جمعه 23 شهریور 1403

لایسنس سیسکو Stealthwatch

CISCO0 4 26 نظر

لایسنس Cisco Stealthwatch.خرید لایسنس سیسکو Stealthwatch.جهت بررسی و مشاهده قیمت انواع "لایسنس سیسکو" و همچنین خرید لایسنس سیسکو متناسب با انواع تجهیزات شبکه‎‌ می توانید از فروشگاه افق داده‌ها ایرانیان دیدن فرمایید.

خرید لایسنس سیسکو Cisco Stealthwatch:

  • در زمان خرید لایسنس سیسکو Stealthwatch، اطلاعات دسترسی به اکانت مشتری برروی سایت سیسکو تحویل خواهد گردید.

  • پس از لاگین کردن در سایت سیسکو امکان مشاهده لایسنس‌های خریداری شده برروی اکانت فراهم می‌باشد.

  • به منظور فعال‌سازی لایسنس:

    • برخی  از لایسنس‌ها در دسته SLR می‌باشد که امکان دانلود لایسنس و فعال‌سازی از طریق فایل دریافتی برروی دستگاه فراهم می‌باشد.

    • برخی از لایسنس ها صرفا از طریق اتصال به سایت سیسکو امکان فعال سازی آن فراهم می‌باشد.

    • برخی از لایسنس ها امکان فعال سازی از هر دو روش راه دارا می باشد.

  • امکان اتصال ستلایت سرور به سایت سیسکو و دریافت لایسنس‌ها در ستلایت سرور فراهم می‌باشد.

  • در زمان اتصال به سایت سیسکو می‌بایست حتما از پراکسی استفاده نمود.

  • برخی از لایسنس‌ها دارای دوره ی زمانی می‌باشد که در زمان خرید مشاورین اطلاعات تکمیلی را ارائه می‌نمایند.

  • در بخش دانلودهای سایت، امکان مشاهده دقیق  ordering Guide لایسنس Cisco Stealthwatch فراهم می‌باشد.

  • نحوه ی سفارش‌گذاری لایسنس‌ها دائما در حال بروزرسانی می‌باشد، در صورتیکه تمایل به کسب جدیدترین اطلاعات در مورد انواع لایسنس سیسکو دارید، همکاران ما در بخش فروش آماده پاسخ‌گویی به سوالات شما هستند.

  • برای آشنایی با اسمارت لایسنس سیسکو و محصولات مرتبط می‌توانید کاتالوگ اسمارت لایسنس سیسکو را مطالعه کنید.

  • درصورت عدم آشنایی با اسمارت لایسنس می‌توانید مقاله اسمارت لایسنس سیسکو (Cisco Smart Licensing) چیست؟ را مطالعه نمایید.

  • پیشنهاد می‌کنیم مقاله 5 اشتباه رایج در خصوص اسمارت لایسنس‌ها را مطالعه نمایید.

  • پیشنهاد می‌کنیم مقاله و وبینار معرفی پلتفرم Cisco Stealthwatch را مطالعه فرمایید.

  • پیشنهاد می‌کنیم مقاله بررسی Cisco StealthWatch 7.0 را مطالعه فرمایید.

  • پیشنهاد می‌کنیم مقاله Cisco Secure Network Analytics (یا همان Stealthwatch سابق) در یک نگاه را مطالعه نمایید.


آنالیز امنیتی شبکه با سیسکو Stealthwatch

لایسنس سیسکو Stealthwatch

بررسی راهکار سیسکو Stealthwatch

Cisco Secure Network Analytics یا Cisco Stealthwatch، یک قابلیت دید در سطح کل سازمان در اختیار شما قرار می‌دهد تا بتوانید تهدیدات را به صورت لحظه‌ای کشف کرده و در برابر آن‌ها واکنش نشان دهید. در این راهکار، فعالیت‌های شبکه به شکل مستمر تجزیه و تحلیل می‌شوند تا مبنایی برای رفتارهای نرمال شبکه مشخص شود. سپس از همین مبنا در کنار تحلیل پیشرفته بدون امضا (non–signature-based advanced analytics) و هوش تهدید جهانی (global threat intelligence) استفاده می‌شود تا رفتارهای غیرعادی شناسایی شده و تهدیدات هم در لحظه کشف شوند و در برابر آن‌ها واکنش نشان داده شود. 

در راهکار Cisco Stealthwatch، کل شبکه در نظر گرفته شده و یک قابلیت دید سرتاسری از سرورهای موجود در ساختمان‌های شرکت (on-premises) تا ابرهای خصوصی و عمومی فراهم می‌شود. در این راهکار، تمام هاست‌ها شناسایی شده و پایش می‌شود که چه کسی به چه اطلاعاتی در چه زمانی دسترسی پیدا می‌کند. از این‌جا به بعد باید دید که رفتار نرمال هر کاربر یا «هاست» به چه صورتی است و بر اساس آن، یک مبنا برای این رفتارها تعیین کرد. اگر رفتار یک کاربر در هر زمان نسبت به مبنای معمول آن تغییری داشته باشد، یک هشدار اعلام می‌شود. 

