Netzwerk-Monitoring: Logrhythm bietet Deep-Packet-Analyse

    Um mehrere grundlegende Funktionen hat Logrhythm seine Netzwerk-Monitoring-Software Network Monitor erweitert. So bietet Version 3 der Lösung die Möglich­keit, Daten­pakete im Detail zu untersuchen, Stich­wort Deep Packet Analysis (DPA). Diese Funktion untersucht in Echt­zeit den gesamten Daten­verkehr.

    Network Monitor 3 greift dabei auf Funktionen wie Full Packet Capture und die Auswertung von Layer-7-SmartFlow-Metadaten zurück. Full Packet Capture erfasst die Nutzdaten eines Paketes. Die Deep-Packet-Analyse DPA untersucht den Netzwerkverkehr in Echtzeit. Dabei kommen laut Logrhythm statistische und verhaltens­basierte Analyse­verfahren zum Einsatz.

    Logrythm Network Monitor - ImplementierungsvarianteSolche Methoden, die das typische Verhaltens­muster von Usern als Basis heranziehen, werden verstärkt für die Abwehr von Cyber-Angriffen eingesetzt. Ein Anbieter, der ebenfalls auf diese Technik setzt, ist der ungarische IT-Security-Spezialist Balabit mit seiner Lösung Blindspotter (siehe diese Meldung).

    Neuerungen in Kurzform

    Im Schnelldurchlauf weitere neue oder erweiterte Features von Network Monitor 3:

    • Das Big-Data-Plug-in Elasticsearch Kibana ermöglicht es, große Datenmengen in anschauliche, "nutzbare" Informationen umzusetzen.
    • Es werden jetzt 2.700 Applikationen erkannt. Bei Version waren es 1.000 weniger.
    • Dank einer REST-API-Schnittstelle können Admini­stratoren andere Applikationen an Network Monitor anbinden oder auf die Daten der Logrhythm Security Intelligence Platform zugreifen.
    • Es ist einfacher, aus Datenpaketen Bilder oder anderen "Content" auszulesen und zu untersuchen. Dadurch lassen sich Angriffe schneller entdecken.

    Hard- und Software-Appliances

    Network Monitor ist als Hardware-Appliance und als Software-Version verfügbar. Die Hardware-Version unterstützt Netzwerk­bandbreiten von bis zu 10 GBit/s, ist also für große bis sehr große Netzwerke ausgelegt. Die Software-Variante ist dagegen nicht so leistungs­stark. Dafür kann der User die Hardware seiner Wahl einsetzen.

    Wer sich Network Monitor erst einmal ansehen möchte, kann dies unverbindlich tun. Denn neben der Vollversion steht eine "Freemium"-Ausgabe der Software zur Verfügung – mit eingeschränktem Funktionsumfang. So ist keine Anbindung von SIEM-Systemen (Security Incident and Event Management) möglich. Außerdem werden nur Netzwerkdaten über einen Zeitraum von drei Tagen beziehungsweise bis zu einem Volumen von 1 GByte gespeichert (Vollversion: 30 Tage und unbegrenztes Volumen).

    Das Datenblatt von Network Monitor ist auf dieser Web-Seite zu finden.

    Keine Kommentare