SlideShare a Scribd company logo

Система мониторинга информационной безопасности Cisco Cyber Threat Defense

Cisco Russia
Cisco Russia
1 of 6
Download to read offline
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. В данном документе содержится общедоступная информация Cisco. Стр. 1 из 6 Решение Cisco Cyber Threat Defense: получение полного представления о новейших скрытых сетевых угрозах Среда угроз сетевой безопасности находится в постоянном развитии. Следует отметить, что лидирующие позиции в ней занимают специально написанные, скрытые угрозы, которым все чаще удается преодолевать традиционные методы защиты. Решение Cisco® Cyber Threat Defense обеспечивает высокий уровень прозрачности этих угроз, выявляя подозрительный сетевой трафик внутри сети. Затем эти подозрительные схемы дополняются контекстной информацией, необходимой для определения остроты угрозы. Используя телеметрические данные NetFlow и контекстную информацию из сетевой инфраструктуры Cisco, аналитик сетевой безопасности может с помощью единого инструментария идентифицировать подозрительные действия, получить необходимые сведения о пользователе, установить приложение и собрать данные об участвующих в действиях узлах. На основе этой информации специалист по безопасности может правильно определить дальнейшие шаги, которые следует своевременно и рационально предпринять в отношении таких современных кибер-угроз, как: • проникновение в сеть — вход в сеть для поиска направлений и областей, в которые можно внедрить специально созданные кибер-угрозы • распространение вредоносных программ внутри сети — распространение вредоносных программ между узлами с целью сбора разведывательных данных о безопасности, кражи данных или создания обходных путей для входа в сеть • управляющий трафик — соединения между злоумышленником и скомпрометированными внутренними узлами • утечка данных — экспорт конфиденциальных данных злоумышленнику, обычно путем управляющих подключений В этом документе рассматриваются особенности трех основных функциональных компонентов решения Cisco Cyber Threat Defense: • Создание телеметрии безопасности в масштабе сети — экспорт данных NetFlow из коммутаторов Cisco Catalyst ® , маршрутизаторов Cisco с интеграцией сервисов и многофункциональных устройств Cisco ASA серии 5500 • Объединение, структурирование и анализ телеметрических данных NetFlow для выявления угроз и подозрительных поведений — система Lancope StealthWatch Информационный бюллетень
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. В данном документе содержится общедоступная информация Cisco. Стр. 2 из 6 • Предоставление контекстной информации для определения намерений и уровня серьезности угроз — идентификация пользователей, профилирование оконечных устройстве и оценка информации из Cisco Identity Services Engine Рис. 1. Компоненты решения Cisco Cyber Threat Defense Сетевая инфраструктура Cisco: создание полной телеметрии безопасности из внутренней сети Благодаря последним разработкам в области коммутаторов Cisco Catalyst стало возможным использование первой в отрасли повсеместно распространенной телеметрии сетевого трафика – от границы доступа пользователей до ядра коммутируемой сети. Действующие со скоростью канала передачи и не оказывающие влияния на производительность функции телеметрии NetFlow коммутаторов Cisco Catalyst серии 3560-X, 3750-X, 4500 и 6500 позволяют понять характеристики трафика угроз, которые проникли через периметр безопасности и пытаются остаться незаметными для средств обнаружения. Ключом к обеспечению этой прозрачности является возможность устройств Cisco формировать полные данные NetFlow с этих платформ. В таблице 1 представлены системные требования для создания передаваемых со скоростью канала, полных данных NetFlow в коммутаторах Cisco Catalyst. Таблица 1. Коммутаторы Cisco Catalyst с поддержкой полных данных NetFlow, передаваемых со скоростью канала Модель Требуемое оборудование Рекомендуемая версия ПО Cisco IOS® Catalyst 3560-X Сервисный модуль Cisco 15.0(1)SE3 Catalyst 3750-X Сервисный модуль Cisco 15.0(1)SE3 Catalyst 4500 Управляющий модуль Supervisor Engine 7-E или 7L-E 15.0(2)X0 Catalyst 6500 Управляющий модуль Supervisor Engine 2T 15.0(1)SY2 Дополнительная информация о коммутаторах Cisco Catalyst и технологии Cisco NetFlow cv. На веб-сайтах по адресам: http://www.cisco.com/go/catalyst и http://www.cisco.com/go/netflow. Телеметрические данные NetFlow также формируются на границах сети в таких устройствах, как маршрутизаторы, многофункциональные устройства Cisco ASA 5500 и устройства Cisco NetFlow Generation Appliance (NGA). В таблице 2 приведены системные рекомендации для создания данных NetFlow на этих платформах. Контроль и управление • Объединение до 25 FlowCollector — до 3 млн потоков в секунду Объединение, анализ, учет контекста потоков • Хранение и анализ потоков из 2 000 источников потоков при 120 000 потоков в секунду для каждого коллектора • ISE, корреляция NAT, NBAR предоставляют контекст угроз Экспортеры потоков Получение данных NetFlow из: • коммутаторов, маршрутизаторов и устройств Cisco ASA 5500 • FlowSensor или NGA в областях без поддержки потоков Консоль управления StealthWatch Management Console StealthWatch FlowCollector Контекст угроз: Идентификационные данные из ISE Корреляция NAT из ASA NBAR из маршрутизаторов Cisco NSEL: ASA 5500 Flexible NetFlow: коммутаторы, маршрутизаторы, устройства Cisco NGA
