Гарда Монитор
Программно-аппаратный комплекс класса сетевой форензики для расследования сетевых инцидентов. Система ведет мониторинг и сбор данных о соединениях и объектах, выявляет различные признаки присутствия вредоносного ПО в сетевом трафике.Производитель(и): Гарда Технологии (ООО)
Класс(ы): Расследование инцидентов
Гарда Монитор - полный контроль сетевых потоков данных
Анализ сетевых уязвимостей, выявление причин и последствий компьютерных атак, ликвидация подозрительных активностей в сети организации, - на все это вы можете затратить недели и даже месяцы, и не получить результата.
Расследование инцидентов с Гардой Монитор заменяет месяцы ручной работы на считанные часы и даже минуты. Запись всего трафика и возможность декодирования сообщений позволяет выявить причины аномалии и просмотреть каждый этап сетевой активности. Внедрение системы анализа сетевого трафика помогает выявлять угрозы, которым удалось проникнуть из открытой сети за выстроенный периметр безопасности.
Контроль и анализ сетевого трафика
- Мониторинг IP-трафика локальных сетей и выявление фактов нарушения безопасности
- Анализ информационных потоков по всем актуальным протоколам передаваемых данных
- Запись всего трафика компании в реальном времени для ретроспективного анализа событий
- Единый центр управления - агрегированная статистика с каждой точки подключения
- Реконструкция объектов из трафика на уровне приложений
Принцип работы Гарды Монитор
- Контроль сетевых каналов на соответствие потоков данных политикам безопасности, включая анализ текстовой информации
- Перехват данных со скоростью 10 Гбит/с. Хранение свыше 100 Tb трафика. Быстрый поиск по накопленному архиву
- Многоуровневые отчеты и гибкая система фильтров для удобства расследования
Большие данные для расследования
Гарда Монитор работает с большим объемом неструктурированных данных - Big Data. Система быстрого поиска, функции анализа «сырого» трафика и высокопроизводительная система хранения собственной разработки МФИ Софт позволяют выявлять инциденты в режиме реального времени и отображать информацию в удобном виде.
Функциональные возможности
- Выявление аномалий в трафике: всплески или падение сетевой активности, использование нестандартных портов, протоколов, приложений.
- Определение географического положения источника и получателя данных, запись метаданных.
- Сохранение потоков в «сыром» исходном виде для повторного воспроизведения трафика в лаборатории информационной безопасности.
- Классификация трафика по протоколам (HTTP, POP3, FTP, SSH и еще 50 + протоколов).
- Полнотекстовый поиск по перехваченным данным и реконструкция объектов по следующим критериям:
- по MAC-адресам источника и получателя;
- по Vlan ID;
- по версии протокола IP (поле Version заголовка IPv4 или IPv6);
- по IP-адресам источника и получателя;
- по портам источника и получателя;
- по типу протокола транспортного уровня;
- по типу прикладного протокола;
- по полям протоколов HTTP, протоколов передачи почтовых сообщений, сообщений IM и др.;
- по длине пакетов.
- Гибкая система фильтров, мгновенный критериальный поиск, включая детектирование шифрованного трафика.
- Интеграция с SIEM-системами и экспорт данных.
Источник: http://www.mfisoft.ru/direction/ib/garda_monitor/
