Распределенные, веб-, мобильные приложения, облачные сервисы и повсеместный доступ в Интернет обеспечивают широчайшие возможности получения, обработки и распространения информации. Но из-за растущей сложности архитектур сетей и приложений все труднее обеспечивать нужные уровни безопасности, надежности и производительности сетей и приложений, работающих поверх них.

В случае инцидента информационной безопасности бывает очень сложно или даже невозможно быстро определить, что именно произошло, как это случилось и какие данные были скомпрометированы. Кроме того, нередко возникают трудно диагностируемые сбои в работе сети и приложений, которые снижают производительность труда сотрудников предприятия, крайне негативно сказываются на его репутации и степени удовлетворенности заказчиков.

EndaceProbe пишут историю сети

Для решения перечисленных выше проблем большое значение имеет история сети (Network History). Все совершаемые в сети действия, включая зловредные, проявляются в ее трафике. Но когда завершается передача пакетов, имеющих отношение к тому или иному действию, в сети остаются лишь «слабые следы» от него. Специалистам из команд SecOps и NetOps приходится реконструировать действия, используя данные из журнальных файлов, метаданные NetFlow и другие данные. Такая реконструкция является очень медленным и зачастую безрезультативным процессом. Гораздо эффективнее использовать устройства EndaceProbe, которые могут записывать копии всех пакетов, передаваемых по сети. При возникновении сетевой проблемы или инцидента информационной безопасности у специалистов есть возможность изучить связанный с этим трафик и точно узнать, что произошло.

Устройства EndaceProbe помогают заказчикам гарантировать безопасность и производительность сетей, давая возможность записывать точную историю событий в сетях. Используя эту историю, специалисты из команд NetOps, SecOps, IT и DevOps могут заглянуть в прошлое, чтобы быстро и точно реконструировать события и должным образом среагировать на них.

Основные достоинства EndaceProbe

  • 100%-ный захват пакетов. Осуществляется непрерывная запись сетевого трафика на линейной скорости без потерь пакетов. При этом к каждому пакету прикрепляется временная метка, генерируемая с наносекундной точностью. Используя единые сигналы точного времени, получаемые, например, от ГНСС, можно синхронизировать генерацию временных меток в географически распределенных сетях. Это имеет большое значение для корреляции сетевых событий, а также для измерения производительности сетей и приложений.
  • Воспроизведение истории сети. Данная функция дает возможность анализировать произошедшие события. Выдаваемая в процессе воспроизведения информация направляется в аналитические приложения, запущенные на EndaceProbe или внешних устройствах. Возможно воспроизведение в реальном масштабе времени, ускоренное воспроизведение (для поиска нужных фрагментов трафика) или замедленное (для глубокого анализа). Индексация захватываемых пакетов позволяет быстро находить интересующие пакеты.
  • Встроенные инструменты расследования. Каждое устройство EndaceProbe снабжено веб-приложениями EndaceVision и EndacePackets. Первое из них является мощным средством анализа и визуализации трафика, а второе — анализатором пакетов на базе Wireshark.
  • Хостинг аналитических приложений. На платформе EndaceProbe в среде Application Dock могут быть запущены анализирующие трафик приложения различных фирм. Эти приложения могут осуществлять доступ к захваченным пакетам на линейной скорости или использовать функцию Playback для анализа записанной истории сети.
  • Интеграция с аналитическими приложениями. Имеющийся в EndaceProbe интерфейс REST API обеспечивает интеграцию с многочисленными аналитическими приложениями: коммерческими, с открытым исходным кодом и разработанными самими пользователями. С помощью функции Pivot-to-Vision пользователи могу переходить от тревожных оповещений в аналитических приложениях третьих фирм прямо к соответствующим фрагментам истории сети.
  • Обеспечение кибербезопасности. Благодаря ролевому контролю доступа, только авторизованные пользователи могут просматривать и загружать захваченные пакеты.
  • Функция Provenance. Чтобы история сети была полезной, нужно знать, где и как она была записана, и каким в то время было состояние сети. Функция Provenance обогащает записанную историю соответствующими контекстными данными, которые подобны метаданным в цифровых изображениях. Контекстные данные ежесекундно встраиваются в записываемый поток пакетов и поэтому всегда хранятся вместе пакетами, что позволяет анализировать эти данные с помощью программ типа EndacePackets и Wireshark вместе с самими пакетами. Provenance идеально подходит для записи контекстных данных, которые могут изменяться в процессе захвата пакетов, например сведений об оптической мощности интерфейса и дрейфе параметров синхросигнала.

Инфраструктура EndaceFabric

Множество устройств EndaceProbe можно объединить в единую централизованно управляемую инфраструктуру записи и анализа сетевого трафика, обеспечивающую контроль трафика во всей крупномасштабной сети. С каждым новом подключенным устройством увеличивается общая емкость EndaceFabric. Устройства EndaceProbe можно распределять по сети для широты охвата трафика и объединять в стек в одном месте, что увеличивает глубину памяти и дает возможность захватывать трафик с каналов пропускной способностью 100 Гбит/с и выше. Стек устройств EndaceProbe является одним логическим устройством.

