Porównaj rozwiązania w zakresie analiz bezpieczeństwa

Podobne dokumenty
Client Management Solutions i Mobile Printing Solutions

Purview Widoczność i kontrola w L7, analityka aplikacji bez degradacji wydajności sieci do 100 mln sesji

Client Management Solutions i Mobile Printing Solutions

System zarządzania i monitoringu

Security Master Class

Splunk w akcji. Radosław Żak-Brodalko Solutions Architect Linux Polska Sp. z o.o.

Client Management Solutions i Universal Printing Solutions

EXSO-CORE - specyfikacja

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

WDROŻENIE RSA NETWITNESS SUITE W BRANŻY E-COMMERCE

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Wirtualizacja sieci - VMware NSX

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi

Instrukcja konfiguracji funkcji skanowania

SZCZEGÓŁOWE OKREŚLENIE System zarządzania urządzeniami sieciowymi

Włącz autopilota w zabezpieczeniach IT

9. System wykrywania i blokowania włamań ASQ (IPS)

Oracle Log Analytics Cloud Service

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Opis Przedmiotu Zamówienia

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

IBM QRadar. w Gartner Magic Quadrant

Monitorowanie aplikacji i rozwiązywanie problemów

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

OCHRONA SIECI DLA KAŻDEJ CHMURY

Rozwiązania biznesowe na żądanie. IBM Workplace Services Express

Instalacja SQL Server Express. Logowanie na stronie Microsoftu

Znak sprawy: KZp

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

BITDEFENDER GRAVITYZONE

Bringing privacy back

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

OCHRONA URZĄDZEŃ MOBILNYCH PRZED CYBERZAGROŻENIAMI DLA INSTYTUCJI PAŃSTWOWYCH I KORPORACJI. Listopad 2017

Diagnostyka awarii to nie tylko PING Pokaz zintegrowanego systemu monitorowania sieci IBM Corporation

Przełączanie i Trasowanie w Sieciach Komputerowych

SPECYFIKACJA TECHNICZNA PRZEDMIOTU UMOWY DOTYCZĄCA CZĘŚCI AKTYWNEJ ŁĄCZA

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Wymagania dotyczące systemu analizy bezpieczeństwa sieci -

! Retina. Wyłączny dystrybutor w Polsce

SIŁA PROSTOTY. Business Suite

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Rozwi zania Client Management Solutions i Mobile Printing Solutions. Numer katalogowy dokumentu:

Analityka i BigData w służbie cyberbezpieczeństa

Zabezpieczanie systemu Windows Server 2016

PROFINETSET narzędzie konfiguracyjne dla sieci PROFINET

Fujitsu World Tour 2018

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Symantec Enterprise Security. Andrzej Kontkiewicz

Kontroluj bezpieczeństwo swoich urządzeń dzięki konsoli w chmurze

OPIS PRZEDMIOTU ZAMÓWIENIA

Kielce, dnia roku. HB Technology Hubert Szczukiewicz. ul. Kujawska 26 / Kielce

Instalator umożliwia zainstalowanie aplikacji klienckiej na komputerze użytkownika końcowego. Na instalator składają się następujące funkcje:

Zintegrowana platforma zarządzania miastem w kontekście bezpieczeństwa publicznego. (Centrum Bezpieczeństwa Miasta)

Polityka ochrony danych osobowych w programie Norton Community Watch

2016 Proget MDM jest częścią PROGET Sp. z o.o.

Przetwarzanie danych w chmurze

ASQ: ZALETY SYSTEMU IPS W NETASQ

Zbuduj prywatną chmurę backupu w firmie. Xopero Backup. Centralnie zarządzane rozwiązanie do backupu serwerów i stacji roboczych

Zapewnienie dostępu do Chmury

Kontrola dostępu, System zarządzania

Różnice pomiędzy hostowanymi rozwiązaniami antyspamowymi poczty firmy GFI Software

7. zainstalowane oprogramowanie zarządzane stacje robocze

System Kancelaris. Zdalny dostęp do danych

PROFINETSET narzędzie konfiguracyjne dla sieci PROFINET

Problemy z bezpieczeństwem w sieci lokalnej

Metody analizy ruchu sieciowego

Analiza malware Remote Administration Tool (RAT) DarkComet

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

Win Admin Replikator Instrukcja Obsługi

Arkanet s.c. Produkty. Norman Produkty

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Temat: Windows 7 Centrum akcji program antywirusowy

Metryka dokumentu: RFC-2350 CERT Alior Data wydania pierwszej wersji: wydania kolejnej jego wersji.

