Spis treści
Jak to zrobić w Sycope?
Po instalacji dostępnych jest wiele wbudowanych elementów gotowych do użycia, chociaż większość obiektów jest globalna, niektóre z nich będą zależne od posiadanej licencji. Proszę więc pamiętać, że jeśli czegoś, co tu pokazujemy, brakuje w systemie, prawdopodobnie potrzebna jest licencja bezpieczeństwa lub wydajności.
Najważniejszym elementem, który dostarcza wartość od razu po instalacji, jest liczba scenariuszy analitycznych, które są zdefiniowane i dostępne dla operatora systemu w formie grup dashboardów. Grupy te koncentrują się na trzech głównych obszarach: widoczność, wydajność i bezpieczeństwo. Te scenariusze wymagają danych, aby działać, ale jeśli takie dane są dostępne, są gotowe do użycia natychmiast.
Grupy dashboardów są łatwe w nawigacji i zawierają konkretne metryki.
Jeśli chcesz stworzyć swój własny, unikalny dashboard, dostępnych jest wiele już zdefiniowanych widgetów. Jeśli chcesz zwizualizować coś konkretnego, kreator widgetów przeprowadzi Cię przez wszystkie niezbędne kroki, aby osiągnąć cel i ułatwić analizę typowych problemów z NetFlow oraz incydentów bezpieczeństwa.
Udostępniamy Ci potężne narzędzia. 64 szablony reguł są zawarte w systemie i ta liczba rośnie z każdą kolejną wersją. Kilka z nich wymaga drobnej konfiguracji przez użytkownika, aby wyeliminować fałszywe alarmy, ale stanowią świetny punkt wyjścia nawet dla niedoświadczonego analityka. Jeśli analityk chce stworzyć unikalną regułę alarmową, kreator reguł jest dostępny i poprowadzi użytkownika przez wszystkie niezbędne kroki, aby osiągnąć cel.
Kreator dostarczy również informacji zwrotnej o rzeczywistych danych oraz tego, czego można się spodziewać po utworzeniu reguły. Rdzeniem systemu jest zbieranie i analiza danych. Aby zapewnić skuteczne działanie tych modułów, zdefiniowaliśmy wiele pól NetFlow i metryk z odpowiednim formatowaniem danych, które można powielić i modyfikować lub używać w oryginalnej postaci, aby wzbogacić bazę danych o informacje takie jak geolokalizacja, mapowanie ASN i identyfikacja zagrożeń bezpieczeństwa z naszego własnego centralnego systemu CTI (Threat Intelligence).
Dostępnych jest wiele dynamicznych obiektów zwanych lookupami. Lookupy te mogą być wykorzystywane podczas wizualizacji, analiz lub procesów deduplikacji.
Lookupy są również podstawą takich funkcji jak wykorzystanie interfejsu, mapowanie nazw czy nazewnictwo i grupowanie segmentów sieci w celu wzbogacenia danych w wizualizacjach. Dostępnych jest wiele obiektów zwanych mapperami. Ich jedynym celem jest prezentowanie oryginalnych danych w bardziej przystępnej formie, aby ułatwić analizę. Wiele operacji po kliknięciu prawym przyciskiem myszy jest skonfigurowanych domyślnie. Mogą one być łatwo używane w różnych częściach systemu, aby jeszcze bardziej usprawnić analizę. Dostępna jest również liczba predefiniowanych i skategoryzowanych filtrów gotowych do natychmiastowego wykorzystania przez operatora systemu do analizy ad hoc.