Инфраструктура EndaceFabric состоит из следующих основных компонентов:

  • Многочисленные устройства EndaceProbe (одиночные и стеки), установленные в локальных и/или территориально распределенных сетях для записи и анализа сетевого трафика с использованием аналитических приложений.
  • Сервер EndaceCMS Central Management Server, обеспечивающий централизованное управление установленными устройствами EndaceProbe.
  • Один или несколько экземпляров приложения InvestigationManager, обеспечивающих поиск нужных пакетов в масштабе всей инфраструктуры.

Интеграция с приложениями

Устройство EndaceProbe имеет Application Dock, виртуальную среду для хостинга приложений, в которой пользователи могут запускать нужные аналитические приложения (коммерческие, с открытым исходным кодом, написанные самими пользователями), предназначенные для обеспечения информационной безопасности и мониторинга производительности сети. Также возможна интеграция с внешними защитными (IDS, SIEM) и мониторинговыми (NPM, APM) приложениями через Endace REST API. Данный API обеспечивает тесную связь рабочих процессов. Например, при появлении тревожного оповещения в ПО информационной безопасности аналитику может быть выдан отфильтрованный фрагмент истории сети, имеющий отношение к данному оповещению. Возможность использования записанной истории сети широким набором аналитических приложений третьих фирм значительно ускоряет расследование инцидентов информационной безопасности и диагностику сетевых проблем.

Компания Endace реализует партнерскую программу Fusion, целью которой является развитие экосистемы лучших в отрасли защитных и мониторинговых приложений, совместимых с устройствами EndaceProbe. Участники программы — ведущие производители ПО кибербезопасности, NPM и APM — используют Endace REST API и Application Dock для обеспечения доступа своих приложений к записанной истории сети с целью упрощения и автоматизации обнаружения и диагностики сетевых проблем. Помимо интеграции с коммерческими приложениями, пользователи устройств EndaceProbe нередко устанавливают в Application Dock защитные и мониторинговые приложения с открытым исходным кодом, такие как SNORT, Suricata, Bro и Argus.

Модельный ряд

Компания Endace выпускает широкий модельный ряд аппаратных устройств EndaceProbe, предназначенных для разных мест установки (от ядра сети до удаленного офиса), и виртуальный пробник EndaceProbe vProbe, разработанный для контроля трафика виртуализированных сред. Аппаратные модели EndaceProbe основаны на высокопроизводительных серверных платформах и оборудовании ввода-вывода, которое поддерживает лучшую в своем классе фирменную технологию захвата и генерации данных DAG (Data Acquisition and Generation), обеспечивающую 100%-ный захват пакетов и точное воспроизведение записанного трафика. Аппаратные модели различаются габаритными размерами, емкостью внутренней дисковой памяти, производительностью и другими параметрами (см. таблицу ниже).

Модели Серия EP-9200 G4 Серия EP-8200 G4 Серия EP-4100 G4 Серия EP-4000 G4 EP-124 EP-114 vProbe
Высота шасси 4 U 2 U 1 U 1 U 1 U, малая глубина 1 U, малая глубина Виртуальное устройство
Емкость внутренней дисковой памяти, Тбайт 432 144 7,68 (SSD) 48 3,8 (SSD) 3,8 (SSD) 1
Емкость со сжатием и Smart Truncation, Тбайт >1000 >360 >20 >120 >7 >7 -
Макс. стабильная скорость записи на диски, Гбит/с 40 15 20 3 1 0,5 0,5
Макс. число одновременных потоков 1 млн 1 млн 1 млн 500 тыс. 200 тыс. 200 тыс. 200 тыс.
Макс. число потоков/с 100 тыс. 100 тыс. 100 тыс. 50 тыс. 20 тыс. 20 тыс. 20 тыс.
Макс. число экземпляров Application Dock 4 или 12 4 или 12 4 или 12 4 или 12 2 2 Неприменимо
Число и тип
портов
8 × 1/10GbE
или
2 × 40GbE
8 × 1G/10GbE
или
2 × 40GbE
4 × 1/10GbE
или
1 × 40GbE
4 × 1/10GbE
или
1 × 40GbE
4 × 1/10GbE
или
1 × 40GbE
4 × 10/100/
1000Base-T
или 1GbE
1 × virt NIC
или 1 × 1GbE NIC
Типичные места установки Ядро сети, ЦОДы Ядро сети, ЦОДы Ядро сети, ЦОДы Филиалы, WAN-шлюзы Удаленные объекты, филиалы Удаленные объекты, филиалы Виртуальные среды
Компактность + + + + +
Высокая производительность + + + +
Глубокая память + +

EndaceProbe Analytics Platform

Устройства для записи и анализа трафика

Заявка

Отправляя форму, я даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Я понимаю и соглашаюсь, что мои данные будут храниться и обрабатываться в ООО «БИЗон» в течение десяти лет в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ.
Спасибо

Ваше обращение успешно отправлено