Аналитика защищенной сети Cisco

Что такое аналитика защищенной сети Cisco?

Продукт, о котором идет речь, — Cisco Secure Network Analytics, ранее известный как Stealthwatch. Это решение для сетевой видимости и аналитики безопасности, разработанное для обеспечения обнаружения и реагирования на угрозы в режиме реального времени в корпоративной сети. Решение включает в себя такие компоненты, как Secure Network Analytics Manager, Flow Collectors и Data Store.

Secure Network Analytics Data Store — это центральный репозиторий, в котором хранятся данные сетевой телеметрии, собранные Flow Collectors. Он является частью более крупной системы, которая использует расширенную аналитику безопасности, включая поведенческое моделирование, машинное обучение и глобальную разведку угроз, для обнаружения таких угроз, как атаки командования и управления, программы-вымогатели, DDoS-атаки, криптомайнинг, неизвестное вредоносное ПО и внутренние угрозы. Data Store оптимизирован для быстрых результатов запросов, быстрого заполнения графиков и диаграмм, а также долгосрочного хранения данных, предлагая улучшенную отказоустойчивость и избыточность данных для развертываний корпоративного класса.

Преимущества аналитики защищенной сети Cisco?

Cisco Secure Network Analytics с компонентом Data Store предлагает несколько преимуществ, которые отвечают потребностям сетей корпоративного класса и сетей поставщиков услуг. Вот некоторые из основных преимуществ:

1. Централизованное хранилище данных : хранилище данных действует как центральное хранилище для сетевой телеметрии, что упрощает управление данными и обеспечивает более быстрые ответы на запросы по сравнению с запросами из нескольких распределенных источников.

2. Масштабируемость : он разработан для масштабирования потребления телеметрии и может обрабатывать скорости приема до 3 миллионов потоков в секунду (FPS) с более чем 30 миллионов конечных точек.

3. Устойчивость данных : хранилище данных обеспечивает высокий уровень избыточности данных и отказоустойчивости благодаря функциональности K-safety, которая гарантирует отсутствие потери данных при неожиданном сбое узла.

4. Улучшенная производительность запросов : благодаря консолидации данных потоков в централизованной базе данных Secure Network Analytics Manager может извлекать результаты запросов быстрее, чем при запросах к отдельным сборщикам потоков.

5. Долгосрочное хранение данных : архитектура позволяет хранить данные телеметрии с избыточностью в течение длительных периодов времени, превышающих полгода, что имеет решающее значение для судебно-медицинского анализа и соблюдения требований законодательства.

6. Расширенная аналитика безопасности : решение использует поведенческое моделирование, машинное обучение и глобальную аналитику угроз для обнаружения широкого спектра угроз с высокой степенью достоверности.

7. Видимость без агентов : обеспечивает комплексный мониторинг угроз по всей сети без необходимости развертывания агентов, что делает его неинтрузивным решением.

8. Гибкость развертывания : хранилище данных можно развернуть как физические устройства, так и виртуальные устройства на хостах ESXi и хостах KVM компании VMware, что обеспечивает гибкость в зависимости от инфраструктуры заказчика.

9. Избыточность и высокая доступность : продукт поддерживает развертывание избыточных компонентов, таких как несколько менеджеров и сборщиков потоков, для обеспечения высокой доступности и предотвращения простоев.

10. Комплексная отчетность и анализ : включает в себя графические представления, настраиваемые сводные отчеты, а также интегрированную безопасность и сетевую аналитику для предоставления углубленной аналитики безопасности.

11. Поддержка различных протоколов телеметрии : решение поддерживает ряд протоколов телеметрии, включая NetFlow, IPFIX, sFlow и SYSLOG, что позволяет адаптировать его к различным сетевым средам.

12. Интеграция с экосистемой Cisco : как продукт Cisco, он, скорее всего, будет легко интегрироваться с другими решениями Cisco в области безопасности и сетей, обеспечивая единый подход к управлению сетью и безопасности.

