事件反應系統

攻擊調查和恢復

數十年來，公司已經以預防為名部署了點安全產品，但由於攻擊的複雜性和日益增多的威脅表面，違規是不可避免的。發生違規時，您需要訪問上下文取證數據以支持快速高效的事件反應和恢復。這是Scrutinizer發光的地方。

安全事件反應

我們的解決方案提供了整個企業的整體視圖，無論設備供應商如何，通過利用最新的流量技術，我們可以為網路的每個角落提供深入的可視性和廣泛的安全性。我們的軟體工程師直接與客戶合作，確保我們的解決方案能夠監控獨特的應用性能指標 我們提供的培訓計劃確保我們所有的客戶都熟悉可用於調查互聯網威脅的取證。

事件反應系統

狀態描述是很重要的關鍵。

• 事件發生地點在哪裡？
• 這些事件地一次發生時是哪時候？
• 主機的Behavior Profile是什麼？
• 事件中有哪些特定使用者參與其中？
• 為何這些事件的報告不是來自我的IPS/IDS？
• 是否有多個設備都被影響？

這些問題的答案，都需要經過特殊的流量蒐集與報表才能得知。Scrutinizer可提供網路流量相關資訊最豐富的細節報表；若您需要結合更多資訊，Scrutinizer也可以整合Cisco ISE或Enterasys Mobile IAM系統。

強化您對IT環境的了解

不論您是採用路由器、交換器、伺服器，或是有支援NetFlow與IPFIX功能的探測器，都能像為網路增加一個監控攝影機一般，增強管理人員對網路環境的掌握能力。這些支援網路流量管理的設備會監控流量狀態，並匯集到管理中心去過濾、分析。

當您100%掌握網路流量的細節時，您可以快速找出哪些主機被訪問，並掌握這些主機能透過哪些方式橫向感染其他電腦，並藉此入侵組織內的IT系統。

封包與流量

透過不同的封包分析工具，可以提供各種不同層級的網路可視度，在每個路由器與交換器上以流量技術接收其狀態後，讓網路視野遍及每一個角落。伴隨著技術不斷成長，流量監控對網路封包擷取的請求也會隨之降低，流量資料也更容易讓系統呈現各種企業IT所需的各類報告，如對應主機、應用服務、通訊協定、連接介面等網路資訊。

擴展第三方支援

Scrutinizer獲得協力廠商認可得數量遠大於其他解決方案，主要的原因來自於以下兩點：

• 範本：我們的解決方案是以依循範本基礎而製作的，這代表它能靈活接收來自NetFlow或IPFIX的資料。
• 大幅度擴充性：Scrutinizer的系統可以採用分散式架構，讓其封包接收器的數量突破百萬個。

Scrutinizer的安全性已經獲得各大資訊安全業者認可，包含Blue Coat、Cisco、Cirtix、Dell-SonicWALL、Enterasys、Palo Alto、Riverbed，以及其他各領域的資安廠商等。

大幅縮短平均狀態掌握時間(MTTK, Mean Time To Know)

若您能在網路上匯集充足的流量資訊，那您的IT團隊就有更多的參考資料來減少MTTK，進一步解決應用程式效能或網路安全威脅等問題。

提升安全事故應變能力

減少系統解決問題所耗費的時間。當問題發現得越晚，災情就可能越慘重，而透過Scrutinizer，您可以透過防火牆等設備的歷史紀錄，從中更深入了解惡意軟體，藉此縮短解決安全事故時解決所需要的時間。

行為監控

在今天早上才剛問世的惡意程式等潛在威脅，很可能會將企業網路外圍的資安防禦系統視為無物，成功規避這些過濾條件並影響內部系統運作。為了要揭開這種攻擊模式的面紗，必須要先了解正常網路流量的情況與行為，而Baselines防護系統也發展為以探測非必要傳輸、資料竊取為主要功能。當我們了解到內部有哪些終端系統，以及企業使用哪些應用程式後，就能了解平時正常網路運作時的狀態與傳輸流量，如此一來就能排除正常的流量，並有助於聚焦於可能發生的感染問題。