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. В данном документе содержится общедоступная информация Cisco. Стр. 3 из 6 Таблица 2. Рекомендации к системам маршрутизаторов и устройств Cisco ASA 5500 и NGA Платформы Рекомендуемая версия программного обеспечения Маршрутизаторы Cisco с интеграцией сервисов ПО Cisco IOS выпуска 15.1(4)M2 Маршрутизаторы Cisco с агрегацией сервисов серии 1000 Cisco IOS XE выпуск 3.5 Cisco IOS выпуск 15.2(1 )S Многофункциональные устройства Cisco ASA серии 5500 ПО Cisco ASA выпуска 8.4(4)1 Cisco NetFlow Generation Appliance ПО Cisco NGA версии 1.0 Система Lancope StealthWatch: обнаружение угроз и подозрительных действий В сетевой инфраструктуре Cisco, поддерживающей неограниченную телеметрию NetFlow, следующим этапом является сбор и анализ этих данных. Система StealthWatch, предлагаемая компанией Cisco, специально разработана для агрегации и стандартизации больших объемов данных NetFlow и последующего применения к ним результатов анализа безопасности для обнаружения вредоносного и подозрительного трафика, представленного в консоли управления StealthWatch Management Console. Основные компоненты системы Lancope StealthWatch: • FlowCollector — физическое или виртуальное устройство, которое объединяет и нормализует данные NetFlow и данные типа приложений, собранные с коммутаторов Cisco Catalyst, маршрутизаторов Cisco с интеграцией сервисов или многофункциональных устройств Cisco ASA 5500 (из расчета на каждое устройство FlowCollector). Один FlowCollector поддерживает до 2000 устройств. • Консоль управления StealthWatch Management Console — физическое или виртуальное устройство, которое объединяет, упорядочивает и представляет собранные с FlowCollector, Cisco Identity Services Engine данные, а также другой сетевой контекст в виде графических схем сетевого трафика, идентификационной информации пользователей, настраиваемых сводных отчетов и интегрированных средств безопасности и интеллектуальных ресурсов сети для проведения глубокого анализа. • Лицензии Flow — лицензия Flow требуется для объединения потоков в консоли управления StealthWatch Management Console. Лицензии Flow определяют количество потоков, которое может быть собрано. Дополнительные компоненты системы Lancope StealthWatch: • FlowSensor — физическое или виртуальное устройство, являющееся дополнительным решением для создания данных NetFlow для устаревших сетевых инфраструктур Cisco, которые не поддерживают формирование передаваемых со скоростью канала полных данных NetFlow. Они подходят для использования в средах, где для обеспечения ИТ-безопасности предпочтительной является выделенная дополнительная архитектура, отделенная от сетевой инфраструктуры. • FlowReplicator — физическое устройство, которое в одном месте собирает данные NetFlow и направляет их в виде единого потока на другие устройства использования данных. StealthWatch FlowCollector Объем телеметрических данных NetFlow, собранных в сети, определяется ресурсами развернутых устройств FlowCollector. Для расширения масштабов развертывания допускается установка нескольких устройств FlowCollector. FlowCollector доступны в виде физических устройств или виртуальных машин (VE). В таблице 3 приведены характеристики и возможности FlowCollector. Таблица 3. Модели StealthWatch FlowCollector Модель Максимальное кол- во потоков в секунду Максимальное кол-во экспортеров NetFlow (например, коммутаторы, маршрутизаторы) Максимальное кол-во отслеживаемых узлов (IP-адреса) Объем хранения FlowCollector VE 30 000* 1000 500 000 1 Тбайт FlowCollector 1000 30 000 500 250 000 1 Тбайт FlowCollector 2000 60 000 1000 500 000 2 Тбайт FlowCollector 4000 120 000 2000 1 000 000 4 Тбайт
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. В данном документе содержится общедоступная информация Cisco. Стр. 4 из 6 * В зависимости от ресурсов виртуальной машины. Дополнительную информацию о масштабах развертывания и конфигурациях оборудования см. на веб-сайте по адресу: http://www.lancope.com. Консоль управления StealthWatch Management Console Объем проанализированных и представленных данных NetFlow, а также допустимое количество развертываемых устройств StealthWatch FlowCollector, определяется ресурсами консоли управления StealthWatch Management Console. Консоль доступна в виде физического устройства или виртуальной машины. В таблице 4 приведены характеристики и возможности консоли управления StealthWatch Management Console. Таблица 4. Модели консоли управления StealthWatch Management Console Модель Максимальное кол-во поддерживаемых устройств FlowCollector Объем хранения Консоль управления StealthWatch Management Console VE 5* 1 Тбайт Консоль управления StealthWatch Management Console 1000 5 1 Тбайт Консоль управления StealthWatch Management Console 2000 25 2 Тбайт * В зависимости от ресурсов виртуальной машины. Дополнительную информацию о масштабах развертывания и конфигурациях оборудования см. на веб-сайте по адресу: http://www.lancope.com. Лицензии на потоки StealthWatch Для объединения потоков в консоли управления StealthWatch Management Console требуется лицензия Flow. Лицензии Flow определяют количество потоков, которое может быть собрано. Для достижения требуемого уровня потоковой пропускной способности можно использовать любые комбинации лицензий. Доступны следующие лицензии: Тип лицензии Лицензия на сбор потоков — 1000 потоков Лицензия на сбор потоков — 10 000 потоков Лицензия на сбор потоков — 25 000 потоков Лицензия на сбор потоков — 50 000 потоков Лицензия на сбор потоков — 100 000 потоков Примечание. Трафик FlowSensor не учитывается в лицензиях Flow. StealthWatch FlowSensor FlowSensor — это дополнительный компонент, который генерирует данные NetFlow для тех сегментов инфраструктуры коммутации и маршрутизации, которые не поддерживают NetFlow, или для тех сред, где наиболее подходящим вариантом для работы ИТ-организации является дополнительное решение по мониторингу. Кроме того, FlowSensor предоставляет информацию о приложениях на уровне 7 для областей, в которых недоступна технология Cisco распознавания приложения на основе сети (NBAR). Объем данных NetFlow, собранных в сети, определяется ресурсами развернутых устройств FlowSensor. Для расширения масштабов развертывания допускается установка нескольких устройств FlowSensor. FlowSensors доступны в виде физических устройств или программного обеспечения для мониторинга сред виртуальных машин. В таблице 5 приведены характеристики и возможности FlowSensor.
