ArquiteturA do NetWitNess NextGeN

White Paper
Arquitetura do
NetWitness
NextGen
Arquitetura do NetWitness NextGen
Resumo executivo
Tecnologias de segurança e de rede convencionais, tais como
antivírus (AV), sistemas de detecção de intrusão (IDS), fluxo
de rede e sistemas para prevenção de perda de dados (DLP),
comprovaram ser insuficientes para identificação e prevenção
de ameaças de rede atuais e emergentes, incluindo malware,
comunicações de rede não autorizadas, roubo e vazamento de
dados. O NetWitness oferece à sua empresa um novo paradigma
em monitoramento de segurança de redes através do emprego
de uma única plataforma para gravação de dados de rede,
permitindo obter respostas precisas e oportunas para quase
qualquer pergunta de segurança que seja possível imaginar.
A plataforma NetWitness NextGen é baseada em um conceito
simples: gravar de uma vez todo o tráfego da rede de sua
empresa e reutilizar esses dados com diversos propósitos
analíticos que diminuem o risco para seus negócios. Entretanto,
diferente de outras ferramentas para captura de pacotes
existentes no mercado, o NetWitness oferece recursos além
da simples captura e armazenamento de pacotes e fluxos
que fornecem estatísticas sobre a rede ou bibliotecas PCAP.
O NextGen simultaneamente registra, indexa e modela o
tráfego nas camadas de rede e aplicativo em tempo real,
mantendo a integridade da carga útil dos pacotes e valiosos
metadados para permitir análise detalhada através de uma
infraestrutura empresarial segura e flexível. A arquitetura
modular e distribuída do NextGen, baseada em appliances,
foi desenvolvida com escalabilidade para tratar até mesmo as
maiores redes mundiais. As informações geradas pelo NextGen
podem ser agregadas e concentradas de forma ilimitada,
permitindo que as equipes de segurança aproveitem as
técnicas de análise automáticas e interativas e a renderização
visual avançada do NextGen em qualquer topologia de rede.
A normalização global e a sincronização em tempo real de
metadados de rede, apoiadas pelo profundo detalhamento
do conteúdo da camada de aplicativo e contexto das
atividades na rede, permitem ao NextGen responder a
questões complexas de segurança não abordadas por outras
tecnologias. O NetWitness oferece uma plataforma de núcleo
compartilhado que proporciona à sua equipe de segurança
agilidade para evoluir de acordo com as mudanças no perfil de
risco da empresa e do cenário de ameaças.
Cinco recursos principais caracterizam a plataforma
revolucionária do NextGen:
»» Infraestrutura de captura ampliável e confiável – gravação
de tudo que ocorre em redes de qualquer tamanho e
escopo, com suporte à múltipla reutilização dos dados. A
escalabilidade ilimitada foi projetada e integrada a todos os
componentes e subsistemas
da infraestrutura NextGen.
»» Análises – usando regras e alertas personalizáveis, as
equipes de segurança podem manter, filtrar ou sinalizar
qualquer dimensão analisada pelo NetWitness. Essa
flexibilidade permite aos analistas de segurança aplicar
regras complexas e gerar alertas automáticos para todo o
tráfego da rede em tempo real.
»» NetWitness Live – usando feeds de ameaças e fraudes
e combinando informações ao tráfego de rede ao vivo
de sua empresa, tais como objetos do Active Directory,
é possível aplicar inteligência de segurança corporativa
global em tempo real ao tráfego de rede para melhorar
significativamente a consciência situacional.
»» FlexParse– personalização instantânea do comportamento
de processamento e modelagem do tráfego de rede.
»» SDK/API– permite o rápido desenvolvimento de qualquer
aplicativo concebível para análise de tráfego de rede bruto
utilizando uma variedade de linguagens de programação e
de script.
Modelo de interação da plataforma NextGen
D
D
D
D
D
D
D
Gravação, processamento
e armazenamento
INFRAESTRUTURA
D
C
C
C
C
Indexação e Consulta
Direta
B
Decoder
Concentrator
Broker
APPSUITE
B
Consulta Distribuída
Informer
Investigator
Visualize
Análises
2
SIEMLink
White Paper
Este documento, destinado àqueles que estão envolvidos
no planejamento, projeto e implementação de uma solução
NetWitness NextGen, fornece uma análise de alto nível dos
conceitos fundamentais dessa plataforma.
