FAQ EtherSensor

Часто задаваемые вопросы

Для работы Ethersensor рекомендуется сервер с процессором Intel Xeon (от 8 ядер), 16+ ГБ оперативной памяти и SSD-накопителем. Точные требования зависят от объема анализируемого трафика и могут быть уточнены нашими специалистами.

EtherSensor:

  • пассивно перехватывает сетевой трафик канального уровня;
  • анализирует его для извлечения из него полезных объектов уровня приложения (объекты, их контент, события и т.д.);
  • доставляет результаты системам-потребителям.

EtherSensor решает эти задачи на больших потоках трафика (десятки Гбит/с). Хотя для решения разовых задач использование EtherSensor — явный перебор, тем не менее его функциональность позволяет быстро получить представление о вашем сетевом трафике для дальнейшей автоматизации его обработки с помощью EtherSensor.

  • Зеркальные порты (Mirror ports)
  • Сетевые ответвители (Network taps)
  • ICAP-клиенты (многие проксирующие решения имеют функцию зеркалирования HTTP(S) трафика по ICAP-протоколу)
  • PCAP и PcapNG файлы, записанные с помощью таких инструментов, как tcpdump от tcpdump.org, Wireshark, или нашей же утилиты TCPDUMP for Windows.

EtherSensor реконструирует и анализирует объекты трафика начиная с уровня 2 модели OSI до уровня 7 – объекты, специфические для определённого приложения, пользователя и Интернет-сервиса. Таких сервисов EtherSensor знает несколько тысяч — никому не интересен "просто HTTP".

EtherSensor также может предоставить системе-потребителю любые метаданные таких объектов, любой их контент (например, текст сообщения или переданный файл). Он также может сгенерировать заранее сконфигурированные события, основанные на перехваченных сообщениях и других объектах на основе заданных вами правил.

На самом высоком уровне EtherSensor работает со стандартными email-сообщениями (SMTP, POP3, IMAP4), объектами webmail сервисов, социальных сетей, блогов, форумов, сервисов мгновенных сообщений, сервисами облачного хранения файлов, сервисами найма и поиска работы и т.д.

Кроме того, EtherSensor предоставляет весьма обширный набор сетевых статистических данных.

Равно как и с одновременным получением трафика из различных источников, вы можете одновременно же использовать сразу несколько способов доставки результатов разных типов:

  • Нативно EtherSensor может упаковать любой извлечённый из трафика объект в email-сообщение для одновременной доставки произвольному количеству потребителей по SMTP или IMAP;
    • Этот способ решает задачу интеграции с большинством DLP, eDiscovery, Enterprise Search, и Enterprise Archiving систем;
  • Также EtherSensor может генерировать и отсылать одновременно произвольному количеству потребителей результаты анализа в виде syslog-строк с предварительно настроенной структурой (например, CEF);
    • Этот способ позволяет сделать результаты анализа доступными практически любому SIEM или U(E)BA решению;
  • EtherSensor может также загружать результаты анализа в виде файлов по FTP, SMB или же просто сохранять их на локальной файловой системе. Выкладывание результатов одновременно в несколько мест также возможно.

Помимо описанного выше, для доставки результатов анализа реализованы следующие проприетарные протоколы:

  • InfoWatch Traffic Monitor (протокол на основе Apache Thrift);
  • Протокол обмена данными DeviceLock Enterprise Server;
  • Falcongaze Secure Tower (протокол на основе Google Protobuf).

Мы всегда заинтересованы в реализации новых способов доставки результатов работы EtherSensor системам-потребителям. Если вы имеете идеи или пожелания на этот счёт, пожалуйста, обращайтесь с запросами с помощью формы обратной связи или напишите нам на support@microolap.ru.

EtherSensor легко интегрируется со сторонними решениями, имеющими функцию расшифровки SSL. Также в своем составе он имеет ICAP-сервер, позволяющий взаимодействовать с ICAP-клиентами, обрабатывающими HTTPS.

Любая DLP-система может получать от EtherSensor информацию о произошедшей коммуникации, равно как сами переданные объекты.

Данные о любом событии (в том числе и извлечённые из объекта уровня приложения) могут быть переданы в любую SIEM или U(E)BA систему, если она поддерживает получение данных по syslog.

eDiscovery и Enterprise Archiving решения приобретают возможность накапливать ранее не учитывавшиеся ими данные о коммуникациях и переданных по сети документах или файлах.

С учётом описанного выше EtherSensor часто используется как ключевой компонент подсистемы анализа трафика при создании или развёртывании SOC (Security Operation Center).

Скорее всего, да. Это возможно благодаря уже имеющимся в EtherSensor стандартным способам доставки: SMTP, IMAP, syslog, FILEDROP (сохранение результатов на локальную файловую систему, SMB, FTP).

Ниже перечислены решения, с которыми EtherSensor был успешно интегрирован, или же об успешной интеграции с которыми мы получили подтверждение от наших партнёров.

