sycope Security Modul

Sycope es una solución de supervisión y seguridad de redes que utiliza análisis de flujos en tiempo real y se enriquece con el contexto empresarial para ayudar a las organizaciones a evaluar el rendimiento y proteger su infraestructura informática. Registra, procesa y analiza todos los parámetros contenidos en los flujos, enriquecidos con feeds SNMP, de geolocalización y de seguridad. Sycope está diseñado para detectar eventos y problemas en la red, medir retrasos e identificar amenazas a la seguridad. La función de seguridad de Sycope se desarrolló basándose en la metodología ATT&CK de MITRE. Las reglas y mecanismos de detección de incidentes de seguridad permiten detectar ataques y actividades no deseadas en la red.

Principales ventajas

Supervisión más inteligente de la red

Garantizar un rendimiento óptimo de la red y las aplicaciones

Análisis de datos con contexto

De la generalidad al detalle forense

Evite el tiempo de inactividad mientras sea posible

Reducir riesgos y evitar costes

Reducir el tiempo de respuesta

Trabaje cómodamente en horas punta gracias a su alta eficiencia

Flexibilidad y personalización

Barra de búsqueda contextual, cuadros de mando personalizados y widgets

Coherencia del sistema

3 módulos, una GUI informativa

Características principales

Análisis de flujos en tiempo real

• NetFlow v5/9, IPFIX, NSEL, sFlow, soportes de muestreo
• Mejorado con SNMP, geolocalización, fuentes de seguridad
• Deduplicación de datos
• Lenguaje propietario NQL
• Compatibilidad con IPv4, IPv6
• Análisis de campos no estándar, incluidos NAT, MPLS

Big Data dedicado a la observabilidad de la red

Análisis de datos de muchos campos:

AS Name by IP, IP Address Name, AS Names, Application Name, Protocol Name, Server IP, Name, Client IP Name, AS Name, ToS Names, Interface Name, Exporter IP (Name), Exporter Location, Exporter Description, ToS Name, Direction, Application ID, Server TCP Flags, Client TCP Flags, Bytes, Packets.

Análisis de campos de flujo no estándar:

PostNatSrcIp, postNatSrcPort, applicationId, firewallEvent, fwExtEvent, minPacketLength, maxPacketLength, flow- Label, clientMaxTtl, srcVlan, dstVlan, ipv6OptionHeaders, mplsLabel1-5, retransmittedInPackets, retransmittedOut- Packets, retransmittedInBytes, retransmittedOutBytes, clientNetworkTime, serverNetworkTime, initialServerResponseTime.

Seleccione entre varias métricas calculadas (calculadas en función de los campos de flujo):

Suma Flujos/s; Sum Out Bits/s, Sum In Bits/s, Sum Bits/s, Sum Server Bits/pkt, Sum Client Bits/pkt, Sum Bytes/ Packet, Sum Packets/flow, Sum Packets/second, Sum Client Bits/flow, Sum Server Bits/flow, Sum Bytes, Sum Server Packets/flow, Sum Client Packets/flow, Unique Client Ips, Sum Avg Packets/s, Sum Client Bits/s, Sum Server Bits/s, Sum Server Packets/s, Total Paquetes Cliente/s, Total Paquetes, Puertos Servidor Únicos, Ips Servidor Únicos, ASNs Únicos, Avg Paquetes Salientes/s, Avg Paquetes Entrantes/s, Avg Paquetes/s, Paquetes/s, Avg Flujos/s, % Paquetes Salientes Retransmitidos, Avg Paquetes Servidor/Flujo, Avg Bits Servidor/Flujo, % Paquetes Entrantes Retransmitidos, Avg Paquetes Cliente/flujo, Avg Bits Cliente/flujo, Avg Bits Servidor/pkt, Avg Bits Cliente/pkt, Bits/s, Bits.

Seleccione un intervalo de fecha/hora sobre los valores por defecto:

Elija entre plazos predefinidos o personalizados.

Acceso rápido a información importante

El sistema se ha diseñado con gráficos, tablas y mapas interactivos que contienen datos críticos, estadísticas e indicadores, lo que permite analizar los patrones de comportamiento de la red y ayuda a gestionar los problemas detectados.

Filtrado exhaustivo:

• Mantener el contexto temporal y los filtros entre vistas.
• Desplace fácilmente los filtros entre las vistas.
• Almacene filtros de búsqueda complejos y contexto temporal (marcadores).

Asignar valores automáticamente en el sistema:

• Conjuntos de nombres, términos y valores configurables por el usuario.
• Out-of-the-box: nombres de aplicaciones, países, AS, técnicas MITRE.

Fácil acceso desde arriba:

Los mecanismos de desglose permiten ver los datos de un puerto, interfaz o dirección IP concretos.

Acceso a servicios externos:

• El sistema permite acceder a servicios externos, como VirusTotal, directamente desde la vista que se está analizando (botón derecho del ratón) y seguir analizando los datos.
• Servidor de feeds: identificación dinámica de amenazas globales basada en la integración con la plataforma Sycope Cyber Threat Intelligence (CTI).

Principales características de los módulos

VISIBILIDAD

Análisis de datos L3 y L4, minería de datos de red, listas de conexiones por dirección IP, protocolo, puerto, país, ASN o QoS. Análisis del tráfico de red a nivel de un único puerto TCP/UDP Puerto UDP, detección de anomalías, cuadros de mando específicos.

RENDIMIENTO

Análisis L7, sonda especial Sycope (incluyendo mediciones de los campos: % Paquetes Retransmitidos Cliente, % Paquetes Retransmitidos Servidor). Medición del tiempo de respuesta, medición del rendimiento de las aplicaciones en la vida real, detección de retransmisiones, combinación de aplicaciones de red y métricas, fuentes de datos adicionales (DPI para L7), cuadros de mando dedicados al rendimiento.

SEGURIDAD

Más de 45 reglas de detección de seguridad, personalización de las reglas de detección. Mitigación activa con sistema NAC, mapeo del marco MITRE ATT&CK, Sycope CTI (supervisa activamente una serie de fuentes, analiza y genera una lista unificada de Indicadores de Compromiso (IoC) actuales, capacidad para crear reglas, cuadros de mando de seguridad dedicados, incluido SOC.