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. В данном документе содержится общедоступная информация Cisco. Стр. 5 из 6 Таблица 5. Модели StealthWatch FlowSensor Модель Пропускная способность FlowSensor VE 1 на сервер ESXi FlowSensor 250 100 Мбит/с FlowSensor 1000 1 Гбит/с FlowSensor 2000 2,5 Гбит/с FlowSensor 3000 5 Гбит/с Дополнительную информацию о масштабах развертывания и конфигурациях оборудования см. на веб-сайте по адресу: http://www.lancope.com. StealthWatch FlowReplicator FlowReplicator — это дополнительный компонент, который упрощает процесс формирования телеметрических данных и улучшает производительность сети путем агрегирования информации о сети и безопасности из нескольких расположений. Он объединяет данные в единый поток и направляет его на устройство FlowCollector или другие устройства. FlowReplicator доступны в виде физических устройств. В таблице 6 приведены характеристики и возможности FlowReplicator. Таблица 6. Модели StealthWatch FlowReplicator Модель Пропускная способность — входящий трафик Пропускная способность — исходящий трафик FlowReplicator 1000 10 000 пакетов в секунду 20 000 пакетов в секунду FlowReplicator 2000 20 000 пакетов в секунду 60 000 пакетов в секунду Дополнительную информацию о масштабах развертывания и конфигурациях оборудования см. на веб-сайте по адресу: http://www.lancope.com. Cisco Identity Services Engine, корреляция NAT и распознавание приложений: предоставление контекста угроз В основе процесса обнаружения и контроля угроз лежат действия по определению подозрительного трафика, однако для выяснения намерений и уровня серьезности угроз требуется соответствующая контекстная информация. Решение Cisco Cyber Threat Defense позволяет получать унифицированное представление о характере трафика за счет NetFlow и связанной с эти трафиком контекстной информации, такой как данные о пользователе, статусе и типе устройства, политике пользователя, приложении и контексте МСЭ. Эти сведения собраны в общем представлении и доступны в консоли управления StealthWatch Management Console. Cisco Identity Services Engine Cisco Identity Services Engine образует крайне мощное и гибкое решение для управления доступом на основе атрибутов, объединяющее сервисы аутентификации, авторизации и учета (AAA), оценки состояния безопасности оконечных устройств, профилирования оконечных устройств и идентификации. Cisco Identity Services Engine автоматически обнаруживает и классифицирует оконечные устройства, предоставляет правильный уровень доступа на основании идентификации и дает возможность обеспечить соответствие оконечного устройства нормативным требованиям путем оценки его состояния. Благодаря этим функциям Identity Services Engine предоставляет Cisco Threat Defense. Кроме того, Cisco Identity Services Engine можно использовать для выполнения действий по устранению угроз, затронувших пользователей. С помощью Cisco Identity Services Engine определяется количество подходящих для мониторинга пользователей и сеансов. Установка нескольких устройств Cisco Identity Services Engine обеспечивает масштабированное развертывание. Средство Cisco Identity Services Engine доступно в виде физического устройства или виртуальной машины. В таблице 7 приведены характеристики и возможности Identity Services Engine.
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. В данном документе содержится общедоступная информация Cisco. Стр. 6 из 6 Таблица 7. Модели Cisco Identity Services Engine Модель Поддерживаемые оконечные устройства Объем хранения Выпуск ПО Cisco ISE Cisco ISE 3315 Identity Services Engine 3000 500 Гб 1.1 Cisco ISE 3355 Identity Services Engine 6000 600 Гб 1.1 Cisco ISE 3395 Identity Services Engine 10 000 1,2 Тбайт 1.1 Дополнительную информацию о масштабах развертывания, конфигурациях оборудования и вариантах лицензирования см. на веб-сайте по адресу: http://www.cisco.com/go/ise. Корреляция NAT Cisco Threat Defense использует контекст NAT из устройств ASA 5500 и маршрутизаторов ASR серии 1000 для объединения внутренних и внешних представлений одного потока трафика в общую дедуплицированную запись потока. Наряду с другой информацией об идентификации и приложениях, присутствующей в Cisco Threat Defense, это может значительно ускорить процесс анализа и реагирования на инциденты за счет устранения трудоемких выполняемых вручную действий по корреляции внутренних адресных данных с внешними. Распознавание сетевых приложений Cisco (NBAR) NBAR — это реализованный в маршрутизаторах Cisco с интеграцией сервисов компонент ПО Cisco IOS ® , выполняющий глубокий анализ пакетов с учетом состояния в потоке данных для определения типа пакета и протокола, по которому передаются данные. NBAR позволят различать более 900 протоколов с помощью предопределенных сигнатур протоколов. Кроме того, это средство может проверять настраиваемые протоколы, используя специальный модуль языка описания пакета (Protocol Description Language Module, PDLM), в котором находятся сигнатуры протоколов. Система Cisco Threat Defense использует данные NBAR, полученные от маршрутизаторов Cisco с интеграцией сервисов, для предоставления дополнительного контекста угроз путем идентификации приложений, связанных с подозрительным трафиком. Эта возможность включена в систему Cisco Threat Defense. Дополнительная информация Для получения дополнительной информации о решении Cisco Cyber Threat Defense посетите веб-сайт по адресу: http://www.cisco.com/go/threatdefense. Отпечатано в США C78-700868-01 05/13