 網路行為分析

了解一套終端系統的行為模式能幫助我們的分析系統更快識別出惡意軟體的存在跡象。除了透過我們的過濾演算法，讓Flow Analytics識別出已知惡意軟體的通訊模式外，Baselines也能嚴密監控環境內任何不符合規定的傳輸，讓惡意程式在網路內活動，就好比在敵機在雷達下飛行一般，可以快速將問題揪出來。利用一種以NetFlow為基礎的感測技術，我們讓系統能夠識別、轉譯並觸發通知以找出各種極有可能是惡意軟體的連線傳輸。

我們不想在安全偵測解決方案的核心系統中限制使用特定功能，Scrutinizer Flow Analytics可以根據自行定義的設定，藉此來監控不必要的流量傳輸模式，例如郵件傳輸流量與特定DNS流量等監控模式。除了用來監控、發掘潛在的問題，該系統也可以用來監控流量濫用，例如有太多的流量耗費在Facebook等社交網站上，當然，其他的網站也都能納入監控。

 Zero Day威脅偵測

採用行為檢測的威脅防禦技術的Scrutinizer，無需透過使用者認證機制，只需利用路由器和交換器上既有的流量分析工具並結合Flow Analytics，就能讓企業網路環境具備Zero Day等未知威脅的防禦能力。

每當系統偵測到異常傳輸時，被感染的主機就會被迅速隔離，直到IT團隊可以解決此問題為止。Scrutinizer與Flow Analytics具備以下功能：

• 可監看指令與管控流量(Command and Control, C&C)：一旦機器被隔離，系統就會監控其網路流量，追蹤它在Internet上與哪些設備互通有無。
• 掌握資料外洩情況：一但檢查出受感染主機回傳資料給攻擊者，就能確定為資料外洩。
• 遏止網路內部的惡意軟體活動：追蹤受感染設備的傳輸方式，以找出那些可能或確定被感染的主機。
• 網路狀態偵查：主動收集事件前後的各項歷史紀錄，藉此找出最初感染發生的時間點與入侵處，以及可能擴散的範圍。

 網域信用評價

Scrutinizer的資料庫會定期更新每個主機在Internet上的信用評價，透過這些資訊可以了解哪些主機可能會損害我們的系統，藉此就能讓企業IT環境中的資安防禦能力大幅提升。對於多數企業來說，事先知道哪些主機會發動惡意攻擊，就能建立起對應的防禦機制。

BYOD監控與報表

越來越多的BYOD市場

根據Aberdeen組織研究調查指出，當一家企業採取BYOD政策，且行動裝置數量超過1,000台時，平均每年的IT預算得要再多出170,000美元(約新台幣5,000,000元)，相當可觀。此外，根據Gartner統計，在2012年出售的智慧型手機多達6億4千5百萬支，而這個數值相對2011年足足多了40%。

你想要更多的BYOD控制？

當BYOD已經成為企業IT的發展趨勢，您是否應該思考要提高BYOD的存取控制？要建立完善的BYOD安全管控機制，有充分詳細的報表是關鍵的一環，如此才能幫助一位專業的IT人員充分了解目前企業網路中的重要資訊，如員工們使用何種BYOD設備與數量等。

當員工使用私人的行動裝置，並透過企業網路上網時，在網路流量管理與監控上將會帶來許多問題：

• 這些額外的裝置總共使用了多少頻寬？這些用量是否會影響重要的業務系統執行？
• 這些行動裝置使用哪些應用程式？平常會造訪哪些網站？使用頻率是多少？這會對企業網路帶來哪些影響？
• 當這些行動裝置上網時，是透過何種機制取得上網權限？要留意，大多數的行動裝置並沒有安裝防毒軟體。

一台行動裝置造訪單一網站瀏覽時，其流量與一台PC開啟該網站幾乎一樣，企業IT管理員要如何才能確定這些智慧手機所使用的頻寬總量？若要監控BYOD所產生的流量，透過NetFlow與IPFIX是目前最佳的解決方案，精確、豐富的資訊量，可以讓IT人員藉此教育員工，同時告知他們使用BYOD設備時，需要留意的重點事項。

