Cisco Stealthwatch
Bias-Free Language
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
About Translation
Cisco may provide local language translations of this content in some locations. Please note that translations are provided for informational purposes only and if there is any inconsistency, the English version of the content will prevail.
Do sprzętu UCS
Stealthwatch™ Enterprise to najlepsze w branży rozwiązanie oferujące wgląd w informacje i analizę bezpieczeństwa, które wykorzystuje dane telemetryczne firmy uzyskane z bieżącej infrastruktury sieciowej. To zaawansowane wykrywanie i szybsza reakcja na zagrożenia, a także uproszczona segmentacja sieci za sprawą wielowarstwowego uczenia maszynowego i zaawansowanego modelowania zachowań na przestrzeni całej sieci.
Rozwiązanie Stealthwatch Enterprise dla przedsiębiorstw oferuje wgląd w informacje w czasie rzeczywistym,
co pozwala uzyskać lepszy wgląd w informacje o aktywności w sieci. Można rozszerzyć te informacje o chmurę, całą sieć, poszczególne oddziały firmy, centrum danych, aż do punktów końcowych.
Podstawą rozwiązania Stealthwatch Enterprise jest licencja Flow Rate, moduł gromadzenia danych przepływu (Flow Collector), konsola zarządzania (Management Console) oraz czujnik przepływu (Flow Sensor). Dodatkowe funkcje można znaleźć poniżej w poszczególnych arkuszach danych:
● Licencja na rozwiązanie Cisco Stealthwatch dla punktów końcowych – dodatek pozwalający rozszerzyć wgląd w dane o urządzenia dla użytkowników końcowych.
● CiscoCisco Stealthwatch Cloud – oferta produktów zapewniających wgląd w dane i wykrywanie zagrożeń dla publicznej infrastruktury chmurowej, np. Amazon Web Services (AWS), Microsoft Azure czy Google Cloud Platform.
● Licencja dotycząca informacji o zagrożeniach – globalny kanał informacji o zagrożeniach tworzony przez najlepszą w branży grupę Cisco Talos, która zajmuje się analizą danych o zagrożeniach, zapewnia dodatkową ochronę przed botnetami i innymi zaawansowanymi atakami. Koreluje on podejrzane działania w środowisku sieci lokalnej z informacjami na temat wielu tysięcy znanych serwerów i kampanii ataków typu command-and-control, zapewniając precyzyjne wykrywanie i szybszą reakcję na zagrożenia. Platforma Cisco Talos ma dostęp do 1,5 mln unikalnych próbek złośliwego oprogramowania, blokując 20 mld zagrożeń dziennie.
Zalety systemu
Unikalny widok i narzędzia analizy ruchu sieciowego Stealthwatch Enterprise znacząco poprawiają:
● wykrywanie zagrożeń w czasie rzeczywistym,
● reagowanie na zdarzenia i analizę śladów,
● segmentację sieci,
● planowanie wydajności i przepustowości sieci,
● uzyskiwanie zgodności z wymogami prawnymi.
Wymagane składniki systemu
Licencja Flow Rate
Licencja Flow Rate jest wymagana do gromadzenia, zarządzania i analizowania telemetrii przepływu oraz grupowania przepływów w ramach konsoli zarządzania. Licencja Flow Rate określa również wielkość przepływu i opiera się na liczbie przepływów na sekundę (FPS). Licencje można łączyć w dowolne kombinacje, aby uzyskać wybrany poziom przepustowości.
Moduł gromadzenia danych przepływu (Flow Collector)
Moduł wykorzystuje dane telemetryczne przedsiębiorstwa, np. NetFlow, IPFIX i inne typy przepływu danych
z istniejącej infrastruktury w postaci routerów, przełączników, zapór, punktów końcowych i innych urządzeń sieciowych. Może również odbierać i gromadzić telemetrię ze źródeł danych proxy, które będą analizowane przez narzędzie Global Threat Analytics (wcześniejsza nazwa Cognitive Threat Analytics). To wielowarstwowy system uczenia maszynowego zapewniający szczegółowy wgląd w informacje o ruchu internetowym i sieciowym. Ponadto rozwiązanie Stealthwatch Enterprise wykorzystuje narzędzia analizy ruchu szyfrowanego do wskazywania wzorców ataków, identyfikacji zagrożeń i przyspieszenia reakcji. Funkcja jest wbudowana w system bez dodatkowych kosztów, niemniej jednak należy ją włączyć podczas wdrażania.
Analiza danych telemetrycznych pozwala uzyskać pełen obraz aktywności sieciowej. Miesiące a nawet lata działań mogą być przechowywane w postaci dziennika, który pozwoli usprawnić dochodzenia i inicjatywy w kwestii zgodności z przepisami. Rozmiar danych telemetrycznych sieci zależy od wydajności wdrożonych modułów gromadzenia danych przepływu. Można instalować wiele modułów Flow Collector. Są one dostępne w postaci sprzętu lub maszyn wirtualnych. W Tabeli 1 wymieniono zalety Flow Collector.
Tabela 1. Podstawowe zalety Flow Collector
| Korzyść |
Opis |
| Wykrywanie zagrożeń |
Pozyskuje zapis proxy i łączy go z zapisem przepływu, podając aplikację użytkownika i dane adresu URL dla każdego przepływu, tak aby poszerzyć kontekst. Taka procedura zwiększa zdolność wykrywania zagrożeń w danej organizacji i skraca średni czas rozpoznania (MTTK). |
| Monitorowanie ruchu przepływowego |
Narzędzie monitoruje ruch w setkach segmentów sieci jendocześnie, co pozwala wykrywać podejrzane działania |
| Dłuższa retencja danych |
Pozwala organizacjom i agencjom przechowywać duże ilości danych przez dłuższy czas. |
| Skalowalność |
Dobrze spisuje się w środowiskach o dużej przepustowości i pozwala chronić każdy element sieci dostępny pod adresem IP, niezależnie od jego rozmiarów. |
| Deduplikacja i łączenie |
Deduplikacja jest wykonywana tak, aby każdy przepływ przechodzący przez więcej niż jeden router był uwzględniany tylko raz. Następnie funkcja łączy dane przepływu, tak aby uzyskać pełny wgląd w daną transakcję sieciową. |
| Wybór metod realizacji |
Wersja Appliance Edition to skalowane urządzenie, odpowiednie dla dowolnej wielkości organizacji. Można również zamówić wersję Virtual Edition, która posiada te same funkcje, ale pracuje w środowisku VMware. Takie rozwiązanie jest skalowane dynamicznie, zależnie od przydzielonych zasobów. |
Dane techniczne Flow Collector
● Moduł Stealthwatch Flow Collector 4200 – numer katalogowy: ST-FC4200-K9
● Moduł Stealthwatch Flow Collector 5200 – numer katalogowy: ST-FC5200-K9
● Moduł Stealthwatch Flow Collector Virtual Edition można konfigurować zarówno jako model FCVE-1000, FCVE-2000 lub FCVE-4000 – numer katalogowy: L-ST-FC-VE-K9
Uwaga: Parametry dotyczą systemu Stealthwatch w wersji 6.9.1 lub nowszej.
Konsola zarządzania (Management Console)
Konsola zarządzania Stealthwatch pozwala gromadzić, porządkować i prezentować analizy wykonane przez maksymalnie 25 modułów gromadzenia danych przepływu. Może również korzystać z rozwiązania Cisco Identity Services Engine oraz innych źródeł. Konsola przedstawia w sposób graficzny ruch sieciowy, dane tożsamości, niestandardowe raporty podsumowujące oraz zintegrowane zabezpieczenia i dane sieci, aby wykonywać kompleksowe analizy.
Wydajność konsoli przekłada się na objętość danych telemetrycznych, które mogą zostać poddane analizie
i zaprezentowane. Wpływa to również na liczbę wdrożonych modułów gromadzenia danych przepływu (Flow Collectors). Konsola jest dostępna w postaci sprzętu lub jako maszyna wirtualna. W Tabeli 2 wymieniono zalety konsol.
