Описание решения

CSW_Diagram

С помощью Netflow и других телеметрических данных, полученных из существующей инфраструктуры, это решение позволяет экономически эффективно превратить всю сеть в сенсорную систему. Решение позволяет обнаруживать аномальный трафик и поведение, включая вредоносное ПО нулевого дня, распределенные атаки отказа в обслуживании (DDoS), внутренние угрозы, а также новейшие целенаправленные угрозы (APT). Система Stealthwatch снабжена интуитивно понятным веб-интерфейсом. Она обеспечивает единое представление о горизонтальном движении трафика в сети. Кроме того, система предоставляет высокотехнологичные возможности для анализа и оповещений. Эта простая, удобная и мощная платформа расширяет возможности для использования, анализа безопасности и раннего обнаружения угроз.

Cisco Stealthwatch

Cisco Stealthwatch объединяет и анализирует сетевую телеметрию, информацию, генерируемую сетевыми устройствами. Вы получаете видимость в потоках системного трафика от периметра сети до центра обработки данных, включая виртуальные машины. Stealthwatch обнаруживает широкий спектр проблем, связанных с сетью и центрами обработки данных, от вредоносных инсайдеров, пытающихся перекрыть конфиденциальные данные для распространения вредоносного ПО внутри организации с хоста на хост. Он работает со всеми маршрутизаторами и коммутаторами Cisco, а также с различными решениями безопасности:

  • Cisco Secure Data Center
  • Cisco IOS Flexible NetFlow
  • Технология безопасности Cisco TrustSec
  • Cisco ASA с FirePOWER Services (NGFW)
  • Cisco Identity Services Engine (ISE)
  • Cisco Web Security Appliance (WSA)
  • Cisco Security Packet Analyzer

Преимущества Cisco Stealthwatch

Stealthwatch использует сетевые данные для ускорения и улучшения обнаружения аномалий, реагирования на инциденты и их расследование во всей вашей сети. Он устанавливает базовый уровень того, что считается нормальным поведением и активностью в сети. С этой базой в качестве основной точки отсчета вы можете использовать это решение для выявления аномального поведения в вашей сети, которое может означать атаку. Предлагаемое решение использует потоки трафика для мониторинга всей вашей среды, чтобы определить, происходят ли нарушения политик безопасности и сетевого доступа.

Предлагаемое решение постоянно отслеживает движение в сети с север-юг и восток-запад внутри вашей сети, чтобы определить трафик, который может сигнализировать о злоупотреблении системой и угрозах инсайдера. Это позволяет вам помогать выявлять и защищать от вредоносных программ Zero-day, APT, попыток DDoS и других атак, прежде чем они нанесут вред. Консоль управления Stealthwatch позволяет просматривать и отслеживать эти потоки трафика для обнаружения аномалий.

Основные функции Stealthwatch:

  • Глубокая видимость по периметру сети, ЦОД и частное и публичное облака
  • Упрощенное понимание нормального поведения сети с помощью NetFlow
  • Непрерывный мониторинг устройств, приложений и пользователей в распределенных сетях
  • Глубокие возможности расследования инцидентов и анализ контекстной угрозы с подробными цепочками аудита данных NetFlow
  • Легкая интеграция с существующей сетевой инфраструктурой (включая устройства без телеметрии Cisco), анализатором безопасности Cisco, межсетевыми экранами Cisco ASA, Cisco ISE, решениями, поддерживаемыми технологией Cisco TrustSec, и множеством других решений для обеспечения безопасности.

Stealthwatch Cloud

Stealthwatch Cloud — это предоставляемое SaaS решение на базе сети Интернет, которое обеспечивает сквозную видимость, анализ поведения и обнаружение угроз в вашей частной сети, общедоступном облаке и гибридных средах. Stealthwatch Cloud предоставляет качественные уведомления об изменениях в поведении, которые наблюдаются в вашей сети, не тратя драгоценное время на ИТ-специалистов и сотрудников службы безопасности. Будучи веб-платформой, Cisco Stealthwatch Cloud независима от платформы и может работать в любой облачной среде, включая Amazon Web Services (AWS) и Microsoft Azure. Stealthwatch Cloud также может осуществлять мониторинг небольших и средних частных сетей и гибридных инфраструктур, которые объединяют локальные и облачные развертывания. Stealthwatch Cloud может экспортировать информацию об угрозах и поведении в ряд служб безопасности и веб-сервисов, включая Cisco Spark, Datadog, Hipchat, PagerDuty, Slack и SIEM и поддерживает стандартные форматы, такие как электронная почта и syslog.

Мониторинг общественного облака

Stealthwatch Cloud обеспечивает возможности видимости и обнаружения угроз, необходимые для обеспечения высокой безопасности ваших рабочих нагрузок в инфраструктурах AWS и Microsoft Azure. Это облачное решение SaaS, которое можно легко и быстро развертывать. В рамках AWS Stealthwatch Cloud AWC VPC Flowlogs моделирует поведение каждого облачного ресурса — метод, называемый сущностным моделированием. Затем он способен обнаруживать внезапные изменения в поведении, злонамеренной деятельности и признаках компрометирования. VPC Flowlogs доступны без развертывания программного обеспечения для ваших ресурсов AWS, а просто для изменения конфигурации в вашей консоли AWS.

Мониторинг частного облака

Частный сетевой мониторинг Stealthwatch Cloud может обеспечить видимость, необходимую для обнаружения угроз в сети в режиме реального времени, без необходимости дорогого оборудования, ИТ-ресурсов или времени сотрудников службы безопасности.
Мониторинг частной сети Cisco Stealthwatch Cloud обеспечивает видимость и обнаружение угроз для локальной сети, поставляемой из облачного решения SaaS.
 Это предпочтительный выбор для организаций, которые хотят повысить осведомленность и безопасность в своих помещениях, одновременно сокращая капитальные затраты и накладные расходы.

stealthwatchcloud1

stealthwatchcloud2

 Компоненты Cisco Stealthwatch Cloud:

КомпонентОписание
Мониторинг публичного облакаИнформация собирается из публичных облачных сервисов, таких как Amazon Web Services, для создания моделей использования ваших данных в этих облаках. Затем моделирование облачных ресурсов применяется для наблюдения за внезапными изменениями в поведении, злонамеренной деятельности и т.д. Особенности:

  • Решение SaaS, поставляемое из облака для быстрого и простого развертывания
  • Обнаружение угроз в публичных облаках
  • Интеграция пользовательского интерфейса для Amazon Inspector
Мониторинг частного облакаМониторинг частного облака может обеспечить видимость, необходимую для обнаружения угроз в сети в режиме реального времени, без необходимости дорогого оборудования, ИТ-ресурсов или обширного времени сотрудников службы безопасности. Особенности:

  • Широкий спектр сетевой телеметрии и журналов
  • Интеграция с физическими сетями и частными виртуальными средами, такими как гипервизоры VMware
  • Используется тот же портал, что и мониторинг публичного облака

Cisco Stealthwatch Enterprise

Пакет Cisco Stealthwatch Enterprise включает следующие решения безопасности:

Cisco Stealthwatch Management Console: обеспечивает единую точку зрения для разрозненных ИТ-групп, чтобы увидеть поведенческую информацию о трафике в сети. Простой интерфейс позволяет операторам быстро выявлять проблемы и соответственно реагировать на них.

CSW_SMC

Консоль управления Stealthwatch обеспечивает следующие основные функции:

  • Отслеживание пользователей
  • Гибкие возможности развертывания, включая виртуальные устройства
  • Быстрый анализ основной причины и устранение неполадок
  • Реляционные карты потоков
  • Сшивка NAT
  • Настраиваемые инструментальные панели (dashboard)
  • Настраиваемые отчеты
  • Автоматизированная блокировка, устранение проблем и ограничение скорости
  • Отчеты типа Top-N для приложения, сервисов, портов, протоколов, узлов, одноранговых узлов и сеансов
  • Разбивка трафика на составляющие
  • Настраиваемый пользовательский интерфейс на базе технологии Point-of-View™
  • Поддержка многогигабитных сетевых сред и крупномасштабных сетевых сред с многопротокольной коммутацией на основе меток (MPLS)
  • Расширенная визуализация потока
  • Массовая масштабируемость
  • Комбинированный внутренний и внешний мониторинг
  • Планирование пропускной способности и определение тенденций на базе исторических данных о трафике
  • Отчетность об оптимизации WAN
  • Использование полосы пропускания с поддержкой точки кода дифференцированных услуг (DSCP)
  • Визуализация распространения червей
  • Внутренняя защита для высокоскоростных сетей

Cisco Stealthwatch Flow Collector: позволяет улучшить видимость сети и безопасность в физических и виртуальных средах для улучшения реагирования на инциденты.

Cisco Stealthwatch Flow Sensor: генерирует данные NetFlow для сегментов инфраструктуры коммутации и маршрутизации, которые не поддерживают NetFlow. Он также обеспечивает полную обзорность показателей производительности сети и сервера. Результатом является оптимизированная безопасность, сетевые операции и производительность приложений.

CSW_Overview

Компоненты Cisco Stealthwatch Enterprise:

КомпонентОписание
Cisco Stealthwatch Management Console

Консоль управляет и настраивает устройства Stealthwatch, развернутые в разных сегментах вашего предприятия. Консоль управления также может собирать данные из других технологий, включая брандмауэры, веб-прокси, системы управления доступом к сети (NAC) и многое другое. Разнообразные ИТ-команды могут легко получать повсеместную видимость сети и эффективные средства безопасности для обнаружения и определения приоритетов угроз безопасности с помощью единой точки зрения. Консоль доступна как аппаратное устройство или виртуальная машина.
Особенности:

  • Углубленная видимость и контекст, основанный на поведении, защищают от APT, вредоносных программ, инсайдерских угроз, червей, вирусов, целенаправленных атак, DDoS-атак. Расширенные возможности обнаружения уменьшают время между началом и разрешением угрозы
  • Телеметрия в реальном времени обеспечивает поток данных для одновременного мониторинга трафика через сотни сегментов сети для обнаружения подозрительного поведения сети
  • Надежная сетевая телеметрия облегчает мониторинг производительности, планирование пропускной способности и улучшает управление сетью.Это также сокращает трудоемкий и ресурсоемкий ручной анализ
  • Группы сетевых устройств, графические представления и карты взаимосвязей обеспечивают простой просмотр трафика вашей организации в течение нескольких секунд, показывая, на что необходимо обратить внимание
  • Несколько категорий аварийных сигналов и оповещения на основе контекста на домашней панели мониторинга позволяют быстро оценить положение вашей организации в безопасности. Это позволяет принимать решительные меры для смягчения потенциального ущерба
  • Масштабируемая функциональность хорошо работает в высокоскоростных средах и может защитить каждую часть сети, доступную через IP, независимо от размера
Cisco Stealthwatch Flow Collector

Flow Collector собирает и анализирует огромные объемы сетевых данных с ваших устройств. Результатом этого является обзор видимости и безопасности в физической и виртуальной среде, что улучшает реакцию на инцидент. Flow Collector обеспечивает экономически эффективную поведенческую аналитику и расширенный контекст безопасности. Это позволяет выявить раннее обнаружение аномалий, быстрое определение причин и повысить защиту для широкого спектра угроз, включая APT, инсайдерские угрозы, DDoS и вредоносное ПО Zero-day. Решение доступно как аппаратное или виртуальное устройство.
Особенности:

  • Обнаружение аномалий на основе потока указывает на необычное поведение и немедленно отправляет сигнал тревоги, способствуя быстрому и решительному реагированию
  • Дублированные потоки 1: 1 упрощают мониторинг сети и безопасности. В дополнение к обнаружению аномалий в реальном времени, решение может хранить данные за несколько лет, создавая полный контрольный журнал для улучшения расследований
  • Простота обновления позволяет начать с малого и расширяться по мере изменения вашей емкости. При полной нагрузке Flow Collector может обрабатывать данные из 50 000 источников потока до 6 миллионов потоков в секунду (fps)
Cisco Stealthwatch Flow Sensor
(опционально)