Список выше далеко не полон, так как у нас не было возможности протестировать интеграцию EtherSensor со всеми существующими решениями. Скорее всего, EtherSensor будет работать “из коробки” со всем, с чем его имеет смысл интегрировать. Если же нет, то не сомневайтесь: мы знаем, что с этим делать.

Пожалуйста, напишите нам на support@microolap.ru или дайте знать через форму обратной связи, если вы хотите протестировать интеграцию EtherSensor с решением, которое у вас уже развёрнуто.

Кроме полнофункциональной серверной версии EtherSensor, призванной бесперебойно работать в вашей сетевой инфраструктуре, мы подготовили версию EtherSensor PCAP Edition для сопровождения полной рабочей версии (автономного тестирования и отладки фильтров, правил и детекторов) без риска для её функционирования. EtherSensor PCAP Edition полностью повторяет функциональность полной версии за исключением источников данных: она работает только с PCAP-файлами как источниками трафика — для ознакомления с функциональностью EtherSensor этого вполне достаточно.

Чтобы быстро ознакомиться с работой EtherSensor на нашем стенде, мы рекомендуем оставить заявку на онлайн-демонстрацию, которая занимает примерно полчаса. После неё очень многое станет ясным.

Если вы решите развернуть стенд с EtherSensor на своей стороне, мы можем предоставить тестовую лицензию, а также помощь в установке, конфигурировании, интеграции с системами-потребителями и т.п.

Отправьте свой с помощью формы обратной связи. Пожалуйста, будьте готовы к тому, что мы уточним у вас некоторые технические и бизнес-детали.

Вам понадобится только компьютер с установленной ОС Microsoft Windows или Linux. Годится как серверная, так и десктопная версия Windows Linux. Настоятельно рекомендуется наличие установленных последних обновлений:

  • Серверные версии Windows: Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016.
  • Десктопные версии Windows: Windows 7, Windows 8, Windows 8.1, Windows 10.
  • Серверные версии Linux: Семейство Red Hat, Семейство Debian (Ubuntu, Debian, Astra).

Никакого специального оборудования не требуется, поэтому EtherSensor может использоваться в среде виртуализации (приблизительно 15% состоявшихся внедрений).

Требования к аппаратным ресурсам весьма скромны благодаря хорошо проработанным решениям внутренних фундаментальных задач (например, мы используем собственные технологии перехвата трафика, реконструкции TCP-сессий и высокопроизводительного межпроцессного взаимодействия). Тем не менее, они зависят от планируемых к обработке потоков трафика. Для определения состава оборудования пожалуйста сверьтесь с соответствующим разделом “Руководства администратора EtherSensor”.

Инсталляция EtherSensor займёт примерно пять минут вашего времени.

Не столь очевидные задачи будут решаться в дальнейшем последовательно по одной задаче за раз. Вы должны совершенно точно понимать, что именно вы делаете, но сам по себе процесс конфигурирования EtherSensor очень прост.

Не столь очевидные задачи будут решаться в дальнейшем последовательно по одной задаче за раз. Вы должны совершенно точно понимать, что именно вы делаете, но сам по себе процесс конфигурирования EtherSensor очень прост.

EtherSensor получает трафик пассивно, поэтому он никак не воздействует на вашу сетевую инфраструктуру и не требует её изменений.

Единственное, что понадобится, это завести копию сетевого трафика на EtherSensor (например, с помощью зеркалирования трафика или ответвителя).

Нет, Ethersensor работает без установки агентов на рабочие станции или серверы. Система анализирует сетевой трафик на уровне инфраструктуры, что упрощает внедрение и снижает нагрузку на конечные устройства.

Наш типичный клиент – организация с собственным подразделением информационной безопасности или же MSSP/MDR компания.

Также нередко системные интеграторы используют EtherSensor вместе с набором смежных решений от других производителей при построении SOC для своих Заказчиков.

Количество компьютеризированных рабочих мест (генерирующих сетевой трафик) на одну инсталляцию EtherSensor у наших клиентов варьируется от 100 до 130 000.

Пока нет, но мы открыты для обсуждения. Пожалуйста, напишите нам по email или воспользуйтесь формой обратной связи.

Конечно. Пожалуйста, напишите нам по email или воспользуйтесь формой обратной связи.

Cookie-файлы
Настройка cookie-файлов
Детальная информация о целях обработки данных и поставщиках, которые мы используем на наших сайтах
Аналитические Cookie-файлы Отключить все
Технические Cookie-файлы
Другие Cookie-файлы
Мы используем файлы Cookie для улучшения работы, персонализации и повышения удобства пользования нашим сайтом. Продолжая посещать сайт, вы соглашаетесь на использование нами файлов Cookie. Подробнее о нашей политике в отношении Cookie.
Понятно Подробнее
Cookies