среда, 13 мая 2020 г.

Виджеты NGFW для SOC и использование Application Command Center (ACC) для анализа трафика и угроз

Меня часто спрашивают что за вкладка в NGFW под названием ACC.
ACC - это сокращение от фразы Application Command Center (ACC). Вы сюда заходите, если у вас есть цель узнать какие в сети самые активные приложения или пользователи, самые частые атаки, вирусы, URL категории. Для этого межсетевой экран ведет специальные журналы статистики, в которых собирается вся эта информация. Таким образом каждый NGFW предоставляет функции аналитики по трафику и по угрозам.  В NGFW подробные журналы могут быстро переполниться, а вот статистические журналы хранят информацию за несколько месяцев.
Такие графики удобно повесить на экранах SOC и периодически в них посматривать. Это позволяет обнаружить аномалии: трафик, которого раньше не было, пользователей, которые стали слишком активны, страны, с которыми вы раньше так много не сотрудничали, вирусы или бот-сети, которые вдруг объявились.

Видеоролик с описанием как фильтровать события в ACC, переходить в подробные журналы и создавать custom report