Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru

EtherSensor

Материал из wikisec
Перейти к навигации Перейти к поиску

EtherSensor – программная платформа для анализа сетевого трафика в режиме реального времени, которая распознает такие объекты пользовательских и системных коммуникаций, как сообщения, файлы и сетевые события.

Решаемые задачи

  • Извлечение из сетевого трафика в режиме реального времени:
    • сообщений, отправляемых/получаемых с использованием веб-почты, социальных сетей, и так далее с учетом возможностей функциональных модулей;
    • файлов, отправляемых и загружаемых с использованием файлообменных сервисов, сервисов мгновенных сообщений, облачных сервисов и т.д.;
    • различных действий в интернет-сервисах;
  • Фильтрация заведомо неинтересных извлеченных событий;
  • Анализ и получение метаданных событий;
  • Отправка событий и их метаданных потребителям по различным протоколам в требуемом формате для дальнейшего анализа и хранения.

Источники

  • Сетевые интерфейсы физического или виртуального сервера EtherSensor подключаются к Mirror-порту (SPAN, rx и tx пакеты) для прослушивания трафика с критичных устройств или целых сегментов сети. Аналогичным образом настраивается интеграция с решениями класса NGFW, способными расшифровывать SSL/TLS (PaloAlto Networks, FortiGate, и т.д.): копия расшифрованного SSL-трафика направляется на сетевой интерфейс EtherSensor для анализа.
  • ICAP-интеграция необходима в случае использования прокси-серверов, имеющих возможность расшифровки HTTPS-трафика и передачи результатов по ICAP в EtherSensor. В качестве таких клиентов может выступать Blue Coat SG, Cisco WSA, SQUID и т.д.
  • В некоторых случаях требуется иметь возможность проигрывания записанного ранее сетевого трафика. EtherSensor периодически опрашивает каталог на предмет появления новых PCAP-файлов с записанным трафиком. При обнаружении такие файлы немедленно обрабатываются и анализируются EtherSensor. Записать трафик в виде PCAP-файла можно при помощи утилит Microolap TCPDUMP for Windows, tcpdump или Wireshark.
  • Имеется возможность подключения к Lotus Notes Transaction Log для получения всех сообщений, проходящих через эту почтовую систему. Также производится обнаружение почтовых сообщений Lotus Notes в обрабатываемом трафике.
  • На сервер Microsoft Lync с ролью Edge устанавливается плагин, отправляющий копию переписки на сервер EtherSensor.

Отправка событий потребителям платформой EtherSensor

Служба транспортировки EtherSensor обеспечивает отправку сообщений, метаданных и событий потребителям. Служба транспортировки оперирует транспортными профилями, которые включают в себя информацию о потребителе и формате отправляемых данных. Существуют транспортные профили следующих типов:

SMTP/S

Предназначен для отправки обработанных данных в виде почтового сообщения по протоколу SMTP/S. Данный тип транспортного профиля идеально подходит для формирования почтового архива переписки работников, в том числе для сохранения сообщений, отправленных/полученных с использованием сервисов веб-почты.

FTP/S

Предназначен для сохранения извлеченных сообщений и других событий на FTP-сервер по протоколам FTP, FTPS или SFTP.

FILEDROP

Предназначен для сохранения извлеченных сообщений и других событий на файловой системе.

IMAP/S

Предназначен для отправки извлеченных сообщений и других событий в виде почтового сообщения по протоколу IMAP/S.

SMB

Предназначен для сохранения извлеченных сообщений и других событий на файловом хранилище по протоколу SMB.

AMQP

Предназначен для отправки обработанных данных и их метаданных по протоколу AMQP системе-потребителю напрямую или через брокер сообщений.

Syslog

Предназначен для отправки структурированных данных по протоколу Syslog; данный тип транспортного профиля идеально подходит для отправки событий в SIEM-системы; предусмотрено свободное формирование отправляемой строки из набора макропеременных объекта, что существенно облегчает написание коннекторов на принимающей стороне.

DEVICELOCK

Предназначен для отправки обработанных данных и их метаданных в DeviceLock DLP Suite — современное DLP-решение для защиты данных и контроля перемещения конфиденциальной информации за пределы компании, а также защиты предприятия от внутренних угроз.

INFOWATCH

Предназначен для отправки сообщений в INFOWATCH TRAFFIC MONITOR ENTERPRISE – современное DLP-решение для защиты данных и контроля перемещения конфиденциальной информации за пределы компании, а также защиты предприятия от внутренних угроз.

FALCONGAZE

Предназначен для отправки сообщений в FalconGaze SecureTower – современное DLP-решение для защиты данных и контроля перемещения конфиденциальной информации за пределы компании, а также защиты предприятия от внутренних угроз.

Типы транспортных профилей FTP/S, FILEDROP и SMB, помимо стандартных опций, предусматривают возможность задать собственный формат сохранения: только объект паспорта, в виде EML-сообщения, в виде ZIP-архива с указанной степенью сжатия, сохранение метаданных.

Каждый тип транспортного профиля учитывает особенности используемого протокола и содержит соответствующие настройки, значительно упрощающие интеграцию с потребителями.

Для снижения нагрузки на серверы систем-потребителей имеется возможность настроить балансировку отправляемых событий путем объединения транспортных профилей в групповой профиль с указанием весов каждого из них.

Потребителями контента платформы EtherSensor являются системы:

  • DLP – основной задачей любой DLP-системы является контроль информационных каналов, а возможности EtherSensor покрывают большинство из них, отвечая за сбор метаданных и проведение при этом значительной часть анализа. Примеры DLP-систем, являющихся потребителями контента платформы EtherSensor:
    • DeviceLock DLP Suite;
    • INFOWATCH TRAFFIC MONITOR ENTERPRISE;
    • FalconGaze SecureTower;
    • Solar Dozor (старое название – “Дозор-Джет”);
    • Symantec DLP;
  • SIEM – гибкая политика позволяет легко передавать интересующие события в SIEM-системы по протоколу Syslog в необходимом формате, что позволяет использовать SIEM-системы в качестве единого центра информационной безопасности;
  • Enterprise Archiving и e-Discovery, такие как Enterprise Search, Архивариус 3000, dtSearch;
  • Anomaly Detection, такие как SQLStream, Prelert, Twitter Anomaly Detection.

Преимущества платформы EtherSensor

  • Без агентов на рабочих станциях
  • Высокая производительность позволяет использовать серийное оборудование, в том числе виртуальный сервер, с низкими системными требованиями для анализа больших потоков данных (гигабиты в секунду без потери пакетов)
  • Много источников данных, много потребителей данных – один EtherSensor
  • Простой и понятный интерфейс позволяет использовать EtherSensor “из коробки” без специальной подготовки
  • Полностью отечественная разработка, доказавшая свою надежность годами безотказной работы

Ссылка на продукт

Ссылка

Источник — https://wikisec.ru/index.php?title=EtherSensor&oldid=13846