主题概要
网络流量分析(NTA)是一种监控网络可用性和活动,以确定异常的安全性和运营问题的方法。。NTA通常用于以下几个方面:。
实施能够持续监控网络流量的解决方案将获得优化网络性能、最小化攻击目标、增强安全性以及改善资源管理所需的洞察。可以。。但是,仅仅知道如何监测网络流量是不够的。。重要的是考虑网络监控工具的数据来源。。最常见的是流数据(从设备(例如路由器))和分组数据(从SPAN、镜像端口和网络TAP)。。
最近,网络攻击被要求“不是发生了怎么办,而是什么时候都可以发生”,因此要切实网罗尽可能多的组织环境,对安全专家来说是非常困难的。你会觉得难吧。网络是一个重要的攻击目标。。通过网络数据的可视化,我们可以增加一个区域来检测并尽早阻止攻击。。
在建立NTA的过程中,确保从合适的来源收集数据是一个非常重要的步骤。。流数据是找出流量,映射网络分组从起点到终点的最佳路径。。这个级别的信息有助于检测未经授权的WAN业务,并利用网络资源和性能。。但是,我们可能缺乏详细信息和上下文来挖掘网络安全问题。。
从网络分组提取的分组数据可以帮助网络管理员理解用户如何实现/操作应用程序,跟踪WAN链路的使用情况,防止可疑恶意软件和其他安全性来监测突发事件。。深度分组监测(DPI)工具将原始数据的元数据转换为可读格式,并允许网络和安全管理员对详细信息进行深入调查。100%可视化的身体。。
监视网络边界是一件非常好的事情。即使有强大的防火墙,还是有可能发生错误,非法流量通过。。 用户也可以使用隧道、外部匿名器、VPN等方法来避开防火墙规则。。
最近,勒索软件一般的攻击类型 监控网络流量变得更加重要。。网络监控解决方案需要能够检测到勒索软件通过不安全协议攻击的迹象。。举例来说,WannaCry是攻击者主动扫描TCP端口445打开的网络,使用SMBv1漏洞访问网络文件共享的活动。。
远程桌面协议(RDP)也是一个常见的目标应用。。请用防火墙封锁所有接收连接。。监控防火墙内的流量可以验证规则,获得宝贵的洞察力,也可以将其作为基于网络流量的警报来源。。
要注意与telnet等管理协议相关的可疑活动。。由于telnet是一种非加密的协议,会话业务使得命令行接口(CLI)命令序列从外面看起来是完整的,它适用于设备的制造商和型号。舞。 在CLI字符串中,登录过程、提示用户凭证、指示引导或运行配置的命令、文件副本等从外面都能看到。。请确保你的设备的网络数据在运行以下非加密的管理协议。。
我们可以通过在网络边缘和网络核心进行网络流量分析来研究许多操作和安全问题。。使用流量分析工具,你可以发现大量下载、流媒体、可疑的输入/输出流量。。 从监视防火墙的内部接口开始。。这允许我们追踪特定客户或用户的活动。。
此外,NTA可以让我们对网络上的威胁进行可视化,而不仅仅是端点。。随着移动设备、物联网设备和智能电视的兴起,我们需要更多的智能,而不仅仅是来自防火墙的日志。。 防火墙日志在网络受到攻击时也是一个问题。。防火墙的资源负荷可能会导致无法访问,被覆盖(有时会被黑客更改),丢失对科学调查至关重要的信息。。
分析和监测网络流量有以下几个方面。。
并不是所有监控网络流量的工具都一样。。通常我们可以分为两种类型,一种是基于流的工具,另一种是深度分组监测(DPI)工具。。这些工具有软件代理、历史数据存储和入侵检测系统选项。。在评价解决方案是否适合组织时,请考虑以下5点。
流支持设备:对于NTA工具,例如思科Netflow,只支持流的流支持设备在网络上有吗?。它不依赖于任何设备供应商,因为它支持所有网络的原始数据流量,这些数据都是通过它管理的交换机传输的。。网络交换机和路由器不需要特别的模块和支持。。只需要来自受管理交换机的SPAN或端口镜的业务。。
网络流量分析是监控网络可用性和活动以识别异常、最大化性能和监控攻击的重要方法。除了日志汇总、UEBA、和端点数据之外,网络流量是全面可视性和安全性分析的核心,以便及早发现和迅速消除威胁。。选择NTA解决方案时,请考虑网络上的当前盲点,信息需要的数据源,以及网络上为了有效监控而收敛的关键点。。NTA是安全信息/事件管理(siem)解决方案的一个层,我们可以看到更多的环境和用户。。