Załącznik nr 18 do OPZ - oprogramowanie zarządzania siecią

Projektowanie i implementacja infrastruktury serwerów

Rejestr HKEY_LOCAL_MACHINE

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Bitdefender GravityZone

Opis przedmiotu zamówienia w postępowaniu na usługę udostępniania/świadczenia poczty elektronicznej on-line (z aplikacją kalendarza).

ISTOTNE POSTANOWIENIA UMOWY

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Laboratorium - Podgląd informacji kart sieciowych bezprzewodowych i przewodowych

Rozwiązanie Compuware Data Center - Real User Monitoring

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

BEZPIECZEŃSTWO UŻYTKOWNIKA APLIKACJI FACEAPP. Analiza Zespołu CERT POLSKA w Państwowym Instytucie Badawczym NASK

Wymagania dla systemu analizy i zarządzania zdarzeniami.

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

OCHRONA SYMANTEC ENTERPRISE SECURITY. Kompleksowe rozwiązania ochrony przed włamaniami opracowane przez firmę Symantec

DLP i monitorowanie ataków on-line

Ping. ipconfig. getmac

Przewodnik Google Cloud Print

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami

Wyspecjalizowani w ochronie urządzeń mobilnych

Transkrypt:

Porównaj rozwiązania w zakresie analiz bezpieczeństwa Dowiedz się, jak Cisco Stealthwatch prezentuje się na tle innych produktów w zakresie analiz bezpieczeństwa. Rozwiązanie to cechuje się wysoką skalowalnością, zapewniając wgląd w dane całej sieci. Stealthwatch potrafi wykrywać i reagować na zaawansowane zagrożenia w czasie rzeczywistym za pomocą uczenia maszynowego i modelowania wystąpień. Obejrzyj Stealthwatch Wykrywanie Analiza i wykrywanie złośliwego oprogramowania w zaszyfrowanym ruchu danych Wykorzystuje analizy szyfrowanego ruchu danych Wykrywanie gromadzenia danych Zdarzenia kumulują się we wskaźniku gromadzenia danych, który jest mierzony poprzez bezwzględny limit albo wyuczone zachowanie hosta lub grup. Potrafi wykryć anomalię, ale nie konkretne zdarzenie związane z gromadzeniem danych Wykrywanie ruchu poziomego Umożliwia wykrywanie robaków i wizualne śledzenie złośliwego oprogramowania w całej sieci Może wykryć anomalię, ale nie ma opublikowanej możliwości wywołania konkretnie ruchu poziomego Pełna ścieżka audytu sieci Może rejestrować każdą rozmowę w sieci za pomocą narzędzi do gromadzenia przepływu i czujników przepływu Wykorzystuje tylko czujniki, więc prawdopodobnie umknie mu część ruchu Przepływ zapisany w narzędziach chmurowych Wykrywanie rozpoznawania Może wykryć szybkie i powolne skanowanie przy użyciu unikalnego algorytmu, który jest bardzo czuły na zdarzenia o bardzo małej szybkości skanowania Potrafi wykryć rozpoznanie, ale prawdopodobnie nie będzie tak czuły jak unikalny algorytm skanowania Stealthwatch Z opcjonalną analizą przepływu Uczenie maszynowe Wykorzystuje wielowarstwowe uczenie maszynowe celem zapewnienia wysokiej precyzji wykrywania Ma ograniczone możliwości w zakresie określania stanu odniesienia w oparciu o kompleksowe wyniki z ruchu danych 1