برای پیاده‌سازی سیسکو Stealthwatch می‌توانید از دو روش استفاده کنید؛ پیاده‌سازی در داخل (on-premises) به صورت یک ابزار سخت‌افزاری و به شکل یک ماشین مجازی. Secure Cloud Analytics (که قبلاً با نام Stealthwatch Cloud شهرت داشت)، نسخه ای به صورت نرم‌افزار به عنوان یک خدمت (Software-as-a-Service) یا SaaS از Secure Network Analytics است. از Secure Cloud Analytics می‌توانید علاوه بر پایش شبکه‌های خصوصی خود، برای شناسایی تهدیدات و انجام کارهای پیکربندی در ابر عمومی نیز استفاده کنید. 

اجزای راهکار سیسکو Stealthwatch

یک سری اجزای اصلی در بطن راهکار سیسکو Stealthwatch حضور دارند. این اجزا عبارتند از Manager و Flow Collector و Flow Rate License. پیشنهاد می‌کنیم که از اجزای دیگری که به صورت انتخابی در اختیار شما قرار می‌گیرد، نیز استفاده کنید تا یک معماری انعطاف‌پذیر و استوار برای شما فراهم شود. این اجزا هم شامل Flow Sensor و Cisco Telemetry Broker، مدیر UDP (پروتکل User Datagram) و Data Store هستند.

اجزای الزامی سیستم Cisco Stealthwatch

Manager یا مدیر

سرور Manager در Cisco Secure Network Analytics، تجزیه و تحلیل‌های انجام‌شده توسط 

  • حداکثر 25 تا Flow Collector

  • دسترسی به شبکه امن سیسکو (Cisco Secure Network Access) (که پیش از این Cisco Identity Services Engine نامیده می‌شد)

و سایر منابع دیگر را جمع‌آوری و سازماندهی کرده و آن‌ها را ارائه می‌نماید. مدیر از نمودارهای ترافیک شبکه، اطلاعات هویت، گزارشات خلاصه سفارشی و امنیت یکپارچه‌شده و هوش شبکه استفاده می‌کند تا بتواند تحلیل جامعی از شبکه داشته باشد. 

ظرفیت سرور Manager همان عاملی است که حجم داده‌های telemetry برای تجزیه و تحلیل و ارائه و همچنین، تعداد Flow Collectorها را تعیین می‌کند. سرور Manager به شکل یک دستگاه سخت‌افزاری یا یک ماشین مجازی است. مزایای استفاده از سرور Manager در جدول 1 نشان داده شده است. 

مزایای اصلی سرور Manager

مزیتشرح

داده‌های لحظه‌ای و به روز

داده‌هایی را برای پایش ترافیک موجود در صدها بخش از شبکه و به صورت همزمان در اختیار شما قرار می‌دهد تا بتوانید رفتارهای مشکوک در شبکه را تشخیص دهید. این مزیت، به ویژه در سطح سازمان بسیار مفید است. 

توانایی تشخیص و اولویت‌بندی تهدیدات امنیتی

تهدیدات امنیتی را به سرعت تشخیص داده و اولویت‌بندی می‌کند، سوء استفاده از شبکه و عملکرد نامناسب را تشخیص داده و به شما اعلام می‌کند. همچنین، واکنش در برابر رویدادها در سرتاسر سازمان را مدیریت می‌کند. تمامی این کارها توسط تنها یک مرکز کنترل انجام می‌شوند.  

مدیریت دستگاه‌ها

دستگاه‌های مربوط به آنالیز امنیتی شبکه سیسکو از جمله Flow Collector، Flow Sensor و UDP Director را پیکربندی کرده، هماهنگ ساخته و مدیریت می‌نماید. 

استفاده از چندین نوع داده جریان

(Use of multiple types of flow data)

چند نوع داده جریان، از جمله NetFlow، IPFIX و sFlow را مصرف می‌کند. در نتیجه، حفاظت از شبکه بر اساس رفتار بوده و به شکل مقرون به صرفه انجام می‌شود. 

مقیاس‌پذیری (Scalability)

می‌تواند حتی از بزرگ‌ترین تقاضاهای مربوط به شبکه پشتیبانی کند. در محیط‌هایی که سرعت بسیار بالایی دارند، به خوبی کار می‌کند و می‌تواند از تمامی قسمت‌های شبکه که با استفاده از IP می‌توان به آن‌ها دسترسی داشت، محافظت کند؛ فرقی هم نمی‌کند که اندازه سازمان چقدر است. 

رد ممیزی (audit trails) برای تراکنش‌های شبکه

یک رد ممیزی کامل از تمامی تراکنش‌های موجود در شبکه در اختیار شما قرار می‌دهد تا بتوانید فعالیت‌های جرم‌نگاری مورد نظر خود را به شکلی مؤثرتر انجام دهید. 

