FlowMon ADS

Системы сбора, анализа и управления событиями ИБ

Защита сетей от внутренних и внешних угроз

FlowMon ADS - это современная система обнаружения сетевых атак, аномалий, сложных стойких угроз (advanced persistent threats, АРТ) и нежелательного поведения в сети. Система FlowMon ADS основана на непрерывном анализе статистических данных о сетевом трафике (данные NetFlow/IPFIX), генерируемых зондами FlowMon или активными устройствами в сети (коммутаторами, маршрутизаторами и брандмауэрами). Целью FlowMon ADS является выявление проблем информационной безопасности, эксплуатационных проблем, а также повышение уровня безопасности сети. Основным преимуществом по сравнению со стандартными SNMP-системами мониторинга и системами обнаружения и предотвращения вторжений заключается в фокусировании на поведении устройств в сети, что позволяет реагировать на ранее неизвестные угрозы, для которых ещё не существует сигнатур.

ГЛАВНЫЕ ХАРАКТЕРИСТИКИ И МЕТОДЫ ДЕТЕКТИРОВАНИЯ

Продукт FlowMon ADS сочетает различные методы искусственного интеллекта для успешного обнаружения инцидентов безопасности и эксплуатационных проблем. Обработка трафика начинается с дедупликации и обнаружения пакетов с общими свойствами, что значительно улучшает качество первичных данных. После этого для детектирования атак и отклонений применяются методы машинного обучения, эвристические алгоритмы, профили поведения, деревья решений и алгоритмы кластеризации. Сочетание этих методов гарантирует высокую надежность и низкий уровень ложных срабатываний.

ХАРАКТЕРИСТИКИ

Программный плагин для решения FlowMon, легко устанавливаемый на зонды и коллекторы FlowMon
Оптимизированная версия в соответствии с размером/типом сети (корпоративная сеть/провайдер интернет-услуг)
Поддержка NetFlow v5/v9, IPFIX, NetStream, IPv4 и IPv6
Анализ двунаправленных потоков (RFC 5103)
Десятки алгоритмов для идентификации инцидентов безопасности и проблем эксплуатации
Создание долговременных профилей поведения устройств в сети с точки зрения услуг, объема трафика и партнеров по коммуникации
Всеохватывающая информационная панель с немедленным отражением инцидентов
и топ-рейтингами статистических данных
Интерактивная визуализация событий
Интеграция информации от DNS, WHOIS и геолокационных сервисов

ДЕТЕКТИРОВАНИЕ АНОМАЛИЙ И НЕЖЕЛАТЕЛЬНОГО ПОВЕДЕНИЯ

FlowMon ADS обнаруживает следующие аномалии и нежелательное поведение в компьютерной сети на основе анализа поведения:
Атаки (сканирования портов, атаки по словарю, отказ в обслуживании, атаки с использованием протокола Telnet)
Аномалии в трафике (DNS, ICMP, DHCP, многоадресные рассылки, нестандартная коммуникация)
Аномалии в поведении устройств (изменение длительно существовавшего профиля поведения устройства, изменения в поведении сети)
Нежелательные приложения (P2P-сети, обмен мгновенными сообщениями, анонимайзеры)
Проблемы безопасности (вирусы, шпионские программы, бот-сети, коммуникация с блокированных сетевых адресов)
Трафик электронной почты (исходящий спам, проблемы конфигурации)
Проблемы эксплуатации (задержки, чрезмерная нагрузка, отсутствие обратных записей DNS, недоставленные обновления, подозрительные адресаты)

ОСНОВНЫЕ ПРЕИМУЩЕСТВА

Подробный обзор структуры сетевого трафика
Оценка соблюдения требований регулирующих органов
Обнаружение внутренних/внешних атак, полиморфных вредоносных программ и АРТ-угроз
Обнаружение потенциальных утечек данных
Мониторинг уровня качества сервисов
Удаление нежелательных приложений
Обнаружения зараженных сетевых устройств
Предупреждение использования нежелательного программного обеспечения и обмена незаконным контентом
Контроль исходящего сетевого трафика, защита репутации организации
Анализ задержек в работе сети, услуг и приложений
Обнаружение некорректных сетевых конфигураций

ПРОФИЛИ ПОВЕДЕНИЯ

Статистические данные о сети и коммуникации каждого хоста сети за длительное время позволяют FlowMon ADS контролировать всю сеть и сообщать о любом изменении в поведении сети или хостов. Профили поведения сетевых хостов продукта FlowMon ADS включают:

Объемы трафика данных (передаваемые данные, счетчик подключений)
Структура услуг (используемые и предоставляемые услуги)
Партнеры по коммуникации
Общая активность сетевого устройства
Подробная анкета для каждого IP-адреса, мониторинг трендов

ВИЗУАЛИЗАЦИЯ ИНТЕРАКТИВНЫХ СОБЫТИЙ

Пользователь может получить подробную информацию о событиях и инцидентах и возможность немедленно на них отреагировать. Для более легкой и быстрой работы события визуализированы в виде ориентированных графов, и пользователь может найти детальную информацию о коммуникации с помощью всего нескольких щелчков мышью.

Другие методы визуализации события:

Интерактивная панель для обзора текущего состояния
Исследование и оценка происшедших событий в виде ориентированных графов, созданных на основе данных сетевого трафика, который вызвал событие
Интерактивный просмотр, отображающий данные, релевантные событию, до уровня индивидуальной передачи данных
Экспорт статистики сетевого трафика

ЛЕГКОЕ РАЗВЕРТЫВАНИЕ И РАСШИРЯЕМОСТЬ

FlowMon ADS предназначен для немедленного развертывания и использования в различных средах. Система отличается гибкостью, поскольку включает:

Шаблоны типовой конфигурации для разных типов сетей
Мастер конфигурации для быстрого развертывания
Комплексные графические отчеты, генерируемые приложением по требованию
Уведомления о нежелательных состояниях и ситуациях в сети по электронной почте
Интеграция с системами SIEM с использованием системного журнала и SNMP
Интеграция со справочной службой и системой обработки инцидентов с помощью интерфейса электронной почты

оформить заявку