EtherSensor FAQ

EtherSensor: Часто задаваемые вопросы

• Что такое EtherSensor?
• Что он делает?
  • Как EtherSensor получает сетевой трафик?
  • Какие результаты анализа трафика предоставляет EtherSensor системам-потребителям?
  • Какие способы доставки результатов анализа доступны для интеграции с системами-потребителями?
  • Как вы решаете задачу анализа SSL/TLS трафика?
• Какие системы-потребители результатов поддерживает EtherSensor?
  • Совместим ли EtherSensor с нужным мне решением?
    • Источники сетевого трафика
    • DLP-решения
    • Enterprise Archiving и eDiscovery решения
    • SIEM, U(E)BA, анализаторы логов
    • Решения по обнаружению угроз
• Как я могу протестировать EtherSensor?
  • Что понадобится для работы EtherSensor?
  • Насколько трудозатратны инсталляция и конфигурирование EtherSensor?
  • Понадобится ли мне адаптировать мою сеть под EtherSensor?
• Будет ли Linux-версия?
• Кто ваши клиенты?
• Сколько стоит EtherSensor?
• Есть ли специальные опции лицензирования для образовательных и некоммерческих организаций?
• Нужны ли вам партнеры?

Что такое EtherSensor?

EtherSensor – это серверное программное обеспечение, работающее в среде Microsoft Windows. Это всеобъемлющая, полнофункциональная платформа для автоматизации анализа сетевого трафика.

Что он делает?

EtherSensor:

• пассивно перехватывает сетевой трафик канального уровня;
• анализирует его для извлечения из него полезных объектов уровня приложения (объекты, их контент, события и т.д.);
• доставляет результаты системам-потребителям.

EtherSensor решает эти задачи на больших потоках трафика (десятки Гбит/с).

Хотя для решения разовых задач использование EtherSensor — явный перебор, тем не менее его функциональность позволяет быстро получить представление о вашем сетевом трафике для дальнейшей автоматизации его обработки с помощью EtherSensor.

Как EtherSensor получает сетевой трафик?

EtherSensor может получать сетевой трафик одновременно из нескольких источников следующих типов:

• Зеркальные порты (Mirror ports)
• Сетевые ответвители (Network taps)
• ICAP-клиенты (многие проксирующие решения имеют функцию зеркалирования HTTP(S) трафика по ICAP-протоколу)
• PCAP и PcapNG файлы, записанные с помощью таких инструментов, как tcpdump от tcpdump.org, Wireshark, или нашей же утилиты TCPDUMP for Windows.

Также доступны интеграционные источники:

• IBM Lotus (через доступ к его логу транзакций)
• Microsoft Skype for Business

Какие результаты анализа трафика предоставляет EtherSensor системам-потребителям?

EtherSensor реконструирует и анализирует объекты трафика начиная с уровня 2 модели OSI до уровня 7 – объекты, специфические для определённого приложения, пользователя и Интернет-сервиса. Таких сервисов EtherSensor знает несколько тысяч — никому не интересен “просто HTTP”.

EtherSensor также может предоставить системе-потребителю любые метаданные таких объектов, любой их контент (например, текст сообщения или переданный файл). Он также может сгенерировать заранее сконфигурированные события, основанные на перехваченных сообщениях и других объектах на основе заданных вами правил.

На самом высоком уровне EtherSensor работает со стандартными email-сообщениями (SMTP, POP3, IMAP4), объектами webmail сервисов, социальных сетей, блогов, форумов, сервисов мгновенных сообщений, сервисами облачного хранения файлов, сервисами найма и поиска работы и т.д.

Кроме того, EtherSensor предоставляет весьма обширный набор сетевых статистических данных.

Какие способы доставки результатов анализа доступны для интеграции с системами-потребителями?

Равно как и с одновременным получением трафика из различных источников, вы можете одновременно же использовать сразу несколько способов доставки результатов разных типов:

• Нативно EtherSensor может упаковать любой извлечённый из трафика объект в email-сообщение для одновременной доставки произвольному количеству потребителей по SMTP или IMAP;
  • Этот способ решает задачу интеграции с большинством DLP, eDiscovery, Enterprise Search, и Enterprise Archiving систем;
• Также EtherSensor может генерировать и отсылать одновременно произвольному количеству потребителей результаты анализа в виде syslog-строк с предварительно настроенной структурой (например, CEF);
  • Этот способ позволяет сделать результаты анализа доступными практически любому SIEM или U(E)BA решению;
• EtherSensor может также загружать результаты анализа в виде файлов по FTP, SMB или же просто сохранять их на локальной файловой системе. Выкладывание результатов одновременно в несколько мест также возможно.

