Решаемые задачи
- Получение статистики от EtherSensor;
- Привязка информации о пользователях и их устройствах, участвующих в сетевых соединениях, к получаемой статистике;
- Построение различной отчетности о сетевых событиях с использованием фильтров в ручном и автоматическом режимах.
Принцип работы
ETHERSTAT получает данные из следующих источников:
- Информация о TCP-соединениях;
- Информация обо всех запрашиваемых пользователями URL;
- Информация о поисковых запросах пользователей;
- Любая настраиваемая в EtherSensor информация о событиях.
EtherStat поддерживает работу с большинством интернет-категоризаторами, что дает возможность не просто видеть сотни посещаемых пользователями интернет-ресурсов, а иметь понимание о содержимом сайтов.
Связывание полученных данных
После получения данных из множества источников, EtherStat сразу производит связывание данных в одно событие, что позволяет составить такую цепочку событий, как: [IP-адрес:порт источника] - [HOSTNAME источника] - [Пользователь [атрибуты пользователя]] - [протокол передачи данных] - [IP-адрес назначения] - [HOSTNAME/URL[Категория запрашиваемого URL] назначения] - [суть запроса].
Анализ данных
На данный момент в EtherStat ведется активная работа над анализом событий и их данных, политике аномалий и реакцией на срабатывания политики.
Фильтрация данных
В EtherStat предусмотрен единый фильтр для всех разделов, предоставляющий для анализа только необходимую информацию за счет следующих критериев фильтрации:
- диапазон времени;
- атрибуты Active Directory (группировка по компании, отделу, группе AD, адресу вплоть до комнаты, пользователю, особенностям учетной записи);
- информация о внутрисетевом или внешнем хосте (IP, MAC, HOSTNAME) с указанием направления трафика;
- сетевые протоколы;
- URL;
- текст поискового запроса.
Также в EtherStat имеется возможность автоматического построения отчетов по указанным пользователем шаблонам фильтров с дальнейшей отправкой по электронной почте.
Построение отчетов
EtherStat на основании получаемых данных формирует следующие отчеты:
- топ самых активных пользователей;
- топ посещаемых веб-доменов с возможностью углубления до конкретных веб-сервисов;
- разбивка сетевого трафика по категориям (при интеграции с категоризатором);
- новые устройства в сети за период;
- хосты, с которых работает множество пользователей (помогает находить в сети несанкционированно установленные коммутаторы и Wi-Fi точки доступа);
- история изменений в Active Directory;
- проблемы в структуре Active Directory;
- поиск по тексту поисковых запросов;
- поиск по посещаемым URL (помогает осуществить tracking документов в сети Интернет при поиске инсайдеров).
Дополнительные преимущества
- Возможность сохранения настроенных фильтров в шаблоны существенно экономит время на работу с системой
- Разделы "Пользователи" и "Хосты" упрощают поиск информации по конкретному пользователю или хосту, позволяя отслеживать историю изменения интересов конкретного объекта расследования
- Группировка любых критериев фильтра позволяет вести расследования сразу по группе лиц
- Механизм автоматического построения отчетности по указанным шаблонам и расписанию позволяет получать необходимую информацию в любом месте даже на мобильных устройствах