Область применения EtherSensor
|
<< Кликните, чтобы показать Содержание >> Область применения EtherSensor |
EtherSensor используется для анализа трафика от уровня L2 до уровня L7 согласно модели OSI. Результатом анализа являются контент и метаданные сообщений и соответствующих им событий.
При разработке EtherSensor были поставлены требования:
Адаптивность к системе-потребителю:
EtherSensor должен уметь передавать любой системе-потребителю как данные, так и метаданные перехваченного объекта в любом требуемом формате и любым транспортным протоколом. Тип и назначение потребителя могут быть любыми: SIEM, DLP, eDiscovery, UEBA, Enterprise Search, файловая система, облако, СУБД и т.п.
Одновременная работа с многими источниками и потребителями:
Количество систем-потребителей, с которыми одновременно работает EtherSensor, не должно быть ограничено.
Количество источников данных, с которыми одновременно работает EtherSensor, также не должно быть ограничено.
Полнота контроля:
EtherSensor должен обнаруживать любой объект уровня приложения, переданный по сети вне зависимости от его типа. Специализированная система-потребитель должна получить результат обработки такого объекта.
Реальное время:
EtherSensor должен работать в реальном времени на самых скоростных каналах передачи данных, доступных организациям. В текущей версии EtherSensor уверенно обрабатывает потоки данных 20Gbps "из коробки" на серийном оборудовании, масштабируется до 50Gbps.
Работа "из коробки":
EtherSensor должен развертываться "из коробки" и не должен требовать постоянного внимания ни разработчика, ни Заказчика. В идеале – полностью необслуживаемый элемент информационной инфраструктуры.
Наиболее часто Microolap EtherSensor находит применение при решении следующих групп задач:
Архивирование сообщений (eDiscovery и Compliance Archiving):
Извлечение из трафика документов и других объектов электронной почты, мессенджеров, социальных сетей, блогов, форумов и других средств коммуникации.
Примеры систем-потребителей:
▪Google Vault (help)
▪Veritas eDiscovery Platform (ранее Clearwell)
SIEM-системы, U(E)BA, анализаторы логов:
Извлечение из трафика метаданных перехваченных объектов уровня приложения и связанных с ними событий (в том числе и в реальном времени из контента объекта) для регистрации в SIEM-системах.
Примеры систем-потребителей:
▪ArcSight Enterprise Security Manager (ESM) (ранее HP ArcSight)
▪Elastic Stack (ранее ELK Stack: Elasticsearch, Logstash, Kibana)
▪FortiSIEM (ранее AccelOps)
▪ManageEngine EventLog Analyzer
▪McAfee Enterprise Security Manager (ESM)
▪Micro Focus Sentinel (ранее NetIQ)
▪SolarWinds Log & Event Management (LEM)
▪Любое программное обеспечение, принимающее данные по SYSLOG, NETFLOW или другому TCP/UDP-протоколу.
Предотвращение утечек конфиденциальных данных (DLP-системы)
Извлечение контента сообщений из трафика уровня приложения (L7 согласно модели OSI) внешних и внутренних коммуникационных сервисов с последующей отправкой их системе-потребителю: DLP-системе, системе архивирования почтовых сообщений, системе документооборота, локальной поисковой системе и любой другой системе, имеющей функцию архивирования документов.
Примеры систем-потребителей:
▪Любое другое DLP-решение.