Помимо описанного выше, для доставки результатов анализа реализованы следующие проприетарные протоколы:

• InfoWatch Traffic Monitor (протокол на основе Apache Thrift);
• Протокол обмена данными DeviceLock Enterprise Server;
• Falcongaze Secure Tower (протокол на основе Google Protobuf).

Мы всегда заинтересованы в реализации новых способов доставки результатов работы EtherSensor системам-потребителям. Если вы имеете идеи или пожелания на этот счёт, пожалуйста, обращайтесь с запросами с помощью формы обратной связи или напишите нам на support@microolap.ru.

Как вы решаете задачу анализа SSL/TLS трафика?

EtherSensor легко интегрируется со сторонними решениями, имеющими функцию расшифровки SSL. Также в своем составе он имеет ICAP-сервер, позволяющий взаимодействовать с ICAP-клиентами, обрабатывающими HTTPS.

Помимо этого, для решения задачи вскрытия SSL/TLS методом MITM нами разработан продукт SSLSplitter – чисто программное решение, как и EtherSensor работающее на серийном оборудовании.

Какие системы-потребители результатов поддерживает EtherSensor?

Любая DLP-система может получать от EtherSensor информацию о произошедшей коммуникации, равно как сами переданные объекты.

Данные о любом событии (в том числе и извлечённые из объекта уровня приложения) могут быть переданы в любую SIEM или U(E)BA систему, если она поддерживает получение данных по syslog.

eDiscovery и Enterprise Archiving решения приобретают возможность накапливать ранее не учитывавшиеся ими данные о коммуникациях и переданных по сети документах или файлах.

С учётом описанного выше EtherSensor часто используется как ключевой компонент подсистемы анализа трафика при создании или развёртывании SOC (Security Operation Center).

Совместим ли EtherSensor с нужным мне решением?

Скорее всего, да. Это возможно благодаря уже имеющимся в EtherSensor стандартным способам доставки: SMTP, IMAP, syslog, FILEDROP (сохранение результатов на локальную файловую систему, SMB, FTP).

Ниже перечислены решения, с которыми EtherSensor был успешно интегрирован, или же об успешной интеграции с которыми мы получили подтверждение от наших партнёров.

Источники сетевого трафика

• Коммутаторы производства Cisco, HP, D-Link, Huawei и др.
  • Список далеко не полон, скорее всего, сгодится любой.
• Сетевые ответвители (network taps) производства Ixia, Dualcomm, NetOptics и т.д.
  • Также что угодно.
• CISCO Web Security Appliance (WSA)
• Forcepoint Web Security (ранее Websense)
• Fortinet
• GTB Inspector
• McAfee Web Gateway
• Microolap SSLSplitter
  • Простое и надёжное программное MITM-решение для развёртывания SSL/TLS
• Palo Alto Networks Next-Generation Firewalls
• Squid
• Symantec ProxySG (ранее Blue Coat)
• Symantec SSL Visibility
• tcpdump
  • Также см. Microolap TCPDUMP for Windows
• Wireshark

DLP-решения

• DeviceLock DLP
• Falcongaze SecureTower
• Forcepoint DLP
• InfoWatch Traffic Monitor
• Proofpoint Email DLP
• Symantec DLP
• Trustwave DLP

Enterprise Archiving и eDiscovery решения

• Bloomberg Vault
• Global Relay
• Google Vault (help)
• IBM Content Collector
• Mailarchiva
• Smarsh
• Somansa Mail-i
• Veritas eDiscovery Platform (ранее Clearwell)
• Veritas Enterprise Vault

SIEM, U(E)BA, анализаторы логов

• AlienVault
• ArcSight Enterprise Security Manager (ESM) (ранее HP ArcSight)
• Elastic Stack (ранее ELK Stack: Elasticsearch, Logstash, Kibana)
• EventTracker
• FortiSIEM (ранее AccelOps)
• Graylog
• IBM QRadar
• LogRhythm
• ManageEngine EventLog Analyzer
• McAfee Enterprise Security Manager (ESM)
• Micro Focus Sentinel (ранее NetIQ)
• RuSIEM
• SolarWinds Log & Event Management (LEM)
• Splunk
• SQLstream
• Trustwave SIEM

Решения по обнаружению угроз

• Group-IB Threat Detection System

Список выше далеко не полон, так как у нас не было возможности протестировать интеграцию EtherSensor со всеми существующими решениями. Скорее всего, EtherSensor будет работать “из коробки” со всем, с чем его имеет смысл интегрировать. Если же нет, то не сомневайтесь: мы знаем, что с этим делать.

Пожалуйста, напишите нам на support@microolap.ru или дайте знать через форму обратной связи, если вы хотите протестировать интеграцию EtherSensor с решением, которое у вас уже развёрнуто.

Как я могу протестировать EtherSensor?

