Новая функциональность динамического анализа потоков в системе Lancope StealthWatch 6.5 специально разработана для поддержки процесса исследования, позволяя специалистам быстро и легко искать потоковые данные, фильтровать результаты только по интересующим потокам и легко визуализировать то, что происходит в сети.

Исходный анализ потоков: экран Build Query позволяет создать запрос, основываясь на ряде деталей о первичном субъекте запроса и информации от задействованного хоста или группы хостов, определенных типах использования или приложений, деталях соединения, таких как байты и пакеты. Однажды созданный запрос может быть сохранен и использован еще раз позже.

Результаты запроса будут получены в виде потоковой сводки, что обеспечивает быстрый обзор потоков, включая направленность (быстрый обзор может по желанию представлен и в табличном виде). Результирующие данные могут быть сохранены для дальнейшего использования или экспортированы как CSV-файл.

Предположим на минуту, что по некоторым причинам вы интересуетесь трафиком между вашей организацией и Китаем. Возможно, вы читали эту статью http://abcnews.go.com/Business/us-software-developer-busted-employer-outsourcing-job-china/story?id=18230346 и предполагаете, что кто-то решил передать на аутсорсинг в Китай свою работу. Для этого вы запускаете запрос, ищущий весь трафик в последние 24 часа между вашей внутренней сетью и Китаем, для соединений, при которых передавалось более, чем 100 килобайт. 

Поняв, что это чересчур широкий запрос, вы перефокусируете свое внимание на более точную фильтрацию слева, уменьшив спектр ваших запросов до потоков, которые имеет большую длительность, в нашем случае взяв 15 мин 12 сек и 19 мин 0 сек.

Ваше внимание немедленно привлечет информация о большой передаче данных через FTP из внутреннего хоста в Китай. Посмотрев дополнительные детали потоков, вы можете увидеть, что внутренний хост включен в группу Compliance Host Group. 

Озаботившись этим фактом, вы кликаете на IP-адрес для перехода на Host Snapshot 10.210.7.38 и замечаете, что с хостом связан активный сигнал об утечке данных.
 

В этом примере исследование, нацеленное на поиск одного события, в итоге пришло к обнаружению значительной утечки информации, и вы можете быстро перейти к фазе ликвидации угрозы.

Резюме

Новая функциональность динамического анализа потоков в StealthWatch 6.5 позволяет исследователю быстро и эффективно осуществить поиск, просмотр, фильтрацию и сохранение потоковых данных, ускоряющих процесс исследования и обеспечивающих ценную информацию для анализа.