Под мониторингом компьютерных сетей принято понимать работу системы, осуществляющей непрерывное наблюдение за их функционированием с целью обнаружения медленно действующих или нерабочих систем. В задачу мониторинга входит в случае обнаружения неисправностей оповещения о них сетевого администратора заранее установленным способом – с помощью сообщения на электронную почту, мессенджер, пейджер и т.п. Выполнение данной задачи является одним из основных аспектов управления компьютерной сетью.
Если система обнаружения вторжений должна следить за возникновением внешних угроз, то мониторинг компьютерных сетей нужен для наблюдения за ними в поисках сбоев, которые были вызваны перегрузкой и (или) отказом серверов, других устройств и сетевых соединений. Например, чтобы определить текущее состояние веб-сервера, осуществляющая наблюдение программа может с определенной периодичностью отправлять HTTP-запрос на получение тестовой страницы; почтовые серверы проверяют путем отправки тестового сообщения по SMPT и получения по POP3 или IMAP.
Если запрос не удался (когда, например, сетевое соединение не может быть установлено, происходит его завершение по определенному тайм-ауту, или сообщение не доставляется), то это заставляет систему мониторинга компьютерных сетей реагировать согласно установленным заранее правилам:
- отправляется сигнал тревоги системному администратору;
- в автоматическом режиме активируется работа системы защиты от сбоев, задачей которой становится временное выведение проблемного сервера из эксплуатации, пока сбой не будет устранен, и т.п.
Мониторинг Cisco сетей
Система мониторинга и реагирования на реальные угроз безопасности компьютерных сетей Cisco MARS отвечает за ведение мониторинга устройств, чьей задачей является сетевая защита, и хост-приложений, произведенных фирмой Cisco и остальными провайдерами.
Преимущества мониторинга Cisco сетей
- существенное снижение числа ложных срабатываний контроля безопасности путем ведения пистонного сквозного обзора компьютерной сети;
- выявление отклонений при помощи Network Behaviour Analysis с использованием NetFlow;
- нахождение самый действенных методов устранения выявленных и предполагаемых угроз, базирующихся на особенностях топологии и конфигурации сетей;
- обеспечение оперативного и легкого доступа к системе проверке отчетности, в которой уже содержатся более полутора сотен готовых форм настраиваемых отчетов;
- предоставление полезных рекомендаций, помогающих устранять угрозы, включая визуализацию предполагаемого пути сетевой атаки и выявления возможных источников угроз путем использования точных топологических диаграмм, значительно упрощающих реагирование на втором и более высоком уровнях техподдержки.
Система мониторинга Cisco сетей и Cisco Security Manager - система управления - являются компонентами общей системы управления безопасностью Cisco Security Management Suite, обеспечивающей администрирование и соблюдение политик безопасности для имеющей самозащиту сети Cisco.
Аппаратная комплексная платформа Cisco Security Monitoring, Analysis and Response System (система мониторинга, анализа и ответной реакции Cisco MARS) позволяет вести строгое наблюдение и контроль над действующей системой безопасности. Являясь основным звеном управления безопасностью, платформа предоставляет ИТ службе компании широкие возможности для своевременного выявления, управления и обезвреживания угроз безопасности информационной системы.
Мониторинг Cisco сетей обнаруживает и изолирует элементы, нарушающие нормальное функционирование сети, и дает администраторам ценные рекомендации для их полного устранения. Также система поддерживает соответствие политикам безопасности и может как составляющая входить в комплекс общей системы соблюдения соответствия нормативным актам.
Какие проблемы должны решать администраторы сети?
- Невысокий уровень эффективности имеющихся в наличии средств выявления, определения приоритетов и ответных действий сетевых атак и сбоев.
- Усложненность использования системы безопасности и сети.
- Требования соблюдения норм соответствия и формирования отчетности.
- Повышенный уровень сложности, огромная скорость распространения и большая цена ликвидации последствий удавшихся атак.
- Недостаток квалифицированных специалистов по ИТ безопасности и финансовых возможностей.
Мониторинг компьютерных сетей Cisco MARS решает представленные выше проблемы путем:
- интеграции в сеть интеллектуальных функций с целью увеличения эффективности действия механизма корреляции сетевых аномалий и событий безопасности;
- отражения атак с помощью задействования имеющихся преимуществ сетевой инфраструктуры сети и системы безопасности;
- визуализации подтвержденных нарушений безопасности и автоматизации их расследования;
- ведения мониторинга конечных узлов, сетей и действий службы безопасности с целью обеспечения их соответствия действующим нормам;
- предоставления масштабируемого и несложного в реализации и эксплуатации устройства с минимумом совокупных затрат владения.
Система Cisco способна обеспечить преобразование отправляемой сетью и службой безопасности необработанной информации о чужеродной активности в понятные данные, которые могут быть использованы для ликвидации подтвержденных нарушений сетевой безопасности, а также обеспечения соответствия существующим нормам. Удобные в эксплуатации аппаратные средства отражения угроз позволяют администраторам сети централизованно выявлять, определять степень приоритетности и оперативно отражать опасные угрозы при помощи используемых в инфраструктуре устройств.
Возможность быстрого развертывания и масштабируемого управления
Cisco устанавливается в сетях TCP/IP, осуществляя передачу, а также прием системных журналов и SNMP-запросов. Система предоставляет возможность проводить безопасные сеансы с сетевыми устройствами при помощи стандартных и предписанных производителем протоколов безопасной передачи данных. Инсталляция и развертывание Cisco MARS не требует использования каких-либо новых аппаратных средств, обновления ОС, лицензий и услуг, также она не нуждается и в длительном специальном обслуживании. Необходимо связать узлы, где должны будут регистрироваться события, с платформой и определить нужную сеть либо источник при помощи наглядного веб-интерфейса, поддерживающего ролевое управление. Глобальный контроллер предоставляет возможность централизованно управлять расширенными операциями по поддержанию безопасности.
