EtherStat

Перспективное программное решение для сбора и анализа сетевой статистики платформы EtherSensor, помогающее при расследовании инцидентов информационной безопасности.

Решаемые задачи

• Получение статистики от EtherSensor;
• Привязка информации о пользователях и их устройствах, участвующих в сетевых соединениях, к получаемой статистике;
• Построение различной отчетности о сетевых событиях с использованием фильтров в ручном и автоматическом режимах.

ETHERSTAT получает данные из следующих источников:

Статистика ETHERSENSOR

• EtherSensor в рамках анализа сетевого трафика генерирует статистику следующих типов:
  • Информация о TCP-соединениях;
  • Информация обо всех запрашиваемых пользователями URL;
  • Информация о поисковых запросах пользователей;
  • Любая настраиваемая в EtherSensor информация о событиях.

Active Directory

EtherStat получает из Active Directory перечень пользователей и групп со всеми необходимыми атрибутами.

Windows Event Log

EtherStat получает из Windows Event Log контроллеров домена информацию о попытках входа пользователей на рабочие станции и другие устройства в сети. При этом не нужно устанавливать агентов на рабочие станции для осуществления привязки пользователей к их устройствам.

DHCP-серверы

EtherStat получает из журналов DHCP-серверов информацию об устройствах в сети, получающих IP-адреса от DHCP-серверов.

Категоризаторы интернет-трафика

EtherStat поддерживает работу с большинством интернет-категоризаторами, что дает возможность не просто видеть сотни посещаемых пользователями интернет-ресурсов, а иметь понимание о содержимом сайтов.

Связывание полученных данных

После получения данных из множества источников, EtherStat сразу производит связывание данных в одно событие, что позволяет составить такую цепочку событий, как: (IP-адрес:порт источника) – (HOSTNAME источника) – (Пользователь (атрибуты пользователя)) – (протокол передачи данных) – (IP-адрес назначения) – (HOSTNAME/URL(Категория запрашиваемого URL) назначения) – (суть запроса).

Фильтрация данных

В EtherStat предусмотрен единый фильтр для всех разделов, предоставляющий для анализа только необходимую информацию за счет следующих критериев фильтрации:

• диапазон времени;
• атрибуты Active Directory (группировка по компании, отделу, группе AD, адресу вплоть до комнаты, пользователю, особенностям учетной записи);
• информация о внутрисетевом или внешнем хосте (IP, MAC, HOSTNAME) с указанием направления трафика;
• сетевые протоколы;
• URL;
• текст поискового запроса.

Также в EtherStat имеется возможность автоматического построения отчетов по указанным пользователем шаблонам фильтров с дальнейшей отправкой по электронной почте.

Построение отчетов

EtherStat на основании получаемых данных формирует следующие отчеты:

• топ самых активных пользователей;
• топ посещаемых веб-доменов с возможностью углубления до конкретных веб-сервисов;
• разбивка сетевого трафика по категориям (при интеграции с категоризатором);
• новые устройства в сети за период;
• хосты, с которых работает множество пользователей (помогает находить в сети несанкционированно установленные коммутаторы и Wi-Fi точки доступа);
• история изменений в Active Directory;
• проблемы в структуре Active Directory;
• поиск по тексту поисковых запросов;
• поиск по посещаемым URL (помогает осуществить tracking документов в сети Интернет при поиске инсайдеров).

Дополнительные преимущества

• Возможность сохранения настроенных фильтров в шаблоны существенно экономит время на работу с системой
• Разделы «Пользователи» и «Хосты» упрощают поиск информации по конкретному пользователю или хосту, позволяя отслеживать историю изменения интересов конкретного объекта расследования
• Группировка любых критериев фильтра позволяет вести расследования сразу по группе лиц
• Механизм автоматического построения отчетности по указанным шаблонам и расписанию позволяет получать необходимую информацию в любом месте даже на мобильных устройствах

Ссылка на продукт

Ссылка