V této verzi jsou zohledněny požadavky zákazníků, nároky na bezpečnostní monitoring a trendy v síťových technologiích. Z toho vyplývají i dvě nejdůležitější novinky ve verzi 12 a to je rozšíření podpory pro monitorování toků ve veřejných cloudech a vylepšení modulu Flowmon Anomaly Detection System (ADS). Využít Flowmon verzi 12 na maximum organizacím a firmám pomohou experti ze společnosti ALEF, která je již od roku 1994 spolehlivým partnerem pro moderní a funkční IT řešení.
Monitorování toků ve veřejných cloudech
Veřejné cloudy podporují síťovou telemetrii a jednou z těchto telemetrií jsou „flow“ logy (logování toků). „Flow“ logy mají úroveň detailních informací o toku podobnou jako NetFlow v5. V dřívějších verzích Flowmon podporoval analýzu nativních „flow“ logů pouze v AWS prostředí. Pokud bylo potřeba monitorovat toky v jiných veřejných cloudech (Azure, Google Cloud), tak se musely implementovat Flowmon sondy do prostředí daného cloudu a tím docházelo k prodražování tohoto monitoringu.
Ve verzi 12 je přidána podpora pro monitorování „flow“ logů i z prostředí Azure a Google Cloud. Nyní tedy lze Flowmon řešení použít na monitorování toků ve všech třech veřejných cloudech bez nutnosti instalovat Flowmon sondy do cloudového prostředí.
Pokud je požadován detailnější vhled do toků v rámci cloudového prostředí, tak je možné instalovat Flowmon sondy a data do nich přivádět pomocí zrcadlení portů nebo z virtuálních TAPů. V tabulce níže jsou zobrazeny všechny možnosti monitorování toků v cloudovém prostředí.
Anomaly Detection System (ADS)
Vylepšení v modulu ADS se týká především metod, které byly přidány, případně optimalizovány pro přesnější detekci hrozeb a minimalizaci false positive událostí.
Novou metodou uvedenou v modulu ADS 12 je Random domain detection metoda sloužící k odhalení malware v monitorované síti. Jedná se o metodu, která využívá strojové učení pro detekování komunikace na domény používané malwarovými servery (commands and controls servery) nebo detekování komunikace na cíle v uživatelské síti pro získání citlivých dat. Jedná se o detekci v reálném čase, která není odkázána na seznam blokovaných domén využívanými malware. Tato metoda není využita pouze pro detekování malware, ale může sloužit i pro detekci různých polymorfních útoků, které využívají více typů útoků.
Další metody v ADS 12 byly vylepšeny tím, že jsou schopné detekovat nové vektory útoků případně provádět detekci na místě. Příkladem takové vylepšené metody je metoda TOR pro detekování komunikace uživatelů do prostředí TOR sítí, případně uživatelů z TOR sítě na veřejně dostupné servery dané společnosti.
ADS 12 také nyní nabízí více možností pro definování false positive pravidel, které umožňují lépe definovat, které události jsou false positive a které ne. Tato pravidla například umožní využívat názvy domén nebo čísla autonomních systémů (ASN) legitimních organizací a jejich služeb (např. Akamai, Amazon, apod.) pro filtrování událostí, které by mohly být vyhodnoceny jako nežádoucí aktivita.
Další vylepšení ve Flowmon verzi 12
Prvním vylepšením jsou dashboardy, které nyní umožňují přes ikonku lupy provést detailní vhled na data v daném Flowmon modulu. V závislosti na daném typu dashboardu je možné spustit dotaz nebo nastavit časový interval, filtr, a teprve potom zaslat dotaz na daná data.
V dashboardu se dají vybrat i jednotlivé textové položky a kliknutím na tuto vybranou položku je možné ji kopírovat do schránky nebo přidat do filtru a zobrazit data pro tuto položku v daném modulu.
Další vylepšení se týká reportů. Reporty se skládají z kapitol, které je nyní možné přímo vytvářet z Flowmon dashboardu bez nutnosti navigace do daného modulu. Flowmon dashboard uživatele do daného modulu automaticky přesměruje.
Kapitoly mohou být buď předdefinované nebo vytvořené uživatelem a tato informace je nyní přehledně zobrazena v seznamu kapitol. Zároveň je u každé kapitoly zobrazen zdrojový modul, z kterého je daná kapitola vytvořena. Uživatelsky vytvořené kapitoly lze přímo upravovat nebo mazat v reportech.
Stejně jako v dashboardech lze i u reportů pro jednotlivé textové položky vybrat, zda se mají kopírovat do schránky nebo zobrazit data pro tuto položku v daném modulu.
Vylepšení se týká i topologických map. Po úpravě topologických map již nedochází ke zpoždění, když probíhají změny, protože je to nyní proces, který je spuštěn na pozadí. Byl aktualizován i model uživatelských oprávnění a nyní se oprávnění uplatňují na úrovni linek, místo aby bránily uživateli v přístupu ke konkrétní topologické mapě, když uživatel nemá přístup ke všem profilům použitým v topologické mapě.
Novinkou pro pokročilé uživatele je možnost kontrolovat kvalitu flow dat, která jsou zasílána do Flowmon kolektoru. Tato kontrola je umožněna přes příkazovou řádku pomocí nástroje Flow quality analyzer. Tento nástroj umožňuje detekovat například chybějící atributy v netflow datech, špatné časové známky, duplicitní toky a mnoho jiného.
Závěr
Vývojáři Flowmon verze 12 odvedli velký kus práce a zakomponovali jak připomínky uživatelů Flowmon řešení, tak i náročné požadavky kladené z hlediska bezpečnosti, spolehlivosti a rozšiřitelnosti na monitorování toků. Verze 12 přináší kompletní monitoring tří největších cloudových služeb založený na nativních „flow“ logách daných cloudů. V modulu ADS došlo ke zlepšení a rozšíření metod pro detekci bezpečnostních hrozeb a rozšíření filtrů pro snižování falešných detekcí hrozeb (tzv. false positive).
S nejlepším využitím Flowmon verze 12 poradí experti ze společnosti ALEF, která je již od roku 1994 spolehlivým partnerem pro moderní a funkční IT řešení.
Autor: Roman Tomášek (Roman.Tomasek@alef.com) – Senior System Engineer na oddělení Data Center ve společnosti ALEF NULA. Je držitelem certifikací CCNP Routing & Switching, F5 Certified BIG-IP Administrator, F5 Certified Technology Specialist (LTM a DNS) a Flowmon Technical Engineer. Do společnosti ALEF NULA nastoupil po skončení vysoké školy jako System Engineer a pracuje pro ni 20 let.
