سیسکو Stealthwatch و بهینهسازی SIEM
با ادغام نرم افزار Cisco Stealthwatch و استقرار راهکار SIEM خود، در زمان و هزینه صرفهجویی کنید.
Cisco Stealthwatch چیست؟
Cisco Stealthwatch دید گستردهای را برای شرکت فراهم میکند و میتواند به شما کمک کند، بینش بیشتری نسبت به فعالیتهایی که در شبکه رخ میدهد، به دست آورید. Stealthwatch از آنالیزهای امنیتی پیشرفته برای شناسایی و پاسخ به تهدیدات به صورت Real-Time استفاده میکند و به طور مداوم فعالیت شبکه را برای ایجاد یک خط پایه رفتار عادی شبکه، تحلیل میکند. این ابزار میتواند به شما کمک کند تا رفتارهای مربوط به بدافزار Zero-Day، تهدیدات خودی، تهدیدات پیشرفته مداوم (APT)، تلاشهای حملات (DDoS) و سایر انواع حمله را قبل از اینکه فرصتی برای خراب کردن شبکه شما داشته باشد، شناسایی کنید. برخلاف سایر راهحلهای نظارت بر امنیت، Stealthwatch نه تنها ترافیک ورودی و خروجی از شبکه بلکه ترافیک داخلی جنبه جانبی یا شرق غربی را نیز نظارت میکند تا سوءاستفاده از شبکه و تهدیدات احتمالی داخلی را نیز شناسایی نماید. Stealthwatch مدلهای استقرار مختلفی را در محل به عنوان یک وسیله سختافزاری یا یک ماشین مجازی تحت عنوان Stealthwatch Enterprise ارائه میدهد. همچنین به عنوان یک راهحل SaaS اقتباس شده از Cloud ، تحت عنوان Stealthwatch Cloud نیز ارائه میشود. مؤلفههای اصلی تشکیلدهنده Stealthwatch Enterprise عبارتند از کنسول مدیریت و جمعکننده جریان؛ سنسورهای جریان و سایر مؤلفهها بسته به همبندی و زیرساختی که مورد بررسی قرار میگیرد، اختیاری هستند. به کارگیری این مؤلفهها در کنار یکدیگر، یک دید و تحلیل منحصر به فرد از ترافیک شبکه ارائه میدهد و میتواند تشخیص تهدید به صورت Real-Time ، واکنش حوادث، عملکرد شبکه و برنامهریزی ظرفیت را بهبود بخشد.
SIEM ها چطور کار میکنند؟
وقتی اطلاعات امنیتی ساکن و مدیریت رویدادها (SIEM) در حال حاضر در سازمان پیادهسازی شده است، ممکن است یک شخص از ارزش راهحلی مانند سیسکو Stealthwatch تعجب کند. واقعیت این است که سیسکو Stealthwatch استقرار SIEM شما را تکمیل میکند. فناوری SIEM در واقع syslog را از میان داراییهای شبکه ردیابی میکند و هشدارها و زنگهای مربوط به ابزارهای مبتنی بر امضا را صادر میکند.سیسکو Stealthwatch برای به دست آوردن تصویر کامل به ترافیک فراداده، مانند NetFlow یا IPFIX نگاه میکند و قادر است ناهنجاریهای مبتنی بر رفتار را شناسایی کند. همچنین از ابزارهای تحلیلی استفاده میکند تا تعداد زیاد رویدادهای امنیتی را به تعداد کمی هشدارهای حیاتی کاهش دهد تا تیم امنیتی شما نیاز نداشته باشد که به صورت دستی تمامی دادهها را وارسی نماید. سیسکو Stealthwatch همچنین میتواند برای ادغام با SIEM به منظور ارسال هشدار و سایر اطلاعات، تنظیم شود تا مشتریان بتوانند محیط موردنظر خود را برای تشخیص و پاسخ به تهدیدات پیشرفته انتخاب نمایند. علاوه بر کاهش زمانی که صرف شناسایی و بررسی تهدید از ماهها به ساعتها میشود، مزیت دیگری نیز وجود دارد که مشتریانی که دارای سیسکو Stealthwatch و SIEM ادغام شده هستند، تجربه میکنند. و این مزیت مربوط به بهینهسازی دادههای ارسال شده به SIEM است. بیایید بگوییم که شبکه شما با نرخ متوسط 1 ترابایت در روز با مجوز سالانه به تولید تلهمتری میپردازد. ارسال داده به طور مستقیم به SIEM ممکن است هزینهای معادل 600هزار دلار در سال داشته باشد که بیشتر این دادهها نیز پردازش نشده و تکراری هستند. اگر سیسکو Stealthwatch را در این جریان تلهمتری قرار دهید، در این مثال شاهد کاهش جریان تقریبی 80٪ در کاهش هزینه از 600هزار دلار به فقط 99 هزار دلار هستید! در حالیکه نتایج شما ممکن است متفاوت باشد، ریاضیات همچنان پا برجاست. هرچه میزان تولید جریان شما بیشتر باشد، هزینهای که بدین ترتیب صرفهجویی میشود، بیشتر خواهد بود.
نکته مهم :
سیستمهای SIEM در معماریهای امنیتی مدرن به طور فزایندهای حیاتی شدهاند. SIEM به عنوان یک ثروت گسترده و غالباً لفظی از داده ها، وارد سازمان شده و آنها را ترک میکند و به ارائه زمینه و بینش در مورد نحوه دستیابی و به اشتراکگذاری دادهها کمک میکند. با این حال، انتخاب ارائهدهنده SIEM همیشه کار سادهای نیست. همانطور که مجموعه کاملی از دادههایی که باید برای نظارت بر امنیت استفاده شود، همچنان رو به رشد است، هزینه های عملیاتی برای SIEM هایی که هزینه آنها وابسته به حجم داده است، نیز رو به افزایش است. علاوه بر این، برخی از دادهها میتوانند در چندین نقطه شبکه شما به صورت سریع جایگزین شوند و منجر به هزینههای داده تکراری غیرضروری در طولانی مدت شود. اگر میخواهید برای دادههای خود هزینه بپردازید، مطمئناً نمیخواهید چندین بار و به صورت غیرضروری این کار را انجام دهید.
راهکارهای سیسکو Cisco Stealthwatch
مهمترین مزیت Stealthwatch توانایی آن در کاهش مجموعه دادهها بدون از بین رفتن اطلاعات است. سیسکو Stealthwatch میداند که دادهها دارای افزونگی هستند و در زمان جمعآوری، حذف دادههای تکراری و دوخت دادههای لازم برای ارائه کلیه اطلاعات با کمترین مقدار داده را فراهم میکند. از آنجایی که کنترلکننده جریان سیسکو Stealthwatch دادههای تلهمتری را از منابع پروکسی مختلف (Router، Switch، Firewall، End-Point و سایر دستگاههای زیرساخت شبکه) دریافت و جمعآوری میکند، فرآیند حذف دادههای تکراری را روی آنها انجام میدهد، به گونهای که هر جریانی که ممکن است در بیش از یکی از این منابع آورده شده باشد، فقط یک بار حساب شود. سپس دادههای جریان را برای دید کامل یک تراکنش شبکه به به یکدیگر متصل میکند. این امر منجر به نظارت و ذخیرهسازی مقرون به صرفه دورسنجی موثر برای حتی بزرگترین و پیچیدهترین شبکههای سازمانی میشود. سیسکو Stealthwatch به جای پرداخت SIEM بر حسب حجم داده و ریسک پرداخت دادههای تکراری، میتواند در هزینههای داده صرفهجویی کند و در عین حال قابلیت دید بالا، آنالیز امنیتی و کشف تهدید را نیز فراهم میآورد.
تلهمتری
در حالیکه حجم تلهمتریهای NetFlow و IPFIX در یک شبکه سازمانی متفاوت است، برخی از ویژگیها و تخمینها وجود دارد که میتوانیم از آنها برای مدلسازی اندازه و با تعمیم، برای مدلسازی هزینههای کلی، استفاده کنیم. اولین چیزی که میدانیم این است که بسته به hop-counts که برای عبور از شبکه نیاز است، تلهمتری تولید میشود که ارتباط را توصیف میکند. به عنوان مثال، یک جلسه میان مشتری به سرور، به طور متوسط از 5 تا 6 هاپ عبور خواهد کرد – شاید بیشتر، شاید کمتر. هر یک از Router ها یا Switch ها ، رکوردی را صادر میکنند که به طور خلاصه شامل کلیه ابردادههای قابل مشاهده از جلسه و فقط در یک جهت (به صورت یک طرفه) است. از آنجاییکه چندین جلسه در طول این Routerها، Switchها، Firewall ها و غیره قرار دارد، تلهمتری مرتبط با این جلسات با یکدیگر ادغام شده و هر 60 ثانیه منتشر میشود. اگر میخواستید روزانه یک ترابایت از این تلهمتری حیاتی را به صورت مستقیم به SIEM ارسال کنید، با مجوز سالانه حدود 600 هزار دلار برای شما هزینه داشت یا با مجوز دائمی 1.8 میلیون دلار به صورت سالانه هزینهبر بود. این سطح دید به سرعت میتواند گران شود. Stealthwatch میتواند میان همه این صادرکنندگان تلهمتری و SIEM شما قرار گیرد و بدون کاهش قابلیت بینایی، منجر به صرفهجویی در هزینه برای شما شود. سیسکو Stealthwatch میتواند در هزینههای داده صرفهجویی کند و در عین حال قابلیت رؤیت سطح بالا، آنالیز امنیتی و شناسایی تهدید را نیز فراهم نماید.
