Cisco Stealthwatch
 
Cisco Stealthwatch zbiera dane o ruchu jaki miał miejsce w sieci i umożliwia jego wizualizację, przeszukiwanie oraz analizę pod kątem nietypowego zachowania oraz zagrożeń. Są to same metadane z ruchu jaki miał miejsce w sieci, a nie dane użytkowników, stąd zachowana jest poufność przesyłanych informacji. 
 
Dzięki układom ETA (Encrypted Traffic Analytics) w m.in. przełącznikach Cisco Catalyst 9000, routerach Cisco ISR 1000, Cisco ISR 4000 i Cisco ASR 1000 oraz kontrolerach sieci bezprzewodowej Cisco WLC 9800, możliwa jest także analiza ruchu szyfrowanego pod kątem występujących w nim zagrożeń. Odbywa się to bez deszyfrowania, bez naruszania prywatności oraz bez spadku wydajności transmisji. Informacje o nowych zagrożeniach oraz ich zachowaniu dostarczane są na bieżąco z Cisco Talos oraz Cisco Cognitive Intelligence.
 
Cisco Stealthwatch
 
 
Cisco Stealthwatch jest kolektorem m.in. danych NetFlow, NSEL i IPFIX, który umożliwia zbieranie i analizowanie danych o ruchu na brzegu sieci, w jej wnętrzu oraz wewnątrz środowisk wirtualnych. Dzięki inteligentnej deduplikacji danych, każdy przepływ przechodzących przez więcej niż jedno urządzenie uwzględniany jest tylko raz. Jest to kluczowe, gdy interesują nas dane z więcej niż jednego miejsca, z czym nie radzą sobie darmowe odpowiedniki. Dzięki NBAR (Network Based Application Recognition) jest on w stanie wykrywać także mikro-aplikacje. 

Zainteresowanych zbieraniem informacji na temat ruchu oraz Cisco Stealthwatch i ETA This email address is being protected from spambots. You need JavaScript enabled to view it..

Cisco Stealthwatch jest w stanie skorelować zebrane informacje z danymi identyfikującymi użytkowników i ich urządzenia z Cisco ISE (Identity Services Engine) oraz precyzyjnie wskazać pochodzenie ruchu lub nawet wyzwolić poprzez Cisco ISE automatyczne przeniesienie kłopotliwych urządzeń do kwarantanny.
 
  
Powyżej można zobaczyć przykładowe zestawienie użytkowników sieci wraz z wykrytymi alarmami. Dla przykładu u użytkownika "ken" wykryto m.in. DH (Data Hording - pobrał nietypowo dużą ilość danych z innych urządzeń w sieci), EX (Exfiltration - wykryto wyciek danych) oraz PV (Policy Violation - naruszył zdefiniowane polityki, tj. np. rozsyła SPAM lub korzysta z sieci ToR). Na temat każdego takiego alarmu dostępne są bardziej szczegółowe informacje.

Dla każdego z interesujących nas urządzeń możemy zestawić generowany przez niego ruch aplikacyjny. Dzięki temu widać z jakich aplikacji i usług korzysta jego użytkownik lub jak bardzo wykorzystywane są usługi danego serwera.
 
   
Na obrazku powyżej z lewej widać też wykryte zagrożenie w ruchu zaszyfrowanym analizowanego urządzenia przez Cisco Cognitive Intelligence (dawniej Cisco Cognitive Threat Analytics), który zajmuje się poznawczą analizą zagrożeń i budowaniem na tej podstawie modeli uczenia maszynowego (ang. Machine Learning) odnoszących się do danych zagrożeń, które są dalej wykorzystywane dla przykładu w Cisco Stealtwatch do analizy w wyłapywanym ruchu.

Dane można przetrzymywać długoterminowo i odwoływać się do nich nawet po kilku miesiącach czy latach. Dzięki temu, dla przykładu mając informację o tym kiedy i do jakiego miejsca był nawiązywany ruch, zawsze jesteśmy w stanie wskazać użytkownika i urządzenie będące jego źródłem.
 

 

U góry widać przepływy pasujące do zadanych kryteriów przeszukiwania.


Dzięki wspomnianemu wcześniej Cisco Cognitive Intelligence dostępne są nie tylko widoczne wcześniej bardzo ogólne informacje o fakcie wykrycia zagrożenia. Kiedy wejdziemy głębiej, zobaczyć możemy dlaczego dany ruch został uznany za podejrzany lub zagrożenie. Widać opis zagrożenia, ocenę ryzyka, zalecenia oraz oś czasu z historią.

Cisco Stealthwatch jest także w stanie analizować pod kątem bezpieczeństwa dane telemetryczne udostępniane z Cisco Tetration. Dzięki temu można powiązać wykryte zagrożenie w ruchu z dokładnym procesem, wywołaniem systemowym czy użytkownikiem aplikacji/mikro-aplikacji. 


Cisco Stealthwatch dostarcza funkcje identyfikacji złowrogiego i nietypowego zachowania w sieci. Gromadzi dane o ruchu sieciowym dostarczając różne statystyki na temat wykorzystania sieci oraz umożliwia historyczny wgląd w to co się w niej działo. Dane te można wygodnie przeszukiwać.


Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.