Recommended

Stealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозStealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозCisco Russia
 
Трансформация предприятия благодаря защищенным мобильным решениям
Трансформация предприятия благодаря защищенным мобильным решениямТрансформация предприятия благодаря защищенным мобильным решениям
Трансформация предприятия благодаря защищенным мобильным решениямCisco Russia
 
Система Stealthwatch
Система StealthwatchСистема Stealthwatch
Система StealthwatchCisco Russia
 
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Russia
 
Совокупный экономический эффект решения Cisco TrustSec
Совокупный экономический эффект решения Cisco TrustSecСовокупный экономический эффект решения Cisco TrustSec
Совокупный экономический эффект решения Cisco TrustSecCisco Russia
 
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...Cisco Russia
 
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущееКорпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущееCisco Russia
 
Анализ безопасности и много другое
Анализ безопасности и много другоеАнализ безопасности и много другое
Анализ безопасности и много другоеCisco Russia
 

Recommended

Stealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозStealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозCisco Russia
 
Трансформация предприятия благодаря защищенным мобильным решениям
Трансформация предприятия благодаря защищенным мобильным решениямТрансформация предприятия благодаря защищенным мобильным решениям
Трансформация предприятия благодаря защищенным мобильным решениямCisco Russia
 
Система Stealthwatch
Система StealthwatchСистема Stealthwatch
Система StealthwatchCisco Russia
 
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Russia
 
Совокупный экономический эффект решения Cisco TrustSec
Совокупный экономический эффект решения Cisco TrustSecСовокупный экономический эффект решения Cisco TrustSec
Совокупный экономический эффект решения Cisco TrustSecCisco Russia
 
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...Cisco Russia
 
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущееКорпоративная мобильность – ваше продуктивное и конкурентоспособное будущее
Корпоративная мобильность – ваше продуктивное и конкурентоспособное будущееCisco Russia
 
Анализ безопасности и много другое
Анализ безопасности и много другоеАнализ безопасности и много другое
Анализ безопасности и много другоеCisco Russia
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Aleksey Lukatskiy
 
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...Cisco Russia
 
Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего п...
Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего п...Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего п...
Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего п...Cisco Russia
 
Новинки беспроводных решений Cisco. Часть 1.
Новинки беспроводных решений Cisco. Часть 1. Новинки беспроводных решений Cisco. Часть 1.
Новинки беспроводных решений Cisco. Часть 1. Cisco Russia
 
Новые возможности Cisco Video Communication Server (Expressway)
Новые возможности Cisco Video Communication Server (Expressway)Новые возможности Cisco Video Communication Server (Expressway)
Новые возможности Cisco Video Communication Server (Expressway)Cisco Russia
 
Проверка серийного номера устройства для доступа к сервисным услугам
Проверка серийного номера устройства для доступа к сервисным услугамПроверка серийного номера устройства для доступа к сервисным услугам
Проверка серийного номера устройства для доступа к сервисным услугамCisco Russia
 
Обзор распределенной системы самообслуживания на базе Cisco VoicePortal10.5
Обзор распределенной системы самообслуживания на базе Cisco VoicePortal10.5Обзор распределенной системы самообслуживания на базе Cisco VoicePortal10.5
Обзор распределенной системы самообслуживания на базе Cisco VoicePortal10.5Cisco Russia
 
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Cisco Russia
 
AMP Helps Cisco IT Catch 50% More Malware threats
AMP Helps Cisco IT Catch 50% More Malware threatsAMP Helps Cisco IT Catch 50% More Malware threats
AMP Helps Cisco IT Catch 50% More Malware threatsCisco Security
 
Принципы построения защищенной сети
Принципы построения защищенной сети Принципы построения защищенной сети
Принципы построения защищенной сети Cisco Russia
 
Анализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat DefenseАнализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat DefenseCisco Russia
 
Приветственное слово компании Инком.
Приветственное слово компании Инком. Приветственное слово компании Инком.
Приветственное слово компании Инком. Cisco Russia
 
Cisco Active Threat Analytics
Cisco Active Threat AnalyticsCisco Active Threat Analytics
Cisco Active Threat AnalyticsCisco Russia
 
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...Cisco Russia
 
Развитие технологий и продуктов для традиционных и конвергентных сетей хранения
Развитие технологий и продуктов для традиционных и конвергентных сетей храненияРазвитие технологий и продуктов для традиционных и конвергентных сетей хранения
Развитие технологий и продуктов для традиционных и конвергентных сетей храненияCisco Russia
 
Рещение Cisco Connected Factory - Security
Рещение Cisco Connected Factory - SecurityРещение Cisco Connected Factory - Security
Рещение Cisco Connected Factory - SecurityCisco Russia
 
Cisco WebEx - от XaaS до on-premise решений.
Cisco WebEx - от XaaS до on-premise решений. Cisco WebEx - от XaaS до on-premise решений.
Cisco WebEx - от XaaS до on-premise решений. Cisco Russia
 
Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 

More Related Content

Viewers also liked

Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Aleksey Lukatskiy
 
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...Cisco Russia
 
Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего п...
Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего п...Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего п...
Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего п...Cisco Russia
 
Новинки беспроводных решений Cisco. Часть 1.
Новинки беспроводных решений Cisco. Часть 1. Новинки беспроводных решений Cisco. Часть 1.
Новинки беспроводных решений Cisco. Часть 1. Cisco Russia
 
Новые возможности Cisco Video Communication Server (Expressway)
Новые возможности Cisco Video Communication Server (Expressway)Новые возможности Cisco Video Communication Server (Expressway)
Новые возможности Cisco Video Communication Server (Expressway)Cisco Russia
 
Проверка серийного номера устройства для доступа к сервисным услугам
Проверка серийного номера устройства для доступа к сервисным услугамПроверка серийного номера устройства для доступа к сервисным услугам
Проверка серийного номера устройства для доступа к сервисным услугамCisco Russia
 
Обзор распределенной системы самообслуживания на базе Cisco VoicePortal10.5
Обзор распределенной системы самообслуживания на базе Cisco VoicePortal10.5Обзор распределенной системы самообслуживания на базе Cisco VoicePortal10.5
Обзор распределенной системы самообслуживания на базе Cisco VoicePortal10.5Cisco Russia
 
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Cisco Russia
 
AMP Helps Cisco IT Catch 50% More Malware threats
AMP Helps Cisco IT Catch 50% More Malware threatsAMP Helps Cisco IT Catch 50% More Malware threats
AMP Helps Cisco IT Catch 50% More Malware threatsCisco Security
 
Принципы построения защищенной сети
Принципы построения защищенной сети Принципы построения защищенной сети
Принципы построения защищенной сети Cisco Russia
 
Анализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat DefenseАнализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat DefenseCisco Russia
 
Приветственное слово компании Инком.
Приветственное слово компании Инком. Приветственное слово компании Инком.
Приветственное слово компании Инком. Cisco Russia
 
Cisco Active Threat Analytics
Cisco Active Threat AnalyticsCisco Active Threat Analytics
Cisco Active Threat AnalyticsCisco Russia
 
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...Cisco Russia
 
Развитие технологий и продуктов для традиционных и конвергентных сетей хранения
Развитие технологий и продуктов для традиционных и конвергентных сетей храненияРазвитие технологий и продуктов для традиционных и конвергентных сетей хранения
Развитие технологий и продуктов для традиционных и конвергентных сетей храненияCisco Russia
 
Рещение Cisco Connected Factory - Security
Рещение Cisco Connected Factory - SecurityРещение Cisco Connected Factory - Security
Рещение Cisco Connected Factory - SecurityCisco Russia
 
Cisco WebEx - от XaaS до on-premise решений.
Cisco WebEx - от XaaS до on-premise решений. Cisco WebEx - от XaaS до on-premise решений.
Cisco WebEx - от XaaS до on-premise решений. Cisco Russia
 

Viewers also liked (17)

Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
 
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
Применение WAN Automation Engine для предоставления новых услуг и онлайн-опт...
 
Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего п...
Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего п...Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего п...
Cisco Intelligent WAN (IWAN) - распределенная корпоративная сеть следующего п...
 
Новинки беспроводных решений Cisco. Часть 1.
Новинки беспроводных решений Cisco. Часть 1. Новинки беспроводных решений Cisco. Часть 1.
Новинки беспроводных решений Cisco. Часть 1.
 
Новые возможности Cisco Video Communication Server (Expressway)
Новые возможности Cisco Video Communication Server (Expressway)Новые возможности Cisco Video Communication Server (Expressway)
Новые возможности Cisco Video Communication Server (Expressway)
 
Проверка серийного номера устройства для доступа к сервисным услугам
Проверка серийного номера устройства для доступа к сервисным услугамПроверка серийного номера устройства для доступа к сервисным услугам
Проверка серийного номера устройства для доступа к сервисным услугам
 
Обзор распределенной системы самообслуживания на базе Cisco VoicePortal10.5
Обзор распределенной системы самообслуживания на базе Cisco VoicePortal10.5Обзор распределенной системы самообслуживания на базе Cisco VoicePortal10.5
Обзор распределенной системы самообслуживания на базе Cisco VoicePortal10.5
 
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
 
AMP Helps Cisco IT Catch 50% More Malware threats
AMP Helps Cisco IT Catch 50% More Malware threatsAMP Helps Cisco IT Catch 50% More Malware threats
AMP Helps Cisco IT Catch 50% More Malware threats
 
Принципы построения защищенной сети
Принципы построения защищенной сети Принципы построения защищенной сети
Принципы построения защищенной сети
 
Анализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat DefenseАнализ угроз с помощью Cisco Threat Defense
Анализ угроз с помощью Cisco Threat Defense
 
Приветственное слово компании Инком.
Приветственное слово компании Инком. Приветственное слово компании Инком.
Приветственное слово компании Инком.
 
Cisco Active Threat Analytics
Cisco Active Threat AnalyticsCisco Active Threat Analytics
Cisco Active Threat Analytics
 
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
Cisco ACI - инфраструктура, ориентированная на приложения: решаемые задачи, п...
 
Развитие технологий и продуктов для традиционных и конвергентных сетей хранения
Развитие технологий и продуктов для традиционных и конвергентных сетей храненияРазвитие технологий и продуктов для традиционных и конвергентных сетей хранения
Развитие технологий и продуктов для традиционных и конвергентных сетей хранения
 
Рещение Cisco Connected Factory - Security
Рещение Cisco Connected Factory - SecurityРещение Cisco Connected Factory - Security
Рещение Cisco Connected Factory - Security
 
Cisco WebEx - от XaaS до on-premise решений.
Cisco WebEx - от XaaS до on-premise решений. Cisco WebEx - от XaaS до on-premise решений.
Cisco WebEx - от XaaS до on-premise решений.
 

More from Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Система мониторинга информационной безопасности Cisco Cyber Threat Defense

  • 1. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. В данном документе содержится общедоступная информация Cisco. Стр. 1 из 6 Решение Cisco Cyber Threat Defense: получение полного представления о новейших скрытых сетевых угрозах Среда угроз сетевой безопасности находится в постоянном развитии. Следует отметить, что лидирующие позиции в ней занимают специально написанные, скрытые угрозы, которым все чаще удается преодолевать традиционные методы защиты. Решение Cisco® Cyber Threat Defense обеспечивает высокий уровень прозрачности этих угроз, выявляя подозрительный сетевой трафик внутри сети. Затем эти подозрительные схемы дополняются контекстной информацией, необходимой для определения остроты угрозы. Используя телеметрические данные NetFlow и контекстную информацию из сетевой инфраструктуры Cisco, аналитик сетевой безопасности может с помощью единого инструментария идентифицировать подозрительные действия, получить необходимые сведения о пользователе, установить приложение и собрать данные об участвующих в действиях узлах. На основе этой информации специалист по безопасности может правильно определить дальнейшие шаги, которые следует своевременно и рационально предпринять в отношении таких современных кибер-угроз, как: • проникновение в сеть — вход в сеть для поиска направлений и областей, в которые можно внедрить специально созданные кибер-угрозы • распространение вредоносных программ внутри сети — распространение вредоносных программ между узлами с целью сбора разведывательных данных о безопасности, кражи данных или создания обходных путей для входа в сеть • управляющий трафик — соединения между злоумышленником и скомпрометированными внутренними узлами • утечка данных — экспорт конфиденциальных данных злоумышленнику, обычно путем управляющих подключений В этом документе рассматриваются особенности трех основных функциональных компонентов решения Cisco Cyber Threat Defense: • Создание телеметрии безопасности в масштабе сети — экспорт данных NetFlow из коммутаторов Cisco Catalyst ® , маршрутизаторов Cisco с интеграцией сервисов и многофункциональных устройств Cisco ASA серии 5500 • Объединение, структурирование и анализ телеметрических данных NetFlow для выявления угроз и подозрительных поведений — система Lancope StealthWatch Информационный бюллетень
  • 2. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. В данном документе содержится общедоступная информация Cisco. Стр. 2 из 6 • Предоставление контекстной информации для определения намерений и уровня серьезности угроз — идентификация пользователей, профилирование оконечных устройстве и оценка информации из Cisco Identity Services Engine Рис. 1. Компоненты решения Cisco Cyber Threat Defense Сетевая инфраструктура Cisco: создание полной телеметрии безопасности из внутренней сети Благодаря последним разработкам в области коммутаторов Cisco Catalyst стало возможным использование первой в отрасли повсеместно распространенной телеметрии сетевого трафика – от границы доступа пользователей до ядра коммутируемой сети. Действующие со скоростью канала передачи и не оказывающие влияния на производительность функции телеметрии NetFlow коммутаторов Cisco Catalyst серии 3560-X, 3750-X, 4500 и 6500 позволяют понять характеристики трафика угроз, которые проникли через периметр безопасности и пытаются остаться незаметными для средств обнаружения. Ключом к обеспечению этой прозрачности является возможность устройств Cisco формировать полные данные NetFlow с этих платформ. В таблице 1 представлены системные требования для создания передаваемых со скоростью канала, полных данных NetFlow в коммутаторах Cisco Catalyst. Таблица 1. Коммутаторы Cisco Catalyst с поддержкой полных данных NetFlow, передаваемых со скоростью канала Модель Требуемое оборудование Рекомендуемая версия ПО Cisco IOS® Catalyst 3560-X Сервисный модуль Cisco 15.0(1)SE3 Catalyst 3750-X Сервисный модуль Cisco 15.0(1)SE3 Catalyst 4500 Управляющий модуль Supervisor Engine 7-E или 7L-E 15.0(2)X0 Catalyst 6500 Управляющий модуль Supervisor Engine 2T 15.0(1)SY2 Дополнительная информация о коммутаторах Cisco Catalyst и технологии Cisco NetFlow cv. На веб-сайтах по адресам: http://www.cisco.com/go/catalyst и http://www.cisco.com/go/netflow. Телеметрические данные NetFlow также формируются на границах сети в таких устройствах, как маршрутизаторы, многофункциональные устройства Cisco ASA 5500 и устройства Cisco NetFlow Generation Appliance (NGA). В таблице 2 приведены системные рекомендации для создания данных NetFlow на этих платформах. Контроль и управление • Объединение до 25 FlowCollector — до 3 млн потоков в секунду Объединение, анализ, учет контекста потоков • Хранение и анализ потоков из 2 000 источников потоков при 120 000 потоков в секунду для каждого коллектора • ISE, корреляция NAT, NBAR предоставляют контекст угроз Экспортеры потоков Получение данных NetFlow из: • коммутаторов, маршрутизаторов и устройств Cisco ASA 5500 • FlowSensor или NGA в областях без поддержки потоков Консоль управления StealthWatch Management Console StealthWatch FlowCollector Контекст угроз: Идентификационные данные из ISE Корреляция NAT из ASA NBAR из маршрутизаторов Cisco NSEL: ASA 5500 Flexible NetFlow: коммутаторы, маршрутизаторы, устройства Cisco NGA