Wykrywanie (ciąg dalszy) Wykrywanie eksfiltracji Generuje alarm dotyczący podejrzenia utraty danych w odniesieniu do hostów eksfiltrujących więcej danych (w tym zaszyfrowanych) niż normalnie telemetrię z urządzeń sieciowych, a wykrywanie Wykrywanie ataków typu command-and-control Potrafi wykrywać wiele zdarzeń związanych z bezpieczeństwem za pomocą analizy i wglądu w zagrożenia w celu wykrycia równorzędnych ataków typu command-and-control Brak szczególnych algorytmów dla ataków typu command-and-control Wykrywanie anomalii Posiada zaawansowany i sprawdzony system wykrywania anomalii obejmujący ponad 150 algorytmów Z opcjonalną analizą przepływu Wykrywanie złośliwego oprogramowania Może zapewnić wykrywanie nieopublikowanych zagrożeń Z opcjonalną analizą przepływu Wdrożenie Skalowalność Może skalować do 6 milionów przepływów na sekundę, obsługiwać połączenia z interfejsem o szybkości od 100 Mb/s do 10 Gb/s, szczytowe okresy ruchu danych powyżej poziomów znamionowych, a także gromadzić dane telemetryczne z tysięcy czujników dane telemetryczne z sieci Do obsługi skonsolidowanego raportowania i map przepływu w wielu punktach zbierania danych Plixer wymagana jest kompleksowa konfiguracja i dostosowanie. Przechowywanie danych System może przechowywać średnio przepływ danych o wartości 30 45 dni, a często znacznie więcej, co pozwala na bardziej szczegółowe dochodzenia. Brak zgłoszonych danych potwierdzających możliwości przechowywania Wykrywanie nieopublikowanych ataków Wykrywa nowe lub unikalne złośliwe oprogramowanie, dla którego nie ma jeszcze sygnatur, korzystając z metody behawioralnej o więcej niż 90 parametrach Ma ograniczone możliwości w zakresie określania stanu odniesienia w oparciu o kompleksowe wyniki z ruchu danych 2

Wdrożenie (ciąg dalszy) Kompresja danych W miarę odbierania przepływów przez punkt zbierania danych wykonywana jest ich synteza w dwukierunkowe przepływy rezydujące w pamięci. Ogranicza to liczbę fałszywych alarmów i umożliwia efektywne przechowywanie danych oraz precyzyjne raportowanie na poziomie hosta. dane telemetryczne z sieci. Niektóre informacje są odrzucane Model wdrożenia Nie wymaga wdrożenia czujników ani drogich sond. Funkcję telemetrii można po prostu włączyć na urządzeniach sieciowych, aby analizować ruch danych w sieci. Klienci muszą kupić czujniki i wybrać łącza do monitorowania, a nie tylko włączyć funkcję telemetrii na urządzeniach sieciowych i pobierać wszystkie rozmowy; model jest drogi i trudny do skalowania. Możliwość korzystania z większości źródeł telemetrii opartej na przepływie Wgląd w dane w punkcie końcowym W przypadku rozwiązania Cisco AnyConnect 4.2 i nowszych wersji licencja Endpoint Data License gromadzi dane telemetryczne z punktów końcowych przy użyciu protokołu Cisco Network Visibility Flow (nvzflow). Brak takich funkcji, jak włączanie hasła, gotowe ustawienia konfiguracyjne dla typów NAD oraz proxy TACACS+ Wgląd w dane chmury Może monitorować chmurę publiczną za pomocą rozwiązania Stealthwatch Cloud opartego na SaaS Wykorzystuje czujniki do monitorowania sieci chmury prywatnej i złącza chmurowego dla poszczególnych aplikacji Wykorzystuje dzienniki Amazon AWS, które są podobne do przepływów i obejmują działania polegające na zezwalaniu i odrzucaniu Eksport danych Integruje się z systemami informacji o bezpieczeństwie i oferuje API do integracji niestandardowej, obsługuje również API SOAP i REST Posiada złącze Splunk, które odbiera dane wejściowe narzędzia syslog JSON z urządzenia Darktrace i wyświetla zdarzenia bezpieczeństwa w środowisku Splunk; łączy je również z raportami w interfejsie Darktrace Threat Visualizer Obsługuje API REST i dane wyjściowe dzienników Powiadomienia o alarmach Zapewnia eksport poczty e-mail lub dzienników syslog do systemu SIEM, Netcool, system śledzenia Remedy itp. z powiadomieniami e-mail, SNMP i syslog Zapewnia sformatowane dane wyjściowe narzędzia syslog Oferuje rejestrację ruchu wychodzącego i ostrzeganie o ruchu wychodzącym 3

Dochodzenia Pełny zakres przepływów dochodzeń Może badać długotrwałe zdarzenia związane z bezpieczeństwem. Generuje alarmy kontekstowe i niestandardowe, wiąże nazwę użytkownika z adresem IP, monitoruje wykorzystanie interfejsu, przeprowadza głęboką kontrolę pakietów i rejestruje każdą rozmowę w sieci. Klasyfikuje wykryte zagrożenie i wizualizuje je w interfejsie Threat Visualizer Brak konfigurowalnych interfejsów, szybkie określanie trendów historycznych, funkcje zautomatyzowanych działań naprawczych i narzędzia do analizy przyczyn źródłowych Efektywność dla klientów korporacyjnych Upraszcza segmentację poprzez logiczne modelowanie hosta i grupy w celu uporządkowania użytkowników według lokalizacji, adresu IP, funkcji itp.; oferuje niestandardowe szczegóły powiadamiania i formaty z potwierdzeniem alarmu telemetrię z sieci, co powoduje problemy ze skalowaniem do potrzeb przedsiębiorstw Do obsługi skonsolidowanego raportowania i map przepływu w wielu punktach zbierania danych Plixer wymagana jest kompleksowa konfiguracja i dostosowanie. Elastyczny system zapytań i filtracji Obsługuje zapytania dotyczące wszystkich przechwyconych pól. Zaawansowane wyszukiwanie jest dostępne dla zaszyfrowanego ruchu danych w związku z wymianą kluczy szyfrujących, algorytmem szyfrowania, długością klucza, wersją TLS/SSL itp. Brak informacji porównawczych w opublikowanych materiałach Brak konfigurowalnych interfejsów, szybkie określanie trendów historycznych, funkcje zautomatyzowanych działań naprawczych i narzędzia do analizy przyczyn źródłowych. Pulpit cyberzagrożeń Dostarcza istotnych informacji dla personelu SecOps, np. jakie indeksy są wypełnione alarmami, które alarmy są aktywne, z którymi hostami związanych jest najwięcej alarmów itp. Zapewnia również możliwość uzyskania większej ilości szczegółów i powiązanych danych telemetrycznych. Stanowi przede wszystkim narzędzie bezpieczeństwa, a przestrzeń robocza skupia się na SecOps Oparte na pulpicie do monitorowania bezpieczeństwa i sieci Wizualizacja i mapowanie Generuje automatyczne mapy, takie jak ścieżki rozprzestrzeniania się robaków i mapy niestandardowych powiązań, umożliwiając wizualizację dowolnego zestawu hostów i sposobu ich komunikacji z dowolnym innym zestawem Rozwiązanie zdecydowanie ukierunkowane na grafikę Proste schematy i wykresy Dochodzenie w sprawie zdarzeń Interfejs użytkownika jest zorganizowany wokół osobistych przepływów pracy, dzięki czemu natychmiast prowadzi administratorów do przyczyn źródłowych i informacji pomocniczych. Rozwiązanie wyposażone w interfejs Threat Visualizer, który zapewnia wgląd w zagrożenia i umożliwia ich usunięcie Oferowane są przepływy pracy dotyczące dochodzeń. 4

Kontekst Bogactwo danych kontekstowych Rozwiązanie zintegrowane z platformą Cisco Identity Services Engine (ISE). Umożliwia wyszukiwanie informacji o hostach, takich jak identyfikator użytkownika, adres MAC, typ urządzenia i informacje o porcie przełączania; nie wymaga osobnego zapytania, aby wyszukać powiązanego użytkownika, ponieważ można zapisać identyfikator użytkownika Zintegrowane z Active Directory w odniesieniu do danych użytkowników Oferuje czujniki skoncentrowane na różnych rodzajach danych, w tym odnoszące się do wydajności aplikacji i głębokich analiz DNS Dane dotyczące tożsamości Rozwiązanie zintegrowane z platformą Cisco ISE, produktami Cisco ASA (NSEL), serwerami DHCP/RADIUS oraz serwerami uwierzytelniania Active Directory do korelacji tożsamości z danymi telemetrycznymi Zintegrowane z Active Directory w odniesieniu do danych użytkowników Zintegrowane z Active Directory Integracja dostawców routingu i przełączania Podstawowym źródłem danych są routery, przełączniki, zapory i sterowniki bezprzewodowe. Może natywnie analizować wiele wersji telemetrii i NetFlow od wielu dostawców, takich jak IPFIX i sflow, a także inne protokoły warstwy 7. dane telemetryczne z sieci. Wymaga portu SPAN lub TAP dla każdego monitorowanego łącza i ogranicza się do zawartości łącza. Przechwytywanie danych adresów URL Czujniki przepływu mogą pobierać dane adresów URL używane przez narzędzia do gromadzenia danych przepływu i centrum zarządzania. Dane adresów URL mogą być przeszukiwane według operatorów. Zintegrowane również z rozwiązaniem Cisco Security Packet Analyzer, które może pobrać dokładne datagramy reprezentowane przez przepływ (w formacie PCAP). W całości opiera się na czujnikach i ma wgląd w pakiet danych Może przechwytywać dane adresów URL za pomocą czujników 5