نقشه‌های جریان منطقی لحظه‌ای و سفارشی 

(Real-time, customizable relational flow maps)

وضعیت فعلی ترافیک سازمان را به شکل تصویر و نمودار در اختیار شما قرار می‌دهد. ادمین‌های شبکه می‌توانند نمودارهای دلخواه خود را بر اساس معیارهای مورد نظر خود مانند محل، کارکرد یا محیط مجازی ترسیم کنند. اپراتورها نیز می‌توانند بین دو گروه از هاست‌ها اتصال برقرار کرده و ترافیک عبوری بین آن‌ها را به سرعت تحلیل کنند. سپس، می‌توانند نقطه داده‌ای مورد نظر خود را انتخاب کرده و اطلاعات بیشتر و دقیق‌تری در خصوص آن‌چه در آن نقطه در لحظه مورد نظر اتفاق می‌افتد، به دست آورند.  

گزینه‌های تحویل انعطاف‌پذیر

(Flexible delivery options)

شما می‌توانید یک دستگاه فیزیکی سفارش دهید. این دستگاه مقیاس‌پذیر است و برای هر سازمانی با هر اندازه‌ای مناسب است. 

همچنین، می‌توانید از نسخه مجازی (Virtual Edition) هم استفاده کنید. این نسخه هم همان کارکردهای مشابه با دستگاه فیزیکی را در اختیار شما قرار می‌دهد، اما در محیط VMware یا KVM Hypervisor کار می‌کند. 

مشخصه‌های سرور Manager

  • Secure Network Analytics Manager 2210. پارت نامبر: ST-SMC2210-K9

  • Secure Network Analytics Manager Virtual Edition را می‌توانید به صورت SMC VE یا SMC VE 2000 پیکربندی کنید. پارت نامبر: L-ST-SMC-VE-K9

Flow Collector :

Flow Collector، انواع مختلف telemetry سازمان مانند NetFlow، IPFIX (Internet Protocol Flow Information Export) ،NVM و SYSLOG را از زیرساخت‌های موجود در شبکه مانند روترها، سوئیچ‌ها، فایروال‌ها، نقاط انتهایی و سایر دستگاه‌های موجود در زیرساخت شبکه، جمع‌آوری نموده و ذخیره می‌کند. همچنین، Flow Collector می‌تواند telemetryها را از منابع proxy data که توسط موتور یادگیری ماشین بر روی ابر تجزیه و تحلیل می‌شوند، هم جمع‌آوری کند. 

داده‌های telemetry تجزیه و تحلیل می‌شوند تا تصویری کامل از فعالیت‌های شبکه به دست آید. داده‌های مربوط به چندین ماه یا چندین سال را می‌توان ذخیره کرد و یک رد ممیزی (audit trails) به دست آورد. با استفاده از این اطلاعات می‌توان بررسی‌های جرم‌نگاری را به شکل بهتری انجام داد و انطباق بیشتری با الزامات به دست آورد. مقدار داده‌های telemetry (The volume of telemetry) که می‌توان از داخل شبکه جمع‌آوری کرد، بستگی به مجموع ظرفیت تمام Flow Collectorها دارد. می‌توانید چندین و چند Flow Collector نصب کنید. جمع‌کننده‌های داده نیز به صورت دستگاه‌های سخت‌افزاری یا به شکل ماشین‌های مجازی ارائه می‌شوند. مزایای استفاده از Flow Collectorها در جدول زیر نشان داده شده است. 

مزایای استفاده از Flow Collector

مزیتشرح

تشخیص تهدیدات

(Threat detection)

رکوردهای پروکسی هضم شده و به رکوردهای جریان منتسب می‌شوند. با این کار، اطلاعاتی در خصوص استفاده‌های کاربران و همچنین، اطلاعات URL برای هر جریان ارائه می‌شود تا آگاهی در این زمینه افزایش یابد. این فرآیند، توانایی سازمان شما برای تشخیص تهدیدات را افزایش داده و میانگین زمان تا آگاهی (Mean Time to Know) (MTTK) کمتر می‌شود. 

پایش ترافیک جریان

(Flow traffic monitoring)

ترافیک جریان در صدها بخش از شبکه به صورت همزمان پایش می‌شود. بدین ترتیب، رفتارهای مشکوک در شبکه تشخیص داده می‌شوند. این قابلیت، به ویژه برای سطح سازمان بسیار مفید است. 

حفظ بیشتر داده‌ها

(Extended data retention)

سازمان‌ها و نهادها می‌تواننند حجم بیشتری از داده‌ها را برای مدتی طولانی‌تر نگهداری کنند. 

مقیاس‌پذیری

(Scalability )

در محیط‌هایی که سرعت بسیار بالایی دارند، به خوبی کار می‌کند و می‌تواند از تمامی قسمت‌های شبکه که با استفاده از IP می‌توان به آن‌ها دسترسی داشت، محافظت کند؛ فرقی هم نمی‌کند که اندازه سازمان چقدر است.

Deduplication and stitching

داده‌های تکراری حذف می‌شوند، به طوری که جریان‌هایی که بیش از یک بار از یک روتر عبور می‌کنند، صرفاً یک بار شمرده می‌شوند. سپس، اطلاعات جریان در کنار یکدیگر قرار می‌گیرند (به هم دوخته می‌شوند) تا یک قابلیت دید کامل از تراکنش‌های شبکه به دست آید. 