  • 3. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. В данном документе содержится общедоступная информация Cisco. Стр. 3 из 6 Таблица 2. Рекомендации к системам маршрутизаторов и устройств Cisco ASA 5500 и NGA Платформы Рекомендуемая версия программного обеспечения Маршрутизаторы Cisco с интеграцией сервисов ПО Cisco IOS выпуска 15.1(4)M2 Маршрутизаторы Cisco с агрегацией сервисов серии 1000 Cisco IOS XE выпуск 3.5 Cisco IOS выпуск 15.2(1 )S Многофункциональные устройства Cisco ASA серии 5500 ПО Cisco ASA выпуска 8.4(4)1 Cisco NetFlow Generation Appliance ПО Cisco NGA версии 1.0 Система Lancope StealthWatch: обнаружение угроз и подозрительных действий В сетевой инфраструктуре Cisco, поддерживающей неограниченную телеметрию NetFlow, следующим этапом является сбор и анализ этих данных. Система StealthWatch, предлагаемая компанией Cisco, специально разработана для агрегации и стандартизации больших объемов данных NetFlow и последующего применения к ним результатов анализа безопасности для обнаружения вредоносного и подозрительного трафика, представленного в консоли управления StealthWatch Management Console. Основные компоненты системы Lancope StealthWatch: • FlowCollector — физическое или виртуальное устройство, которое объединяет и нормализует данные NetFlow и данные типа приложений, собранные с коммутаторов Cisco Catalyst, маршрутизаторов Cisco с интеграцией сервисов или многофункциональных устройств Cisco ASA 5500 (из расчета на каждое устройство FlowCollector). Один FlowCollector поддерживает до 2000 устройств. • Консоль управления StealthWatch Management Console — физическое или виртуальное устройство, которое объединяет, упорядочивает и представляет собранные с FlowCollector, Cisco Identity Services Engine данные, а также другой сетевой контекст в виде графических схем сетевого трафика, идентификационной информации пользователей, настраиваемых сводных отчетов и интегрированных средств безопасности и интеллектуальных ресурсов сети для проведения глубокого анализа. • Лицензии Flow — лицензия Flow требуется для объединения потоков в консоли управления StealthWatch Management Console. Лицензии Flow определяют количество потоков, которое может быть собрано. Дополнительные компоненты системы Lancope StealthWatch: • FlowSensor — физическое или виртуальное устройство, являющееся дополнительным решением для создания данных NetFlow для устаревших сетевых инфраструктур Cisco, которые не поддерживают формирование передаваемых со скоростью канала полных данных NetFlow. Они подходят для использования в средах, где для обеспечения ИТ-безопасности предпочтительной является выделенная дополнительная архитектура, отделенная от сетевой инфраструктуры. • FlowReplicator — физическое устройство, которое в одном месте собирает данные NetFlow и направляет их в виде единого потока на другие устройства использования данных. StealthWatch FlowCollector Объем телеметрических данных NetFlow, собранных в сети, определяется ресурсами развернутых устройств FlowCollector. Для расширения масштабов развертывания допускается установка нескольких устройств FlowCollector. FlowCollector доступны в виде физических устройств или виртуальных машин (VE). В таблице 3 приведены характеристики и возможности FlowCollector. Таблица 3. Модели StealthWatch FlowCollector Модель Максимальное кол- во потоков в секунду Максимальное кол-во экспортеров NetFlow (например, коммутаторы, маршрутизаторы) Максимальное кол-во отслеживаемых узлов (IP-адреса) Объем хранения FlowCollector VE 30 000* 1000 500 000 1 Тбайт FlowCollector 1000 30 000 500 250 000 1 Тбайт FlowCollector 2000 60 000 1000 500 000 2 Тбайт FlowCollector 4000 120 000 2000 1 000 000 4 Тбайт
  • 4. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. В данном документе содержится общедоступная информация Cisco. Стр. 4 из 6 * В зависимости от ресурсов виртуальной машины. Дополнительную информацию о масштабах развертывания и конфигурациях оборудования см. на веб-сайте по адресу: http://www.lancope.com. Консоль управления StealthWatch Management Console Объем проанализированных и представленных данных NetFlow, а также допустимое количество развертываемых устройств StealthWatch FlowCollector, определяется ресурсами консоли управления StealthWatch Management Console. Консоль доступна в виде физического устройства или виртуальной машины. В таблице 4 приведены характеристики и возможности консоли управления StealthWatch Management Console. Таблица 4. Модели консоли управления StealthWatch Management Console Модель Максимальное кол-во поддерживаемых устройств FlowCollector Объем хранения Консоль управления StealthWatch Management Console VE 5* 1 Тбайт Консоль управления StealthWatch Management Console 1000 5 1 Тбайт Консоль управления StealthWatch Management Console 2000 25 2 Тбайт * В зависимости от ресурсов виртуальной машины. Дополнительную информацию о масштабах развертывания и конфигурациях оборудования см. на веб-сайте по адресу: http://www.lancope.com. Лицензии на потоки StealthWatch Для объединения потоков в консоли управления StealthWatch Management Console требуется лицензия Flow. Лицензии Flow определяют количество потоков, которое может быть собрано. Для достижения требуемого уровня потоковой пропускной способности можно использовать любые комбинации лицензий. Доступны следующие лицензии: Тип лицензии Лицензия на сбор потоков — 1000 потоков Лицензия на сбор потоков — 10 000 потоков Лицензия на сбор потоков — 25 000 потоков Лицензия на сбор потоков — 50 000 потоков Лицензия на сбор потоков — 100 000 потоков Примечание. Трафик FlowSensor не учитывается в лицензиях Flow. StealthWatch FlowSensor FlowSensor — это дополнительный компонент, который генерирует данные NetFlow для тех сегментов инфраструктуры коммутации и маршрутизации, которые не поддерживают NetFlow, или для тех сред, где наиболее подходящим вариантом для работы ИТ-организации является дополнительное решение по мониторингу. Кроме того, FlowSensor предоставляет информацию о приложениях на уровне 7 для областей, в которых недоступна технология Cisco распознавания приложения на основе сети (NBAR). Объем данных NetFlow, собранных в сети, определяется ресурсами развернутых устройств FlowSensor. Для расширения масштабов развертывания допускается установка нескольких устройств FlowSensor. FlowSensors доступны в виде физических устройств или программного обеспечения для мониторинга сред виртуальных машин. В таблице 5 приведены характеристики и возможности FlowSensor.