我們推出的BYOD解決方案，能幫助網路管理員清楚是別網路上的BYOD裝置，不論數量或類型(如iPhone、Android、黑莓機)等，並了解到員工是透過哪一種驗證方式進入公司網路環境中。

語音與視訊流量的監控管理

富含多媒體傳輸的網路流量監控，必須採用超越傳統的新一代監控指標。過多的訊號抖動或封包丟失，往往會造成語音和視訊傳輸出問題，但問題是由哪些因素導致的？造成DSCP值異動的原因是什麼？為何沒有建立正確的傳輸優先權？

 語音與視訊流量監控需落時許多工作，如當服務品質有變動、設定門檻值被突破、被觸發通知，當傳輸設定改變時流量得要重新路由等。面對這一連串的情況，貴公司在終端對終端的網路環境內，是否有對應的解決方案能釐清這一切內容，並且將所有的資訊詳細的紀錄在報表內？

 Cisco效能監控系統

身為第一個與Cisco NetFlow技術合作的夥伴，並取得Cisco Medianet效能監控報表認證，Plixer能靈活運用NetFlow技術，分析出傳輸往返時間、訊號抖動、封包丟失，以及其他影響VoIP傳輸的重要訊息。

 「Scrutinizer提供了詳細的報表，其中包含了Medianet效能監控統計資訊，如傳輸往返時間、訊號抖動、封包丟失率、bit/byte傳輸量、MAC位址、IP位址、虛擬網路、網預、應用程式識別等資訊。這些能幫助您監控網路並排除語音、視訊傳輸的故障問題。對於網路運營商來說，這些報告則可協助他們在多媒體應用的網路環境內，找出每個環節的歷史效能問題，藉此確保服務運作在最佳狀態。」 ~ Cisco產品經理Patricia Costa

NetCaller ID與編碼器

在NetFlow與IPFIX的發展下，也帶動部分硬體廠商將VoIP中的呼叫者ID與編碼器等細部資訊匯出，這不僅能讓我們的解決方案提示撥打電話的號碼，也能在報表中呈現通話時間，並且在其中加入封包丟失或訊號抖動的地方，這些提升網路能見度的方法，大幅縮短了故障排除所需的時間。

NetFlow的高效能路由

Cisco Performance Routing (PfR)可透過Flexible NetFlow匯出IP SLA的詳細資訊。當路由器在傳輸時發現連線較為擁塞時，將會重新評估現有的流量並在不同的連線上重新路由，以確保敏感的流量有較高的傳輸優先權。

運用PfR與Cisco Performance Monitoring並結合Plixer Flow Hopper，IT管理人員就能透過NetFlow獲得最全方位的網路傳輸與端點連線的管理視野。

資訊安全與符合規範

所有的政府機關與業界依循標準，並追求最佳作法時會有哪些共通點？他們都需要清楚定義相關政策並有效實施，同時定期稽核內部以確保這些政策確實有被落實。Scrutinizer能讓企業IT提供有力的證據以符合各式營運法規，如HIPAA、FIPS、NERC、SCADA、SOX、COBIT、PCI、NPPI等業界標準規範。

落實HIPAA規範

HIPAA (The Health Insurance Portability and Accountability Act)規範了醫療產業的資訊管理辦法，藉此保障與健康資訊相關的個人資訊，若是違反的HIPAA的規範，不僅要負擔民事賠償責任，還會嚴重損害公司的信譽。您可以下載Plixer的相關文件來取得具體說明。

落實FIPS規範

FIPS (Federal Information Processing Standards)是美國為了要確保政府機關與IT承包商之間的資訊發展安全規範，Plixer的Network Behavior Analysis、Flow Analytics與IP Host不論是在資料收集或分析上，都能達到美國政府要求的資料保密性與完整性。

NERC (North American Electric Reliability Corporation)制定了CIP (Cyber Security Standards)網路安全標準規範，藉此保護北美地區大規模電力系統內，網路基礎設施的可靠性。在FERC (Federal Energy Regulatory Commission)的強制規範下，所有美國多數的電力供應商組織都必須依循這個標準。 