Kontekst (ciąg dalszy) Generowanie NetFlow dla środowisk VMware Wykorzystuje funkcję eksportu NetFlow przełącznika wirtualnego lub wirtualny czujnik przepływu, ponieważ do rejestrowania ruchu wykorzystuje czujniki Możliwość korzystania z telemetrii NetFlow z VMware Gromadzenie danych aplikacji i przepływu L7 Utrzymuje stan przepływu (aktywny, nieaktywny lub ciągły); generuje NetFlow w oparciu o monitorowanie portów SPAN lub TAP; posiada integrację proxy; oferuje tożsamość aplikacji dla wielu dostawców, takich jak Palo Alto Networks i L7 Defense; wykorzystuje NBAR i NBAR2 z czujnikiem przepływu Wykorzystuje sondy analizujące te dane bezpośrednio z surowych pakietów Może odbierać dane zapory, przepływ z portu SPAN z czujnikiem oraz identyfikator aplikacji z czujnika lub zapory. Brak obsługi NBAR lub integracji proxy. Przechwytywanie całych pakietów Zintegrowane z rozwiązaniem Cisco Security Packet Analyzer, narzędziem zainstalowanym w porcie SPAN lub TAP, które utrzymuje bieżący bufor datagramów na segmencie i umożliwia pobieranie w formacie PCAP dokładnych datagramów reprezentowanych przez dane telemetryczne, a nawet plików zawartych w PCAP. Może również uruchomić dekodowanie pakietów zamiast pobierania innej aplikacji. Nieznane Brak informacji porównawczych w opublikowanych materiałach Brak możliwości przechwytywania pełnych pakietów Analizy szyfrowanego ruchu danych Wykorzystuje analizy szyfrowanego ruchu danych lub ulepszoną telemetrię z sieci Cisco w celu wykrywania złośliwego oprogramowania i zapewnienia zgodności z przepisami dotyczącymi kryptografii. Rozwiązanie Stealthwatch analizuje szyfrowany ruch danych z wykorzystaniem zaawansowanego uczenia maszynowego oraz globalnych informacji o zagrożeniach. Może być w stanie wykryć pewne nietypowe zachowania w szyfrowanym ruchu danych Brak możliwości analizy szyfrowanego ruchu danych Ocena reputacji w skali całego przedsiębiorstwa Tworzy oceny oparte na indeksie dla każdego hosta, który podejmuje nietypową aktywność, według hosta Model wykrywania anomalii może wykorzystywać globalny mechanizm oceny Brak koncepcji indeksów bezpieczeństwa; wyzwala tylko surowe ostrzeżenia i alarmy 6

Informacje o zagrożeniach Kanał informacji o zagrożeniach Licencja na informacje o zagrożeniach Stealthwatch i globalna mapa ryzyka, obsługiwane przez Talos, to kanał zagrożeń z wielu źródeł, aktualizowany co najmniej raz na godzinę. Jego celem jest zapewnienie zestawu informacji pozwalającego wyeliminować fałszywe alarmy. Dostępny jest kanał zagrożeń z listą znanych złośliwych stron internetowych. Brak, mimo że Plixer posiada urządzenie ukierunkowane na DNS do wykrywania problemów z DNS Wykrywanie naruszeń Potrafi wykrywać zagrożenia związane z wykorzystywaniem informacji poufnych, takie jak eksfiltracja danych, komunikacja typu command-and-control, a także długie i powolne ataki. Informacje o zdarzeniach bezpieczeństwa są przesyłane do indeksów w celu wyzwalania alarmów za pomocą algorytmów behawioralnych i limitów bezwzględnych, które mogą być ustawiane przez operatora. Wykrycie wielu naruszeń jest wywoływane, ale zakres nie jest znany. Udostępnianie informacji o zagrożeniach Dane o zagrożeniach z rozwiązania Stealthwatch są wykorzystywane przez Cisco Talos i vice versa. Cisco udostępnia dane setkom partnerów, klientów i dostawców za pośrednictwem programów Aegis, Crete i Aspis, firma jest także członkiem założycielem organizacji Cyber Threat Alliance. 2018 Cisco i (lub) podmioty powiązane. Wszelkie prawa zastrzeżone. Nazwa i logo Cisco są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Cisco i (lub) jej podmiotów powiązanych w Stanach Zjednoczonych i innych krajach. Lista znaków towarowych firmy Cisco znajduje się pod następującym adresem: www.cisco.com/go/trademarks. Znaki towarowe innych podmiotów wymienione w tym dokumencie są własnością ich prawnych właścicieli. Użycie słowa partner nie oznacza stosunku partnerstwa między firmą Cisco a jakąkolwiek inną firmą. 7

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres