Usługa Stealthwatch Cloud, świadczona w modelu SaaS, gwarantuje monitorowanie lokalnego oraz chmurowego ruchu sieciowego. W tym celu konieczne jest automatyczne przekazywanie do centralnej platformy wielu informacji dotyczących charakterystyki przesyłanych w sieci danych (dzieje się to za pośrednictwem maszyny wirtualnej wdrożonej w firmie lub w chmurze).

Stealthwatch Cloud automatycznie identyfikuje role obiektów podłączonych do sieci na podstawie analizy generowanego przez nie ruchu. Dla przykładu, jeżeli zaobserwowany ruch generowany przez dany obiekt jest charakterystyczny dla wiadomości e-mail, przypisana zostanie mu rola serwera poczty elektronicznej (jeden obiekt może mieć przypisanych wiele ról).

Usługa jest wspomagana także przez zewnętrzne źródła informacji reputacyjnych, np. Cisco Talos. Korzystający z niej otrzymują komunikaty, które zawierają ostrzeżenia o zaobserwowanych anomaliach. Poza tym użytkownicy za pośrednictwem portalu mają wgląd w zebrane informacje kontekstowe, ułatwiające bardziej szczegółowe badania i zlokalizowanie źródeł problemu. To jedyne rozwiązanie zapewniające wykrywanie szkodliwego oprogramowania bez deszyfrowania ruchu.

Stealthwatch Cloud można wdrożyć na dwa sposoby. Pierwszy – Public Cloud Monitoring (PCM) – umożliwia uruchomienie usługi w chmurze (Microsoft Azure, Google Cloud, AWS). Drugi to Private Network Monitoring (PNM), który zapewnia instalowanie czujników programowych w sieci lokalnej, łączących się z portami SPAN/mirror i zbierających dane o ruchu z urządzeń sieciowych. Można także korzystać z usługi Stealthwatch Cloud w obydwu modelach jednocześnie.

Zarówno w modelu PCM, jak i PNM wykorzystywane jest dynamiczne modelowanie obiektów (Dynamic Entity Modeling) do obserwowania stanu sieci. Dla Stealthwatch Cloud obiektem jest coś, co może być śledzone w czasie, np. host lub urządzenie końcowe w sieci albo funkcja Lambda w środowisku AWS. Podczas dynamicznego modelowania gromadzone są informacje o obiektach na podstawie ruchu, który przesyłają. Stealthwatch Cloud zdobywa dane przekazywane przez protokoły NetFlow, IPFIX, JFlow oraz inne źródła informacji o ruchu sieciowym lub dzienniki przepływu VPC stosowane w chmurze.

Alerty i analizy

Dzięki połączeniu zebranych informacji dotyczących roli wszystkich obiektów i ich zachowania w sieci oraz sygnałów o występujących na świecie zagrożeniach, dostarczanych przez zewnętrzne źródła, usługa Stealthwatch Cloud generuje alarmy, które dają znać o możliwości próby zaatakowania środowiska IT w przedsiębiorstwie. Przykładem może być sytuacja, w której urządzenie niedawno podłączone do sieci zaczyna generować ruch charakterystyczny dla kontrolera domeny, znajdującego się już wcześniej w firmowej infrastrukturze. Innym przykładem są obiekty komunikujące się z zewnętrznym serwerem, z którym wcześniej nie nawiązywały połączenia, używając nietypowych portów, lub nagle zaczną przesyłać duże ilości danych. System zidentyfikuje i od razu wyśle alarm do administratorów, aby podjęli dalsze działania weryfikacyjne i właściwie zareagowali na niepokojącej działanie.

Przedsiębiorstwa zainteresowane wdrożeniem usługi Stealthwatch Cloud mogą skorzystać z 60-dniowego bezpłatnego okresu próbnego. Wówczas przez pierwszych 36 dni dane o zaobserwowanym ruchu sieciowym będą przesyłane do chmury Cisco, aby mógł zacząć działać mechanizm dynamicznego modelowania obiektów. W tym początkowym okresie do administratorów wysyłana jest połowa rodzajów alarmów. W wyniku stopniowego uczenia się system gromadzi coraz więcej danych, więc pojawiają się dodatkowe alerty. Gdy baza wzorcowa jest gotowa, użytkownik ma 24 dni na obserwację działania usługi, zapoznanie się z interfejsem użytkownika oraz przeprowadzenie testów.

Dodatkowe informacje: Paweł Najsarek, System Engineer, Ingram Micro, pawel.najsarek@ingrammicro.com