Netflow/IPfix Analyzer для сетевых угроз и аномалий
Я оцениваю различные варианты анализаторов на основе Netflow/IPfix, которые направлены на выявление угроз и аномалий безопасности. Было бы очень признательно, если бы кто-то мог предоставить список инструментов с учетом следующих моментов.
- Windows или *nix на основе.. не имеет значения.
- проприетарный инструмент или с открытым исходным кодом... не имеет значения, но с открытым исходным кодом было бы хорошо.
- цена.. не имеет значения.
Спасибо
3 ответа
Cisco поддерживает хороший список программного обеспечения Netflow: бесплатные, коммерческие, решения Cisco.
Некоторые вещи, которые следует учитывать при взгляде на анализаторы:
- Откуда поступают ваши данные NetFlow? Если у вас уже есть маршрутизаторы и коммутаторы, которые экспортируют NetFlow, вы, вероятно, в хорошей форме, но если нет, то существует ряд бесплатных экспортеров потоков, доступных в виде программного обеспечения.
- Вы ищете готовую к развертыванию коробку или программное решение для работы на оборудовании, которое вы предоставляете сами?
- Как долго вам нужна история данных? Вы ищете полнофункциональный магазин или у вас все в порядке с агрегацией?
Компания, в которой я работаю, производит анализатор NetFlow под названием FlowTraq. По понятным причинам я фанат:)
Другие коммерческие предложения включают SolarWinds, Arbor Networks и Lancope. Я считаю, что у Cisco есть и свои собственные предложения. nTop и SiLK - два хороших инструмента с открытым исходным кодом; даже если вы собираетесь использовать коммерческий инструмент, я рекомендую попробовать его, просто чтобы ознакомиться с терминологией и выяснить, какие функции вам нужны в инструменте NetFlow.
Вот несколько вариантов: Cisco только что приобрела Cognitive Security. Они обеспечивают только обнаружение угроз. Нет отчетов о потоке. Цена =??
Scrutinizer от Plixer: они выполняют обнаружение угроз и являются лидерами в составлении отчетов, особенно об экспорте брандмауэров. Они автоматизируют поиск репутации хоста. Цена = умеренная
Arbor Networks: они лидеры в обнаружении угроз и имеют некоторые отчеты о потоке. Это масштабируемо. Цена = дорого.
Надеюсь, это поможет.