FlowPro

Scrutinizer如何建立Network Map?

Network Map為用戶提供了網路拓撲結構的高階視圖以及流量在網路中的流動方式。最常見的是作為快速參考用,以確定連接是否飽和。如果我們將結合Map功能與當前Flow數據中匯出的一些獨特元素相結合該如何處理?

在此介紹在Scrutinizer中建立網路地圖的過程以及用戶可以在其環境中利用的一些獨特範例。

設計你的地圖

第一步是決定我們想要建立的地圖類型。首先,我將建立一個簡單的網路。我們將從“地圖”標籤開始,然後選擇左側的“新建”選項。首先,我們必須決定要建立哪種地圖類型。我們可以建立一個’html5’,’Plixer Map’,或者我們可以利用Google地圖(請注意,Google地圖需要使用API密鑰,可免費申請)。在這裡,選擇了Plixer Map。

接下來,將設備作為Objects(目標)。正如下面的截圖中看到的,Objects(目標)不僅限於網路設備。在拓撲圖中包含了ISP的Objects(目標),以及嵌在拓撲視圖中的child maps。

一旦設定好Objects(目標),下一步就是建立連接。透過Connections Tab完成,Connections提供選項來表示這些連線。大部分連線都是連接每個設備的physical interfaces(實體介面) 。這允許我們以速率或百分比使用率來查看通過設備的流量。還在連接的設備之間的嵌套地圖建立了logical connections(邏輯連線)。

Connections的好處是雙重的:即時利用我們的連接並允許我們深入研究並查看正在進行的對話。

嵌套地圖

讓我們深入了解“Sales Team”地圖。從我們的拓撲圖中,我們透過點擊該地圖放大到我們的銷售部門:

在這裡,建立了一個代表幾個銷售團隊成員的地圖。該地圖的獨特之處在於連接回到3850的每個連線都是僅根據該用戶的流量進行過濾的自定報告。從這裡可以估計每個用戶消耗的流量。這裡的另一個常見用例是監控VoIP流量而不是用戶的流量。

首先,讓我們看看這些連接是如何形成的。首先建立了一個隔離用戶流量的報告:

然後我使用此報告將Objects(目標)“ShaneS”連接到3850 switch交換機。現在從拓撲圖中可以深入到銷售團隊,在那裡我可以監控每個特定用戶。

讓我們從用戶流量轉向監控我們的應用服務器。從拓撲圖中可以看到應用服務器建立了一個嵌套地圖。與建立銷售團隊地圖的方式類似,使用一個Objects(目標)來表示我們的應用服務器,然後製作一個自定報告來隔離特定的應用程式流量。

在這裡看到了一些特定於最終用戶環境的獨特地圖。由於沒有兩個環境是相同的,因此可以靈活地定義想關注的流量,這是一個很棒的用處。

如果您對Mapping Functionality有任何疑問,請隨時聯繫我們,還可以前往Plixer的Youtube頻道plixerweb,在那裡您可以查看許多影片範例,包括建立地圖的示範操作

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

Scrutinizer 常見問題之一

Q1:什麼是NetFlow?

Cisco®NetFlow技術是Cisco IOS路由器和高階交換機(例如6500系列)中的嵌入式功能。NetFlow數據記錄包括關於來源和目標地址的訊息,以及End-to-End conversation中使用的protocols和Ports。Scrutinizer使用此訊息產生成Flow模式和頻寬使用率的圖表和報告。更多訊息可以在這裡找到(英文)。

Q2:什麼是sFlow?

將多個conversation streams 包裝為單一個封包與NetFlow不同,sFlow是Flow的資料封包樣本。雖然它提供100%的資料封包,但嚴格用於IP計費時,它是不可靠的。更多訊息可以在這裡找到(英文)。

Q3。什麼是IPFIX?

NetFlow最初由思科實施並在“informational”檔中描述,該檔案不在IETF的標準上。NetFlow protocol 本身已被 Internet Protocol Flow Information eXport(IPFIX)取代。更多信息可以在這裡找到(英文)。

Q4。IPFIX如何與NetFlow和sFlow相關?

IPFIX是NetFlow v9的演變。IPFIX與NetFlow和sFlow的不同之處在於它允許指定供應商ID,從而供應商可以在Flow中打包專有訊息並匯出他們想要的任何細節。例如,傳統上使用Syslog發送或透過SNMP收集的相同詳細訊息可以在IPFIX中匯出。

此外,IPFIX允許變更長度字段。如果要匯出HTTP主機,URLs或防火牆資訊等詳細訊息,這將非常有用。

Q5。思科是唯一支持NetFlow的供應商嗎?

NetFlow技術由思科發明,Cisco IOS設備提供NetFlow相容性。除Cisco之外的許多供應商都提供類似的網路流量監控技術 Scrutinizer 在單一平台上執行所有Flow技術的收集,威脅檢測和報告。

點擊此處了解有關NetFlow的不同版本的更多詳細訊息(英文)。

Q6。NetFlow與MRTG等流量分析器有何不同?