Plixer能幫助您單位內的網路能見度大幅提升，以符合這些國家標準的要求。

落實SCADA規範

SCADA (Supervisory Control And Data Acquisition)標準是針對特定資源如電力、水利、汽油與天然氣等相關產業的風險管理，所制定的工業流程管控系統，若是SCADA監控系統崩潰，可能會導致大規模停電等災害，同時也會影響到其他重要的基礎設施，如汽油與天然氣的提煉工程、供水處理、汙水收集等攸關生命財產安全的設施。

落實PCI與NPPI規範

與零售業者和金融產業息息相關的，莫過於PCI (Payment Card Industry)標準，主要用來規範資料傳輸的安全標準，並開發一套強大的信用卡資料傳輸流程，藉此預防、檢測各類可能發生的安全事件，以確保信用卡持卡人在每個處理階段，都能在足夠的安全標準下執行。您可以下載Plixer的PDF文件來了解相關的因應之道。

SOX (Sarbanes-Oxley Act)沙賓法案

一如其他產業的標準與規範，沙賓法案要求金融系統內的資料定義與執行方式，藉此確保交易安全，同時避免金融詐欺與竊盜等問題。在美國證券交易委員會的規範中，執行長或財務長必須提供證明報告，以證明內部管理控制符合法案的規範。具體來說，企業管理階層必須要落實：

• 要接受能有效達到內部控制管理的責任
• 採用適合的管理標準來評估有效性
• 以充分的證據來支援評估工作
• 提出書面聲明以證明其有效性 

Plixer Scrutinizer的NetFlow和sFlow流量分析工具與IPFIX報表系統，能幫助上市上櫃企業充分滿足沙賓法案要求的能見度、責任釐清與衡量，以確保企業能依循這些政府規範。

• 驗證並展示內部網路基礎設施在連接至客戶、供應商或合作夥伴時的有效性。
• 確保並優化網路與應用程式的效能，藉此提升系統可用性與安全性。
• 可觸及使用者端以釐清網路安全風險的超高可見度
• 充分了解並保護企業營運所需的所有財務資訊
• 檢測並界定風險層級

COSO與COBIT

有些規範標準不一定會明定實行細則，但許多企業開始會依循如COSO (Committee of Sponsoring Organizations of the Treadway Commission)所制定的規範，這個標準是由SEC認可的內部財務管理控制規範框架。

COBIT (Control Objectives for Information and related Technology)不僅提供了COSO規範框架內中，IT管理上所需的各種細節，且COBIT亦為Plixer所支援的管理規範。

• 能確保基礎設施上資源的可用性
• 掌握IT資源的效能與總量
• 能檢測、監控與管理資訊安全規範
• 可預防、檢測惡意軟體，以維護網路安全
• 提供成本計算與收費模式

總結

透過Plixer Scrutinizer NetFlow & sFlow流量分析與IPFIX的詳細報表，能讓您的IT環境獲得最佳的網路能見度，同時活用各類評估工具以確保您的系統環境能符合這些國家法規與業界標準的規範。

• 可確保網路連線來源與目的均屬於SCADA規範之網路環境
• 追蹤並統計醫療中心內部網路的活動狀態
• 識別出未經授權的存取主機，進一步依循EPHI啟動因應機制，進而保護醫療資訊存取、修改或遭到銷毀
• 偵測出可疑與惡意的網路活動
• 可整合第三方系統補強網路資安以符合安全策略
• 針對違反資安規範的主機建立配置清單
• 不斷監控主機與網路活動以識別是否有入侵行動
• 能確保SCADA網路的可靠性，並提升應用服務的效能與內部安全
• 基於使用者義務的資安與網路風險能見性
• 測量並判別風險處理的優先層級
• 分析、驗證各項安全事件

