Описание модуля
Модуль обнаружения сетевых атак и аномального трафика в сети. Позволяет администраторам информационной безопасности выявлять сетевые угрозы и обеспечивать безопасность пользователей, а также контролировать нагрузку на свою сеть.
Как включить
Для включения модуля в конфигурационном файле
/app/reductor/cfg/config измените значение c network_monitoring['enabled']='0' на network_monitoring['enabled']='1' и выполните перезапуск аппа: /app/reductor/service restart |
Навигация
Производится анализ поступающего зеркала трафика на сервер Carbon Reductor DPI X и автоматически определяются активные элементы сети. По полученным данным формируются подсети в удобном формате /24. Данный механизм позволяет экономить время администратора которое могло быть затрачено при ручном вводе необходимых для анализа сетей, а так-же дает полное представление об активности хостов в подсети.
Статусы
Для простоты ориентации в анализируемых подсетях, применяются статусы узлов. В зависимости от активности в сети, происходит смена статуса отдельных сегментов сети и хостов.
Определение статуса хоста:
- Активен(green) - если существует текущий трафик.
- Исправен(lightGreen) - трафика нет, количество active_days > 7, но avg за текущий час меньше 20% от суточного макс avg.
- Не исправен(red) - трафика нет, количество active_days > 7, и avg за текущий час больше 20% от суточного макс avg.
- Требует внимания(orange) - всплеск трафика, активность за последние 10 минут в 5 раз больше суммарной активности за час.
- Не определено(grey) - трафика нет и количество active_days ⇐ 7.
Определение статуса сегмента
- Исправен(green), если количество red хостов не превышает 20% от общего количества хостов в сегменте.
- Неисправен(red), если количество red хостов превышает 80% от общего количества хостов в сегменте.
- (yellow), если количество red хостов превышает 20% от общего количества хостов в сегменте.
Контроль среднесуточного трафика
Благодаря данному модулю появилась возможность анализировать стабильность трафик внутри сети. За счет сбора статистики по среднесуточному трафику для каждого сегмента сети, можно зафиксировать всплески активности у определенного хоста ( которыми могут являться Ddos-атаки, флуд, раздача интернета )
Оповещения
Для отслеживания и оперативного реагирования на изменения состояния сегментов сети предусмотрена система информирования. При необходимости можно настроить требуемые параметры отправки уведомлений по SMS и через почту.
Они находятся в веб-интерфейсе Редутора в меню Reductor DPI X > Настройки активной карты сети.
Частота оповещений
- Раз в день
- В начале и в конце рабочего дня
- Каждый час
Выбор смены статусов о которых разрешено оповещать
- green -> red
- yellow -> red
- red -> green
Графики
Встроенный функционал построения графиков позволяет сразу же выводить информацию о активности сегментов сети и хостов. Визуализация текущего трафика к среднесуточному по подсетям и хостам позволяет наглядно отслеживать активность сети.
Отображение среднесуточной и текущей активности сегментов сети и хостов
Позволяет наглядно анализировать изменения в трафике по отношению к среднесуточному. Появляется возможность выявить проблемные сети и как следствие хосты с наибольшей активностью.