Tabela 2. Podstawowe zalety konsoli zarządzania
| Korzyść |
Opis |
| Najnowsze dane w czasie rzeczywistym |
Monitoruje przepływ danych w setkach segmentów sieci jednocześnie, co pozwala wykrywać podejrzane działania w sieci. Funkcja ta jest szczególnie przydatna dla przedsiębiorstw. |
| Zdolność wykrywania |
Szybko wykrywa i nadaje priorytet zagrożeniom systemu bezpieczeństwa, wykrywa nadużycia i spadki wydajności sieci. Pozwala zarządzać systemem reagowania na zdarzenia w całym przedsiębiorstwie z poziomu pojedynczego centrum sterowania. |
| Zarządzanie urządzeniami |
Konfiguracja, koordynacja i zarządzanie urządzeniami Cisco Stealthwatch, w tym Flow Collector, Flow Sensor |
| Wykorzystywanie różnych typów danych przepływu |
Różne typy danych przepływu, np. NetFlow, Internet Protocol Flow Information Export (IPFIX) czy sFlow. Wynik: ekonomiczne rozwiązanie chroniące sieć w oparciu o zachowania. |
| Skalowalność |
Rozwiązanie obsługuje nawet największe zapotrzebowanie sieciowe. Dobrze spisuje się w środowiskach o dużej przepustowości i pozwala chronić każdy element sieci, niezależnie od jego rozmiarów, jeżeli jest dostępny pod adresem IP. |
| Audyt transakcji sieciowych |
Zapewnia pełny wgląd we wszystkie transakcje sieci, co pozwala na skuteczniejszą analizę śladów. |
| Niestandardowe mapy przepływu relacyjnego |
Graficzny widok bieżącego ruchu w organizacji. Administratorzy mogą wygodnie budować mapy sieciowe na podstawie dowolnych kryteriów, np. lokalizacji, funkcji czy środowisk wirtualnych. Tworząc połączenie pomiędzy dwiema grupami hostów, operatorzy mogą szybko analizować ich ruch sieciowy pomiędzy nimi. Następnie wystarczy wybrać konkretny punkt danych, aby uzyskać lepszy wgląd w to, co się w nim dzieje, w dowolnym momencie. |
| Elastyczne opcje realizacji |
Wersja fizyczna to urządzenie z możliwością rozbudowy, odpowiednie dla organizacji dowolnej wielkości. Edycja wirtualna jest przeznaczona do wykonywania tych samych funkcji, ale w środowisku VMware. |
Konsola zarządzania – dane techniczne
● Stealthwatch Management Console 2200 – numer katalogowy: ST-SMC2200-K9
● Konsola zarządzania Stealthwatch w wersji Virtual Edition może być konfigurowana jako SMC VE lub SMC VE 2000 – numer katalogowy: L-ST-SMC-VE-K9
Uwaga: Parametry dotyczą systemu Stealthwatch w wersji 6.9.1 lub nowszej.
Opcjonalne składniki systemu
Flow Sensor
Czujnik przepływu Flow Sensor to opcjonalny składnik Stealthwatch Enterprise, który tworzy dane telemetryczne dla segmentów infrastruktury przełączania i routingu, które nie mogą natywnie generować danych NetFlow. Umożliwia on również wgląd w dane warstwy aplikacji. Stealthwatch gromadzi wszystkie dane telemetryczne,
a Flow Sensor pozwala uzyskać dodatkowy kontekst, który usprawnia działanie narzędzi analitycznych. Zaawansowane modelowanie zachowań i wielowarstwowe uczenie maszynowe w chmurze jest stosowane do takiego zbioru danych, aby wykrywać zaawansowane zagrożenia i szybciej przeprowadzać dochodzenia.
Flow Sensor jest montowany na duplikacie portu lub ograniczniku ruchu sieciowego, co pozwala generować dane telemetryczne obserwowanego ruchu. Rozmiar danych telemetrycznych sieci zależy od wydajności wdrożonych Flow Sensors. Można instalować wiele takich czujników. Flow Sensors są dostępne w postaci sprzętowej lub do monitorowania środowisk jako maszyny wirtualne. Ponadto są skuteczne w środowiskach, gdzie warstwa monitorowania z dodatkowym kontekstem dla systemu zabezpieczeń lepiej wpisuje się w model operacyjny danej firmy IT.
W Tabeli 3 przedstawiono podstawowe zalety Flow Sensor.
Tabela 3. Podstawowe zalety Flow Sensor
| Korzyść |
Opis |
| Podgląd aplikacji |
Zapewnia faktyczny wgląd w działanie aplikacji warstwy 7, ponieważ gromadzi jej dane wraz z przechwytywaniem ad-hoc pakietów na żądanie (PCAP). Dotyczy to również funkcji danych takich jak RTT (czas obiegu danych), SRT (czas reakcji serwera) czy ponownej transmisji. |
| Wydajność na poziomie pakietów i analiza |
Zapewnia faktyczny wgląd w działanie aplikacji warstwy 7, ponieważ gromadzi jej dane wraz z przechwytywaniem ad-hoc pakietów na żądanie (PCAP). Dotyczy to również funkcji danych takich jak RTT (czas obiegu danych), SRT (czas reakcji serwera) czy ponownej transmisji. |
| Powiadomienia |
Dodatkowe dane telemetryczne Flow Sensor (np. adres URL dla ruchu internetowego i sieciowego czy szczegóły flag TCP) pomagają generować alarmy zawierające informacje kontekstowe. W ten sposób pracownicy ds. zabezpieczeń mogą podejmować szybkie działania, tak aby ograniczać wyrządzone szkody. |
| Niższe koszty |
Większa wydajność operacyjna i niższe koszty dzięki identyfikacji głównych przyczyn problemów lub zdarzeń |
| Wybór metod realizacji |
Wersja Appliance Edition to skalowane urządzenie, odpowiednie dla dowolnej wielkości organizacji. Można również zamówić wersję Virtual Edition, która posiada te same funkcje, ale pracuje w środowisku VMware lub KVM Hypervisor. |
Dane techniczne Flow Sensor
● Stealthwatch Flow Sensor 1200 – numer katalogowy: ST-FS1200-K9
● Stealthwatch Flow Sensor 2200 – numer katalogowy: ST-FS2200-K9
● Stealthwatch Flow Sensor 3200 – numer katalogowy: ST-FS3200-K9
● Stealthwatch Flow Sensor 4200 – numer katalogowy: ST-FS4200-K9
● Stealthwatch Flow Sensor Virtual Edition – numer katalogowy: L-ST-FS-VE-K9
Uwaga: Parametry dotyczą systemu Stealthwatch w wersji 6.9.1 lub nowszej.
