Spis treści
Monitorowanie sieci z Sycope
Sycope umożliwia automatyczne monitorowanie, grupowanie i sortowanie wszystkich tych parametrów.
Czytelne i przejrzyste widoki zarządzania danymi są bardzo istotne w inwentaryzacji.
W Sycope możemy dowolnie personalizować wszystkie widoki zasobów i statystyk. W naszym autorskim widoku Asset Discovery mamy listę wszystkich adresów IP wykrytych automatycznie. Listę można filtrować m.in. po adresacji prywatnej/publicznej, profilach, usługach, podsieciach, tagach, opisie, lokalizacji i wielu innych. Użytkownik musi jedynie dodać zmienne własne oraz podsieci – sam widok zasobów jest dostępny nawet bez tej informacji.
W różnych miejscach systemu można kliknąć prawym przyciskiem myszy, by otworzyć menu kontekstowe z akcjami i widokami Drilldown, takimi jak Top Clients, IP Reputation, Top Servers i wiele innych.
W przypadku zarządzania pojedynczym zasobem, np. adresem IP, kluczowe jest pokazanie wszystkich dostępnych danych z pakietów NetFlow – wgląd we wszystkie aplikacje i porty wykorzystywane przez dany zasób (np. serwer) oraz wszystkie połączenia, w tym polityki ruchu i liczbę przepływów.
To pozwala uzyskać pełną inwentaryzację generowanego ruchu.
Porównanie dokumentacji z wykrytymi połączeniami i aplikacjami
W przypadku polityk większość systemów monitorujących nie oferuje takiej funkcji na poziomie usług i aplikacji. Idealnym przykładem jest dokumentacja specjalistów ds. bezpieczeństwa, która precyzyjnie określa dozwolony ruch sieciowy i lokalizacje, które mogą łączyć się z aplikacją krytyczną. Idealnym rozwiązaniem jest funkcjonalność, która umożliwia porównanie wykrytego ruchu z ustalonymi politykami.
Sycope rozwiązuje to wyzwanie dzięki dedykowanej funkcji Traffic Rule Profiles. Profile pozwalają zdefiniować podsieci klientów i serwerów oraz aplikacje i protokoły. Wykryty ruch sieciowy jest dopasowywany do każdego z tych elementów, a wynik prezentowany jest w czasie rzeczywistym. Dodatkowo te same informacje dostępne są w formie danych historycznych, co umożliwia analizę sieci w ujęciu czasowym. Przykładowe profile to m.in. aplikacje takie jak Microsoft Teams czy SQL oraz bardziej ogólne – np. zarządzanie urządzeniami przez SSH lub Telnet, które nie powinny być wykorzystywane.
Konfiguracja przykładowego profilu jest bardzo intuicyjna i łatwa do modyfikacji. Dostępne są również opcje eksportu i importu, co umożliwia masową implementację profili i aplikacji.
Dowolne przypisanie, mapowanie i konwersja zmiennych i wartości
Dane inwentaryzacyjne zawsze będą zawierać pola i zmienne specyficzne dla danej firmy czy instytucji. Systemy monitorowania muszą być na to gotowe i oferować odpowiednią elastyczność.
Sycope oferuje niespotykaną personalizację – nie tylko możliwość tworzenia zmiennych, ale również całych tabel tzw. Lookups, które można przypisać do konkretnych adresów IP, podsieci, portów, aplikacji itp. Obsługujemy również łączenie wielu tabel Lookup w jedną wspólną. Funkcja Mappers pozwala przypisywać zmienne do wartości danych, np. nazwy aplikacji do portów sieciowych. Makra to z kolei zestawy funkcji i zapytań, które generują wynik automatycznie i prezentują go w różnych miejscach systemu.
Posiadamy także dedykowany widok do tworzenia obiektów wykorzystywanych w tabelach, wykresach i innych elementach systemu. Pola są najczęściej oparte na danych z tabel Lookup i mogą być używane do inwentaryzacji lub innych działań, np. filtrowania lub grupowania. Metryki pozwalają definiować parametry ze statystyk ruchu, np. Avg Bits/s – użytkownik może też tworzyć własne. Zakresy umożliwiają filtrowanie wartości (np. zakres portów). Collectors gromadzą dane statystyczne i udostępniają je użytkownikowi w trybie ekspresowym, np. Top 10 IP klientów.
Personalizowane widoki i alerty dla sieci i aplikacji
System monitorujący powinien prezentować dane w odpowiedni sposób, najlepiej poprzez widoki i dashboardy, które można dowolnie dostosować. Idealnie, gdy można analizować zarówno dane zagregowane, jak i szczegółowe.
Sycope oferuje całe grupy widoków, podzielonych według funkcji (Visibility, Probe, Asset Discovery, Security, Custom) oraz sposobu prezentacji danych (Trends, Overview, Details).
Przykładowy Overview dla zasobów zawiera zagregowane informacje o dopasowaniu ruchu sieciowego do profili Traffic Rule. Dzięki temu możemy sprawdzić poprawność naszych polityk bezpieczeństwa i inwentaryzacji.
Na podstawie wyników możemy poprawić polityki lub zablokować określony ruch – zapewniając pełną kontrolę nad siecią. Wszystkie widoki mogą być filtrowane po dowolnych zmiennych, np. podsieci, lokalizacji, priorytecie itp.
W sytuacjach, w których chcemy reakcji systemu w czasie rzeczywistym – np. ruch poza polityką, otwarty port, nieautoryzowane połączenie z Internetem – kluczowa jest funkcja alertowania. Ważne jest, aby definicje alertów uwzględniały zarówno statystyki ruchu sieciowego, jak i zmienne inwentaryzacyjne. Te zmienne mogą być użyte w e-mailach lub wysyłane do zewnętrznych systemów zgłoszeniowych przez REST API.
Sycope posiada ponad 60 reguł alertowania gotowych do użycia. Użytkownik może je klonować lub tworzyć własne, bazując na informacjach dotyczących ruchu aplikacyjnego, dostępności lub naruszeń polityk bezpieczeństwa.