Этот компонент обеспечивает надежную видимость показателей производительности сети, приложений и серверов. Обеспечивает экономичный метод устранения неполадок безопасности и проблем с производительностью приложений, а также устраняет опасные сетевые слепые точки. Он может предоставлять информацию о приложении уровня 7 для сред, где Cisco Network-Application Application Recognition (NBAR) отключено. Решение доступно как аппаратное или виртуальное устройство для мониторинга среды виртуальных машин.
Особенности:

  • Предупреждения об аномалиях в сети указывают на необычное поведение и немедленно отправляют сигналы тревоги, что позволяет быстро действовать и уменьшать ущерб
  • Данные URL-адресов позволяют администраторам точно определять, к каким веб-сайтам подключаются пользователи и устройства, включая путь к файлу. Это улучшает идентификацию приложений, вызывающих проблемы с производительностью или безопасностью
  • Повышенная операционная эффективность снижает затраты за счет выявления и изоляции основной причины проблемы или инцидента в течение нескольких секунд
UDP Director
(опционально)

UDP Director упрощает сбор и распространение данных о сети и безопасности на предприятии. Это помогает снизить вычислительную мощность на сетевых маршрутизаторах и коммутаторах, получая важную информацию о сети и безопасности из нескольких местоположений, а затем пересылая ее в один поток данных в один или несколько пунктов назначения.
Особенности:

  • Сокращает незапланированные простои и сбои в работе устройства высокой доступности UDP Director 2200
  • Упрощает сетевую безопасность и мониторинг, предоставляя единый стандартный пункт назначения для данных NetFlow, SFlow, syslog и SNMP
  • Направляет данные UDP из любого UDP-приложения в один или несколько пунктов назначения, при необходимости дублируя данные

Дополнительные лицензии Cisco Stealthwatch Enterprise

Cisco Stealthwatch Enterprise также имеет дополнительные лицензии, для повышения производительности при взаимодействии с другими продуктами Cisco Security.

  • Flow Rate License: требуется для сбора, управления и анализа потоков телеметрии и агрегации потока в консоли управления. Flow Rate License также определяет объем потоков, которые могут быть собраны и лицензированы на основе потоков в секунду (fps). Лицензии могут быть объединены для достижения желаемого уровня пропускной способности.
  • Cisco Stealthwatch Proxy License: обеспечивает дополнительные возможности обнаружения аномалий с прокси-серверов на консоль управления. Эта лицензия позволяет сопоставлять информацию, отправленную с прокси-серверов, и предоставляет информацию о перехвате веб-трафика прокси-сервером, что обеспечивает более глубокую видимость веб-трафика.
  • Cisco Stealthwatch Threat Intelligence License: коррелирует данные потока, чтобы обеспечить расширенные возможности обнаружения для APT, включая активность ботнетов. Функциональность обнаружения ботнетов включает в себя подробный отчет о трафике и анализ сообщений команд и управления.
  • Cisco Stealthwatch Learning Network License: идентифицирует трафик на уровне сетевых устройств, используя распознавание приложений на основе сети, локализованные данные сетевого потока и датчики машинного обучения. Это программное обеспечение находится на маршрутизаторах серии ISR 4000. Это поможет вам принять обоснованные решения по метке или отбрасыванию подозрительных пакетов, что позволяет ускорить реакцию инцидентов и снизить уровень загрузки устройства.
  • Cisco Stealthwatch Endpoint License: позволяет собирать данные приложений, интегрируя их с Cisco AnyConnect® Secure Mobility Client. Cisco Stealthwatch Endpoint License получает данные от клиента Cisco AnyConnect Secure Mobility и передает эти данные в Stealthwatch для анализа и отчетности в консоли управления Stealthwatch.