جمع سجلات تدفق حركة مرور الشبكة
الوصف
جمع سجلات تدفق حركة مرور الشبكة و/أو حركة مرور الشبكة لمراجعتها وتنبيهها من أجهزة الشبكة.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة إدارة معلومات وأحداث الأمان مع إدارة السجلات واكتشاف التهديدات والتحقيق وإعداد تقارير الامتثال عبر مصادر بيانات المؤسسة
Cisco (Splunk) · قائم على حجم البيانات المستوعبة أو حجم العمل
منصة سحابية أصلية لإدارة معلومات وأحداث الأمان والاستجابة الآلية للتهديدات مع تحليلات مدعومة بالذكاء الاصطناعي واستجابة آلية للتهديدات وتكامل أصلي مع بيئة السحابة
Microsoft · الدفع حسب الاستخدام (لكل غيغابايت مستوعبة)
اكتشاف الشبكة والاستجابة المدعوم بالذكاء الاصطناعي مع تحليل التهديدات ذاتي التعلم والاستجابة المستقلة
Darktrace · اشتراك مؤسسي
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
تسريب بيانات سري عبر أنماط حركة مرور غير عادية
السريةيسرب مهاجم البيانات الحساسة ببطء باستخدام تقنيات بطيئة وخفية عبر منافذ شرعية، ويمر حجم حركة المرور غير الطبيعي دون ملاحظة لأنه لا يتم جمع أو تحليل سجلات تدفق الشبكة.
فحص استطلاعي للشبكة الداخلية غير مكتشف
السريةيجري مهاجم فحوصات منافذ وتعداد خدمات عبر الشبكة الداخلية بعد الاختراق الأولي، ويكون نشاط الفحص غير مرئي لأنه لا يوجد تسجيل تدفق حركة مرور شبكة.
اتصال غير مصرح به ببنية تحتية خبيثة معروفة
السلامةيتواصل نظام مخترق مع بنية تحتية لجهة تهديد معروفة، لكن الاتصالات الصادرة لا تُبلّغ أبداً لأنه لا يتم التقاط بيانات تدفق الشبكة لربط معلومات التهديد.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود رؤية تدفق الشبكة
بدون جمع NetFlow أو سجلات تدفق حركة مرور مكافئة، لا يستطيع فريق الأمان تحديد أنماط اتصال غير طبيعية أو أحجام حركة مرور أو اتصالات غير مصرح بها بين الأنظمة الداخلية والخارجية.
عدم القدرة على إجراء تحليل شبكة بأثر رجعي
يمنع غياب بيانات تدفق حركة مرور الشبكة التاريخية التحقيق الجنائي لمتى بدأ الاختراق والأنظمة التي تواصلت مع بنية المهاجم التحتية والبيانات التي ربما تم تسريبها.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |