StealthWatch na Vida Real!
How-to Series Guide
Perguntas que podem ser encontradas em uma entrevista de emprego sobre STEALTHWATCH
PARTE-03
PARTE-03
Q10:
Quais são os tipos de flows suportados pelo StealthWatch?
Abaixo mencionados estão os vários tipos de fluxos suportados no Stealthwatch.
- NetFlow
- S-Flow
- I-Flow/C-Flow (Juniper)
- IP-FIX (Nortel/Palo-Alto)
- App-Flow (Citrix)
- Net-Stream (Huawei)
Q11: O
que é o Flow Sensor (FS)?
O Sensor de fluxo é um componente opcional do Stealthwatch Enterprise e produz telemetria para segmentos da infraestrutura de comutação e roteamento que não podem gerar o NetFlow nativamente.
Ele também
fornece visibilidade dos dados da camada de aplicativo. Caso tenhamos
dispositivos de fluxo de rede não capazes na rede, temos que conectar esses
dispositivos não capazes a um componente chamado Sensor de Fluxo.
Além de toda a telemetria coletada pelo Stealthwatch, o Flow Sensor fornece um contexto de segurança adicional para aprimorar as análises de segurança do Stealthwatch. Modelagem comportamental avançada e aprendizado de máquina com várias camadas baseado em nuvem são aplicados a esse conjunto de dados para detectar ameaças avançadas e realizar investigações mais rápidas.
Q12:
Quais são os principais objetivos do FS?
Fornece verdadeira visibilidade do aplicativo da Camada 7, reunindo informações do aplicativo junto com a captura de pacotes ad-hoc sob demanda (PCAP)
Alertas sobre anomalias de rede, para que isso ajude a gerar alarmes com inteligência contextual, para que a equipe de segurança possa agir rapidamente e mitigar danos.
Aprimora a
eficiência operacional e reduz os custos, identificando e isolando a causa raiz
de um problema ou incidente em segundos.
Q13: O
que é o UDP Director/Flow Replicator?
O UDP
Director simplifica a coleta e distribuição de dados de rede e segurança em
toda a empresa. Ajuda a reduzir o poder de processamento em roteadores e
switches de rede, recebendo informações essenciais de rede e segurança de
vários locais e encaminhando-as para um único fluxo de dados para um ou mais
destinos.
Recebe dados de qualquer aplicativo UDP sem conexão e os retransmite para vários destinos, duplicando os dados, se necessário.
Q15: Como podemos redirecionar tráfego de elementos que não suportam Netflow?
Enquanto estiver executando o NetFlow completo, o Flow Sensor também será executado.
Q14:
Quais são os principais beneficios do UDP Director/Flow Replicator?
Reduz o
tempo de inatividade não planejado e a interrupção do serviço, já que a
disponibilidade do diretor de UDP está disponível.
Simplifica a
segurança e o monitoramento da rede, agregando e fornecendo um destino
padronizado único para informações de NetFlow, sFlow, Syslog e SNMP (Simple
Network Management Protocol)
Recebe dados de qualquer aplicativo UDP sem conexão e os retransmite para vários destinos, duplicando os dados, se necessário.
Direciona os
dados do log de pontos (NetFlow, sFlow, Syslog, SNMP) para um único destino sem
a necessidade de reconfigurar a infraestrutura quando novas ferramentas são
adicionadas ou removidas.
Q15: Como podemos redirecionar tráfego de elementos que não suportam Netflow?
Os sensores
de fluxo serão implantados para coletar as informações dos dispositivos não
compatíveis com NetFlow, nos quais serão coletados SPAN / Cópia de pacote de
dados e, em seguida, o sensor de fluxo transformará o pacote de dados em
NetFlow completo.
Enquanto estiver executando o NetFlow completo, o Flow Sensor também será executado.
A inspeção
profunda de pacotes será realizada e isso será útil para encontrar o aplicativo
Top na rede.
Round Trip
Time(RTT) e Server Response Time(SRT), que ajudarão no cálculo do desempenho da
rede.
Q16:
Como integrar o StealthWatch com o Cisco ISE?