Narzędzie UDP Director
Narzędzie UDP Director pozwala uprościć gromadzenie i dystrybucję danych sieci i systemu zabezpieczeń
w całym przedsiębiorstwie. To również mniejsza moc obliczeniowa potrzebna dla routerów i przełączników sieciowych, ponieważ odbiór podstawowych informacji o sieci i zabezpieczeniach następuje z wielu lokalizacji,
a następnie jest przesyłany dalej, do jednego strumienia danych, który biegnie do co najmniej jednego miejsca docelowego.
Tabela 4 zawiera podstawowe zalety narzędzia UDP Director.
Tabela 4. Podstawowe zalety narzędzia UDP Director
| Korzyść |
Opis |
| Krótszy nieplanowany czas przestoju i mniejsze zakłócenia działania usług |
Narzędzie UDP Director o wysokiej dostępności znajduje się w urządzeniu UDP Director 2200. |
| Uproszczone monitorowanie |
UDP Director gromadzi dane i ustala jedno standardowe miejsce docelowe dla funkcji NetFlow, sFlow, syslog |
| Możliwość kierowania danych UDP z dowolnego źródła do wybranego miejsca docelowego |
Odbiór danych od dowolnej bezpołączeniowej aplikacji UDP, a następnie wysyłanie do wielu miejsc docelowych |
| Nie wymaga ponownej konfiguracji infrastruktury |
Kieruje dane log (NetFlow, sFlow, syslog, SNMP) do jednego miejsca docelowego bez potrzeby ponownej konfiguracji infrastruktury, gdy narzędzia są dodawane lub usuwane. |
UDP Director – dane techniczne
● Stealthwatch UDP Director 2200 – numer katalogowy: ST-UDP2200-K9
● Cisco Stealthwatch UDP Director Virtual Edition – numer katalogowy: L-ST-UDP-VE-K9
Informacje o zamówieniu
Instrukcja zamawiania systemu Cisco Stealthwatch pozwala zrozumieć poszczególne modele, składniki i typy licencji dla systemu. Aby złożyć zamówienie, skontaktuj się z opiekunem klienta.
Serwis i wsparcie techniczne
System Cisco Stealthwatch posiada szereg programów serwisowych. Pomagają one chronić inwestycję w zakresie sieci, optymalizują jej pracę, przygotowują na nowe zastosowania i pozwalają uzyskać więcej danych, co zwiększy skuteczność działania Twojej firmy. Aby uzyskać więcej informacji na temat usług profesjonalnych, przejdź do strony głównej pomocy technicznej.
Cisco Capital
Usługi finansowe Cisco Capital® ułatwiają pozyskanie technologii niezbędnych do realizacji celów i zdobycia przewagi nad konkurencją. Możemy pomóc w obniżeniu wydatków kapitałowych. Przyspiesz swój rozwój. Zoptymalizuj wydatki inwestycyjne i stopę zwrotu z inwestycji. Finansowanie Cisco Capital zapewnia elastyczność w nabywaniu urządzeń, oprogramowania, usług i dodatkowego sprzętu innych firm. Wnosisz tylko jedną, przewidywalną opłatę. Usługi Cisco Capital są dostępne w ponad 100 krajach. Dowiedz się więcej.
Więcej informacji
Szczegółowe informacje na temat rozwiązania Cisco Stealthwatch można znaleźć na stronie https://www.cisco.com/go/stealthwatch lub u opiekuna klienta ds. zabezpieczeń Cisco. Dowiedz się jak Twoja firma może uzyskać lepszy wgląd w rozbudowaną sieć, biorąc udział w dodatkowej analizie wglądu w dane Stealthwatch.
|
|
||
| Centrala dla krajów Ameryki Północnej i Południowej Cisco Systems. Inc. San Jose, CA |
Centrala dla krajów Azji i Pacyfiku Cisco Systems (USA) Pad Ltd. Singapur |
Centrala europejska Cisco Systems International BV, Amsterdam, Holandia |
| Firma Cisco ma ponad 200 biur na całym świecie. Pełną listę adresów, numerów telefonów oraz faksów można znaleźć na stronie internetowej firmy Cisco pod adresem: www.cisco.com/go/offices. |
||
|
|
||
