&

通過NETSCOUT Omnis安全平臺實現威脅管理

概要

在數字化轉型的今天，在數字經濟中開展業(yè)務需要靈活性，支撐企業(yè)數字化轉型的基礎設施也隨之發(fā)生了深刻變化。隨著企業(yè)競相進入云計算，并在全球分布式數字生態(tài)系統(tǒng)中擴大活動，它們也必須重塑網絡安全，以保護這種擴大的威脅面。

現代企業(yè)網絡非常復雜，因為它們通常包括內部、分支機構、虛擬化、私有云和公有云環(huán)境等混合環(huán)境。威脅面不斷在擴大，網絡攻擊的數量也隨之增加。與此同時，安全工具的數量增加了，導致了孤立的數據。最后，缺乏全面和一致的網絡可見性，使得網絡安全團隊更難進行方便和有效的威脅檢測和響應。為了克服這個挑戰(zhàn)，組織必須通過盡可能多的捕獲點（例如：日志、數據包、NetFlow和端點）、計算平臺（例如：物理、虛擬化和云）收集和分析數據，并使用威脅情報和業(yè)務上下文來豐富這些數據。

因此，全面的網絡可視性是至關重要的。NETSCOUT針對這一挑戰(zhàn)的解決方案是Omnis? Security — 一個用于高級威脅分析和響應的平臺，它提供了當今數字基礎設施安全所需的規(guī)模、范圍和一致性，幫助組織實現全面的威脅管理。

*圖：NETSCOUT Omnis Security解決方案示意圖

有效的網絡安全始于全面和一致的網絡可見性

你無法保護看不到的東西！你無法避免遭受來自你看不到的東西的傷害！這是網絡安全的基本原則。

在當今傳統(tǒng)網絡、分支機構、在家辦公、公有云和私有云混合的復雜世界中，獲得適當級別的網絡可視性從來沒有像現在這樣具有挑戰(zhàn)性，對于網絡威脅保護也如此重要。

在超過30年的時間里，NETSCOUT已經為廣大客戶提供了全面和一致的網絡和應用可視性，跨越組織的整個數字基礎設施——無論基礎設施可能位于哪里（例如：傳統(tǒng)、虛擬化或混合云）。在NETSCOUT，我們稱之為“可視性無邊界”。我們認為，同樣高度的可視性是有效檢測和應對威脅——即“安全無邊界”的基本要求。

全面的網絡可視性

NETSCOUT Omnis 安全解決方案的基礎是InfiniStreamNG（簡稱ISNG）和vSTREAM平臺。通過使用專利和成熟的技術，這種高度可擴展的設備將網絡數據包轉換為智能數據，在不同的數字基礎設施上提供全面和一致的可視性，正是這種層次的“可視性無邊界”實現了“安全無邊界”。

ISNG是一種經過驗證的、獲得專利的、高度可擴展的數據包獲取、分類和存儲解決方案，可為任何物理、虛擬化或云環(huán)境提供全面和一致的可視性。

ISNG支持多種平臺、接口和存儲容量：

?支持物理或軟件COTS方式

?支持云（如Amazon Web Services，谷歌cloud，Microsoft Azure，Oracle cloud）或虛擬化環(huán)境（如VMware NSX-V和NSX-T），100%虛擬化選項（稱為vSTREAM?）

?全線速率捕獲，網絡接口選項高達100Gbps

?本地磁盤存儲容量可高達數百TB，用于本地存儲元數據和原始數據包

*圖：智能探針，將網絡數據包轉換為智能數據，同時用于安全和網絡運維

利用獲得專利的自適應服務智能（AdaptiveService Intelligence ，簡稱ASI）技術，ISNG設備將原始網絡數據包轉換為索引的元數據——我們稱之為“智能數據”。NETSCOUT“智能數據”包含但不限于以下信息：

?5元組屬性（源和目的IP，源和目的端口，協(xié)議字段）

?關鍵性能指標（KPI），如錯誤代碼，響應時間，或平均主觀意見分（MOS）。

?SIP用戶和信令平面數據

?DNS請求/響應、URI、瀏覽器和設備類型

除了這種增強的元數據外，ISNG平臺還存儲智能壓縮的原始數據包。

ISNG和ASI創(chuàng)建的智能數據為組織的整個數字基礎設施提供全面的南北向、東西向可視性。這個健壯的元數據的單一來源可以很容易地用于各種NetOps和SecOps場景。

*圖：NETSCOUT智能數據結構

基于網絡的多種威脅監(jiān)測方法

利用NETSCOUT ISNG設備和ASI衍生的智能元數據和數據包，Omnis Security提供多種網絡威脅檢測方法。

Omnis Cyber Investigator（簡稱oCI）作為Omnis Security平臺的集中控制臺，Cyber Investigator分析ISNG設備收集的智能數據、網絡基線、ATLAS或第三方威脅情報，以檢測所有類型的網絡威脅，并使用簡單易用的工作流進一步可視化和調查。Cyber Investigator產生的警報可以發(fā)送到第三方SIEM，其數據可以導出到第三方數據湖，供第三方應用進一步分析。

Omnis Intrusion Detection System （簡稱oIDS）一個獨立的解決方案或作為ISNG設備的軟件模塊。Omnis IDS使用Suricata開源簽名和規(guī)則引擎提供入侵檢測。Omnis IDS發(fā)送上下文豐富的警報（包括映射到Mitre Att&ck），用于運行在Cyber Investigator控制臺中的IDS Manager應用或SIEM/SOAR。