انتخاب روش‌های تحویل

(delivery methods)

شما می‌توانید یک دستگاه فیزیکی سفارش دهید. این دستگاه مقیاس‌پذیر است و برای هر سازمانی با هر اندازه‌ای مناسب است. 

همچنین، می‌توانید از نسخه مجازی (Virtual Edition) هم استفاده کنید. این نسخه هم همان کارکردهای مشابه با دستگاه فیزیکی را در اختیار شما قرار می‌دهد، اما در محیط VMware یا KVM Hypervisor کار می‌کند. مقیاس این راهکار بر اساس منابعی که به آن تخصیص داده شده است، به شکل داینامیک تنظیم می‌شود.

مشخصه‌های Flow Collector

  • Secure Network Analytics Flow Collector 4210 - پارت نامبر: ST-FC4210-K9
  • Secure Network Analytics Flow Collector 5210 - پارت نامبر: ST-FC5210-K9
  • Secure Network Analytics Flow Collector Virtual Edition can be configured as either FCVE-1000, FCVE-2000, or FCVE-4000-پارت نامبر: L-ST-FC-VE-K9

مخزن داده یا Data Store :

راهکار Data Store یک راهکار مناسب برای محیط‌هایی است که نیاز به ظرفیت هضم داده بالا دارند یا این‌که زمان‌های حفظ داده در آن‌ها زیاد بوده و فراتر از ظرفیت یک یا چند جمع‌کننده داده است. می‌توان یک کلاستر از مخزن داده بین Secure Network Analytics Manager و Flow Collectorها قرار داد. در این شبکه‌های بزرگ‌تر و گسترده‌تر، یک یا چند جمع‌کننده جریان، داده‌های جریان را هضم کرده و داده‌های تکراری را حذف می‌کنند، تجزیه و تحلیل‌ها را انجام می‌دهند و سپس، داده‌های جریان و نتایج آن‌ها را مستقیماً به مخزن داده ارسال می‌کنند. سپس، این داده‌های جریان به شکل برابر در مخزن داده توزیع می‌شوند که دست‌کم از سه تا Data Node appliance تشکیل شده‌اند. مخزن داده، ذخیره‌سازی داده‌های جریان را تسهیل کرده و تمام داده‌های telemetry شبکه شما را در یک محل متمرکز نگه می‌دارد. این کار بر خلاف آن چیزی است که در مدل توزیع‌شده (distributed model) می‌بینیم و در آن، داده‌ها در میان چندین جمع‌کننده جریان پخش می‌شوند. این مدل متمرکز جدید، نسبت به مدل توزیع‌شده، ظرفیت ذخیره‌سازی بالاتری داشته، جریان بیشتری را هضم می‌کند و تاب‌آوری بیشتری هم دارد. 

مزایای اصلی Data Store:

مزیت

شرح

ظرفیت بیشتر برای هضم داده

(Increases data ingest capacity)

می‌توان مخزن‌های داده را با هم ترکیب کرد تا یک کلاستر از گره‌های داده تشکیل شوند. این کلاستر می‌تواند تا بیش از 3 میلیون جریان در ثانیه (FPS) را پایش کند. بدین ترتیب، بسیاری از مشکلاتی که سازمان‌ها در خصوص پهنای باند هضم (ingestion) برای جریان‌های زیاد با آن‌ها روبرو هستند، حل می‌شود. 

تاب‌آوری داده در سطح سازمان

(Enterprise-class data resiliency)

داده‌های Telemetry به شکل افزونه‌دار یا دارای redundant در چند گره (node) ذخیره می‌شود تا در صورتی که یکی از گره‌ها از دسترس خارج شد، داده‌ها هم‌چنان در دسترس باشند. بدین ترتیب، داده‌های Telemetry از دست نمی‌روند. در صورتی که از دو یا چند مخزن داده استفاده شود، در صورت از دست‌رفتن یک گره داده، هم‌چنان تا بیش از 50 درصد پشتیبانی صورت می‌گیرد و عملیات ادامه پیدا می‌کند.* در صورت استفاده از مخزن داده می‌توانید از سوئیچ افزونه برای اتصالات هم استفاده کنید تا زمانی که شبکه را ارتقا می‌دهید یا قطعی‌هایی به شکل برنامه‌ریزی‌نشده رخ می‌دهند، هم‌چنان در حالت عملیاتی کامل قرار داشته باشید. 

* بستگی به پیکربندی سخت‌افزارها و نصب آن‌ها دارد. 

بهبود قابل ملاحظه در کوئری‌زدن و گزارش‌ زمان واکنش

با استفاده از مخزن داده، عملکرد بسیار بهتری برای کوئری‌زدن و گزارش زمان واکنش در اختیار شما قرار می‌گیرد. این زمان، حداقل 10x برابر سریع‌تر از آن چیزی است که در سایر مدل‌های استقرار استاندارد به دست می‌آورید. با این قابلیت، می‌توانید تعداد بیشتری کوئری به صورت همزمان بزنید؛ فرقی هم نمی‌کند که از API استفاده کرده باشید یا از Secure Network Analytics Manager web UI بهره گرفته باشید. این بهبود در کوئری‌زدن‌ها به شما کمک می‌کند تا بهره عملیاتی بسیار بالاتری داشته باشید. مخزن داده، امکان گزارش‌دهی و دریافت پاسخ سریع را برای شما فراهم می‌کند. بنابراین، می‌توانید تهدیدات را به سرعت شناسایی کرده و در برابر آن‌ها واکنش نشان دهید. به این ترتیب، می‌توانید عملیات تریاژ (triage) و بررسی‌های خود را به سرعت انجام دهید و workflowها را اصلاح کنید. 

