sycope Security Modul

Sycope is een netwerkbewakings- en beveiligingsoplossing die gebruik maakt van real-time flow analytics en is verrijkt met zakelijke context om organisaties te helpen de prestaties te beoordelen en hun IT-infrastructuur te beschermen. Het registreert, verwerkt en analyseert alle parameters in flows, verrijkt met SNMP, geolocatie en security feeds. Sycope is ontworpen om netwerkevenementen en -problemen te detecteren, vertragingen te meten en beveiligingsrisico's te identificeren. De beveiligingsfunctie van Sycope is ontwikkeld op basis van de MITRE ATT&CK-methodologie. Regels en mechanismen voor de detectie van beveiligingsincidenten maken de detectie van aanvallen en ongewenste activiteiten op het netwerk mogelijk.

Belangrijkste voordelen

Slimmere netwerkbewaking

Zorgen voor optimale netwerk- en toepassingsprestaties

Analyse van gegevens met context

Van algemeenheid tot forensisch detail

Vermijd downtime nu het nog kan

Risico's verminderen en kosten vermijden

De reactietijd verkorten

Comfortabel werken op piekmomenten, dankzij hoge efficiëntie

Flexibiliteit en aanpasbaarheid

Contextuele zoekbalk, aangepaste dashboards en widgets

Samenhang van het systeem

3 modules, een informatieve GUI

Belangrijkste kenmerken

Real-time stroomanalyse

• NetFlow v5/9, IPFIX, NSEL, sFlow, sampling ondersteunt
• Verbeterd door SNMP, geolocatie, beveiligingsfeeds
• Ontdubbeling van gegevens
• Eigen NQL-taal
• Ondersteuning voor IPv4, IPv6
• Analyse van niet-standaardvelden, waaronder NAT, MPLS

Big Data gewijd aan de waarneembaarheid van netwerken

Analyse van gegevens op vele gebieden:

AS Name by IP, IP Address Name, AS Names, Application Name, Protocol Name, Server IP, Name, Client IP Name, AS Name, ToS Names, Interface Name, Exporter IP (Name), Exporter Location, Exporter Description, ToS Name, Direction, Application ID, Server TCP Flags, Client TCP Flags, Bytes, Packets.

Analyse van niet-standaard stromingsvelden:

PostNatSrcIp, postNatSrcPort, applicationId, firewallEvent, fwExtEvent, minPacketLength, maxPacketLength, flow- Label, clientMaxTtl, srcVlan, dstVlan, ipv6OptionHeaders, mplsLabel1-5, retransmittedInPackets, retransmittedOut- Packets, retransmittedInBytes, retransmittedOutBytes, clientNetworkTime, serverNetworkTime, initialServerResponseTime.

Kies uit verschillende berekende metrieken (berekend op basis van stroomvelden):

Som Flows/s; Som Out Bits/s, Sum In Bits/s, Sum Bits/s, Sum Server Bits/pkt, Sum Client Bits/pkt, Sum Bytes/ Packet, Sum Packets/flow, Sum Packets/second, Sum Client Bits/flow, Sum Server Bits/flow, Sum Bytes, Sum Server Packets/flow, Sum Client Packets/flow, Unique Client Ips, Sum Avg Packets/s, Sum Client Bits/s, Sum Server Bits/s, Sum Server Packets/s, Total Client Packets/s, Total Packets, Unique Server Ports, Unique Server Ips, Unique ASNs, Avg Out Packets/s, Avg In Packets/s, Avg Packets/s, Packets/s, Avg Flows/s, % Out Retransmitted Packets, Avg Server Packets/Flow, Avg Server Bits/Flow, % In Retransmitted Packets, Avg Client Packets/flow, Avg Client Bits/flow, Avg Server Bits/pkt, Avg Client Bits/pkt, Bits/s, Bits.

Selecteer een datum/tijdbereik boven de standaardwaarden:

Kies tussen voorgedefinieerde of aangepaste tijdskaders.

Snelle toegang tot belangrijke informatie

Het systeem is ontworpen met interactieve grafieken, tabellen en kaarten die kritische gegevens, statistieken en indicatoren bevatten, die een analyse van de gedragspatronen van het netwerk mogelijk maken en helpen bij de behandeling van ontdekte problemen.

Uitgebreide filtering:

• Behoud van tijdelijke context en filters tussen weergaven.
• Eenvoudig filters verplaatsen tussen weergaven.
• Opslaan van complexe zoekfilters en tijdelijke context (bladwijzers).

Automatisch waarden toewijzen in het systeem:

• Door de gebruiker te configureren reeksen namen, termen en waarden.
• Out-of-the-box: toepassingsnamen, landen, AS, MITRE-technieken.

Eenvoudige toegang van bovenaf:

Met drill-downmechanismen kunnen gegevens voor een specifieke poort, interface of IP-adres worden bekeken.

Toegang tot externe diensten:

• Het systeem biedt toegang tot externe diensten, zoals VirusTotal, rechtstreeks vanuit de geanalyseerde weergave (rechtsklik) en verdere analyse van de gegevens.
• Feedserver - dynamische identificatie van wereldwijde bedreigingen op basis van integratie met het Sycope Cyber Threat Intelligence (CTI) platform.

Belangrijkste kenmerken van de modules

ZICHTBAARHEID

L3- en L4-gegevensanalyse, ontginning van netwerkgegevens, lijsten van verbindingen per IP-adres, protocol, poort, land, ASN of QoS. Analyse van netwerkverkeer op het niveau van een enkele TCP/UDP-poort UDP-poort, opsporing van anomalieën, specifieke dashboards.

PERFORMANCE

L7-analyse, speciale Sycope-sonde (inclusief metingen van de velden: % opnieuw verzonden pakketten door de client, % opnieuw verzonden pakketten door de server). Meting van de reactietijd, meting van de prestaties van reële toepassingen, detectie van hertransmissie, combinatie van netwerktoepassingen en metriek, aanvullende gegevensbronnen (DPI voor L7), specifieke prestatiedashboards.

BEVEILIGING

Meer dan 45 veiligheidsdetectieregels, aanpassing van de detectieregels. Actieve mitigatie met NAC-systeem, MITRE ATT&CK framework mapping, Sycope CTI (bewaakt actief een reeks bronnen, analyseert en genereert een uniforme lijst van actuele Indicator of Compromises (IoC's), mogelijkheid om regels op te stellen, speciale beveiligingsdashboards inclusief SOC.