Arbor Edge Defense（簡稱AED）部署在網絡的邊界（路由器和防火墻之間），AED檢測和防御DDoS攻擊、掃描、暴力破解密碼嘗試、惡意軟件和其他IoC。AED使用高度可擴展、無狀態(tài)數據包處理技術和來自NETSCOUT ATLAS和/或第三方的威脅情報。AED檢測到威脅后，可以將警報發(fā)送到Cyber Investigator控制臺或第三方SIEM /SOAR系統(tǒng)。

智能邊界保護

Arbor Edge Defense是一種無狀態(tài)的解決方案，可以阻止入站的DDoS攻擊、網絡威脅和出站的入侵指標（IoC），作為智能、自動化邊界防御的第一道和最后一道防線。

上下文關聯(lián)的威脅調查

安全團隊可以使用Omnis CyberInvestigator來挖掘NETSCOUT智能數據，以獲得實時、高質量的洞察，為高度上下文關聯(lián)的調查和威脅搜索提供動力。在與時間賽跑的情況下，這種級別的響應能力可以幫助安全團隊確定警報的優(yōu)先級，并有信心更快地修復威脅。

基于網絡的綜合威脅檢測

Omnis Security是專為整體的網絡安全工作設計，跨躍當下擴展的數字足跡。它將來自NETSCOUT和第三方的高度策劃的威脅情報與行為和先進的分析相結合，以融合多種基于網絡的威脅檢測方法。Omnis Security使用開放標準的API和直觀的安全工作流，可以輕松集成到現有的安全堆棧和流程中。

所有三個組件一起提供基于網絡的威脅檢測的多種方法，并集成到現有的安全堆棧中，為企業(yè)的深度防御策略做出貢獻。

威脅調查和邊界補救

僅僅“偵測”網絡威脅是不夠的。為安全分析人員提供快速、高度相關的調查能力，從而加速補救措施，是網絡威脅保護的下一個關鍵步驟。Omnis Security提供了兩種強有力的應對威脅的方法。

上下文關聯(lián)的調查 利用NETSCOUT智能數據的豐富來源，Omnis Cyber Investigator不僅檢測威脅，而且通過單擊一個按鈕，即可使網絡、安全團隊能夠挖掘豐富的元數據來源和完整的數據包，以進行快速、高效的上下文關聯(lián)的調查。oCI的調查結果可能會影響警報優(yōu)先級或補救措施，包括設備清理或移除、網絡分段或使用網絡基礎設施或周邊其他安全設備執(zhí)行阻斷的信心。

邊界防護 基于網絡的威脅防護在網絡邊界是一種阻止已知或未知的網絡威脅的方法。然而，為了避免誤報，任何形式的阻斷都必須完全自信地進行。OCI可以訪問豐富的元數據和數據包，幫助安全團隊獲得在網絡邊界進行阻斷的信心。OCI可以指示防火墻或NETSCOUT Arbor Edge Defense (AED)等設備在邊界阻斷惡意流量。Arbor Edge Defense還可以自動檢測和阻斷入站、出站威脅。特別是，AED提供業(yè)界領先的DDoS攻擊保護。AED能夠有效阻止各種類型的DDoS攻擊，并通過無狀態(tài)報文處理技術，有效阻止威脅防火墻、VPN、負載均衡器等有狀態(tài)設備可用性和性能的狀態(tài)耗盡攻擊。配備了來自NETSCOUT ATLAS或第三方的威脅情報，AED還可以阻止內部主機與外部已知的惡意站點通信的出站流量——本質上是作為邊界防御的第一道和最后一道防線。

一體化至關重要

NETSCOUT Omnis Security本身就是一個有效的高級威脅分析和響應平臺。它的重點和優(yōu)勢在于利用來自NETSCOUT ISNG/vSTREAM平臺的原始數據包和智能元數據作為來源。在NETSCOUT，我們相信網絡包含了真相的最終來源，但是我們也知道組織也依賴終端檢測和SIEM技術。這就是為什么Omnis Security將盡可能開放以集成到現有的安全堆棧和進程作為優(yōu)先事項的原因。Omnis安全集成的范例包括：

?支持所有類型和速度的網絡

?為數千個網絡協(xié)議和應用捕獲、解碼和創(chuàng)建智能的元數據能力

?支持任何網絡環(huán)境，包括虛擬化（例如，Oracle云基礎設施，VMware NSX-V和NSX-T）或公有云（例如，Amazon Web Services，Google Cloud, Microsoft Azure）

?通過支持STIX和TAXII或自定義TIP（例如，Anomali或ThreatQuotient）接口，使用第三方的威脅情報

?支持常見SYSLOG格式的警報

?使用開放的REST API

?使用開源威脅檢測（如Suricata）和新興行業(yè)框架（如Mitre Att&ck）

?流行的SIEM應用（如Splunk、AWS Security Hub）

?與防火墻的集成（如PaloAlto Networks）

所有這些都使Omnis Security的全部或部分都可以集成到組織的網絡安全基礎設施中，成為組織的網絡安全基礎設施的重要組成部分。

特色和收益

?高度可擴展的網絡檢測，實現經濟高效、全面的網絡可見性。

?包括使用多種基于網絡的威脅檢測方法，精心策劃的威脅情報、行為分析、開源和高級分析，實現全面的威脅管理。

?通過豐富的本地存儲元數據和數據包進行上下文關聯(lián)調查。

?使用業(yè)界領先的無狀態(tài)數據包處理技術或第三方阻止設備（如防火墻）在邊界進行補救。

?豐富的元數據和數據包，使用開放標準和API實現集成和TechOps協(xié)作。

黄网在线观看免_先锋影音欧美在线_97zyz超碰最新总站_国产中文无码日韩

通過NETSCOUT Omnis安全平臺實現威脅管理

關注恒景