Componentes do NextGen Os componentes apresentados a seguir compõem a solução
NetWitness NextGen, oferecendo recursos de análise
inigualáveis e a capacidade de fornecer respostas para
as questões de segurança mais complexas. Sua operação
será descrita na próxima seção, mas uma descrição dos
componentes será útil para a compreensão de seus recursos
e funções (também em destaque no modelo de interação da
plataforma NextGen).
Decoder
O Decoder é o alicerce e o componente de linha de frente da
infraestrutura empresarial para gravação e análises de dados de
rede. Ele é um dispositivo de rede altamente configurável que
permite coletar, filtrar e analisar em tempo real todo o tráfego da
rede. Diferentemente de qualquer outro produto para captura
de pacotes ou monitoramento de rede disponível no mercado,
o Decoder reconstrói totalmente e normaliza globalmente o
tráfego da rede nas camadas 2 a 7 do modelo OSI para permitir
a realização de análises de sessão completa em tempo real. A
tecnologia patenteada de indexação do Decoder representa
um avanço no monitoramento da segurança de rede, criando
dinamicamente uma ontologia completa de metadados
pesquisáveis (NextGen Metadata Framework) em todas as
camadas de rede e aplicativos do usuário.
que são pontos cegos nos produtos de segurança tradicionais.
Ao contrário de gerações anteriores de ferramentas para
monitoramento e alertas de rede, o Informer não depende de
arquivos de log, fluxo de rede ou outros conjuntos de dados
limitados para gerar alertas; ele aproveita a exatidão e o
detalhamento pericial da infraestrutura de captura de pacotes
completos do NetWitness. O Informer utiliza uma interface
de usuário (IU) totalmente interativa e intuitiva baseada
na web para criar e visualizar alertas, gráficos e vistas em
mosaico empregando centenas de relatórios e alertas padrão.
A IU também permite que usuários com qualquer nível de
experiência desenvolvam rapidamente seus próprios alertas,
consultas, painéis e regras personalizadas. O Informer foi
desenvolvido para ser integrado imediatamente a processos e
sistemas de operações de segurança existentes, como sistemas
de gerenciamento de eventos e informações de segurança
(SIEM).
Visualize
Concentrator
O Concentrador foi desenvolvido para agregar
hierarquicamente metadados dos Decoders em tempo real
para oferecer escalabilidade e flexibilidade de implantação em
diversas topologias de rede específicas das organizações e
em vários locais do mundo. Como resultado, os Concentrators
podem ser implantados em camadas para oferecer visibilidade
e alta disponibilidade em vários locais de captura do Decoder.
Broker
O Broker opera no mais alto nível da infraestrutura hierárquica
do NextGen. Sua função é facilitar consultas em todos os
pontos da implantação da solução empresarial em que
múltiplos Concentrators são empregados. O Broker fornece
um ponto único de acesso a todos os metadados do NextGen,
tendo sido projetado para operar e ser ampliado em qualquer
ambiente de rede, independentemente de latência, velocidade
ou volume de dados.
Informer
O NetWitness Informer é o analista automatizado – um
aplicativo baseado em regras para a visualização, emissão de
alertas, geração de relatórios e consciência situacional em toda
a empresa. O Informer destaca áreas críticas de preocupação
O Visualize, recurso exclusivo do Informer, é uma ferramenta
de renderização visual extremamente poderosa que oferece
uma maneira revolucionária para sua equipe de segurança
observar o conteúdo de aplicativos e usuários nas consultas
do Informer (veja a imagem acima). O Visualize permite ao
analista aumentar ou reduzir o nível de detalhes do tráfego
coletado usando o mouse ou os dedos (se equipado com um
monitor multitoque) para ver exatamente o que aconteceu ao
longo do tempo.
Os usuários podem, de forma rápida e eficiente, verificar
grandes volumes de objetos, incluindo áudio, documentos,
imagens e vídeos capturados pelo NetWitness, gerar a
cronologia visual de um evento, interrogar detalhadamente
todas as atividades (p. ex., comunicações, dados enviados e
recebidos, transmissões de áudio etc.) e entender todo o rico
contexto associado a cada objeto. O Visualize permite aos
usuários aproveitar todas as regras, pesquisas de palavraschave e outros filtros criados no Informer para refinar e
processar adicionalmente as informações apresentadas.
3
Arquitetura do NetWitness NextGen
Investigator
NetWitness Investigator é um aplicativo interativo para análise
forense de redes em tempo real. O Investigator fornece
análises contextuais de forma livre em grandes volumes
de informações expostas pela infraestrutura do NextGen.
Os usuários do Investigator podem realizar facilmente
análises automatizadas e interativas envolvendo complexos
problemas de segurança. Ao contrário de outros produtos
que apresentam o tráfego de rede no contexto confuso da
nomenclatura específica, forçando uma visão do mundo
baseada em IP, o Investigator utiliza o NextGen Metadata
Framework, uma ontologia de substantivos, verbos e adjetivos;
as características básicas do conteúdo real das camadas de
aplicativo e de rede, cujo contexto é analisado pelo NextGen
durante a reconstrução da sessão no momento da gravação.
Além disso, o Investigator pode ser iniciado com apenas
um clique do mouse para oferecer confirmação pericial ou
refutar qualquer evento ocorrido em um console IDS ou SIEM
existente através do NetWitness SIEMLink (descrito abaixo).
e outros programas de gerenciamento de redes e sistemas
como, por exemplo, análises do NextGen. O SIEMLink não
requer nenhuma codificação especial ou integração de
sistemas para conexão da solução de segurança existente na
empresa ao NextGen.
SDK/API
O SDK do NetWitness contém uma interface de programação
de aplicativos (API) que torna possível aproveitar a plataforma
NextGen para aplicativos personalizados. A API C oferece
acesso somente de leitura para consultar, pesquisar e
renderizar dados locais e remotos. Sua linguagem de consulta
baseada em URI para recuperação de dados é uma ferramenta
poderosa para integrar o NextGen a qualquer fluxo de
trabalho, aplicação de tíquete ou sistema de gerenciamento
de incidentes. A API também inclui wrappers para outros
ambientes de programação e script populares, tais como C++,
Java e Python para Linux, Mac e Windows.
A arquitetura do NextGen
NetWitness Live
O NetWitness Live fornece um painel configurável exclusivo
para gerenciar uma ampla variedade de conteúdo na solução
NextGen NetWitness. O Live reúne o melhor que existe na
comunidade de segurança em termos de inteligência, análise
e conteúdo: ideias, pesquisas, acompanhamento e análise
contínuos, colocando tudo isso diretamente no seu centro
de operações de segurança para classificar definitivamente
computadores associados a botnets, malware e outros
exploits mal-intencionados.
O Live permite a fusão automática de inteligência de código
aberto, comercial e confidencial sobre ameaças e fraudes ao
tráfego da rede da empresa gravado em tempo real. Além
dos feeds de inteligência de ameaças e fraudes, o NetWitness
Live também proporciona uma plataforma única centralizada
para profilers verificados e publicados pela NetWitness (ou
seja, indicadores, analisadores, relatórios, regras e módulos
de software) para ajudar a identificar e verificar as últimas
ameaças avançadas. Ao contrário de outros serviços que
focalizam apenas uma origem de inteligência, o NetWitness
Live permite aos usuários personalizarem o recebimento
de diversas origens, os profilers utilizados e a capacidade
de empregar a sua própria inteligência de acordo com
o ambiente único e o perfil de ameaça específicos. Para
correlação de identidades na rede, o Live oferece suporte
à integração com o Microsoft Active Directory através do
NetWitness Identity e do NetWitness Live Manager.
SIEMLink
O SIEMLink possibilita a imediata integração das soluções de
segurança existentes à plataforma NextGen. O SIEMLink é um
aplicativo para Windows, leve e projetado para atuar como um
conversor transparente em tempo real de dados críticos de
eventos de segurança entre consoles baseados na web, tais
como sistemas de gerenciamento de eventos e informações
de segurança (SIEM), sistemas de detecção de intrusão (IDS)
4
A infraestrutura do NetWitness NextGen é construída sobre
uma arquitetura que usa um protocolo personalizado assíncrono
para enviar e receber dados através de um sistema altamente
escalável. O sistema também aceita SSL para comunicação
segura entre os servidores e aplicativos-cliente. Essa abordagem
permite que todos os produtos na infraestrutura NextGen
interajam de forma segura em tempo real.
O NetWitness NextGen consiste em cinco subsistemas lógicos:
»» Gravação de rede realizada pelo Decoder
»» Processamento de dados realizado pelo Decoder
»» Sincronização de dados realizada pelo Concentrator
»» Indexação realizada pelo Concentrator
»» Análise realizada pelo Investigator, pelo Informer ou
qualquer aplicativo desenvolvido com a API.
Gravação da rede
A tecnologia de captura de rede já existe há anos para permitir
a pesquisa de problemas e o monitoramento do desempenho
da rede. O subsistema de gravação do NetWitness utiliza
metodologias conhecidas para transmissão e armazenamento
em buffer de pacotes em velocidades de gigabit mesmo
saturados para encaminhamento ao mecanismo de
processamento. A capacidade de agrupar e implantar na rede
vários dispositivos Decoder de forma distribuída permite
ampliar os recursos de gravação e monitoramento de redes
corporativas a provedores de serviços nacionais muito
acima de 40 Gbps. O NextGen utiliza software de código
aberto e otimizações conhecidas de drivers para aproveitar a
capacidade dos processadores multinúcleo comuns em novas
plataformas de computação.
Processamento de dados
Durante a gravação, NextGen processa e inspeciona pacotes
completos para analisar os dados. Diferentemente de outras
White Paper
soluções que apenas capturam pacotes ou inspecionam
fluxos de tráfego para verificar métricas de desempenho,
a plataforma NetWitness NextGen é a única que dispõe
de tecnologia para executar, em tempo real, recuperação
de sessões e completa inspeção de conversação para
proporcionar contextos mais completos e relevantes sobre as
atividades na rede. Nosso foco no processamento do conteúdo
da camada de aplicativo torna este tipo de monitoramento de
rede diretamente aplicável às necessidades das equipes de
segurança e outras áreas de risco de negócios. Por exemplo,
em um dia comum, um link pode gerar 90 mil pacotes por
segundo ou 7.000 sessões por segundo. Essa redução no
volume de dados cria uma razão de desempenho convincente
para observarmos a atividade de rede em termos de sessão e
não de pacotes.
O processamento do NextGen consiste em um processo com
três fases, protegido pela patente americana no. 7.016.951:
»» A remontagem de pacotes reconstitui os pacotes em
sessões, realizando a avaliação de todo fluxo possível.
Visualizar a carga útil da sessão fornece um quadro
completo necessário para enfrentar os desafios de ameaças
avançadas e da rede.
»» A análise de aplicativos através de módulos flexíveis de
parsing permite que qualquer pessoa defina como o
NextGen deve processar, categorizar e organizar o tráfego
de rede. Essa análise permite a identificação definitiva dos
tipos de serviço da sessão, definindo quais metadados são
extraídos para o armazenamento de dados do NextGen.
FlexParse é um recurso ampliável que permite a qualquer
operador de segurança configurar, em XML, como o
NextGen deve identificar os aplicativos e o que deve ser
extraído para análise.
»» A extração de conteúdo é baseada nas instruções dos
parsers. Metadados são extraídos e armazenados na
estrutura de metadados do NextGen juntamente com o
conteúdo completo da sessão. Os metadados, combinados
com o armazenamento integrado de pacotes completos,
constitui uma memória sobre a rede que permite fornecer
insights e detalhes de comportamentos em todos os
eventos da rede: internos, externos, maliciosos ou benignos.
Análise predefinida do NetWitness permite explorar protocolos
e aplicativos que incluem: HTTP, FTP, TFTP, TELNET, SMTP,
POP3, NNTP, DNS, SOCKS, HTTPS, SSL, SSH, Vcard, PGP,
SMIME, DHCP, NETBIOS, SMB/CIFS, SNMP, NFS, RIP, MSRPC,
Lotus Notes®, TDS (MSSQL), TNS(Oracle®), IRC, Lotus
Sametime®, MSN IM, RTP, Gnutella, Yahoo Messenger, AIM,
SIP, H.323, Net2Phone®,Yahoo Chat, SCCP (Cisco® Skinny),
Bittorrent, GTALK, Hotmail, Yahoo Mail, GMail, TOR, redes
sociais, Fast Flux, tag de VLAN e muitos outros.
Sincronização de dados
Para uma solução de monitoramento de rede ser eficaz, a
sincronização deve ocorrer em todos os locais de captura.
É comum encontrar no mercado soluções pontuais para
captura, que são inadequadas e limitam a eficácia analítica.
Sistemas baseados em lote ou "periciais" carecem do contexto
em tempo real exigido pelos profissionais de segurança. O
NextGen tem a capacidade de agregar metadados em vistas
lógicas e proporcionar visibilidade global e análise automática
da informação. Esse diferencial permite a geração de relatórios
e a realização de análises de incidentes associados a grandes
quantidades de tráfego de rede instantaneamente.
Indexação
A indexação no NextGen fornece acesso rápido a um grande
volume de dados. O NetWitness possui um sistema de banco
de dados desenvolvido especificamente para gerenciar seus
dados e alcançou métricas de desempenho incomparáveis
para indexação de sessão de rede em tempo real.
Embora a realização dessas comparações em transações por
segundo não seja algo fácil, as informações a seguir mostram a
relevância do desempenho de bancos de dados do NextGen:
»» A VisaNet processou cerca de 5.000 transações por
segundo durante um dia de pico, em 2009.
»» O recorde de desempenho do Oracle é superior a 60 mil
transações por segundo. Para obter essa taxa, eles usaram
190 processadores separados ao custo total de US$ 4,2
milhões de dólares. Para um único sistema, por US$ 80.000
eles podem fornecer 100.000 transações por minuto, ou
2.000 por segundo.
»» Um único NetWitness Concentrator pode processar mais de
10.000 sessões por segundo, com CADA sessão produzindo
em média 30 conjuntos de metadados extraídos, limitado
apenas pelo desempenho do hardware.
O subsistema de indexação do NextGen é o componente
tecnologicamente mais sofisticado da plataforma NetWitness,
e o coração de sua capacidade de expansão para cobrir redes
excepcionalmente grandes. Volumes totais de dados na faixa
superior a um terabyte por dia tornam uma indexação eficaz
algo essencial para implementações bem-sucedidas em redes
globais com velocidades elevadas. Desempenho de banco de
dados e indexação nas interseções entre 300.000 metaitens por
segundo é o desempenho necessário para processar e realmente
usar grandes quantidades de tráfego de rede capturado.
Análise
Todos os aplicativos do NextGen (Informer, Investigator,
Visualize e SIEMLink) permitem análises automáticas ou
interativas de sessões de rede gravadas. Cada aplicativo foi
desenvolvido utilizando o SDK do NextGen. O SDK permite
gerenciar todos os acessos de usuários aos armazenamentos
de dados, incluindo pesquisas simples de metadados,
pesquisas complexas de conteúdo completo, exportação
e cache de dados e muito mais. Todos os aplicativos da
NetWitness usam o SDK, e todos os aplicativos personalizados
criados pelos clientes aproveitam esse recurso para extrair
análises detalhadas e inteligência da infraestrutura do NextGen.
5
Arquitetura do NetWitness NextGen
Integração:
A NetWitness originalmente desenvolveu o SIEMLink, um
utilitário simples para Windows, para tornar simples e direta
a integração entre o NextGen e uma solução SIEM do cliente.
A partir de um console do SIEM, qualquer alerta ou evento
acionado pode ser analisado com mais detalhes no Investigator
clicando com o botão direito no evento no SIEM. Hoje, o
SIEMLink e seu derivado, o DirectLink, podem ser usados
para integrar qualquer console baseado na web para permitir
uma análise mais profunda de alertas ou eventos utilizando o
Investigator.
implantação do NextGen com diferentes requisitos de
velocidade para cada localização geográfica.
Europa
D
C
D
D
C
6,6 Gbps
B
D
D
D
C
Escritórios centrais
Além disso, a NetWitness estabeleceu relacionamentos de
interoperabilidade com outros provedores de tecnologia nos
quais você pode já ter investido, por exemplo, EMC e NetApp
para armazenamento. O NextGen se integra aos seguintes
provedores de tecnologia:
1,2 Gbps
D
C
B
B
D
3,8 Gbps
C
D
D
Ásia
45 mbps
Implantação
A implantação de dispositivos NetWitness NextGen e/ou
software é relativamente fácil para as equipes de rede ou de
operações de segurança. Os dispositivos operam escutando
promiscuamente uma porta SPAN em um switch existente ou
o feed de um tap de rede.
A definição de locais de captura para os dispositivos do
NextGen em uma empresa é simples -- coloque Decoders
onde for necessário para gravar o tráfego: no fluxo de saída,
no núcleo ou em segmentos (geralmente semelhante aos locais
dos sensores IDS/IPS baseados na rede). Os Concentrators
devem ser posicionados onde necessário para consolidar
dados do Decoder para relatórios, alertas e análises através
dos aplicativos Investigator e Informer.
Um único dispositivo Broker fornece vistas consolidadas em
vários Concentrators, permitindo dispor de uma visão unificada
das transações atravessando redes de complexidade ilimitada.
O diagrama acima é um exemplo de um cenário de
6
D
C
B
Cada componente NextGen exerce um papel crítico na
escalabilidade e nas métricas de desempenho operacional da
empresa. A fim de permitir que a análise de tráfego em tempo
real na camada de aplicativos seja realizada nos níveis de data
center e provedor de serviços, a arquitetura de computação
de próxima geração deve ser capaz de ser ampliada
horizontalmente e verticalmente. A natureza distribuída e
hierárquica da infraestrutura do NetWitness NextGen permite
que a empresa adicione capacidade de processamento de
tráfego para QUALQUER-G, bancos de dados e recursos de
armazenamento conforme necessário. O uso de uma "caixa
que faz tudo" no ponto de captura simplesmente não pode
manter a integridade e o desempenho do sistema enquanto
processa o tráfego de rede e executa consultas analíticas ao
mesmo tempo.
Melhores práticas fundamentais para uma implementação
bem-sucedida do NextGen NetWitness:
1. Quando monitorar um local de fluxo de saída, instale
o Decoder dentro do firewall. Essa abordagem ajuda
a gerenciar as características dos dados que afetam o
comportamento do banco de dados do NetWitness.
Por exemplo, por projeto, um ataque de negação de serviço
é registrado e modelado pelos dispositivos do NetWitness.
No entanto, uma quantidade enorme de entidades de rede
sem nenhum sentido vai encher as estruturas de dados
com ruído que pode vir a afetar a velocidade e a eficácia da
análise.
White Paper
Opções de plataforma para NextGen
Portátil
Filial
Data Center
Provedor de Serviços
Tático
Capacidade fixa
Alto desempenho
Escalabilidade ilimitada.
