全方位的安全保護,Cisco StealthWatch解決方案

從網路基礎設施中運用遙測技術，洞察進入網路的使用者及其正在執行的操作。檢測高級威脅並快速做出回應。通過更有效的網路分段保護重要資料。並利用與企業同步發展的無代理解決方案來完成所有操作。

特性和優勢

當今的企業網路比過去更加複雜、更加分散。每週都會出現新的安全性挑戰。在不斷變化的威脅形式以及雲計算和物聯網等趨勢的影響下，問題變得更加棘手。更令人頭疼的是，隨著越來越多的使用者和設備添加到網路中，想要瞭解網路中發生的情 況簡直是難上加難。並且您無法保護您看不到的事物。 思科 StealthWatch 通過收集並分析大量網路資料，為您的網路提供全面的可視性和保護，即使是規模最大、變動最 頻繁的網路，也盡在其掌握之中。StealthWatch 使安全運營團隊能夠即時瞭解擴展網路上所有使用者、設備和流量的狀態，以便能夠快速、高效地回應威脅。 通過StealthWatch的持續監控和資訊情報，您可以檢測各種攻擊。您可以識別零日惡意軟體、內部威脅、高級持久性威脅 (APT)、分散式拒絕服務 (DDoS) 嘗試以及其他威脅，防止這些威脅對您的網路造成嚴重破壞。與其他安全監控解決方案不同，思科 StealthWatch 不僅可以監控進出網路的流量，還可以監控網路內部的橫向或東/西向流量，識別網路濫用和內部威脅。

獲取全面的可視性和分析 (PDF)

攻擊更頻繁，可視性不足 當今的威脅情況變得前所未有地突出和複雜。網路無處不在，而且公司持續地收購新公司，增加新地點和設立分支機搆。使用者可隨時隨地通過自己的智慧設備訪問公司網路。企業應用、伺服器和資料已遷移到雲。隨著網路不斷擴大，網路情況可視性方面的挑戰也在不斷加大。 同時，攻擊者也變得前所未有的富有經驗、敏捷和有組織性，因此，對網路中可疑行為的方方面面獲得可視性對防禦攻擊至關重要。對安全的瞭解源於可視性。要實現更有效的安全，我們需要可視性，才能全面瞭解整個網路的情況。缺乏可視性會大大地限制提供網路診斷和 合規性驗證的能力。而且增加了保護網路免受網路內外威脅的工作難度。要保護複雜的企業環境，網路可視性至關重要。您需要深入瞭解已知和未知的流量、應用、使用者和設備的狀況，才能確定是否存在異常行為。思科 StealthWatch 不僅可以顯著改善網路可視性和安全性，還能大大縮短對整個網路中事件的回應時間。StealthWatch 使安全運營團隊能夠即時感知網路、資料中心和雲中所有使用者、設備和流量的狀態，以便能夠快速、 高效地回應威脅。

簡化網路分段

持續網路監控 對網路中所有狀況的深入瞭解讓您可以快速地為環境中的正常行為確立基準，無論您組織的規模或類型如何。確立基準有利於更輕鬆地識別可疑行為。您還可以確定和適當分割關鍵的網路資產以改善存取控制和保護。事件後調查分析 思科Stealthwatch 系統不僅可以改善即時威脅檢測，它能夠動態地加快事件回應速度，通常將故障排除時間從幾天或幾個月減少到幾分鐘。StealthWatch 可以將網路資料存儲幾個月甚至幾年，對所有網路活動提供重要的審核跟蹤，因而您可以很容易地實施精確的事件後調查分析。除了提供對網路流量的全面瞭解，StealthWatch 還可以提供額外等級的安全情景，包括使用者和設備感知、雲可視 性、應用感知以及威脅來源資料。思科StealthWatch 與其他安全技術對比思科 StealthWatch 可以從您的路由器、交換機和防火牆收集並分析網路遙測資料（例如流，NetFlow、sFlow、 JFlow 等），監控網路和使用者行為。該系統對網路資料進行先進的專有分析，自動檢測可能代表攻擊的異常行為。 有時會將思科 Stealthwatch 與其他監控方案進行比較，例如安全資訊和事件管理 (SIEM) 和完整資料包捕獲。SIEM 技術跟蹤網路資產的系統日誌，從基於簽名的工具發佈警告和警報。遺憾的是，源自受侵害電腦的系統日誌不可靠，而且基於簽名的監控工具只能監控它們有存取權限的內容，不監控行為變化。同時，由於極高的成本和複雜性，完整資料包捕獲只能部署在網路的有限區域內。通過無處不在的基於行為的監控 補充這些資訊源，是填補危險的安全性漏洞的關鍵。此外，思科 Stealthwatch 可以與思科® 安全資料包分析器一起用 於捕獲和檢查與思科 Stealthwatch 警報生成的異常流量關聯的資料包。由於具有高度可擴展性，思科 StealthWatch 的功能比同類安全技術更勝一籌（包括其他基於流的監控工具）。它能夠刪除重復資料和融合單向流記錄，為最大、最複雜的企業網路帶來具成本效益的流監控和存儲。

