4) Обнаружение сетевых угроз. Файерволы и системы защиты от вторжений (Intrusion Protection Systems, IPS) являются первой линией защиты от вредоносного сетевого ПО, но они не справляются со внутренними угрозами. Модель безопасности класса Zero-Trust требует постоянного мониторинга malware, которое уже проникло внутрь сети. Такие системы отслеживают странное поведение потоков за минуты для каждого хоста в сети. Они сравнивают IP-адреса со списками Internet Reputation и сигнализируют в случае превышения индекса репутации или при повышенном росте трафика для какого-либо хоста.

3) Расследование. Идентификация угрозы почти всегда требует продолжить исследования. Способность определения, где вредоносное ПО проникло в вашу сеть, как оно это сделало, кто при этом входил в сеть и когда это произошло, требует самой лучшей специализированной фильтрации трафика и широких возможностей построения отчетов. В большинстве случаев, когда мы очищаем систему от вредоносного ПО, нам необходимо знать, кто еще может быть задействован. Поиск по базе данных устройств, замеченных в аналогичном аномальном поведении трафика, должен быть быстрым, масштабируемым и способным просматривать данные за значительный прошлый период времени.

2) Корреляция потоков и логов. Отчетность на основе NetFlow И IPFIX существенно обогащается, когда данные могут коррелироваться с информацией от syslogs или машинных логов. Если syslog сообщает об угрозе или запрещенном соединении, мы можем получить IP-адрес или протокол, отследить данные потока и определить, кто или что участвовали в это время в событии. Граница между данными потоков и логами уменьшается и среднее время обнаружения (Mean Time To Know, MTTK) часто укорачивается, когда такие детали, как посещенный URL, доступны через один интерфейс.

1) Контекстные детали. Этот функционал только начинает предлагаться в NetFlow- или IPFIX-решениях следующего поколения. Контекстные данные еще более расширяют возможности корреляции логов и потоков, добавляя такие много говорящие детали, как имя пользователя, операционная система, которые раньше можно было найти только в некоторых логах или базах данных. Enterasys Mobile IAM и Cisco ISE собирают эти детали и могут быть настроены для совместного использования этой информации с системами анализа и отчетности на базе потоковых технологий, таких как StealthWatch. Учитывая растущий интерес к контролю трафика мобильных систем (BYOD), надо полагать, что этот список будет расширяться.