سناریو اول: بهینهسازی داده Cisco Stealthwatch
در این مثال SIEM هنوز هم برای یک برنامه فعالیت مورد استفاده در تجزیه و تحلیل خاص خود، نیاز به دورسنجی شبکه دارد. Stealthwatch از اتصال (ترکیبسازی مجموعههای مختلف تلهمتری) و حذف دادههای تکراری (دور انداختن رکوردهای تکراری در هنگام جمعآوری) پشتیبانی خواهد کرد و به شما صداقت بیشتری در حجم دادههای کمتر خواهد داد. این امر به طور متوسط منجر به کاهش 1 به 6 خواهد شد که 83.5٪ جریان کمتری دارد!
Cisco Stealthwatch Enterprise درون برنامهای برای کاهش هزینههای سنجش از راه دور
توضیحات شکل 2:
- Optimized Network Telemetry: تلهمتری شبکه بهینهشده
- Stealthwatch Management Console (SMC): کنسول مدیریتی Stealthwatch
- Storage Array: آرایه ذخیرهسازی
- Stealthwatch Flow Collector: جمعکننده جریان Stealthwatch
در اینجا، کاربر هنوز هم مایل است تلهمتری جریان شبکه را به SIEM خود وارد کند اما بدون دادههای تکراری. از آنجایی که فروشندگان SIEM به طور کلی برای ذخیره دادهها پول دریافت میکنند، کاهش ذکر شده در بالا به معنای صرفهجویی دهها هزار دلار در سال برای دادههایی است که از نظر ماهیتی، دادههای تکراری و افزونه هستند. سیسکو Stealthwatch قادر است حجم جریانی که به SIEM ارسال میشود، تا حدود 80 درصد هزینههای ذخیرهسازی داده SIEM را کاهش دهد.
سناریو دوم: هشدارهای تجزیه و تحلیل امنیتی Cisco Stealthwatch
همچنین سناریویی وجود دارد که سیسکو Stealthwatch جمعکننده و نگهدارنده کلیه فعالیتهای شبکه است و فقط به SIEM با نتایج تحلیلی (تهدیدهای کشف شده) هشدار میدهد، بنابراین به کاربر SIEM اجازه میدهد تا به منظور تحقیقات عمیق دوباره به Stealthwatch برگردد.
در اینجا، API های Stealthwatch برای تبدیل Stealthwatch به یک سرویس کاملاً یکپارچه با SIEM استفاده میشوند، زیرا Stealthwatch هم تجزیه و تحلیل رفتاری و هم حسابرسی کلی (معین عام) را برای فعالیتهای شبکه فراهم میکند.
برخی از بزرگترین شرکتها به دلیل حجم گستردهای از تله متری شبکه، این نوع استقرار را انتخاب میکنند، زیرا تجزیه و تحلیل توسط تیمهای امنیتی در یک محیط SIEM دشوار است.
Cisco Stealthwatch Enterprise به عنوان معین عام فعالیت شبکه و ادغام شده با SIEM
توضیحات شکل 3:
- Threat Detections and Security Events: شناسایی تهدید و رویدادهای امنیتی
- Stealthwatch Management Console (SMC): کنسول مدیریتی Stealthwatch
- Storage Array: آرایه ذخیرهسازی
- Stealthwatch Flow Collector: جمعکننده جریان Stealthwatch
نتیجهگیری
کوه اطلاعاتی که اکنون سازمان شما برای نظارت بر امنیت از آنها استفاده میکند، فقط در سالهای آینده به رشد خود ادامه میدهد. خوشبختانه، شما مجبور نیستید SIEM را بر اساس حجم داده بپردازید و بنابراین خود را در معرض خطر پرداخت دادههای تکراری قرار دهید. Cisco Stealthwatch این امکان را دارد که مجموعه دادههای شما را بدون هیچگونه از بین رفتن اطلاعات از طریق حذف دادههای تکراری و اتصال مجدد، کاهش دهد، و تمام اطلاعات مورد نیاز شما را با کمترین میزان داده در اختیارتان قرار دهد. Stealthwatch نه تنها به شما کمک میکند تا جریان داده را حدود 80٪ کاهش دهید، بلکه سطح بالایی از بینایی، آنالیز امنیتی و شناسایی تهدید را نیز برای شما فراهم میکند.
جهت مشاوره، نصب و خرید لایسنس Cisco Stealthwatch با کارشناسان فنی شرکت پایه ریزان فناوری هوشمند تماس حاصل فرمایید.