Плагины FlowMon

Система обнаружения сетевых атак, аномалий, сложных стойких угроз и нежелательного поведения в сети

Производитель : Flowmon

FlowMon ADS - это современная система обнаружения сетевых атак, аномалий, сложных стойких угроз (advanced persistent threats, АРТ) и нежелательного поведения в сети. Система FlowMon ADS основана на непрерывном анализе статистических данных о сетевом трафике (данные NetFlow/IPFIX), генерируемых зондами FlowMon или  активными устройствами в сети (коммутаторами, маршрутизаторами и брандмауэрами). Целью FlowMon ADS является выявление проблем информационной безопасности, эксплуатационных проблем, а также повышение уровня безопасности сети. Основным преимуществом по сравнению со стандартными SNMP-системами мониторинга и системами обнаружения и предотвращения вторжений заключается в фокусировании на поведении устройств в сети, что позволяет реагировать на ранее неизвестные угрозы, для которых ещё не существует сигнатур.

ГЛАВНЫЕ ХАРАКТЕРИСТИКИ И МЕТОДЫ ДЕТЕКТИРОВАНИЯ

Продукт FlowMon ADS сочетает различные методы искусственного интеллекта для успешного обнаружения инцидентов безопасности и эксплуатационных проблем. Обработка трафика начинается с дедупликации и обнаружения пакетов с общими свойствами, что значительно улучшает качество первичных данных. После этого для детектирования атак и отклонений применяются методы машинного обучения, эвристические алгоритмы, профили поведения, деревья решений и алгоритмы кластеризации. Сочетание этих методов гарантирует высокую надежность и низкий уровень ложных срабатываний.

ДЕТЕКТИРОВАНИЕ АНОМАЛИЙ И НЕЖЕЛАТЕЛЬНОГО ПОВЕДЕНИЯ

FlowMon ADS обнаруживает следующие аномалии и нежелательное поведение в компьютерной сети на основе анализа поведения:

  • Атаки (сканирования портов, атаки по словарю, отказ в обслуживании, атаки с использованием протокола Telnet)
  • Аномалии в трафике (DNS, ICMP, DHCP, многоадресные рассылки, нестандартная коммуникация)
  • Аномалии в поведении устройств (изменение длительно существовавшего профиля поведения устройства, изменения в поведении сети)
  • Нежелательные приложения (P2P-сети, обмен мгновенными сообщениями, анонимайзеры)
  • Проблемы безопасности (вирусы, шпионские программы, бот-сети, коммуникация с блокированных сетевых адресов)
  • Трафик электронной почты (исходящий спам, проблемы конфигурации)
  • Проблемы эксплуатации (задержки, чрезмерная нагрузка, отсутствие обратных записей DNS, недоставленные обновления, подозрительные адресаты)

ПРОФИЛИ ПОВЕДЕНИЯ

Статистические данные о сети и коммуникации каждого хоста сети за длительное время позволяют FlowMon ADS контролировать всю сеть и сообщать о любом изменении в поведении сети или хостов. Профили поведения сетевых хостов продукта FlowMon ADS включают:

  • Объемы трафика данных (передаваемые данные, счетчик подключений)
  • Структура услуг (используемые и предоставляемые услуги)
  • Партнеры по коммуникации
  • Общая активность сетевого устройства
  • Подробная анкета для каждого IP-адреса, мониторинг трендов

ОСНОВНЫЕ ПРЕИМУЩЕСТВА

  • Подробный обзор структуры сетевого трафика
  • Оценка соблюдения требований регулирующих органов
  • Обнаружение внутренних/внешних атак, полиморфных вредоносных программ и АРТ-угроз
  • Обнаружение потенциальных утечек данных
  • Мониторинг уровня качества сервисов
  • Удаление нежелательных приложений
  • Обнаружения зараженных сетевых устройств
  • Предупреждение использования нежелательного программного обеспечения и обмена незаконным контентом
  • Контроль исходящего сетевого трафика, защита репутации организации
  • Анализ задержек в работе сети, услуг и приложений
  • Обнаружение некорректных сетевых конфигураций

ВИЗУАЛИЗАЦИЯ ИНТЕРАКТИВНЫХ СОБЫТИЙ

Пользователь может получить подробную информацию о событиях и инцидентах и возможность немедленно на них отреагировать. Для более легкой и быстрой работы события визуализированы в виде ориентированных графов, и пользователь может найти детальную информацию о коммуникации с помощью всего нескольких щелчков мышью.

Другие методы визуализации события:

  • Интерактивная панель для обзора текущего состояния
  • Исследование и оценка происшедших событий в виде ориентированных графов, созданных на основе данных сетевого трафика, который вызвал событие
  • Интерактивный просмотр, отображающий данные, релевантные событию, до уровня индивидуальной передачи данных
  • Экспорт статистики сетевого трафика

ЛЕГКОЕ РАЗВЕРТЫВАНИЕ И РАСШИРЯЕМОСТЬ

FlowMon ADS предназначен для немедленного развертывания и использования в различных средах. Система отличается гибкостью, поскольку включает:

  • Шаблоны типовой конфигурации для разных типов сетей
  • Мастер конфигурации для быстрого развертывания
  • Комплексные графические отчеты, генерируемые приложением по требованию
  • Уведомления о нежелательных состояниях и ситуациях в сети по электронной почте
  • Интеграция с системами SIEM с использованием системного журнала и SNMP
  • Интеграция со справочной службой и системой обработки инцидентов с помощью интерфейса электронной почты
  • Программный плагин для решения FlowMon, легко устанавливаемый на зонды и коллекторы FlowMon
  • Оптимизированная версия в соответствии с размером/типом сети (корпоративная сеть/провайдер интернет-услуг)
  • Поддержка NetFlow v5/v9, IPFIX, NetStream, IPv4 и IPv6
  • Анализ двунаправленных потоков (RFC 5103)
  • Десятки алгоритмов для идентификации инцидентов безопасности и проблем эксплуатации
  • Создание долговременных профилей поведения устройств в сети с точки зрения услуг, объема трафика и партнеров по коммуникации
  • Всеохватывающая информационная панель с немедленным отражением инцидентов и топ-рейтингами статистических данных
  • Интерактивная визуализация событий
  • Интеграция информации от DNS, WHOIS и геолокационных сервисов