Advanced Security Analytics Module (ASAM)

Bandbreiten-Monitoring und Traffic-Analyse sind naturgemäß eng mit den Themen Netzwerksicherheitsanalyse und Aufspüren anormalen Netzwerkverhaltens verbunden. Während Ihnen NetFlow Analyzer detaillierte Einblicke in Netzwerkverkehr und Bandbreitennutzung ermöglicht, können Sie mit der NetFlow-Analyzer-Erweiterung ASAM die Netzwerksicherheit kontinuierlich überwachen und Anomalien frühzeitig erkennen.

Das Advanced Security Analytics Module nutzt die Flow-Daten von NetFlow Analyzer, um Zero-Day-Angriffe in Echtzeit zu erkennen und zu melden. Dazu setzt ASAM auf eine Continuous Stream Mining Engine, die die Flow-Daten nach bestimmten Kriterien filtert. Wird eine Bedrohung gefunden, weist ASAM dieser automatisch eine Klasse zu (siehe unten). Diese Problemklassen, die Probleme und die Anzahl der aufgetretenen Events zeigt NetFlow Analyzer im Security Snapshot an. ASAM fügt auch eine Gewichtung zu allen Bedrohungen hinzu (Info, Warnung, Major oder kritisch).

ASAM identifiziert drei Klassen von Bedrohungen:

• Falsche Quell-/ Zieladresse („Bad Src-Dst“): z.B. IP-Adresse liegt außerhalb des Adressraums des Unternehmens; IP ist keine Unicast-, sondern eine Multicast- oder Broadcast-Adresse; Insgesamt-/Multicast-/Broadcast-Traffic ausgehend von der Src-IP übersteigt einen gewissen Schwellwert
• Verdächtiger Netzwerkverkehr („Suspect Flows“): z.B. genau oder weniger als 20 Oktetten (Bytes) in einem Paket; falsche TCP-Paketgröße; inkorrekte Syn, Syn_Fin, Syn_Ack, Syn_Rst, Fin-Flags und ToS Werte, zu viele oder nicht wohlgeformte ICMP-Pakete
• DoS-Attacken („Denial of Service“): z.B. gleiche Quell- und Zieladresse; Pakete mit Src-Port 7, 19, 135 an Dst-Port 135 (Windows NT RPC Service); Echo-Requests an Multicast- und Broadcast-Adressen.

Das ASAM-Modul ist ein Add-on für NetFlow Analyzer und benötigt keine zusätzliche Hardware.