Scrutinizer能幫助IT管理人員迅速將問題範圍縮小到特定用戶、伺服器或網路來源，在某些情況下會透過重建群組方式以解決問題。使用者的網路界面可根據鎖定(locking)政策，來設定該使用者可在群組中與其他人通訊。如果該使用者違反規範，一方面系統會發出警報，同時將相關紀錄詳實記載在報表上，只要在磁碟空間充足的條件下，Scrutinizer可以保存所有監控流量時擷取的原始資料長達數十年。

虛擬化監控

使用Scrutinizer監視虛擬環境的好處

• 衡量網路配置效率
• 量化運營效率改進
• 確認工作量移動的成功和效率
• 通過VMware API集成獲得流級別的可視性和上下文
• 驗證VM移動過程中的網路策略和配置（手動或vMotion）

VMware流量匯出可以從幾種產品中獲得：

• VDS
• DFW（NSX）
• ESX
• VXLAN

虛擬化環境流量監測

顧能公司分析師Alan Dayley：「2014年，企業在x86伺服器與桌面虛擬化等軟體技術的投資將會大幅成長23.7%，而市場的主流將會轉向為企業降低總體成本，同時提升整體IT效率的方向邁進。」

 IDC：「2014年所有的伺服器中，有超過23%將會大幅支援虛擬化技術；有超過70%的伺服器出貨時，就已經預先規劃並安裝了虛擬化系統。」

 有鑑於發展趨勢，Plixer也在虛擬化環境中提供各式解決方案，包含Scrutinizer與Flow Replicator等系統。

洞察您的虛擬網路環境

虛擬網路不一定代表或破壞資安威脅與網路流量等監控的能見度，這點與一般IT人的觀點有很大不同。我們的目標是在虛擬網路環境中，打造出與一般實體網路上相同，高效能且高安全性的網路環境，這代表了流量監測除了要在每台時體主機間觀察，同時在每個虛擬機器之間也必須要建立流量監測。

 Scrutinizer結合各大虛擬系統業者，將技術整合至網路管理系統，藉此提供橫跨實體與虛擬環境的網路流量分析技術。

雲端服務監控

企業透過各式雲端服務與應用，讓營運成本降低許多，隨著企業越來越依賴雲端服務，您也需要掌握雲端服務的情況：

• 資訊中心內運作的應用程式每年要花費多少預算來維護？
• 雲端服務是否能正確處理攸關企業營運的重要服務？
• 如果這些服務運作在外包的雲端平台上，您要如何確保它運作無誤？
• 當在雲端上的系統連線上出現問題，應該要如何解決？

隨著企業IT延伸進入雲端系統，網路故障排除工具也需要隨之進化。即便是雲端系統出現問題，當連線上出現問題時，內部團隊依然是第一個接到通知電話的人，倘若應用程式的效能出現問題，故障排除將變成非常困難的工作─因為在雲端計算中，您將無法掌握實體主機上的運作效能與狀態。

如果您特別擔心雲端平台上的服務效能，像是有制定SLA標準等情況，當用戶端發現效能問題，您要如何釐清問題點？如果是在雲中，那問題是在遠端連線中出了狀況嗎？當發生這種問題時，求助於您的服務供應商也難以解決問題，畢竟問題可能的成因非常多，且當下不一定有充足的資訊可以判斷。內部的網管人員，必須要與IPS等服務供應商隨時保持在備戰狀態。

將雲端運算上的網路故障排除工作提升至更高的層次，您會在流量分析上遇到以下挑戰：

• 加密的封包傳輸會影響網路流量的分析、洞察能力。
• 要運用單一封包分析工具在同一位置蒐集所有的資料幾乎是不可能的。
• 網路延遲將是評估工作的艱鉅挑戰。雲端服務供應商可能會將矛頭指向延遲問題，但這些情況又無法透過IP SLA技術來判別網路傳輸的瓶頸。

Scrutinizer提供了雲端服務監控的必要工具，不僅只有針對雲端效能，我們的Flow Collector也能持續不斷地監控服務層級，並根據時間與頻率設定提供完整報表，從單一使用者的詳細資訊，到整個子網路中的整體狀態，都能讓您更加掌握整體IT服務的運作品質。