مقیاس‌پذیری فضای ذخیره‌سازی

(Storage scalability)

مخزن داده، انعطاف‌پذیری بسیاری را برای ذخیره‌سازی داده در اختیار سازمان‌ها قرار می‌دهد. در واقع، سازمان‌ها می‌توانند کلاسترهای دیگری را هم برای دیتابیس‌های خود ایجاد کنند. 

حفظ داده‌ها در طولانی‌مدت

(Long-term data retention)

قابلیت‌های ذخیره‌سازی داده‌های Telemetry به شکل مقیاس‌پذیر و طولانی‌مدت، امکان حفظ جریان (داده‌ها) به مدت طولانی، یعنی تا 1 تا 2 سال را فراهم آورده است. برای این کار، هیچ نیازی به استفاده از Flow Collectorهای بیشتر هم وجود ندارد. استفاده از مخزن داده، کمک می‌کند تا الزامات مقرراتی نیز رعایت شوند و هزینه‌ها و پیچیدگی‌های مربوط به خرید و یکپارچه‌سازی با راهکارهای شخص ثالث یا استفاده از Flow Collectorهای اضافی هم کاهش یابند. 

مشخصه‌های مخزن داده:

برای اطلاعات بیشتر به صفحه مروری بر راهکار مخزن داده (Data Store Solution Overview) در Cisco Stealthwatch سر بزنید. 

لایسنس نرخ جریان (Flow Rate License) :

برای جمع‌آوری، مدیریت و تجزیه و تحلیل telemetry جریانی که در مدیر Secure Network Analytics جمع شده است، نیاز به Flow Rate License دارید. Flow Rate License، حجمی از جریان که ممکن است جمع شود را تعریف می‌کند. این لایسنس بر حسب جریان در ثانیه (FPD) (Flows Per Second) تعیین می‌شود. لایسنس‌ها را می‌توانید با هر نوع جایگشتی با هم ترکیب کنید تا مقدار مطلوب ظرفیت را به دست آورید. 

  • لایسنس Cisco Secure Network Analytics Flow Rate - صد بسته - پارت نامبر: ST-FR-100-LIC
  • Orderable through the Secure Network Analytics XaaS subscription پارت نامبر: ST-SEC-SUB

اجزای انتخابی (Optional) سیسکو Stealthwatch

Flow Sensor یا سنسور جریان

Flow Sensor یک جزء انتخابی در این سیستم است و داده‌های telemetry را برای بخش‌هایی از سوئیچ‌ها و روترها ارائه می‌کند که امکان تولید NetFlow را به صورت معمول ندارند. این سنسورها، همچنین قابلیت دید را برای داده‌هایی که در لایه‌ی اپلیکیشن هستند، فراهم می‌کنند. علاوه بر تمام داده‌های telemetry که توسط Cisco Stealthwatch جمع‌آوری شده‌اند، Flow Sensor نیز Security Context بیشتری را فراهم می‌سازد تا آنالیز امنیتی به شکل بهتری انجام شود. این سنسورها که از نسخه 7.1 نرم‌افزار آنالیز امنیتی شبکه یا همان سیسکو Stealthwatch ارائه شده‌اند، telemetry پیشرفته‌تری برای آنالیتیکس ترافیک رمزشده در اختیار شما قرار می‌دهند تا بتوانید ترافیک رمزشده را نیز تجزیه و تحلیل کنید. از مدل‌سازی پیشرفته رفتارها (Advanced behavioral modeling) و multilayered machine learning بر پایه cloud، برای این مجموعه از داده‌ها استفاده می‌شود تا تهدیدات پیشرفته‌تر شناسایی شده و بررسی‌ها سریع‌تر انجام شوند. 

Flow sensor بر روی یک mirroring port یا network tap نصب می‌شود و داده‌های telemetry بر اساس ترافیک مشاهده‌شده تولید می‌شوند. حجم telemetry تولیدشده از شبکه بر اساس ظرفیت سنسورهای telemetry مستقر تعیین می‌شود. می‌توانید چندین Flow sensor نصب کنید. Flow sensorها به شکل دستگاه‌های سخت‌افزاری یا به صورت دستگاه‌های مجازی هستند که محیط‌های ماشین مجازی را پایش می‌کنند. این سنسورها، همچنین در محیط‌هایی کار می‌کنند که یک راهکار دیگر برای پایش هم وجود دارد و قرار است تا امنیت بیشتری، متناسب با مدل امنیتی سازمان IT فراهم شود. 

مزایای اصلی Flow Sensor

مزیت

شرح

قابلیت دید در لایه 7، لایه اپلیکیشن

(Layer 7 application visibility)

با تولید اطلاعات مربوط به اپلیکیشن، قابلیت دید را برای لایه 7 فراهم می‌آورد. این اطلاعات مربوط به ویژگی‌های مختلف داده، همچون RTT (زمان تأخیر چرخشی (Round Trip Time))، SRT (زمان پاسخ سرور) و ارسال مجدد است. 

عملکرد و تجزیه و تحلیل در سطح Packet

(Packet-level performance and analysis)

با جمع‌آوری اطلاعات مربوط به اپلیکیشن، قابلیت دید مناسبی را برای لایه‌ی 7، یعنی لایه اپلیکیشن فراهم می‌نماید. این اطلاعات مربوط به ویژگی‌های مختلف داده، از جمله RTT، SRT و ارسال مجدد است. 

هشدار در خصوص رفتارهای غیرعادی در شبکه

(Alerts on network anomalies)

با استفاده از داده‌های telemetry بیشتر، مانند اطلاعات URL برای ترافیک وب و جزئیات TCP flag که توسط Flow Sensor تولید می‌شوند، هشدارهایی توسط contextual intelligence تولید می‌شوند. بدین ترتیب، کارکنان می‌توانند به سرعت اقدام کرده و آسیب‌ها را کاهش دهند. 

هزینه‌های کمتر

(Lower costs)

با شناسایی و جداکردن علت ریشه‌ای یک مسأله یا حادثه، صرفاً ظرف مدت چند ثانیه، کارآیی عملیاتی بالاتر رفته و هزینه‌ها نیز کاهش می‌یابند. 

انتخاب روش تحویل

(Choice of delivery methods)

شما می‌توانید نسخه دستگاهی (Appliance Edition) را سفارش دهید که یک دستگاه مقیاس‌پذیر و مناسب برای هر سازمانی است. 

همچنین، می‌توانید نسخه مجازی را سفارش دهید. این نسخه به طوری طراحی شده است که همان کارکرد نسخه دستگاهی را دارد، اما بر روی VMware یا KVM Hypervisor کار می‌کند. 

مشخصه‌های سنسور جریان

Cisco Telemetry Broker

Cisco Telemetry Broker می‌تواند Telemetry شبکه را از منابع مختلف Telemetry دریافت کند، فرمت داده‌های آن‌ها را تغییر داده و سپس، آن Telemetry را به یک یا چند مقصد ارسال کند. مثلاً می‌تواند هر یک از موارد زیر را دریافت کند:

  • On-premises network telemetry، از جمله NetFlow، SYSLOG و IPFIX
  • منابع Cloud-based telemetry، مانند لاگ‌های جریان AWS VPC و لاگ‌های جریان Azure NSG

همچنین، داده‌های Telemetry را به تمام مقاصد نمونه زیر می‌فرستد:

  • پلتفرم‌های آنالیز، مانند Hadoop

  • پلتفرم‌های مدیریت شبکه و اتوماسیون، مانند مرکز DNA سیسکو (Cisco DNA Center)

  • پلتفرم‌های مدیریت رویدادها و اطلاعات امنیتی (SIEM) (Security Information and Event Management)

  • ذخیره‌سازی/ جمع‌آوری هوشمند (Storage/smart capture)، مانند Cisco Security Analytics and Logging (On-premises)

Cisco Telemetry Broker می‌تواند علاوه بر on-premises network telemetry مانند NetFlow، Syslog و IPFIX، منابع Telemetry غیرسنتی دیگری مانند لاگ‌های جریان AWS VPC و لاگ‌های جریان Azure NSG را نیز دریافت کند. سپس، فرمت این داده‌ها را به رکوردهای IPFIX یا سایر فرمت‌های داده‌ای سازگار با Secure Network Analytics یا همان سیسکو Steathwatch تبدیل می‌کند. علاوه بر این، قابلیت‌های جمع‌آوری داده‌های موجود در Secure Network Analytics را از طریق توانایی دریافت و تجزیه و تحلیل Telemetry شبکه از منابع غیراستاندارد گسترش می‌دهد. 

مزایای اصلی Cisco Telemetry Broker

مزیتشرح

کارگزاری داده 

(Brokering data)

امکان مسیریابی و تکثیر داده‌های Telemetry از محل منبع به سمت مشتریان در مقاصد مختلف، به منظور تسهیل در ارائه سریع ابزارهای جدید مبتنی برTelemetry

فیلترکردن داده‌

امکان فیلترکردن داده‌هایی که برای مشتریان تکثیر شده‌اند. بدین ترتیب، آن‌چه مشتریان می‌بینند و تحلیل می‌کنند، به شکل دقیق‌تری کنترل می‌شود. این کار باعث می‌شود تا کاربران هم دیگر نیازی به ارسال داده به سمت ابزارهای گران نداشته باشند و امکان صرفه‌جویی برای آن‌ها فراهم می‌شود. 