Кроме полнофункциональной серверной версии EtherSensor, призванной бесперебойно работать в вашей сетевой инфраструктуре, мы подготовили версию EtherSensor PCAP Edition для сопровождения полной рабочей версии (автономного тестирования и отладки фильтров, правил и детекторов) без риска для её функционирования. EtherSensor PCAP Edition полностью повторяет функциональность полной версии за исключением источников данных: она работает только с PCAP-файлами как источниками трафика — для ознакомления с функциональностью EtherSensor этого вполне достаточно. Скачать её можно на странице загрузок.

Чтобы быстро ознакомиться с работой EtherSensor на нашем стенде, мы рекомендуем оставить заявку на онлайн-демонстрацию, которая занимает примерно полчаса. После неё очень многое станет ясным.

Если вы решите развернуть стенд с EtherSensor на своей стороне, мы можем предоставить тестовую лицензию, а также помощь в установке, конфигурировании, интеграции с системами-потребителями и т.п.

Отправьте свой запрос на support@microolap.ru или воспользуйтесь формой обратной связи. Пожалуйста, будьте готовы к тому, что мы уточним у вас некоторые технические и бизнес-детали.

Что понадобится для работы EtherSensor?

Вам понадобится только компьютер с установленной ОС Microsoft Windows. Годится как серверная, так и десктопная версия Windows. Настоятельно рекомендуется наличие установленных последних обновлений:

• Серверные версии Windows: Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016.
• Десктопные версии Windows: Windows 7, Windows 8, Windows 8.1, Windows 10.

Никакого специального оборудования не требуется, поэтому EtherSensor может использоваться в среде виртуализации (приблизительно 15% состоявшихся внедрений).

Требования к аппаратным ресурсам весьма скромны благодаря хорошо проработанным решениям внутренних фундаментальных задач (например, мы используем собственные технологии перехвата трафика, реконструкции TCP-сессий и высокопроизводительного межпроцессного взаимодействия). Тем не менее, они зависят от планируемых к обработке потоков трафика. Для определения состава оборудования пожалуйста сверьтесь с соответствующим разделом “Руководства администратора EtherSensor”.

Насколько трудозатратны инсталляция и конфигурирование EtherSensor?

Инсталляция EtherSensor займёт примерно пять минут вашего времени.

Конфигурирование для наиболее простого и очевидного примера займёт ещё пять минут.

Не столь очевидные задачи будут решаться в дальнейшем последовательно по одной задаче за раз. Вы должны совершенно точно понимать, что именно вы делаете, но сам по себе процесс конфигурирования EtherSensor очень прост.

Понадобится ли мне адаптировать мою сеть под EtherSensor?

EtherSensor получает трафик пассивно, поэтому он никак не воздействует на вашу сетевую инфраструктуру и не требует её изменений.

Единственное, что понадобится, это завести копию сетевого трафика на EtherSensor (например, с помощью зеркалирования трафика или ответвителя).

Будет ли Linux-версия?

Да, мы работаем над этим. Сейчас трудно что-либо обещать по срокам выпуска Linux-версии, поскольку для этого необходимо переписать изрядное количество внутренних системных функций EtherSensor (IPC, перехват сетевого трафика, реконструкция TCP-сессий, детектирование объектов и т.д.) для Linux, так как имеющиеся альтернативы не выполняют наших требований по производительности.

Мы анонсируем Linux-версию EtherSensor сразу же, как она станет доступна.

Кто ваши клиенты?

Наш типичный клиент – организация с собственным подразделением информационной безопасности или же MSSP/MDR компания.

Также нередко системные интеграторы используют EtherSensor вместе с набором смежных решений от других производителей при построении SOC для своих Заказчиков.

Количество компьютеризированных рабочих мест (генерирующих сетевой трафик) на одну инсталляцию EtherSensor у наших клиентов варьируется от 100 до 130 000.

Сколько стоит EtherSensor?

EtherSensor поставляется по подписочной модели лицензирования.

EtherSensor лицензируется либо по количеству сессий, либо по потокам трафика в Мбит/с. Заказчики выбирают тот параметр лицензирования, который им наиболее выгоден в зависимости от своей сетевой инфраструктуры, типа бизнеса и т.п.

Для примерного понимания уровня цен: лицензия с поддержкой 15 000 текущих сессий (столько генерирует примерно 1 000 пользователей) будет стоить примерно 54 ₽ на одного пользователя в месяц при условии оплаты за год.

Разумеется, это не публичная оферта: для получения квоты напишите нам по email или воспользуйтесь формой обратной связи.

Есть ли специальные опции лицензирования для образовательных и некоммерческих организаций?

Пока нет, но мы открыты для обсуждения. Пожалуйста, напишите нам по email или воспользуйтесь формой обратной связи.

Нужны ли вам партнеры?

Конечно. Пожалуйста, напишите нам по email или воспользуйтесь формой обратной связи.