网络流量分析(NTA)是一种监控网络可用性和活动以识别异常的方法, including security 和 operational issues. NTA的常见用例包括:
实现 a 解决方案 that can continuously monitor network traffic 为您提供优化网络性能所需的洞察力,最大限度地减少您的 攻击表面, enhance security, 和 improve the management of your resources.
However, knowing how to monitor network traffic is not enough. It’s important to also consider the data sources for your network monitoring tool; two of the most common are flow data (acquired from devices like routers) 和 packet data (from SPAN, 镜像端口, 和网络水龙头).
加上“it 's not if”, it’s when” mindset regarding cyber attacks today, 对于安全专业人员来说,确保尽可能多地覆盖组织的环境可能会让他们感到难以承受.
The network is a critical element of their 攻击表面; gaining visibility into their network data provides one more area they can detect attacks 和 stop them early.
设置NTA的关键步骤是确保从正确的来源收集数据. 如果您正在寻找流量并映射网络数据包从起点到目的地的旅程,流量数据是非常有用的. 这种级别的信息可以帮助检测未经授权的WAN通信,并利用网络资源和性能, but it can lack rich detail 和 context to dig into cybersecurity issues.
从网络数据包中提取的数据包数据可以帮助网络管理员了解用户是如何实现/操作应用程序的, 跟踪广域网链路上的使用情况, 和 monitor for suspicious 恶意软件 or other security incidents. 深度数据包检测(DPI)工具通过将原始元数据转换为可读格式,并使网络和安全管理人员能够深入到最细微的细节,从而提供100%的网络可见性.
Keeping a close eye on your network perimeter is always good practice. 即使有强大的防火墙,错误也可能发生,恶意流量也可能通过. Users could also leverage methods such as tunneling, 外部网管, 和 VPNs to get around firewall rules.
Additionally, the rise of ransomware as 常见的攻击类型 in recent years makes network traffic monitoring even more critical. 网络监控解决方案应该能够检测到指示的活动 ransomware攻击 通过不安全的协议. 采取WannaCry, 例如, where attackers actively scanned for networks with TCP port 445 open, 和 then used a vulnerability in SMBv1 to access network file shares.
Remote Desktop Protocol (RDP) is another commonly targeted application. Make sure you block any inbound connection attempts on your firewall. Monitoring traffic inside your firewalls allows you to validate rules, 获得有价值的见解, 和 can also be used as a source of network traffic-based alerts.
注意与管理协议(如远程登录)相关的任何可疑活动. Because 远程登录 is an unencrypted protocol, 会话流量将显示适合设备品牌和型号的命令行接口(CLI)命令序列. CLI strings may reveal login procedures, 用户凭证的表示, comm和s to display boot or running configuration, 复制文件, 和更多的.
请确保检查网络数据中是否有运行未加密管理协议的设备, 如:
通过在网络边缘和网络核心实现网络流量分析,可以调查许多操作和安全问题. 使用流量分析工具, you can spot things like large downloads, streaming or suspicious inbound or outbound traffic. 确保从监视防火墙的内部接口开始, 这将允许您跟踪活动回到特定的客户或用户.
NTA还为组织提供了对其网络威胁的更多可见性, 在端点之外. 与 the rise in mobile devices, IoT devices, smart TV’s, etc.,您需要比防火墙日志更智能的东西. Firewall logs are also problematic when a network is under attack.
您可能会发现,由于防火墙上的资源负载或它们已被覆盖(有时甚至被黑客修改),它们无法访问。, resulting in the loss of vital forensic information.
分析和监控网络流量的一些用例包括:
Not all tools for monitoring network traffic are the same. 一般, 它们可以分为两种类型:基于流量的工具和深度数据包检测(DPI)工具. 与in these tools you’ll have options for software agents, 存储历史数据, 以及入侵检测系统. 在评估哪个解决方案适合您的组织时,请考虑以下五件事:
网络流量分析是监控网络可用性和活动以识别异常的重要方法, 最大化性能, 还要留意有没有袭击. 除了日志聚合之外, UEBA, 端点数据, 网络流量是全面可见性和安全性分析的核心部分,可以及早发现威胁并快速消除威胁.
在选择NTA解决方案时, consider the current blind spots on your network, the data sources you need information from, 以及它们在网络上的关键点,以便进行有效的监控. 与 NTA作为一个图层添加到你的 security information 和 event management (SIEM) 解决方案,您将获得对环境和用户的更多了解.