Přednáška o možnostech monitoringu a analýzách sítí pomocí technologií značky Flowmon, kterou jsem měl na Snídani se zákazníky IBM a GC System 17. května 2017
Flowmon – chytré řešení pro monitorování a bezpečnost sítí
1. Flowmon – chytré řešení pro
monitorování a bezpečnost sítí
MOŽNOSTI MONITORINGU A ANALÝZY SÍTĚ S VYUŽITÍM TECHNOLOGIÍ
FLOWMON NETWORKS VČETNĚ SPOLUPRÁCE S PLATFORMOU IBM QRADAR
Ing. Marek Kocan/ Vojtěch Hodes
2. Actimmy a.s.
• Na českém trhu již od roku 2000
• Specializace na komplexní systémovou a marketingovou podporu v oblasti HW, SW,
internetových a e-business aplikací, videoprodukce
• Portfolio v oblasti monitorování a bezpečnosti počítačových sítí s důrazem na flow
monitoring, behaviorální analýzu sítě a řešení pro ochranu proti kybernetickým útokům
a kybernetické kriminalitě
• Implementace řešení pro správu IP adresního prostoru a řízení přístupu do sítě
• Partner společností Flowmon Networks a.s. a Novicom, s.r.o.
2
3. Agenda
• Monitoring? Monitoring!
• Řešení Flowmon Networks
• Flowmon ADS
• SIEM, integrace s IBM QRadar Security Intelligence Platform
• Případová studie
• Praktické ukázky
• Q & A
3
4. Monitoring? Monitoring!
• Cíl? Rychlá, spolehlivá a dobře zabezpečená síťová infrastruktura!
• Monitorování sítě v reálném čase
• Využití datových toků aneb kdo s kým, jak dlouho, jakým protokolem a objem přenosu
• Komplexní přehled o aktuálním stavu s možností pokročilých analýz a detekci anomálií
• Eliminace pokročilých kybernetických hrozeb
• Snížení nákladů na správu sítě
• … a mnoho dalšího
4
5. • Založeno na technologii NetFlow v5/v9
• Nezávislé na topologii sítě a použitých prvcích, vhodné pro sítě všech velikostí
• Pasivní monitoring s různými zdroji informací o datových tocích
• Kompatibilita s produkty třecích stran i v případě kolektorových aplikací
• Analýza hlaviček paketů – samotný obsah není monitorován a ukládán
(až na Flowmon Traffic Recorder pro úplný záznam provozu a paketovou analýzu)
• Redukce 500:1
Řešení Flowmon Networks
5
6. • Zdroj dat – Flowmon sondy, použitelné v libovolném bodu sítě, TAP / mirroring
• Sběr dat, vizualizace a analýzy – Flowmon kolektor
• Dostupnost jako HA / VA (VMware, Hyper-V, bude KVM)
• Rozšiřující funkcionalita – Flowmon pluginy
• ADS – detekce anomálií pomocí behaviorální analýzy
• APM – monitorování kvality provozu
webových aplikací
• DDoS Defender – detekce a mitigace
útoků typu DoS/DDoS
• Traffic Recorder – kompletní záznam
datové komunikace
Architektura řešení Flowmon
6
7. • Sledování celkového chování zařízení v síti
• Nevyužívá signatury, ale behaviorální analýzy, strojové účení a profilování chování
• Detekce nežádoucích vzorů chování i anomálií
• Široká škála detekčních metod
• Perspektivy a různorodé pohledy
• Analýzy včetně drill-down rozpadů
Flowmon Anomaly Detection System
7
8. • Široké možnosti reportování údálostí (e-mail, SIEM, SNMP, uživatelské skripty ...)
• Nativní integrace se SIEM systémy pro maximální využití získaných informací
• Flowmon ADS jako spolehlivý zdroj síťových událostí zjištěných pokročilým systémem NBA
• Podpora různých úrovní závažnosti událostí a rozlišení na úrovni jedné zprávy pro každý cíl reportované události
• Integrace s QRadar – nasměrování Syslogu na externí
server, nastavení nového zdroje na straně QRadar,
použití integračních skriptů … (integrační balíček)
• Přímý přechod z QRadar do Flowmon ADS pro
zobrazení detailů příslušné události
• Podpora klasifikace událostí
• Ukázky integračního manuálu a přenášených dat
SIEM || QRadar
8
10. • Integrace Flowmon a QRadar na několika úrovních:
• Přeposílání Neflow z kolektoru do SIEM
• Integrace specifických alertů z FlowMon monitorovacího centra
• Integrace událostí z FlowMon ADS
• Klasifikace události, pravidla pro SIEM
NBA už nestačí. Nutné jsou korelace z více zdrojů a z toho plyne potřeba SIEMu.
Bez SIEMu neuvidíte mnoho provozních závad na síti. Nasazení FlowMon s QRadar SIEM
nemusí být čistě pro bezpečnost ale i pro provozní účely.
Případová studie - VŠCHT
10
12. Proč Flowmon + ADS + QRadar
• Podrobný přehled v takřka reálném čase
• Detekce anomálií a analýzy chování v síti
• Budování dlouhodobých profilů chování zařízení na síti z pohledu služeb, objemů provozu a
komunikačních partnerů, pokročilé analýzy včetně normalizace a korelace aktivit
• Využití oblíbeného a spolehlivého SIEM řešení
• Naplnění právních náležitostí (např. proaktivita z pohledu GDPR)
• Snížení nákladů na řešení problémů -> celkové úspory
12