataa kaikesta liikenteestä jonka se havaitsee. Järjestelmän keräämää dataa käytetään ns. baseline datan luomiseen, johon koneoppimisen algoritmit jatkossa vertaavat liikennettä. Baseline datan luonti kestää tyypillisesti n. 4 viikkoa. Tässä ajassa järjestelmä on oppinut ymmärtämään mikä on normaalia- ja mikä poikkeavaa liikennettä.

ExtraHop järjestelmän komponentit:

Discovery Appliance (EDA), on laite, joka passiivisesti kerää verkkoliikenteen dataa ”port mirror, network tap tai spanning port” liitännästä ilman käyttäjän tarvetta konfiguroida järjestelmää.

Explore Appliance (EXA) tallentaa tapahtumat, jotka se saa EDA laitteelta. Käyttäjä näkee liikenteen ja tapahtumat ryhmiteltyinä sekä voi porautua mahdollisiin poikkeamiin käyttöliittymän ohjaavan toiminnon avulla.

Trace Appliance (ETA) kerää tietoliikennepaketteja ja integroituu EDA ja Command Appliance laitteeseen. Käyttäjä voi helposti ladata pakettidatan (pcap) valitsemiensa kriterioiden perusteella tarkasteltavaksi.

Command Appliance (ECA) on keskitetty hallintalaite ympäristöön, jossa on useita EDA, EXA ja ETA laitteita. Command Appliance kerää yhteen tiedot esimerkiksi hajautetuista ympäristöistä, pilviratkaisuista ja etätoimistoista.

Monet verkkoliikenteen analysointiin ja poikkeamien havainnointiin käytettävät järjestelmät saattavat vaatia manuaalista konfigurointityötä. Tänä päivänä yhä harvempi tietoliikenneverkko on stabiili ja muutokset verkkoliikenteeseen edellyttävät muutoksia monitorointijärjestelmiin. Reveal(x) koneoppiminen tunnistaa nämä muutokset automaatisesti ja niihin pystytään reagoimaan helposti ja nopeasti.

verkkoliikenteen monitorointi

Lue lisää ExtraHopin blogista