Виджеты NGFW для SOC и использование Application Command Center (ACC) для анализа трафика и угроз

Дата: 13.05.2020. Автор: Денис Батранков. Категории: Блоги экспертов по информационной безопасности
Виджеты NGFW для SOC и использование Application Command Center (ACC) для анализа трафика и угроз
Меня часто спрашивают что за вкладка в NGFW под названием ACC.

ACC — это сокращение от фразы Application Command Center (ACC). Вы сюда заходите, если у вас есть цель узнать какие в сети самые активные приложения или пользователи, самые частые атаки, вирусы, URL категории. Для этого межсетевой экран ведет специальные журналы статистики, в которых собирается вся эта информация. Таким образом каждый NGFW предоставляет функции аналитики по трафику и по угрозам.  В NGFW подробные журналы могут быстро переполниться, а вот статистические журналы хранят информацию за несколько месяцев.

Такие графики удобно повесить на экранах SOC и периодически в них посматривать. Это позволяет обнаружить аномалии: трафик, которого раньше не было, пользователей, которые стали слишком активны, страны, с которыми вы раньше так много не сотрудничали, вирусы или бот-сети, которые вдруг объявились.

Видеоролик с описанием как фильтровать события в ACC, переходить в подробные журналы и создавать custom report


Источник — персональный блог Батранкова Дениса «Реальная безопасность».

Денис Батранков

Об авторе Денис Батранков

Советник по безопасности корпоративных сетей.
Читать все записи автора Денис Батранков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *