EtherSensor

EtherSensor – программная платформа для анализа сетевого трафика в режиме реального времени, которая распознает такие объекты пользовательских и системных коммуникаций, как сообщения, файлы и сетевые события.

Решаемые задачи

• Извлечение из сетевого трафика в режиме реального времени:
  • сообщений, отправляемых/получаемых с использованием веб-почты, социальных сетей, и так далее с учетом возможностей функциональных модулей;
  • файлов, отправляемых и загружаемых с использованием файлообменных сервисов, сервисов мгновенных сообщений, облачных сервисов и т.д.;
  • различных действий в интернет-сервисах;
• Фильтрация заведомо неинтересных извлеченных событий;
• Анализ и получение метаданных событий;
• Отправка событий и их метаданных потребителям по различным протоколам в требуемом формате для дальнейшего анализа и хранения.

Источники

• Сетевые интерфейсы физического или виртуального сервера EtherSensor подключаются к Mirror-порту (SPAN, rx и tx пакеты) для прослушивания трафика с критичных устройств или целых сегментов сети. Аналогичным образом настраивается интеграция с решениями класса NGFW, способными расшифровывать SSL/TLS (PaloAlto Networks, FortiGate, и т.д.): копия расшифрованного SSL-трафика направляется на сетевой интерфейс EtherSensor для анализа.
• ICAP-интеграция необходима в случае использования прокси-серверов, имеющих возможность расшифровки HTTPS-трафика и передачи результатов по ICAP в EtherSensor. В качестве таких клиентов может выступать Blue Coat SG, Cisco WSA, SQUID и т.д.
• В некоторых случаях требуется иметь возможность проигрывания записанного ранее сетевого трафика. EtherSensor периодически опрашивает каталог на предмет появления новых PCAP-файлов с записанным трафиком. При обнаружении такие файлы немедленно обрабатываются и анализируются EtherSensor. Записать трафик в виде PCAP-файла можно при помощи утилит Microolap TCPDUMP for Windows, tcpdump или Wireshark.
• Имеется возможность подключения к Lotus Notes Transaction Log для получения всех сообщений, проходящих через эту почтовую систему. Также производится обнаружение почтовых сообщений Lotus Notes в обрабатываемом трафике.
• На сервер Microsoft Lync с ролью Edge устанавливается плагин, отправляющий копию переписки на сервер EtherSensor.

Анализ данных платформой EtherSensor

После обработки сетевого трафика служба перехвата передает объект паспорта в службу анализа, которая производит идентификацию сервиса, используемого для передачи данных. Затем служба анализа производит извлечение отправляемого сообщения, файла или события. Полученная на основании анализа информация записывается в объект паспорта, который проходит по созданной пользователем EtherSensor политике анализа.

В конфигураторе EtherSensor разработан дружеский графический инструмент для построения политики, не требующий специальной подготовки пользователя. Политика анализа строится по принципу таблиц проверок, аналогичным по логике правилам утилиты iptables.

Фильтрация производится по таким критериям, как протокол (уровня приложения и конкретного сервиса), отправитель и получатели (на уровне сети и на уровне конкретного сервиса), вложения, текст и многим другим. По результатам проверок критериев в политике анализа назначаются действия над анализируемым объектом, одним из которых является назначение транспортного профиля для отправки одному или нескольким потребителям в том или ином виде.

Для возможности построения тонкой политики анализа предусмотрена возможность объединения проверок логическими операторами «И», «ИЛИ», «Исключающее ИЛИ» и «НЕ».

В конце обработки наступает момент принятия решения: какому потребителю в каком виде отправлять объект, его метаданные или выборочную информацию, либо не выполнять никаких действий и забыть объект.

Отправка событий потребителям платформой EtherSensor

Служба транспортировки EtherSensor обеспечивает отправку сообщений, метаданных и событий потребителям. Служба транспортировки оперирует транспортными профилями, которые включают в себя информацию о потребителе и формате отправляемых данных. Существуют транспортные профили следующих типов:

SMTP/S

Предназначен для отправки обработанных данных в виде почтового сообщения по протоколу SMTP/S. Данный тип транспортного профиля идеально подходит для формирования почтового архива переписки работников, в том числе для сохранения сообщений, отправленных/полученных с использованием сервисов веб-почты.

