FireEye PX Series - zajem in analiza mrežnega prometa
18.11.2016
FireEye je globalni ponudnik rešitev za samodejno forenzično analiziranje napadov in dinamično zaščito pred naprednimi spletnimi grožnjami, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
predstavljata družino naprav za zajem in analizo mrežnega prometa, v FireEye PX Series je:
- 8 naprav za zajem, in analizo, ki se razlikujejo po zmogljivosti, predvsem glede na število in hitrosti posameznih mrežnih priključkov, ter glede na skupno količino prometa, ki so ga sposobne obdelati,
- zraven pa sodijo še 3 dodatne naprave za povečanje pomnilniškega prostora, kjer se hrani kopija zajetega mrežnega prometa.
Kam namestimo FireEye PX v naše omrežje? No, uporabili bomo vsaj dva priključka. Kontrolni vmesnik bo seveda priključen v tisti segment omrežja, kjer nadziramo tudi preostale naprave ali strežnike. Bolj pomembno je - kako priklopiti mrežni vmesnik (ali hkrati do 4 vmesnike) za spremljanje prometa. Le-te moramo priključiti na prisluškovalne točke SPAN / TAP, ki so lahko v različnih segmentih omrežje. To bo seveda tako, da bo viden promet, ki nas zanima. Najpogostejši tipi postavitve so prikazani na spodnji sliki:
FireEye PX zajema, filtrira in shranjuje mrežni promet, kasneje pa omogoča analizo prometa po potrebi, forenzično preiskavo podatkov in komunikacijskih sej, ki so se v določenem obdobju pretakal po omrežju. Zakaj pa bi kar tako šli nekaj analizirati, to je gora podatkov, katere bi preiskovali? Takrat, ko se je nekaj zgodilo, to pa pove katera druga varnostna rešitev. Torej, medtem ko FireEye NX spremlja spletne protokole, FireEye EX pa samo promet elektronske pošte, bo naprava PX spremlja in analizira celotni promet na lokalnem omrežju, vse protokole, opravlja paketni (packet capture) zajem in spremlja pretočne podatke (flow capture). Naprava je namenjena torej predvsem analitikom v pomoč pri preiskovanju incidentov, ne toliko kot NX ali EX za sprotno odkrivanje in blokiranje groženj, PX pravzaprav nič ne blokira.
V večini okolij bo naprava služila kot dopolnilo NX in EX napravam - ko ena od teh naprav zazna varnostni incident, lahko na PX posreduje osnovne podatke o dogodku, analitik pa bo nato na PX napravi analiziral kaj točno se je takrat dogajalo v omrežju; na ta način lahko na primer zazna lateralno širjenje škodljive kode.
Avtor / prevod: Robert Lubej
Povezava do domače strani:
https://www.fireeye.com/products/enterprise-forensics.html
Povezava do novice:
https://www.fireeye.com/products/enterprise-forensics.html
### ### ###
O podjetju FireEye Inc.
FireEye je globalni proizvajalec sofisticiranih varnostnih rešitev z več kot 1100 velikimi strankami iz vsega sveta vključno z več kot 100 podjetji iz seznama Fortune 500; med najbolj znanimi so Sallie Mae, Equifax, Juniper Networks, Heartland Payment Systems, San Francisco State University, Santa Barbara City College, idr.
Srce FireEye ponudbe je tehnologija izumljena v podjetju - na navideznih strojih temelječa varnostna platforma za sprotno zaščito pred najnovejšimi in najbolj sofisticiranimi grožnjami podjetjem in vladam po vsem svetu. Torej pred napadi, ki so sposobni izogniti se drugim bolj klasičnim varnostnimi rešitvam kot so požarne pregrade, IDS / IPS, protivirusne rešitve na prehodnih točkah ipd. Platforma FireEye Threat Prevention omogoča sprotno dinamično zaščito pred grožnjami brez uporabe vzorcev škodljivega prometa, pri čemer analizira in zaustavlja napade preko različnih vhodno-izhodnih poti, vključno s spletom, elektronsko pošto in datotekami, in na različnih stopnjah življenjskega cikla dolgotrajnega naprednega napada. Jedro platforme sta napredni virtualni pogon in dinamična varnostna analitika, ki skupaj omogočata prepoznavanje in blokiranje kibernetskih napadov v realnem času.
Več o podjetju najdete na spletnih straneh: http://www.fireeye.com
Dodatne informacije:
Robert Lubej, projektni vodja
robert.lubej@real-sec.com
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74
http://www.real-sec.com
info@real-sec.com