Δείτε πώς δουλεύουν μαζί:
* Wireshark για βαθιά επιθεώρηση πακέτων: Το Wireshark υπερέχει στην παροχή λεπτομερούς, χαμηλού επιπέδου ανάλυση των μεμονωμένων πακέτων δικτύων. Είναι ανεκτίμητο για την αντιμετώπιση προβλημάτων συγκεκριμένων προβλημάτων δικτύου, τον προσδιορισμό της βασικής αιτίας των προβλημάτων απόδοσης και την ανατομή ύποπτων προτύπων κυκλοφορίας δικτύου. Επιτρέπει την κοκκώδη εξέταση των κεφαλίδων πακέτων, των ωφέλιμων φορτίου και του χρόνου.
* Ερευνητής NetWitness για το πλαίσιο και την έρευνα του μεγάλου εικόνας: Ο ερευνητής NetWitness (και παρόμοιες πληροφορίες ασφαλείας και διαχείριση συμβάντων - SIEM - Systems) έχει σχεδιαστεί για την ανάλυση τεράστιων ποσοτήτων δεδομένων δικτύου σε εκτεταμένες περιόδους. Παρέχει μια επισκόπηση υψηλού επιπέδου, συσχετιστικά συμβάντα από διάφορες πηγές (όχι μόνο πακέτα δικτύου), συμπεριλαμβανομένων των ημερολογίων από τείχη προστασίας, διακομιστές και άλλες συσκευές ασφαλείας. Εξαρτάται από τον εντοπισμό ευρύτερων τάσεων, απειλών και συμβάντων ασφαλείας, αναλύοντας το πλαίσιο και τις σχέσεις μεταξύ διαφορετικών γεγονότων.
Παραδείγματα σεναρίων συνδυασμένης χρήσης:
* Απόκριση περιστατικών: Ένας ερευνητής SIEM όπως ο Netwitness μπορεί να ανιχνεύσει ύποπτη δραστηριότητα (π.χ. μεγάλος αριθμός αποτυχημένων προσπαθειών σύνδεσης από μια συγκεκριμένη διεύθυνση IP). Ο διαχειριστής θα χρησιμοποιούσε τότε το Wireshark για να συλλάβει και να αναλύσει πακέτα από αυτή τη διεύθυνση IP για να δει ακριβώς ποιες προσπάθειες έγιναν, ποιες τεχνικές χρησιμοποιήθηκαν και να εντοπίσουν τυχόν κακόβουλα ωφέλιμα φορτία.
* Διερεύνηση κακόβουλου λογισμικού: Ο ερευνητής NetWitness μπορεί να επισημάνει ασυνήθιστες συνδέσεις δικτύου ή μεταφορές αρχείων. Στη συνέχεια θα χρησιμοποιηθεί το Wireshark για την επιθεώρηση της συγκεκριμένης κυκλοφορίας δικτύου που σχετίζεται με αυτό το συμβάν, ενδεχομένως αποκαλύπτοντας τον τύπο κακόβουλου λογισμικού, τον διακομιστή εντολών και ελέγχου και τα δεδομένα που εξαντλούνται.
* Συντονισμός απόδοσης: Ο ερευνητής του NetWitness μπορεί να εντοπίσει ασυνήθιστα υψηλή κυκλοφορία δικτύου σε συγκεκριμένη εφαρμογή ή υποδίκτυο κατά τις ώρες αιχμής. Το Wireshark θα μπορούσε να χρησιμοποιηθεί για τη διάγνωση της συμφόρησης με την ανάλυση των μεγεθών πακέτων, των πρωτοκόλλων και των αναμεταγωγών.
Στην ουσία, ο ερευνητής του NetWitness παρέχει το ευρύτερο πλαίσιο και ειδοποιεί τον διαχειριστή σε πιθανά προβλήματα, ενώ το Wireshark παρέχει τη βαθιά κατάδυση που είναι απαραίτητη για την κατανόηση των λεπτομερειών των συγκεκριμένων γεγονότων και την αντιμετώπιση των προβλημάτων τους αποτελεσματικά. Είναι ισχυρά εργαλεία που, όταν χρησιμοποιούνται μαζί, ενισχύουν σημαντικά την ικανότητα του διαχειριστή του δικτύου να διαχειρίζεται, να παρακολουθεί και να εξασφαλίζει ένα δίκτυο.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα