Využijte flow sondu dostupnou v rámci IBM QRadar

NetFlow a IPFIX je otevřený protokol určený původně jako doplňková služba k Cisco směrovačům. Jeho hlavním účelem je poskytování statistik síťového provozu na základě IP toků na síti v reálném čase. Skutečný význam tohoto protokolu se dostavil až v rámci komplexního řešení zabezpečení počítačové sítě a v tomto kontextu se využívá v nástrojích typu NBA (Network Behavior Analysis). Dnes existuje více verzí a modifikací tohoto protokolu. S pomocí NetFlow statistik lze odhalovat vnější i vnitřní incidenty, úzká místa v síti, dominantní zdroje provozu, efektivněji plánovat budoucí rozvoj sítě, sledovat, kdo komunikoval s kým, jak dlouho a s pomocí kterého protokolu.

Specialisté divize Corporate IT společnosti AUTOCONT se dlouhodobě věnují profesionálním službám nasazení a následného bezpečnostního dohledu s využitím produktů IBM QRadar, který obsahuje i zmiňované funkcionality NBA. Všeobecně platí, že k IBM QRadar je možné napojit prakticky veškerá zařízení, která generují NetFlow nebo IPFIX protokoly. Méně pak už je známá skutečnost, že jsou k dispozici i nativní QRadar sondy. Jejich zprovoznění je buď otázkou osazení appliance nebo procesu jednoduché instalace. Proprietární modifikace NetFlow protokolu generovaného z QRadar sondy se nazývá QFlow.

Protokol QFlow rozšiřuje základ NetFlow protokolu o následující schopnosti:

  • Vylepšená detekce škodlivé komunikace
  • Odhalení komunikace obsahující důvěrná data, jako např. osobní údaje
  • Sledování škodlivého obsahu komunikace šířeného po sociálních sítích

Na tuto skutečnost upozorňujeme primárně proto, že se jedná o cenově velmi zajímavé řešení pro zákazníky, kteří již IBM QRadar mají nebo uvažují o pořízení flow kolektoru společně se SIEM. Není v takovém případě potřeba pořizovat software třetí strany a jako další výhoda se jeví kompletní správa logů a Flow z jediné centrální QRadar konzole. Pro šířky pásma do 1Gbps je možné použít prakticky každý fyzický server se síťovou kartou 1 Gbps. V prostředí virtualizace se pak nasadí QRadar sonda v podobě virtuálního serveru.

Více detailů o IBM QRadar QFlow Collector