Эти преимущества позиционируют Cisco Secure Network Analytics как надежное решение для организаций, которым требуется высокий уровень сетевой безопасности, прозрачности и аналитики для защиты от современных угроз.

Каковы сценарии использования этой аналитики защищенной сети Cisco?

Cisco Secure Network Analytics Data Store предназначен для использования в сценариях, требующих высокого уровня видимости сети, безопасности и масштабируемости. Вот некоторые типичные варианты использования вместе с соответствующими параметрами продукта:

1. Крупномасштабные корпоративные сети : предприятия с большим количеством пользователей, устройств и сетевых служб требуют комплексного анализа сетевого трафика для мониторинга безопасности и производительности. Хранилище данных может обрабатывать до 3 миллионов потоков в секунду (FPS) и поддерживать телеметрию с более чем 30 миллионов конечных точек.

2. Сети поставщиков услуг : поставщикам услуг необходимо контролировать и защищать обширные сети с большими объемами трафика. Хранилище данных поддерживает до 90 дней хранения данных для профилей трафика поставщиков услуг, которые обычно имеют большое количество уникальных хостов и большие объемы выборочных данных потока.

3. Обнаружение угроз и реагирование на них : организации, которым требуется обнаружение угроз и реагирование на них в режиме реального времени, могут использовать расширенную аналитику безопасности Data Store для выявления и устранения таких угроз, как DDoS-атаки, программы-вымогатели и внутренние угрозы.

4. Соблюдение нормативных требований и судебная экспертиза : компании, которым необходимо соблюдать нормативные требования или которым необходимы возможности судебного анализа, могут воспользоваться возможностями долгосрочного хранения данных в Data Store, которые позволяют хранить данные с избыточностью более полугода.

5. Оптимизация сети : ИТ-отделы могут использовать хранилище данных для анализа моделей сетевого трафика и выявления областей для оптимизации, таких как использование полосы пропускания и производительность приложений.

6. Операции центра обработки данных : центры обработки данных со сложной топологией сетей могут использовать хранилище данных для мониторинга трафика «восток-запад» и «север-юг», гарантируя безопасность и эффективность работы сети.

7. Гибридные облачные среды : организации, работающие как в локальных, так и в облачных средах, могут использовать хранилище данных для поддержания единого представления сетевого трафика и состояния безопасности.

8. Аварийное восстановление и непрерывность бизнеса : обеспечивая избыточность данных и отказоустойчивость, хранилище данных поддерживает инициативы по аварийному восстановлению и планирование непрерывности бизнеса.

Параметры продукта, поддерживающие эти варианты использования, включают:

• Поддержка высокой скорости потока : хранилище данных способно обрабатывать до 3 млн кадров в секунду, что делает его пригодным для сред с интенсивным трафиком.
• Избыточность узлов данных : каждый узел данных содержит часть полученных данных и резервную копию данных другого узла, что повышает устойчивость данных.
• Функциональность K-Safety : обеспечивает отказоустойчивость путем репликации данных по всему кластеру базы данных, допуская определенное количество отказов узлов без потери данных.
• Сроки хранения : Регулируемые сроки хранения позволяют клиентам устанавливать сроки хранения данных в соответствии со своими конкретными потребностями: от 30 до 360 дней.
• Варианты виртуального и физического развертывания : гибкость развертывания в качестве физических или виртуальных устройств на хостах ESXi/KVM позволяет использовать различные ИТ-инфраструктуры.
• Масштабируемость : Архитектура позволяет независимо масштабировать функции сбора и хранения потоков в соответствии с потребностями и бюджетами клиентов.
• Избыточность и высокая доступность : такие функции, как резервные источники питания, архитектура с двумя коммутаторами и возможность развертывания нескольких менеджеров и сборщиков потоков, обеспечивают непрерывную работу.

Благодаря этим параметрам хранилище данных Cisco Secure Network Analytics становится универсальным решением для широкого спектра сценариев, где критически важны аналитика сетевой безопасности и управление данными.