MRTG和其他此類等效工具提供的訊息主要限於SNMP統計訊息。NetFlow更適合應用程式等級的詳細訊息,例如hosts, protocols, 和conversations, ,這些是IP流量的固有部分。

Plixer

Plixer被全球投資公司Battery Ventures收購

[官方新聞稿]Plixer準備加速全球網路流量分析和事件反應市場的市佔率

Kennebunk,ME,2018年3月8日 – Plixer是網路流量分析和事件反應領域的領導者,宣布它已被全球技術型投資公司Battery Ventures收購。

Plixer以其旗艦產品Scrutinizer®而聞名,該產品可收集,可視覺化並提供報告從有線和無線網路連接收集到的私人,公共和混合雲的豐富資料數據。該網路流量分析系統可擴展到任何企業環境,提供豐富的數據上下文,並提供業內最快的報告。像金融,政府,科技,零售,醫療和教育市場等組織依靠Plixer降低風險,改善運營並降低成本,同時提高應用程式性能。

作為交易的一部分,Brocade,Arbor Networks和Juniper Networks的前高級副總裁Jeff Lindholm已經加入Plixer,擔任新任首席執行官。Mike Patterson和Marc Bilodeau於1999年創立該公司,將繼續作為公司領導團隊的成員參與。

Lindholm表示:“Plixer擁有遍布全球108個國家的客戶,已經證明自己是高性能網路流量分析領域的領導者,能夠快速,高效地進行網絡和安全事件反應以及豐富的商業智能。” “Battery對Plixer的投資將使該公司能夠進一步創新和擴大其產品線,與新技術合作夥伴保持一致,積極吸引新客戶,並進一步提升為現有客戶提供的價值。”

在波士頓成立的Battery公司已經投資了許多行業特定的軟體公司,如Plixer,這是一類為客戶提供高度專業化產品以及行業領先的支援和服務的公司。該公司進行傳統風險資本投資以及更大規模的私募股權交易,自成立以來籌集資金超過69億美元。該公司現在投資其最新基金,總資本為12.5億美元。

Plixer公司的Battery夥伴Russell Fleischer說:“Plixer的技術處於充分利用快速增長的網路和安全分析市場的優勢。“自1999年成立以來,該公司一直超越客戶期望,並提供網路和安全團隊使用的世界級解決方案。隨著Jeff Lindholm擔任首席執行官和Battery的投資和資源,我們期待著繼續加快Plixer的發展。“

Plixer 產品網頁訊息,請詳:https://www.ecnetworker.com/plixer/

Plixer Scrutinizer 針對 數據洩露的釐清方法

我們發現許多客戶在 NetOps / SecOps (網路/安全) 等工作流程已經有解決方案了。而這正是Plixer Scrutinizer強大的API和敏捷操作介面所能夠協助您的地方。

由於您的團隊已經擁有非常專業的封包Capture,SIEM,IPAM和DLP等軟體,因此Plixer Scrutinizer使用API將其操作面與您現有的工作流程相連接。這直接增強了您能收集到的數據資料,而無需重新打造整個團隊。

當您要追蹤洩露的數據或違反規則的數據時,有一點最重要。也就是您等待的時間越長,網路取證就越困難。Plixer Scrutinizer可以提供有關國家/地區、操作系統、URL和DNS請求等資訊,一但發現長時間的異常連線,就可以快速阻斷該連線。

如果您認為這樣的異常連線是不可避免的,那麼釐清該連線便是非常重要的。透過歷史的詳細數據以及任何您收集的封包資訊、事件日誌等資訊,來追蹤及釐清任何可疑的連線吧!

現在就來改造您的網絡安全吧!

如果您和您的團隊對我們產品適合您環境的問題有任何疑問,歡迎隨時與我們的團隊聯繫

如果您想了解我所講過關於原始數據分析的更多資訊,請查看我們的FlowPro IPFIX解決方案

Scrutinizer 亦提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

Plixer Scrutinizer 針對Cloud 和 Micro-Segmentation 的流量監控應對

近年來有越來越多的公司開始導入伺服器雲端化,愈來愈多的流量傳入您未管理的雲端伺服器。因資安人員通常也部會管理這些雲端伺服器,因此這些流量完全無人管理與知曉。

若將AWS VPC(Virtual Private Cloud) 的流量日誌導入Plixer Scrutinizer,並將Scrutinizer的收集器部署在您的VPC中,則您的團隊可以立刻看到這些無人管理與知曉的流量。通過將內部的收集器與雲端收集器的數據整合,您可以全面了解這個您之前無法控制的環境。

即使您的公司決定暫緩將關鍵資源遷移到雲端中,您仍然擁有強大的虛擬基礎架構。Plixer Scrutinizer從VMware的Distributed Swtich以及NSX所收集的流量資訊,可以提供VXLAN流量(封裝前/後)的可視性,讓您可以準確了解虛擬機在網絡上的溝通方式。

現在您擁有所需的資訊,以確保您期望的主機只能訪問這些資源。如果主機正在與不允許之資源溝通,則Plixer Scrutinizer會發出警報,告訴您是誰、何時、何地以及何處。

現在就來改造您的網絡安全吧!