FTP/S

Предназначен для сохранения извлеченных сообщений и других событий на FTP-сервер по протоколам FTP, FTPS или SFTP.

FILEDROP

Предназначен для сохранения извлеченных сообщений и других событий на файловой системе.

IMAP/S

Предназначен для отправки извлеченных сообщений и других событий в виде почтового сообщения по протоколу IMAP/S.

SMB

Предназначен для сохранения извлеченных сообщений и других событий на файловом хранилище по протоколу SMB.

AMQP

Предназначен для отправки обработанных данных и их метаданных по протоколу AMQP системе-потребителю напрямую или через брокер сообщений.

Syslog

Предназначен для отправки структурированных данных по протоколу Syslog; данный тип транспортного профиля идеально подходит для отправки событий в SIEM-системы; предусмотрено свободное формирование отправляемой строки из набора макропеременных объекта, что существенно облегчает написание коннекторов на принимающей стороне.

DEVICELOCK

Предназначен для отправки обработанных данных и их метаданных в DeviceLock DLP Suite — современное DLP-решение для защиты данных и контроля перемещения конфиденциальной информации за пределы компании, а также защиты предприятия от внутренних угроз.

INFOWATCH

Предназначен для отправки сообщений в INFOWATCH TRAFFIC MONITOR ENTERPRISE – современное DLP-решение для защиты данных и контроля перемещения конфиденциальной информации за пределы компании, а также защиты предприятия от внутренних угроз.

FALCONGAZE

Предназначен для отправки сообщений в FalconGaze SecureTower – современное DLP-решение для защиты данных и контроля перемещения конфиденциальной информации за пределы компании, а также защиты предприятия от внутренних угроз.

Типы транспортных профилей FTP/S, FILEDROP и SMB, помимо стандартных опций, предусматривают возможность задать собственный формат сохранения: только объект паспорта, в виде EML-сообщения, в виде ZIP-архива с указанной степенью сжатия, сохранение метаданных.

Каждый тип транспортного профиля учитывает особенности используемого протокола и содержит соответствующие настройки, значительно упрощающие интеграцию с потребителями.

Для снижения нагрузки на серверы систем-потребителей имеется возможность настроить балансировку отправляемых событий путем объединения транспортных профилей в групповой профиль с указанием весов каждого из них.

Потребителями контента платформы EtherSensor являются системы:

• DLP – основной задачей любой DLP-системы является контроль информационных каналов, а возможности EtherSensor покрывают большинство из них, отвечая за сбор метаданных и проведение при этом значительной часть анализа. Примеры DLP-систем, являющихся потребителями контента платформы EtherSensor:
  • DeviceLock DLP Suite;
  • INFOWATCH TRAFFIC MONITOR ENTERPRISE;
  • FalconGaze SecureTower;
  • Solar Dozor (старое название – “Дозор-Джет”);
  • Symantec DLP;
• SIEM – гибкая политика позволяет легко передавать интересующие события в SIEM-системы по протоколу Syslog в необходимом формате, что позволяет использовать SIEM-системы в качестве единого центра информационной безопасности;
• Enterprise Archiving и e-Discovery, такие как Enterprise Search, Архивариус 3000, dtSearch;
• Anomaly Detection, такие как SQLStream, Prelert, Twitter Anomaly Detection.

Преимущества платформы EtherSensor

• Без агентов на рабочих станциях
• Высокая производительность позволяет использовать серийное оборудование, в том числе виртуальный сервер, с низкими системными требованиями для анализа больших потоков данных (гигабиты в секунду без потери пакетов)
• Много источников данных, много потребителей данных – один EtherSensor
• Простой и понятный интерфейс позволяет использовать EtherSensor “из коробки” без специальной подготовки
• Полностью отечественная разработка, доказавшая свою надежность годами безотказной работы

Ссылка на продукт

Ссылка