Поскольку тема становится все более актуальной, пришло время обсудить роль NetFlow, сравнивая ее с другими средствами, такими как Syslog и захват пакетов.

Начнем с Syslog. Очевидно, что каждый человек, исследующий инциденты безопасности, понимает важность логов. Нет лучше способа узнать, что происходит внутри системы или приложения в то время, когда произошла атака. Тем не менее, Syslog имеет свои ограничения. Вам необходим сбор логов на каждом конечном компьютере, поэтому во многих средах покрытие Syslog не будет комплектным, и когда компьютер подвергнется нападению, мы уже никогда не сможем доверять логам с него. Т.е. Syslog очень важен, но он не может нам все показать.

То же самое можно сказать о захвате пакетов. Многие компании осуществляют захват пакетов в круглосуточном режиме, и ничто не сравнится с таким методом для понимания, что происходит в сети в определенный моме ... Читать дальше »