انتقال داده

امکان تبدیل پروتکل‌های داده از ارسال‌کننده (exporter) به پروتکل منتخب مشتری. به این ترتیب، Secure Network Analytics و ابزارهای دیگر می‌توانند فرمت‌های داده های متعدد و فرمت‌های داده‌های قبلی و ناسازگار را مصرف کنند. 

مشخصه‌های Cisco Telemetry Broker

  • لایسنس Cisco Telemetry Broker 100GB/day – پارت نامبر: TB-ESS-100GB
  • Orderable through the Cisco Telemetry Broker Subscription - پارت نامبر: TB-SEC-SUB

برای اطلاعات بیشتر به Cisco Telemetry Broker Data Sheet مراجعه کنید. 

UDP Director

UDP Director، جمع‌آوری و توزیع داده‌های شبکه و امنیت از سرتاسر سازمان را تسهیل می‌کند. با استفاده از این ابزار می‌توانید اطلاعات اساسی شبکه و امنیت را از چندین محل مختلف دریافت کرده و آن را به صورت یک جریان داده مشخص به یک یا چند مقصد ارسال کنید. در نتیجه، برق مصرفی برای پردازش در روترها و سوئیچ‌ها کمتر می‌شود.

مزایای اصلی UDP Director

مزیتشرح
خاموشی‌ و قطعی‌های برنامه‌ریزی‌نشده کمتر می‌شوند.

از دسترس‌پذیری بالای UDP Director برای دستگاه UDP Director 221 استفاده می‌شود.

امنیت شبکه و پایش آن را ساده می‌کند.

UDP Director، داده‌ها را تجمیع کرده و یک مقصد استاندارد واحد برای اطلاعات مختلف از جمله NetFlow، sFlow، Syslog و پروتکل مدیریت ساده شبکه (SNMP) ارائه می‌کند. دستگاه‌های UDP Director می‌توانند داده‌ها را از اپلیکیشن‌های UDP غیرمتصل جمع‌آوری دریافت کرده، سپس آن‌ها را به چند مقصد ارسال کنند. همچنین، در صورت لزوم این داده‌ها را تکثیر می‌کنند. 

می‌تواند داده‌های UDP را از هر مبدأیی به هر مقصدی هدایت کند.

داده‌ها را از هر اپلیکیشن UDP بدون اتصالی دریافت کرده و سپس، آن‌ها را به چند مقصد مختلف ارسال می‌کند. در صورت لزوم، این داده‌ها را تکثیر هم می‌کند. 

نیاز به پیکربندی مجدد زیرساخت را از بین می‌برد.

داده‌های لاگ نقطه‌ای (NetFlow, sFlow, Syslog, SNMP) را به سمت یک مقصد واحد هدایت می‌کند و وقتی که ابزارهای جدیدی اضافه یا حذف می‌شوند، نیازی به تغییر در پیکربندی زیرساخت برای انجام این کار وجود ندارد. 

مشخصه‌های UDP Director

لایسنس‌های دیگر

برای استفاده از کارکردهای دیگر، لایسنس‌های اختیاری دیگری هم وجود دارند که می‌توانید آن‌ها را تهیه کنید. این لایسنس‌ها عبارتند از:

Cisco Secure Network Analytics Endpoint License : به صورت یک لایسنس add-on موجود است که قابلیت دید گسترده‌تری را برای دستگاه‌های end-user فراهم می‌کند. سازمان‌ها می‌توانند با استفاده از Endpoint License، دید کامل و همیشگی بر روی endpointهای موبایل کارکنان خود و فعالیت‌های آن‌ها از راه دور داشته و در نتیجه، آن‌ها را از راه دور ایمن سازند. برای این کار باید ماژول قابلیت دید شبکه انی‌کانکت سیسکو [NVM] (Cisco AnyConnect® Network Visibility Module [NVM] ) به صورت جداگانه خریداری شود. 

  • لایسنس Cisco Secure Network Analytics Endpoint – پارت نامبر: ST-EP-LIC
  • Orderable through the Secure Network Analytics XaaS subscription – پارت نامبر: ST-SEC-SUB

برای اطلاعات بیشتر، نگاهی به Cisco Secure Network Analytics Endpoint License At-a-Glance بیندازید. 

Cisco Secure Network Analytics Threat Feed: یک منبع هوش تهدید جامع است که گروه هوش تهدید راهبر صنعت ارائه کرده است. Cisco Talos یک لایه‌ی حفاظتی تکمیلی نیز برای مقابله با بات‌نت‌ها و سایر حملات پیچیده دیگر هم به آن اضافه کرده است. این قابلیت، فعالیت‌های مشکوک موجود در محیط محلی شبکه را با داده‌های موجود در هزاران سرور شناخته‌شده برای فرمان و کنترل مرتبط ساخته و سعی می‌کند تا آن‌ها را با دقت بالا کشف کرده و به سرعت در برابر آن‌ها واکنش نشان دهد. سیسکو تالوس، 5/1 میلیون نمونه بدافزار منحصر بفرد را می‌شناسد و 20 میلیارد تهدید را در روز مسدود می‌سازد. 

