增强可视性以优化SIEM操作
简介
网络安全威胁每天都在变得越来越复杂和高级,因为许多组织都在与这些威胁作斗争,这是每天的战斗。简而言之,安全性信息和事件管理SIEM是SOC汇总和关联来自网络和IT环境的信息以提供报告、仪表板、监视列表、警报等的重要工具集,以快速调查安全威胁。SIEM从数字基础设施的多个来源收集的数据量巨大,而这些大量数据的相关性并不总是微不足道的。因此,重要的是将相关的(最好是优化的)数据发送到SIEM工具,以便将最准确的数据反映给SOC中的安全分析人员,包括通过高级SOAR(安全编排,自动化和响应)进行数据湖处理的效率。Niagara Networks Packer Brokers与Open Visibility Platform(智能和虚拟化)相结合,可以从网络中的许多位置和不同来源收集、聚合和过滤数据,而无需考虑物理或虚拟网络,并提供SIEM工具通过过滤特定的流量模式、执行会话感知的负载平衡并减少可能导致SIEM工具饱和并产生误报的数据包重复,使他们真正需要的数据经过优化。
开放可视性平台可以托管SIEM收集器,以形成到SIEM的合并流量。收集器从网络收集信息,并将其转发到主要的SIEM平台进行处理和关联。Niagara Networks可以通过在单个站点中的开放可视性平台中托管收集器来增强此功能,从而提高性能,减少带宽使用量并降低总成本。
●SIEM智能访问数据流——可以过滤80%以上的数据,以最大程度地提高工具效率和规模
●通过物理或虚拟TAP以及智能过滤/聚合从本地或云中准确地获取数据
●网络架构简单性,可在SecOps的所有层提供深入可视性
●与业界领先的SIEM平台经过现场验证的互操作性
1 完整的网络可视性
物理TAP,具有TAP功能的bypass交换机的结合,虚拟TAP可以在物理和虚拟网络环境中提供全面的可视性,但是它经常会引入一定数量的重复数据包,这不仅增加了从网络捕获的数据量,而且还会破坏SIEM工具的正确行为。重复数据删除是开放可视性情报功能的一部分,可消除重复的网络流量,并优化连接SIEM工具的带宽。
2 应用意识
应用程序层过滤(也称为第7层过滤)是优化发送到SIEM工具的数据的另一种方法,通过删除不需要检查的应用程序(视频、IPTV等),或精确选择要通过特定SIEM工具检查流量的目标应用程序。
3 优化工具
许多SIEM工具都是基于对数据包的元数据,源IP地址和目标IP地址以及TCP / UDP端口的检查。在检查和报告过程中不会使用实际的有效负载。但是,此有效负载可能占用多达95%的数据包。通过从数据包中删除有效负载(也称为数据包切片),可以显著减少数据包的大小,进而减少工具的带宽量。
4 优化的流量信息
NetFlow或其较新版本的IPfix通常是流信息的受欢迎来源,因为它提供了有关网络中应用程序和流量的重要信息。不幸的是,常用的NetFlow / IPfix源,路由器和交换机在采样的基础上生成NetFlow,而该采样仅提供有限的流信息。使用数据包代理的筛选功能,开放可视性平台可以为所有选定流生成NetFlow / IPfix信息。
5 SSL / TLS解密
现在,绝大多数Internet流量已加密,并且越来越多的网络流量也已加密,因此安全运营团队在打击恶意流量和保护网络安全方面面临着另一个挑战。Niagara Networks的开放可视性平台支持SSL / TLS解密以进行有效负载检查,但也可以与其他任何Open Visibility功能(例如NetFlow生成)结合使用,以进行完全加密的DNS报告,甚至更复杂的基于策略的隐私合规性,方法是在将其交付给SIEM收集和检查工具之前屏蔽必填字段。
6 开放可视性虚拟化
除了开放可视性智能功能之外,OVP还提供了开放可视性虚拟化。借助虚拟化功能,Niagara Networks使客户能够运行应用程序(第三方以及本地应用程序)作为数据包代理的无缝组成部分。开放式可视性虚拟化不仅可以快速部署安全工具,而且还可以进行分散式流量检查和报告。它还提供了运行许多网络位置来接收它们的数据,从而不再需要在网络上部署独立的物理传感器第三方网络传感器的能力。
总结
对于安全运营中心而言,SIEM解决方案是管理数字基础架构和分析事件的重要手段。但是,要分析的数据量非常大。删除无关的数据并为SIEM工具提供优化的数据是成功进行网络安全威胁检测、预防和补救的必要条件,包括组织数字资产可持续性的基本过程。Niagara Networks的开放可视性平台 —— 一个具有分组代理、旁路、活动TAP和基于NFV的灵活部署中心的嵌入式功能的统一平台,用于尖端的虚拟应用程序,使您可以自由选择和启动满足您的SecOps和NetOps需求的最佳解决方案,并支持任何SIEM 在大型网络安全复杂体系结构中有效运行并避免任何盲点的工具。
特征 | SIEM运营的优势 |
数据包切片 | 删除数据包的有效负载,保留元数据以进行流分析 |
重复数据删除 | 从流量中删除重复的数据包,仅将第一个数据包转发到检查或报告工具 |
NetFlow生成 | 从已采样或未采样的流量中生成NetFlow或IPFix信息,并从交换机和路由器上卸载此功能 |
应用层过滤 | 出于过滤目的的应用程序识别 |
数据屏蔽 | 基于偏移量屏蔽和与正则表达式搜索结合并满足数据合规性以保护隐私法规,从而屏蔽特定的有效负载,例如信用卡号,银行帐户和其他个人身份信息,包括隐私法规:GDPR,CCPA,HIPAA,PCI-DSS等 |
ERSPAN隧道终端 | 终止ERSPAN隧道,以便通过ERSPAN隧道进行分流式运输 |
正则表达式搜索 | 使用PERL正则表达式过滤数据包有效负载 |
SSL / TLS解密 | 解密SSL / TLS加密流量以进行检查和报告,支持SSL 3.0和TLS1.0,TLS1.1,TLS1.2和TLS1.3 |
GTP相关 | 关联GTP-C和GTP-U以在多个工具之间实现GTP流量的负载平衡-移动SIEM用例 |
GTP负载平衡 | 负载均衡相关或不相关的GTP业务跨多个工具,移动SIEM用例 |
GTP过滤 | 在多个GTP协议和用户领域过滤GTP业务 - 移动SIEM用例 |
联系我们
邮箱 y.k@whpermanent.com
电话 027-87569272
地址 湖北省武汉市洪山区文化大道555号融创智谷A10-5
关注恒景
获取最新案例及解决方案
Copyright 2021 武汉恒景 All Rights Reserved. 鄂ICP备09021583号-1