架構和組件

流量收集器、流量感測器和管理主控台是思科 Stealthwatch 系統提供網路可視性所需的核心元件。這些元件可以作為物理或虛擬裝置提供，並帶有各自的許可證。 流量收集器採集來自網路設備和裝置的遙測資料。其中包括思科基於網路的應用識別 (NBAR)、NetFlow 安全事件 記錄 (NSEL)、NetFlow 和系統日誌。流量收集器對資料進行收集、分析和存儲。在一個網路部署中，至少需要一 個收集器，最多可支援 25 個流量收集器 流量感測器適用於設備本身無法支援 NetFlow 的網路區域。流量感測器從業務關鍵型對等網路、社交媒體和移動應 用收集應用資訊和資料包層性能統計資料。流量感測器生成的流記錄還提供 URL 資訊。可發送流量資料至流量傳 感器，然後感測器可以將其發送至流量收集器。 流量收集器中的所有資訊將傳送至中心點管理主控台，並且僅需一個控制台便可直觀地呈現收集的所有資料。

使用者可定制思科 Stealthwatch系統，不過其核心元件是流量收集器、流量感測器和管理主控台。如前所述，這些元件可以作為物理或虛擬裝置提供，並帶有各自的許可證。下面列出了這些元件協同運行的方式：

• 流量收集器利用 NetFlow、IPFIX 和其他來自您現有基礎設施的遙測資料，在整個企業網路上提供具成本效益的端到端可視性。

• 管理控制台管理、協調和配置所有思科 StealthWatch產品，以關聯整個企業的即時安全和網路情報。

• 流量感測器結合深度資料包檢測 （DPI） 和行為分析，識別網路上正在使用的應用和協定。它用在網路中不 支援 NetFlow 的位置。

• UDP Director 是一個高速的高性能設備，可從多個位置接收重要的網路和安全資訊。它通過單一資料流程，將 資訊轉發到一個或多個目標，例如流量收集器。

• 威脅智慧許可證讓您可以利用全球威脅情報。它生成警報和事件關注指數，標記可疑通信，以便快速展開調 查研究。

• 代理許可證採集代理記錄並將其與流記錄相關聯。它為每個流提供原始使用者、應用和 URL 資訊，使您能夠 監控通過 Web 代理的網路對話。

• 終端解決方案元件包括終端許可證和終端集中器。終端集中器從思科 AnyConnect® 可視性模組收集 IPFIX 資料。資料從所有終端設備處收集並通過終端集中器傳送至流量收集器，提供對管理主控台中已分析的終端 資料的可視性。

• 雲許可證是是一種附加至思科 Stealthwatch 系統的虛擬許可證，能夠將您的“網路即感測器”部署擴展到雲 中，因此您可以看到管理主控台中虛擬實例中的流。

• 思科 Stealthwatch 學習型網路許可證將思科集成多業務路由器 (ISR) 用作安全感測器，以獲得特定分支機搆 路由器流量的深度可視性。它還將行為分析與機器學習、資料包捕獲和分支機搆層面威脅的即時檢測等功能 結合使用。