برای راه‌اندازی هر Flow Collector نیاز به لایسنس Threat Feed دارید. Threat Feed Product Ids برای مدل‌های مختلف Flow Collector به شرح زیر است:

  • لایسنس Cisco Secure Network Analytics Threat Feed for FC1K – پارت نامبر: =L- LC-TI-FC1K
  • لایسنس Cisco Secure Network Analytics Threat Feed for FC2K – پارت نامبر: =L- LC-TI-FC2K
  • لایسنس Cisco Secure Network Analytics Threat Feed for FC4K – پارت نامبر: =L- LC-TI-FC4K
  • لایسنس Cisco Secure Network Analytics Threat Feed for FC5K – پارت نامبر: =L- LC-TI-FC5K

برای اطلاعات بیشتر نگاهی به Cisco Secure Network Threat Feed License At-a-Glance بیندازید. 

Security Analytics and Logging On-premises : آنالیز شبکه و ثبت لاگ بر روی سرورهای داخلی سازمان یا همان Security Analytics and Logging (SAL) On-premises، قابلیت مدیریت لاگ به صورت مرکزی و ذخیره‌سازی در سطح سازمان در اختیار شما قرار می‌دهد که می‌توانید از آن برای استقرار فایروال در مقیاس بزرگ استفاده کنید. با استفاده از این سرویس می‌توانید از فایروال‌های خود با سرعت پایدار 100،000 رویداد در ثانیه (EPS) لاگ برداشته و به طور میانگین، آن‌ها را به مدت 30 روز نگهداری کنید. علاوه بر این، با استفاده از این سرویس می‌توانید داده‌های گسترده خود را از طریق API در کنسول Cisco FMC قرار دهید و در نتیجه، قابلیت‌های ذخیره‌سازی داده‌های FMC تا 300 برابر (یا 30،000%) بیشتر می‌شود. 

آنالیز امنیت و ثبت لاگ (SAL) بر روی سرورهای داخلی، از طریق یک اپلیکیشن رایگان قابل دانلود در اختیار شما قرار دارد. می‌توانید این اپلیکیشن را بر روی Cisco Stealthwatch (آنالیتیکس شبکه‌های امن)، نسخه 7.3.1 و بالاتر از آن نصب کنید. برای آن‌که بتوانید این سرویس را اجرا کنید، باید یک لایسنس حجمی خریداری کنید که به صورت‌های زیر موجود است:

  • لایسنس جداگانه (A la carte license) – پارت نامبر: SAL-OP-LT-1GB

  • قابل سفارش از طریق Parent Product ID – پارت نامبر: SAL-SUB

  • Bundled license که با عضویت در فایروال در اختیار شما قرار داده می‌شود – پارت نامبر: SEC-LOG-OP

  • قابل سفارش از طریق Parent Product ID – پارت نامبر: FPR1150-NGFW-K9

SAL روی سرورهای داخلی (SAL On-premises) را می‌توان به صورت یکی از دو معماری (HW یا Virtual) و به صورت‌های زیر نصب کرد :

  • تک نودی (Single-Node): در مقیاس 20،000 eps (رویداد در ثانیه) برای فایروال
  • Cisco Secure Network Analytics Manager – پارت نامبر: SMC-2210-K9
  • چند نودی (Multi-Node): در مقیاس 100،000 eps (رویداد در ثانیه) برای فایروال
  • Cisco Secure Network Analytics Manager – پارت نامبر: SMC-2210-K9
  • Secure Network Analytics Flow Collector 4210 – پارت نامبر: ST-FC4210-K9
  • Cisco Secure Network Analytics Data Store 620 – پارت نامبر: ST-DS6200-K9

برای کسب اطلاعات بیشتر، می‌توانید با همکاران ما در شرکت افق داده‌ها ایرانیان تماس بگیرید و یا به راهنمای سفارش مراجعه کنید یا به صفحه cisco.com/go/sal مراجعه کنید.


پارت نامبرهای سیسکو Cisco Stealthwatch:

برای اطلاع از خرید هر کدام از لایسنس‌های Cisco Stealthwatch یا همان Cisco Secure Network Analytics ذکر شده در جدول زیر، می توانید با شرکت مهندسی افق داده ها ایرانیان بگیرید. همکاران ما به طور دقیق شما را راهنمایی خواهند کرد و به تمام سوال‌های شما پاسخ خواهند داد.

Part Number

SKU Type

ST-FR-BUN

Stealthwatch Enterprise

=L-ST-FR-LIC

Flow Rate

=L-ST-EP-LIC

Endpoint

=L-LC-Tl-FC[1|2|4|5]K

 Threat Intelligence

L-ST-FC-VE-K9

Flow Collector

L-ST-SMC-VE-K9

Management Console

L-ST-FS-VE-K9

Flow Sensor

L-ST-UDP-VE-K9

UDP Director

ST-CL-SUB

Stealthwatch Cloud

ST-CL-PCM

Public Cloud Monitoring

ST-CL-PNM

Private Network Monitoring

 

جدول راهنمای پارت نامبر لایسنس Cisco Stealthwatch

 

جدول راهنمای پارت نامبر لایسنس سیسکو Stealthwatch

 

تجهیزات امنیت شبکه سیسکو

سیسکو Stealthwatch چیست؟