如果您和您的團隊對我們產品適合您環境的問題有任何疑問,歡迎隨時與我們的團隊聯繫

如果您想了解我所講過關於原始數據分析的更多資訊,請查看我們的FlowPro IPFIX解決方案

Scrutinizer 亦提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

一分鐘就讓你了解 Plixer Scrutinizer 特點

Scrutinizer是一套NetFlow、sFlow、JFlow與IPFIX的全方位解決方案,可同時是用於實體與虛擬環境的網路流量管理解決方案,可根據事件反應、威脅偵測、歷史報告與功能基礎提供多元的管理模式。這套屢獲無數獎項的網路管理系統,深入了解使用者需求、應用程式與網路設備狀態,藉此提供更完善的報表功能。

關於Scrutinizer的特點:

  1. 市場上領先的網路流量產品之一。(市場上已經有其他的相關產品,但少有功能這麼強大的)
  2. 可提供網管設備無法知道的資訊,並能處理任何流量,如sFlow,Netflow,JFlow和IPFIX。
  3. 存儲所有原始數據並產生報表
  4. 產生報表速度很快
  5. 從非常小到非常大的網路環境都適用。
  6. Scrutinizer設計成為法律取證(Forensic)和安全(Security)工具,它可以根據流量模式發出警報,具有DNS整合功能,並且可以顯示被隱藏的網路。
  7. 可以單獨使用或與其他監控工具整合使用。

何時會需要Scrutinizer?

  • 如果您需要安全取證工具(它收集所有內容不會丟失資料保留全部資訊)。
  • 為了符合安全規定,提供可驗證的證據給IT來符合內部管理政策,外部法規和行業最佳作法(例如: HIPAA,FIPS,NERC,SCADA,SOX,COBIT,PCI和NPPI)。
  • 如果您需要對您的網路流量(Traffic Flows)進行深入分析,誰正在建立連線並與誰進行通信。
  • 如果您需要特定參數來連接防火牆設備(如Cisco ASA,Paolo Alto等)。
  • 如果您想要了解Netflow的人或公司,選擇Plixer就對了。
  • 即時和快速的報表。
  • 深入研究網路流量性能問題。

Scrutinizer的擴展性

Scrutinizer的可擴展性是由一個非常有效的可擴展性平台的方式建置的:

  • 基於Windows平台
  • 提供虛擬設備更高的可擴展性
  • 專注於(最佳化)設備針對大規模的網路環境

與其他監測工具整合

將Scrutinizer與其他監控工具(如SolarWinds,Network mapping tools,SPLUNK等)整合很容易,有可用於整合的API。

擴展性和整合

作為Scrutinizer背後的公司Plixer擁有許多其他產品,可以輕鬆地整合現有環境,而無需大量投資/更換網路設備。簡單介紹一下:

  • Flow Pro APM(為您提供更多應用程式可見性的網路探測器)
  • Flow Replicator(如果您有需要複製收集的流量讓其他的軟體分析使用)。
  • Flow Pro Defender(掛入惡意DNS請求)。

免費下載與試用

Scrutinizer 提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載

若對這套網路流量監控軟體有任何興趣請與我們聯繫

進一步閱讀的鏈接

訪問 Scrutinizer / Plixer 網站了解更多詳情,有更多的技術訊息可供參考。

Plixer Scrutinizer 針對勒索軟體和用戶行為分析 的保護

近年來許多新聞有報導企業用戶遇到勒索軟體時,常見以下兩種處理方式:1、從備份還原資料 (通常花費大量時間),或2 、付錢解鎖 (通常花費大量金錢)。但即便如此,使用者往往無法保證檔案不會再次被勒索軟體加密。參考最近的諸多案例,可能只是資安軟體或網路監控軟體遺漏了其中的一台被感染主機,造成其他主機解鎖後,再次被感染勒索軟體。

Wannacry propagating an infected network

通過對NetFlow/IPFIX等數據,進行一系列的行為分析(電腦學習算法),Plixer Scrutinizer可以在發現可疑數據或橫向移動數據時,發出告警通知管理者。而若可以搭配元數據,可以進一步分析來自Active Directory、Cisco ISE、CounterACT及其他 NAC 解決方案。然後可以將發現的任何事件,與網路上特定的用戶/資產關聯起來,甚至可以顯示各用戶/資產曾經接觸過的網路其他資源,進而使清理網路威脅時變得更容易、更有效。

正如你從這張圖片中看到的那樣,在網路上橫向移動的被感染主機會觸發一個可操作的告警。從那裡,您可以轉到您公司的SIEM或其他數據分析解決方案。

Indicator of Compromise alarm - lateral movement

現在就來改造您的網絡安全吧!

如果您和您的團隊對我們產品適合您環境的問題有任何疑問,歡迎隨時與我們的團隊聯繫

如果您想了解我所講過關於原始數據分析的更多資訊,請查看我們的FlowPro IPFIX解決方案

Scrutinizer 亦提供永久免費版本,若有興趣想要了解完整的功能,歡迎在此申請下載