Назад | Перейти на главную страницу

Netflow / IPfix Analyzer для сетевых угроз и аномалий

Я оцениваю различные варианты анализаторов на основе Netflow / IPfix, которые сосредоточены на выявлении угроз и аномалий безопасности. Было бы очень признательно, если бы кто-нибудь мог предоставить список инструментов с учетом следующих моментов.

Спасибо

Cisco ведет хороший список программного обеспечения Netflow: бесплатное ПО, коммерческий, Решения Cisco

Некоторые вещи, которые следует учитывать при рассмотрении анализаторов:

  • Откуда берутся ваши данные NetFlow? Если у вас уже есть маршрутизаторы и коммутаторы, которые экспортируют NetFlow, вы, вероятно, в хорошей форме, но если нет, существует ряд бесплатных экспортеров потока, доступных в виде программного обеспечения.
  • Вы хотите купить коробку, готовую к развертыванию, или программное решение для работы на оборудовании, которое вы предоставляете сами?
  • Какая длина истории данных вам нужна? Вы ищете полноценный магазин или вас устраивает агрегирование?

Компания, в которой я работаю, производит анализатор NetFlow под названием FlowTraq. По понятным причинам я фанат :)

Другие коммерческие предложения включают SolarWinds, Arbor Networks и Lancope. Я считаю, что у Cisco тоже есть свои предложения. nTop и SiLK - два хороших инструмента с открытым исходным кодом; даже если вы в конечном итоге выберете коммерческий инструмент, я рекомендую попробовать его, просто чтобы ознакомиться с терминологией и выяснить, какие функции вам нужны в инструменте NetFlow.

Вот несколько вариантов: Cisco только что приобрела Cognitive Security. Они обеспечивают только обнаружение угроз. Нет отчетов о потоках. Цена = ??

Scrutinizer от Plixer: они выполняют обнаружение угроз и являются лидерами в отчетности, особенно по экспорту межсетевого экрана. Они автоматизируют поиск репутации хоста. Цена = умеренная

Arbor Networks: они являются лидерами в обнаружении угроз и имеют некоторые отчеты о потоках. Он очень масштабируемый. Цена = дорого.

Надеюсь, это поможет.