Для реалізації комплексного моніторингу аномальних подій в інфраструктурі недостатньо лише збирати і аналізувати журнали подій безпеки, аналізувати події з кінцевих точок які збирають агенти EDR тощо. Для ефективного моніторингу необхідно збирати і аналізувати мережний трафік. Але запис і зберігання всих даних про мережні з’єднання доволі ресурсоємний і дорогий, тому в більшості випадків здійснюється збір і аналіз потокі на основі flow-based протоколів: Netflow, IPFIX, sFlow, JFlow тощо.
sFlow
sFlow – це технологія систем вимірювання мережевого трафіку загального призначення. Атаки та загрози для безпеки виникають з невідомих джерел, потрібен ефективний моніторинг безпеки повне стеження за мережею, з попередженнями про підозрілу активність, sFlow надає загальну інформацію для всієї мережі. sFlow призначений для вбудовування в будь-яке мережний пристрій і для забезпечення безперервної статистики з будь-якого протоколу (L2, L3, L4 і до L7), так що весь трафік по всій мережі можна точно охарактеризувати і контролювати. sFlow може бути використаний для запобігання навмисних нападів, мінімізація ненавмисних помилок та захист інформаційних ресурсів, для контролю перевантаження, усунення помилок.
sFlow відповідає ключовим вимогам для вирішення моніторингу мережевого трафіку:
- sFlow забезпечує загальне уявлення про використання та активних маршрутах в масштабі всієї мережі. Це масштабований метод вимірювання мережевого трафіку, збору, зберігання і аналізу даних трафіку. Це дозволяє відстежувати десятки тисяч інтерфейсів з одного місця.
- sFlow є масштабованим, дозволяючи йому відслідковувати зі швидкістю до 10 Гбіт/с і вище, не впливаючи на продуктивність основних інтернет-маршрутизаторів і комутаторів і не додаючи значне навантаження на мережу.
- sFlow реалізований на широкому спектрі пристроїв, від простих комутаторів робочої групи L2 до високопродуктивних основних маршрутизаторів, не вимагаючи додаткової пам’яті і процесора [7].
JFlow
Переваги моніторингу JFlow з PRTG:
- PRTG попереджає про збої мережі і помилки протокол;
- швидко виправляти помилки і запобігати мережні збої;
- візуалізація трафіку відображає кореляції;
- визначити підозрілий трафік і шкідливе ПО.
IPFIX
IPFIX – експорт інформації протоколу Інтернету – це протокол IETF, який був створений для задоволення потреби в поширеному, універсальному стандарті експорту інформації про потік інтернет-протоколу (IP) з комутаторів, маршрутизаторів, зондів та інших мережевих пристроїв. Колектор IPFIX є одним з трьох типових функціональних компонентів, що використовуються для аналізу IPFIX:
- IPFIX Exporter: маршрутизатор, комутатор, що зондує або хост-програмний агент з підтримкою IPFIX, який відстежує статистику ключів і іншу інформацію про потік IP – пакетів і генерує записи потоку, які вміщені в UDP і відправляються в збирач потоків.
- Колектор IPFIX: додаток, відповідальне за прийом пакетів записів потоку, опрацювання даних із записів потоку, попередню обробку і збереження запису потоку від одного або декількох експортерів потоку.
- IPFIX Analyzer: програмний додаток, який надає табличні, графічні та інші інструменти і візуалізації, щоб мережні оператори та інженери могли аналізувати дані потоку для різних випадків використання, включаючи моніторинг продуктивності мережі, усунення неполадок і планування пропускної здатності.
Основні функції колектора IPFIX включають:
- перенесення потоків UDP-дейтаграм з декількох пристроїв з підтримкою IPFIX;
- розпакування даних двійкового потоку в текстові / числові формати;
- виконання зменшення обсягу даних шляхом вибіркової фільтрації і агрегації;
- зберігання результуючих даних в плоских файлах або базі даних SQL;
- синхронізація даних потоку з додатком аналізатора IPFIX, які працюють на окремому обчислювальному ресурсі.
Найбільш найголовніша проблема з NetFlow v9 , де IPFIX виходить вперед, забезпечує гнучкість. NetFlow v9 може виконати велику роботу для моніторінга і відправки даних, але як тільки відправити щось, що сама Cisco не вбудовані в стандарт NetFlow, це стає складно. Є способи зробити це, і у нього безумовно є деякий рівень розширюваності, але він стає чимось на зразок завдання kludge з присвоєння нових цінностей, необхідності визначати їх в іншому місці. Насправді це не так вже й складно, але в кінцевому підсумку це марна трата часу, коли вам просто потрібно доставити щось на зразок інформації про URL-адресу або будь-які конкретні дані, які не вбудовані в NetFlow v9. Простіше кажучи, якщо потрібно використати будь – які дані, які не є стандартними для v9, буде набагато краще перейти прямо до IPFIX.
NetFlow
NetFlow – це протокол збору, агрегації і запису даних потоку трафіку в мережі. Дані NetFlow надають більш докладне уявлення про те, як використовуються пропускна здатність і мережевий трафік, ніж інші рішення для моніторингу, такі як SNMP. NetFlow був розроблений Cisco і вбудований в програмне забезпечення Cisco IOS на маршрутизатори і комутатори компанії і підтримується майже на всіх пристроях Cisco. Багато інших виробників устаткування підтримують NetFlow або використовують технології альтернативного потоку, такі як JFlow або sFlow. Рішення Cisco Cyber Threat Defense (CTD) використовує NetFlow в якості основного засобу видимості безпеки. Повна видимість є одним з ключових вимог при визначенні та класифікації загроз безпеки. Першим кроком в процесі підготовки вашої мережі і персоналу до успішного виявлення загроз безпеки є досягнення повної видимості мережі. Неможна захистити або пом’якшити те, що не можна переглянути або виявити. Можна досягти цього рівня видимості мережі за допомогою існуючих функцій на мережних пристроях. Крім того, потрібно створити стратегічні мережеві діаграми, щоб чітко проілюструвати потоки пакетів, а також де в мережі можна включити механізми безпеки для ідентифікації, класифікації та пом’якшення загрози.
Багато мережних адміністраторів, фахівці з безпеки з усіх сил намагаються запобігти втраті даних в своїх мережах. Здатність ідентифікувати аномальну поведінку в потоках даних, має вирішальне значення для виявлення і запобігання втрати даних. Застосування аналітики до даних, зібраних через NetFlow, може допомогти фахівцям в області безпеки виявляти аномальні обсяги даних, що виходять з мережі, і аномальні шаблони трафіку всередині мережі.
Використовуючи NetFlow разом з системами управління ідентифікацією, можна визначити, хто ініціював передачу даних, залучені хости (IP-адреси), обсяг переданих даних. Крім того, можна виміряти, як довго триває зв’язок, а також частота тих же спроб підключення.
Завдяки інноваціям Cisco NetFlow, моніторинг мережного трафіку займає набагато менше часу і зусиль і дає набагато більші переваги. NetFlow робить моніторинг трафіку можливим, постійно збираючи докладні дані про IP-трафік, не впливаючи на продуктивність пристрою або збільшуючи витрати.