  • 5. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. В данном документе содержится общедоступная информация Cisco. Стр. 5 из 6 Таблица 5. Модели StealthWatch FlowSensor Модель Пропускная способность FlowSensor VE 1 на сервер ESXi FlowSensor 250 100 Мбит/с FlowSensor 1000 1 Гбит/с FlowSensor 2000 2,5 Гбит/с FlowSensor 3000 5 Гбит/с Дополнительную информацию о масштабах развертывания и конфигурациях оборудования см. на веб-сайте по адресу: http://www.lancope.com. StealthWatch FlowReplicator FlowReplicator — это дополнительный компонент, который упрощает процесс формирования телеметрических данных и улучшает производительность сети путем агрегирования информации о сети и безопасности из нескольких расположений. Он объединяет данные в единый поток и направляет его на устройство FlowCollector или другие устройства. FlowReplicator доступны в виде физических устройств. В таблице 6 приведены характеристики и возможности FlowReplicator. Таблица 6. Модели StealthWatch FlowReplicator Модель Пропускная способность — входящий трафик Пропускная способность — исходящий трафик FlowReplicator 1000 10 000 пакетов в секунду 20 000 пакетов в секунду FlowReplicator 2000 20 000 пакетов в секунду 60 000 пакетов в секунду Дополнительную информацию о масштабах развертывания и конфигурациях оборудования см. на веб-сайте по адресу: http://www.lancope.com. Cisco Identity Services Engine, корреляция NAT и распознавание приложений: предоставление контекста угроз В основе процесса обнаружения и контроля угроз лежат действия по определению подозрительного трафика, однако для выяснения намерений и уровня серьезности угроз требуется соответствующая контекстная информация. Решение Cisco Cyber Threat Defense позволяет получать унифицированное представление о характере трафика за счет NetFlow и связанной с эти трафиком контекстной информации, такой как данные о пользователе, статусе и типе устройства, политике пользователя, приложении и контексте МСЭ. Эти сведения собраны в общем представлении и доступны в консоли управления StealthWatch Management Console. Cisco Identity Services Engine Cisco Identity Services Engine образует крайне мощное и гибкое решение для управления доступом на основе атрибутов, объединяющее сервисы аутентификации, авторизации и учета (AAA), оценки состояния безопасности оконечных устройств, профилирования оконечных устройств и идентификации. Cisco Identity Services Engine автоматически обнаруживает и классифицирует оконечные устройства, предоставляет правильный уровень доступа на основании идентификации и дает возможность обеспечить соответствие оконечного устройства нормативным требованиям путем оценки его состояния. Благодаря этим функциям Identity Services Engine предоставляет Cisco Threat Defense. Кроме того, Cisco Identity Services Engine можно использовать для выполнения действий по устранению угроз, затронувших пользователей. С помощью Cisco Identity Services Engine определяется количество подходящих для мониторинга пользователей и сеансов. Установка нескольких устройств Cisco Identity Services Engine обеспечивает масштабированное развертывание. Средство Cisco Identity Services Engine доступно в виде физического устройства или виртуальной машины. В таблице 7 приведены характеристики и возможности Identity Services Engine.
  • 6. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. В данном документе содержится общедоступная информация Cisco. Стр. 6 из 6 Таблица 7. Модели Cisco Identity Services Engine Модель Поддерживаемые оконечные устройства Объем хранения Выпуск ПО Cisco ISE Cisco ISE 3315 Identity Services Engine 3000 500 Гб 1.1 Cisco ISE 3355 Identity Services Engine 6000 600 Гб 1.1 Cisco ISE 3395 Identity Services Engine 10 000 1,2 Тбайт 1.1 Дополнительную информацию о масштабах развертывания, конфигурациях оборудования и вариантах лицензирования см. на веб-сайте по адресу: http://www.cisco.com/go/ise. Корреляция NAT Cisco Threat Defense использует контекст NAT из устройств ASA 5500 и маршрутизаторов ASR серии 1000 для объединения внутренних и внешних представлений одного потока трафика в общую дедуплицированную запись потока. Наряду с другой информацией об идентификации и приложениях, присутствующей в Cisco Threat Defense, это может значительно ускорить процесс анализа и реагирования на инциденты за счет устранения трудоемких выполняемых вручную действий по корреляции внутренних адресных данных с внешними. Распознавание сетевых приложений Cisco (NBAR) NBAR — это реализованный в маршрутизаторах Cisco с интеграцией сервисов компонент ПО Cisco IOS ® , выполняющий глубокий анализ пакетов с учетом состояния в потоке данных для определения типа пакета и протокола, по которому передаются данные. NBAR позволят различать более 900 протоколов с помощью предопределенных сигнатур протоколов. Кроме того, это средство может проверять настраиваемые протоколы, используя специальный модуль языка описания пакета (Protocol Description Language Module, PDLM), в котором находятся сигнатуры протоколов. Система Cisco Threat Defense использует данные NBAR, полученные от маршрутизаторов Cisco с интеграцией сервисов, для предоставления дополнительного контекста угроз путем идентификации приложений, связанных с подозрительным трафиком. Эта возможность включена в систему Cisco Threat Defense. Дополнительная информация Для получения дополнительной информации о решении Cisco Cyber Threat Defense посетите веб-сайт по адресу: http://www.cisco.com/go/threatdefense. Отпечатано в США C78-700868-01 05/13