Продолжаю рассказ о развитии системы Cisco Threat Response, которая постепенно превращается в полноценную систему управления инцидентами, объединяющую вместе все решения Cisco по информационной безопасности; и при том бесплатную. В прошлый раз я рассказывал о том, как CTR может быть интегрирован с Cisco Email Security для помощи в расследовании инцидентов, источником которых является электронная почта. Сегодня поговорим о том, как CTR интегрируется с системой обнаружения сетевых аномалий Cisco Stealthwarch Enterprise. Это новая интеграция и про нее еще не все знают.Читать полностью »
Рубрика «stealthwatch»
Интеграция Cisco Threat Response и Cisco Stealthwatch Enterprise
2020-01-12 в 19:57, admin, рубрики: Cisco, incident response, nta, stealthwatch, threat hunting, Блог компании Cisco, информационная безопасность, расследование инцидентовStealthWatch базовые понятия и минимальные требования. Часть 1
2019-07-03 в 5:54, admin, рубрики: Cisco, cisco systems, stealthwatch, ts solution, Блог компании TS Solution, информационная безопасность, мониторинг сети, Сетевые технологии
Данная статья посвящена довольно новому продукту мониторинга сети Cisco StealthWatch. Основываясь на данных телеметрии вашей инфраструктуры, StealthWatch может выявлять самые разные кибератаки, включая:
- APTs
- DDoS
- атаки нулевого дня
- наличие ботов в сети
- кража данных (data leakage)
- аномальное поведение
В основе работы StealthWatch лежит сбор NetFlow и IPFIX с маршрутизаторов, коммутаторов и других сетевых устройств. В результате сеть становится чувствительным сенсором и позволяет администратору заглянуть туда, куда не могут добраться традиционные методы защиты сети: NGFW, SIEM, IPS и другие. Собирать StealthWatch может следующие протоколы: NetFlow (начиная с версии 5), sFlow, jFlow, cFlow, Netstream, nvxFlow, IPFIX и Packeteer-2.
Читать полностью »
Cisco StealthWatch или классические средства защиты корпоративной сети (FW, IPS, ACL, NAC, AV, SIEM)?
2018-06-15 в 11:08, admin, рубрики: Cisco, stealthwatch, Блог компании TS Solution, информационная безопасность, Сетевые технологии, системное администрирование
В состав практически любой системы ИБ входят традиционные системы (по отдельности или в комбинации):
• Межсетевой экран (Firewall)
• Система предотвращения вторжений (IPS)
• Списки контроля доступа (ACL)
• Система контроля доступа в сеть (NAC)
• Антивирусные системы (Antivirus/Antimalware)
• Cистемы управления события ИБ (SIEM)
Все эти системы хороши как по отдельности для решения своих задач, так и в комплексе. Однако существует различные классы задач обеспечения ИБ, которые данные системы решить увы не состоянии. Тем более, что традиционный сетевой периметр, где обычно применялись традиционные средства защиты в современной сетевой инфраструктуре размыт, так как за это время появились облачные технологии, да и пользователи стали гораздо более мобильными.
Какие задачи могут решить традиционные системы, а с какими им будет справиться крайне проблематично или даже невозможно?