Виджеты NGFW для SOC и использование Application Command Center (ACC) для анализа трафика и угроз

Виджеты NGFW для SOC и использование Application Command Center (ACC) для анализа трафика и угроз
Меня часто спрашивают что за вкладка в NGFW под названием ACC.

ACC — это сокращение от фразы Application Command Center (ACC). Вы сюда заходите, если у вас есть цель узнать какие в сети самые активные приложения или пользователи, самые частые атаки, вирусы, URL категории. Для этого межсетевой экран ведет специальные журналы статистики, в которых собирается вся эта информация. Таким образом каждый NGFW предоставляет функции аналитики по трафику и по угрозам. В NGFW подробные журналы могут быстро переполниться, а вот статистические журналы хранят информацию за несколько месяцев.

Такие графики удобно повесить на экранах SOC и периодически в них посматривать. Это позволяет обнаружить аномалии: трафик, которого раньше не было, пользователей, которые стали слишком активны, страны, с которыми вы раньше так много не сотрудничали, вирусы или бот-сети, которые вдруг объявились.

Видеоролик с описанием как фильтровать события в ACC, переходить в подробные журналы и создавать custom report


Источник — персональный блог Батранкова Дениса «Реальная безопасность».

Денис Батранков
Автор: Денис Батранков
Советник по безопасности корпоративных сетей.
Комментарии: