Cisco Security Packet Analyzer

대응 속도 향상을 위한 인텔리전트 패킷 캡처

Cisco Security Packet Analyzer는 보안 이벤트 및 비정상적인 네트워크 활동을 조사할 수 있는 툴을 제공합니다. Cisco Stealthwatch와 함께 사용하면 사고 대응 및 네트워크 포렌식 시간을 단축해 줍니다.

기능과 이점

네트워크 위협 및 사이버 범죄가 점점 똑똑해지고 있습니다. 이제는 네트워크에 보안 침해가 발생할지 여부가 아니라, 언제 발생할 것인지가 관건입니다. 지능형 위협에 빠르게 대응해야 할 필요성이 그 어느 때보다 커졌습니다.

대부분의 조직은 어느 정도의 보안 모니터링 및 사고 대응 능력을 갖추고 있습니다. 보안 전문가는 여러 가지 방법으로 사고 대응 속도를 단축할 수 있습니다. 일반적인 방법은 패킷 캡처 솔루션을 사용하는 것입니다. 이러한 솔루션을 이용하여 네트워크를 통과하는 모든 정보를 수집하고 저장할 수 있습니다.

그러나, 조직은 항상 모든 패킷을 저장할 필요 없이 전체 패킷 캡처를 보고 싶어할 수도 있습니다. 즉, 더 빠른 조사를 위해 이러한 이벤트와 관련된 패킷들을 찾는 것입니다. 여기서 Packet Analyzer가 매우 중요한 역할을 합니다.

인텔리전트 캡처

Packet Analyzer를 사용하면 사고가 탐지된 네트워크의 일부 영역에서 패킷을 캡처할 수 있습니다. 기존의 솔루션과 달리 Packet Analyzer를 사용하는 작업자는 사용자 인터페이스에 알람을 트리거하는 패킷만 저장하고 검색할 수 있습니다. Packet Analyzer를 다른 Cisco Security 제품과 통합하여 사용하면 분석자가 네트워크에서 모든 원시 패킷을 캡처할 수 있습니다. 네트워크 트래픽에서 캡처된 모든 패킷을 샅샅이 살펴보거나 나중에 조사하기 위해 보류할 필요가 없습니다.

따라서 Packet Analyzer를 사용하는 조직은 다음 이점을 누릴 수 있습니다.

• 네트워크 내의 모든 대화 내용에 대한 전체 보기 확보
• 특정 시점에 네트워크에서 발생한 이벤트의 세부 정보 확인
• 보안 알람이나 기타 의심스러운 활동과 관련된 패킷의 대상 분석을 통한 사고 대응 시간 단축
• 조사 시 이벤트의 정확한 순서 확인

운영 방식

Cisco Security Packet Analyzer는 Stealthwatch 플로우 데이터 분석을 사용하여 데이터 스트림에서 특정 지점을 찾습니다. 그런 다음 해당 패킷을 찾기 위해 상세한 검색 쿼리를 생성합니다.

Packet Analyzer는 네 개의 기가비트 이더넷이나 두 개의 10기가비트 이더넷 인터페이스를 이용해 실시간으로 고성능을 제공합니다. Packet Analyzer는 일반적으로 NIC(Network Interface Card)에서 버리는 프레임을 포함한 모든 프레임을 캡처합니다.

Packet Analyzer는 업계 표준 패킷 캡처 형식으로 데이터를 저장합니다.

여러 가지 이점

Packet Analyzer는 위협 인텔리전스를 기존 보안 및 네트워크 인프라에서 신속하게 사용할 수 있게 해 줍니다.

또한, Packet Analyzer는 종합적인 트래픽 통계, 오버레이 네트워크(OTV, LISP, VXLAN 등)에 대한 가시성, ART(Application Response Time) 메트릭 및 차세대 NBAR2(Network Based Application Recognition)을 사용한 레이어 4~7 애플리케이션 인식을 제공합니다.

사양 한눈에 보기

• 랙 유닛 2개(2RU)
• Intel® Xeon® E5-2660 프로세서 2개
• 128GB 업계 표준 DDR4(Double Data Rate) 주 메모리
• 48TB(24 x 2TB) SAS 드라이브
• 마더보드의 SAS 포트 및 mLOM(modular LAN on motherboard)
• 모니터링 포트(다음 중 하나): 4 x 1GE RJ-45,   4 x 1GE SFP, 2 x 10GE SFP+
• 10/100/1000 RJ-45(관리 포트용)