Integrar o Stealthwatch Management Console ao
ISE por meio do pxGrid fornecerá ao sistema Stealthwatch informações
contextuais adicionais sobre o endpoint e o usuário nesse endpoint, bem como a
capacidade de colocar em quarentena esse endpoint se eles estiverem se
comportando mal.
Q17:
Quais são as principais funcionalidades entre a integração Stealthwatch e Cisco
ISE?
Existem 2
funcionalidades do ISE que podem ser aproveitadas no Stealthwatch.
ISE adiciona
informações do usuário ao NetFlow, ou seja, ID do usuário, tipo de dispositivo
e endereço MAC.
Stealthwatch pode enviar uma consulta de API ao
ISE e agir em quarentena ou fornecendo acesso limitado aos usuários.
Q18:
Qual é o Analisador de Pacotes (Packet Analyser) no Cisco StealthWatch?
O Cisco
Packet Analyzer é uma das ferramentas do Stealthwatch que o ajudará a investigar
eventos de segurança e atividades anômalas na rede.
Q19:
Quais são as funcionalidades do Analisador de pacotes do Cisco StealthWatch?
Suponha que
o Stealthwatch detecte um comportamento anormal / ruim dentro da rede, mas como
administrador, se quisermos descobrir o que causou o comportamento anormal,
nesse caso, podemos fazer uma inspeção detalhada usando o Packet Analyzer.
O Packet
Analyzer possui um buffer de 42 Terabytes de Rolling, que pode armazenar apenas
42 TB de dados no Buffer.
Q20:
Quais são os componentes da Cloud para o Cisco StealthWatch?
A maior
parte da rede corporativa terá plataforma em nuvem, na qual servidores e
dispositivos de rede estão instalados na nuvem. Nesse caso, se queremos
monitorar a plataforma Cloud, precisamos instalar o agente no cliente.
Q21: O
que é Data Concentrator nos componentes da Cloud do Cisco StealthWatch?
No processo
de monitoramento dos dispositivos que estão na nuvem, instalamos um agente no
cliente. Em seguida, o agente enviará todas as informações para um componente
chamado Data Concentrator (Cloud Concentrator).
O Data
Concentrator converterá todas as informações recebidas do Cliente (dispositivo
em nuvem) em NetFlow e enviará essas informações por túnel para o Flow
Collector.
Q22: O
que é Flow no StealthWatch?
O fluxo de
rede é uma sequência unidirecional de pacotes que possuem características
comuns.
O fluxo é um
fluxo de informações trocadas entre os protocolos de roteamento, as tabelas de
roteamento e o fluxo de pacotes da interface física dos roteadores para o
mecanismo de roteamento.
Q23:
Quais são as caraterísticas do FLow?
Flow terá
informações completas sobre quem está falando com quem no nível da rede.
Fluxo dirá
como uma rede específica da organização está sendo usada.
Fluxo terá
informações w.r.t. IPs de origem, IPs de destino, números de porta, contagem de
pacotes, carimbos de data e hora etc.
A tecnologia
de fluxo foi desenvolvida originalmente pela Cisco e foi chamada de NetFlow.
Q24: O
que é Netflow?
NetFlow foi
desenvolvido pela Cisco em 1966.
NetFlow é um
mecanismo de encaminhamento de pacotes no qual as informações serão enviadas no
coletor do NetFlow.
"Para o Alto e Avante"
Josinfo - CCIEPOWER
Regards,
Q25:
Quais são as diferenças entre as versões de Netflow?
- Version-1
- Version-5
- Version-7
- Version-9
- IP-FIX
Q26: O
que é Netflow Exporter?
Após a
criação do registro de fluxo, esse registro deve ser vinculado / vinculado a um
exportador de fluxo. A configuração do Flow Exporter define o endereço IP
físico ou o Endereço IP do Flow Collector virtual para o qual os dados do
NetFlow devem ser enviados.
Ele também
define a interface de origem a partir da qual o dispositivo Flow Exporter
enviará dados do NetFlow, que pode ser um endereço físico ou lógico.
Q27: O
que é o Netflow Generator?
O
dispositivo em que o NetFlow está ativado é chamado como NetFlow Generator.
"Para o Alto e Avante"
Tradução livre do Post Origininal: HERE
Josinfo - CCIEPOWER
Regards,
Nenhum comentário:
Postar um comentário