sycope Security Modul

Sycope ist eine Netzwerküberwachungs- und -sicherheitslösung, die Echtzeit-Flow-Analysen verwendet und mit Geschäftskontext angereichert ist, um Unternehmen bei der Leistungsbewertung und dem Schutz ihrer IT-Infrastruktur zu unterstützen. Es zeichnet auf, verarbeitet und analysiert alle Parameter, die in Flows enthalten sind, angereichert mit SNMP, Geolocation und Security Feeds. Sycope wurde entwickelt, um Netzwerkereignisse und -probleme zu erkennen, Verzögerungen zu messen und Sicherheitsbedrohungen zu identifizieren. Die Sicherheitsfunktion von Sycope wurde auf der Grundlage der MITRE ATT&CK-Methodik entwickelt. Regeln und Mechanismen zur Erkennung von Sicherheitsvorfällen ermöglichen es, Angriffe und unerwünschte Aktivitäten im Netzwerk zu erkennen.

Schlüsselvorteile

Smartere Netzwerküberwachung

Sicherstellung einer optimalen Netzwerk- und Anwendungsleistung

Analyse von Daten mit Kontext

Von der Allgemeinheit zum forensischen Detail

Ausfallzeiten vermeiden, solange es noch möglich ist

Risiken reduzieren und Kosten vermeiden

Reduzierung der Zeit bis zur Reaktion

Komfortables Arbeiten in Spitzenzeiten, dank hoher Effizienz

Flexibilität und Anpassbarkeit

Kontextuelle Suchleiste, benutzerdefinierte Dashboards und Widgets

Systemkohärenz

3 Module, ein informatives GUI

Wesentliche Merkmale

Flowanalyse in Echtzeit

• NetFlow v5/9, IPFIX, NSEL, sFlow, Sampling-Unterstützungen
• Enhanced by SNMP, geolocation, Sicherheitsfeeds
• Datendeduplizierung
• NQL proprietäre Sprache
• Unterstützung für IPv4, IPv6
• Analyse von Nicht-Standardfeldern, einschließlich NAT, MPLS

Big Data engagiert für die Beobachtbarkeit des Netzes

Analyse von Daten aus vielen Bereichen:

AS Name by IP, IP Address Name, AS Names, Application Name, Protocol Name, Server IP, Name, Client IP Name, AS Name, ToS Names, Interface Name, Exporter IP (Name), Exporter Location, Exporter Description, ToS Name, Direction, Application ID, Server TCP Flags, Client TCP Flags, Bytes, Packets.

Analyse non-standard flow fields:

PostNatSrcIp, postNatSrcPort, applicationId, firewallEvent, fwExtEvent, minPacketLength, maxPacketLength, flow- Label, clientMaxTtl, srcVlan, dstVlan, ipv6OptionHeaders, mplsLabel1-5, retransmittedInPackets, retransmittedOut- Pakete, retransmittedInBytes, retransmittedOutBytes, clientNetworkTime, serverNetworkTime, initialServerResponseTime.

Wählen Sie aus mehreren berechneten Metriken (berechnet auf der Grundlage von Flussfeldern):

Summe Flows/s; Summe Out Bits/s, Summe In Bits/s, Summe Bits/s, Summe Server Bits/pkt, Summe Client Bits/pkt, Summe Bytes/ Paket, Summe Pakete/Fluss, Summe Pakete/Sekunde, Summe Client Bits/flow, Summe Server Bits/flow, Summe Bytes, Summe Server Pakete/Fluss, Summe Client Pakete/Fluss, Eindeutig Client Ips, Summe Avg Pakete/s, Summe Client Bits/s, Summe Server Bits/s, Summe Server Pakete/s, Summe Client Pakete/s, Summe Pakete, Einzigartige Server Ports, Einzigartige Server Ips, Einzigartige ASNs, Avg Out Pakete/s, Avg In Pakete/s, Avg Pakete/s, Pakete/s, Avg Flows/s, % Out Retransmitted Pakete, Avg Server Pakete/Fluss, Avg Server Bits/Fluss, % In Retransmitted Packets, Avg Client Packets/flow, Avg Client Bits/flow, Avg Server Bits/pkt, Avg Client Bits/pkt, Bits/s, Bits.

Wählen Sie einen Datums-/Zeitbereich über Standardwerte aus:

Wählen Sie zwischen vordefinierten oder benutzerdefinierten Zeitrahmen.

Schneller Zugang zu wichtigen Informationen

Das System wurde mit interaktiven Diagrammen, Tabellen und Karten ausgestattet, die kritische Daten, Statistiken und Indikatoren enthalten und die Analyse von Netzwerkverhaltensmustern ermöglichen und die Behandlung von entdeckten Problemen unterstützen.

Umfassende Filterung:

• Behalten Sie den zeitlichen Kontext und die Filter zwischen den Ansichten bei.
• Einfaches Verschieben von Filtern zwischen den Ansichten.
• Speichern Sie komplexe Suchfilter und zeitlichen Kontext (Lesezeichen).

Automatische Zuordnung von Werten im System:

• Vom Benutzer konfigurierbare Sätze von Namen, Begriffen und Werten.
• Out-of-the-box: Anwendungsnamen, Länder, AS, MITRE-Techniken.

Einfacher Zugang von oben nach unten:

Drilldown-Mechanismen ermöglichen die Anzeige von Daten für einen bestimmten Anschluss, eine Schnittstelle oder eine IP-Adresse.

Zugang zu externen Dienstleistungen:

• Das System ermöglicht den Zugang zu externen Diensten, wie VirusTotal, direkt aus der zu analysierenden Ansicht (mit der rechten Maustaste) und die weitere Analyse der Daten.
• Feeds-Server – dynamische Identifizierung der globalen Bedrohungen auf der Grundlage der Integration mit der Sycope Cyber Threat Intelligence (CTI)-Plattform.

Hauptmerkmale der Module

VISIBILITY

L3- und L4-Datenanalyse, Network Data Mining, Listen von Verbindungen pro IP-Adresse, Protokoll, Port, Land, ASN oder QoS. Analyse des Netzwerkverkehrs auf der Ebene eines einzelnen TCP-/UDP-Ports UDP-Port, Erkennung von Anomalien, spezielle Dashboards.

PERFORMANCE

L7-Analyse, spezielle Sycope-Sonde (einschließlich Messungen der Felder: % Client Retransmitted Packets, % Server Retransmitted Packets). Messung der Antwortzeit, Messung der Anwendungsleistung im realen Leben, Erkennung von Neuübertragungen, Kombination von Netzwerkanwendungen und Metriken, zusätzliche Datenquellen (DPI für L7), spezielle Leistungs-Dashboards.

SICHERHEIT

Mehr als 45 Sicherheitserkennungsregeln, Anpassung der Erkennungsregeln. Aktive Mitigation mit NAC-System, MITRE ATT&CK Framework Mapping, Sycope CTI (überwacht aktiv eine Reihe von Quellen, analysiert und generiert eine einheitliche Liste aktueller Indicator of Compromises (IoCs), Möglichkeit zur Erstellung Regeln, spezielle Sicherheits-Dashboards einschließlich SOC.