Uso:
Resposta a incidentes
Operações táticas
Uso:
Escritório remoto
Serviços gerenciados
Pequenas equipes de segurança
Uso:
Monitoramento empresarial
Operações SOC
Uso:
Monitoramento nacional
Grandes operações SOC
Retenção indefinida
NWA1200/2400 Decoder
NWA200 Hybrid
NWA1200/2400 Concentrator
NWA50 "Eagle"
NWA100 Broker
NWA100 Broker
Recursos:
Formato de maleta
Unidades criptografadas/removíveis
Retenção de 2 TB
Recursos:
Formato 1U
Capacidade fixa
Visibilidade distribuída
Retenção de 8 TB
Velocidade de transmissão 100 Mbps
250 Mbps
2,5 TB/dia
Armazenamento saturado
1 TB/dia
Recursos:
Recursos:
Formatos 1U e 2U
Formatos 1U e 2U
Largura de banda ampliável
Largura de banda ampliável
Visibilidade distribuída
Visibilidade distribuída
Retenção de 12 ou 24 TB
Retenção de 12 ou 24 TB
Armazenamento DAS e SAN disponível Armazenamento DAS e SAN disponível
1 Gbps
10 TB/dia
2. Aplique regras de filtragem para eliminar ruído ou
dados analiticamente inúteis, como tráfego de backup, vídeo
interno e filtragem de áudio.
3. Verifique se os picos de carga não excedem a capacidade
nominal dos dispositivos ou pode ocorrer a perda de
pacotes. O NetWitness fornece soluções de equilíbrio
de carga para quando o tráfego na rede estiver saturado
além de 1 Gbps por sensor, dividindo a carga por múltiplos
decodificadores/concentradores para permitir uma
escalabilidade ideal. Essa abordagem computacional
distribuída e de alto desempenho ocorre de forma
transparente para o usuário, fornecendo uma solução
ampliável e persistente de monitoramento de tráfego em
toda a empresa.
4. Após a implantação, permita que haja um período de
configuração básica para otimizar o ambiente. Esse
processo é auxiliado pelo nosso serviço Health Check and
Performance Tuning (Verificação de integridade e ajuste de
desempenho), um produto da NetWitness Customer Success
Organization (CSO).
A arquitetura ampliável e distribuída do NextGen foi
projetada visando flexibilidade para aceitar modificações
na infraestrutura de rede (consulte Opções de infraestrutura
acima). Como uma orientação sobre o armazenamento,
considere que um link de 100 Mbs saturado produz cerca de
1 TB de dados por dia. A sobrecarga do banco de dados do
NetWitness varia entre 5% e 15% dos dados brutos capturados.
Além disso, a NetWitness oferece suporte e comercializa
soluções de NetWitness SAN para atender à crescente
necessidade de retenção de dados de rede dentro da empresa.
10 Gbps
100 TB/dia
40 Gbps
400 TB/dia
As políticas de retenção de dados e os requisitos de
monitoramento de rede irão ditar os requisitos de
armazenamento de um cliente associados à implantação do
NextGen. Especialistas em assuntos da NetWitness estão
disponíveis para auxiliar no processo de avaliação do tamanho
ideal para o componente de armazenamento inicial.
Resultado final
O problema real nas operações de rede realizadas atualmente
certamente não é captura de pacotes para posterior
recuperação. O problema é extrair e maximizar as informações
valiosas contidas no conhecimento exaustivo sobre sua rede,
que podem proporcionar exatidão pericial sobre atividades
passadas, permitir análises em tempo real para consciência
situacional e dispor de agilidade para adaptar e enfrentar
ameaças emergentes. NextGen é a plataforma ampliável para
gravação de rede que oferece respostas para quase qualquer
pergunta de segurança que seja possível imaginar.
Independentemente de a implantação da plataforma NextGen
ser realizada por sua empresa ou pelos serviços profissionais
da NetWitness, estaremos com você em cada etapa do
processo para garantir o funcionamento e o desempenho
ideais do NextGen e o sucesso de sua equipe de segurança
com os produtos NetWitness.
7
Sobre a NetWitness
O NetWitness® é a próxima geração de plataforma de monitoramento de rede que proporciona clareza e respostas definitivas para melhorar a segurança e otimizar o
gerenciamento de riscos. Através da gravação baseada em conteúdo e na compreensão contextual das atividades da rede da empresa, ele fornece informações com
exatidão pericial sobre atividades passadas, análises em tempo real para percepção situacional e agilidade para adaptação e confronto dos desafios de amanhã.
NetWitness Corporation | 500 Grove Street, Suite 300 | Herndon, VA 20170
T: 703.889.8950 | F: 703.651.3126 | [email protected]
Saiba mais em netwitness.com