Sensor

Überprüft den Netzwerkverkehr auf Anomalien und erkennt Schwachstellen Ihrer Systeme

Sensor Appliance

Der Sensor wird als Hardware Appliance an einer zentralen Stelle (z.B. zwischen Ihrem Router und dem internen Netzwerk) Ihres Netzwerks platziert. Dort überprüft er alle Netzwerk Daten die über ihn übertragen werden, erkennt Anomalien, prüft Server auf Schwachstellen (VM) und kann als ETF Enforcement zentralisiert Angriffe blocken. Die Analyse der Daten und Steuerung des Sensors übernimmt Ihr SecurityAdvisor

  • Log Provider (syslog)
  • Netflow Provider
  • Networksession Provider
  • Network Recorder (pcap)
  • Web Application Analysis
  • Vulnerability Scanner

Netzwerk-Daten

Erkennt Anomalien im Traffic

Der Sensor untersucht den Netzwerkverkehr auf Anwendungsebene um Anomalien zu erkennen. Ebenso ist es möglich Verbindungen mit dem Sensor im PCAP Format zur späteren Analyse aufzuzeichnen.

Beispiel

Mit dieser Regel wird jede Verbindung zu, in der Reputation Database gelisteten, IP Adressen die mehr als 1 MB Daten überträgt geblockt. Sollte nun zum Beispiel ein mobiles Gerät (Mobiltelefon, Tablet, etc.) mit einer Schadsoftware infiziert sein und Daten übertragen wird dies unterbunden und im SecurityAdvisor Web-GUI als sicherheitsrelevantes Ereignis dargestellt.

Regel mit Netflow Bedingung

Schwachstellen Scanner

Scannt Hosts auf Schwachstellen

Wurden im SecurityAdvisor Web-GUI Aufträge für das Vulnerability Management konfiguriert, werden diese zum gegebenen Zeitpunkt vom Sensor ausgeführt. Dabei nimmt der Sensor die Rolle eines Angreifers ein und überprüft Services des zu scannenden Hosts auf Schwachstellen.

Die gefunden Schwachstellen werden im Web-GUI übersichtlich, mit Lösungsvorschlägen, dargestellt.

Detailfenster einer Schwachstelle

ETF Blocks

Zentralisiertes Blocken

Im benutzerdefinierten Regelwerk hat man die Möglichkeit den ETF Block von dem Agent des betroffenen Hosts ausführen zu lassen oder vom Sensor. Der Vorteil des Sensors ist das er wie eine Firewall Appliance das gesamte Netzwerk vor dem auslösenden Angreifer schützt.

Redundanz

Keine Ausfallzeiten

Da der Sensor eine zentrale Rolle im Netzwerk einnehmen kann ist er redundant ausgelegt und schleust bei einem Ausfall den Traffic 1:1 durch. Dies ist durch eine spezielle Netzwerkkarte mit Relais möglich.