Стетоскоп | Сетевая аналитика Обзор — Стетоскоп | Сетевая аналитика
rus / eng  

Обзор

Задачи по обнаружению сетевых проблем и контролю сетевой активности встают перед любым администратором сети и многими пользователями практически ежедневно. При этом на запись, индексацию и разбор трафика, выявление источников ошибок, анализ сетевых уязвимостей и анализ сетевой активности могут уходить недели и месяцы. Компания SSECline представляет удобный и понятный инструмент для анализа сетевых взаимодействий и контроля сетевой активности пользователей в Интернете – программу Стетоскоп.

В основу положен принцип контроля трафика с последующей записью на диск и анализом данных. Анализаторы выполняют динамическое выявление протоколов, расшифровку контента, получение метаинформации о сессиях и передают собранные данные индексатору. Индексатор записывает в базу данных информацию о сессиях, которая становится доступна пользователю в специальной консоли управления и мониторинга.

Кому будет полезна программа для контроля и анализа сетевой активности Стетоскоп:

  • Службам, отвечающим за сетевую безопасность и занимающимся расследованием сетевых инцидентов;
  • Компаниям, заинтересованным в контроле интернет-активности работников при помощи понятного инструмента анализа сетевых взаимодействий с возможностью, в том числе, контроля электронных сообщений (SMTP/POP3/IMAP);
  • Администраторам сети для слежения за сетевой активностью операционной системы и программ;
  • Родителям, которые хотят знать, чем занимаются в Интернете их дети;
  • Продвинутым пользователям, желающим держать свой трафик под контролем.

Стетоскоп Free — это бесплатный программный анализатор (x86/AMD64) для контроля сетевого трафика компьютеров локальной сети и сети Интернет. Весь трафик сохраняется и индексируется, что позволяет проводить как ретроспективный анализ, так и анализ в реальном времени по накопленным данным на диске и в базе данных. Поддерживаются геолокация и определение большого количества протоколов прикладного уровня. Реализована гибкая система фильтрации статистики трафика, позволяющая получать срезы по различным атрибутам накопленных данных и расследовать сетевые аномалии.

Запись трафика

Как осуществляется контроль сетевой активности? Стетоскоп записывает и анализирует сетевой трафик, в том числе имеет возможность записи открытого SSL/TLS. Программа умеет вести полную запись всего сетевого трафика, либо же выборочную– для анализа только тех данных, которые соответствуют требованиям пользователя. Кроме того, приложение осуществляет индексацию записанного сетевого трафика по отдельным параметрам для упрощения дальнейшего поиска в общем массиве данных.
Перехват трафика с помощью Стетоскопа возможен тремя разными способами:

  • Вне машины клиента посредством настройки прокси на каждой машине клиента. Анализ зашифрованного трафика (SSL/TLS) реализуется при помощи добавления своего корневого сертификата в браузер клиентской машины и перенаправление трафика через анализирующий сервер;
  • Вне машины клиента. Как и в первом варианте, анализ зашифрованного трафика (SSL/TLS) осуществляется таким же образом, но перенаправление реализуется при помощи специальных настроек маршрутизатора, позволяющих не настраивать прокси-сервер на каждой машине;
  • Непосредственно на машине клиента с помощью внедренного в сетевой стек машины обработчика, который получает открытые данные, в этом случае анализ зашифрованного трафика (SSL/TLS) не производится.

Что происходит после записи сетевого трафика? После перехвата сессий и записи сетевого трафика на диск, программа обрабатывает полученные данные и выводит информацию о сессиях в специальную консоль управления и мониторинга. Работа в консоли поддерживает статический и динамический режимы. В динамическом режиме пользователю автоматически предоставляются новые данные о взаимодействиях пользователей, хостов и процессов операционных систем в режиме, близком к реальному времени.

Статистика

Статистика

Как получить полную картину сетевых потоков? Анализ сетевых взаимодействий необходим для обнаружения и решения проблем с сетью, отладки веб-приложений, сетевых программ или сайтов. Программа позволяет находить в сети потенциально уязвимые области, выявлять аномалии и их причины, расследовать сетевые инциденты, вести контроль за сетевой активностью пользователя в Интернете – и все в удобном и интуитивно понятном интерфейсе. Для этого анализируется записанный программой сетевой трафик и ведется сбор статистики по накопленным данным. При этом анализ сетевых взаимодействий может осуществляться ретроспективно – за любой отрезок времени.

Простой пример: если хост вашего бухгалтера за последний час имел 100 контактов с другими хостами, это может свидетельствовать либо о вирусе, сканирующем сеть, либо о неправильной настройке сети, либо же о том, что сотрудник явно занят не работой.

Программа предоставляет полную картину сетевых потоков, имеет широкие возможности поиска, сортировки и фильтрации данных. Например, записанный сетевой трафик может фильтроваться по пакетам, байтам, сессиям – в зависимости от выбранных пользователем критериев.
Стетоскоп поможет держать под контролем трафик в вашей сети вне зависимости от того, к какой группе пользователей вы относитесь. Стетоскоп предусматривает поддержку формата PCAP, так что если в вашей структуре уже используются продукты, работающие с форматом PCAP, вам не придется отказываться от ваших наработок.

Анализ контента

Анализ контента

Стетоскоп также предоставляет возможность анализировать контент и впоследствии настраивать гибкую систему блокировок и запретов, чтобы избежать утечек информации или, например, нецелевого использования сотрудниками рабочего времени. Программа дает возможности блокирования по заданным фильтрам трафика почты, web-переписки сотрудников, определенного web-контента, вирусов. Приложение осуществляет сохранение объектов – писем, файлов, запросов для последующего анализа контента. Поиск по контенту может вестись с помощью ключевых слов (например, «резюме» в заголовке письма сотрудника может свидетельствовать о том, что он подыскивает себе другую работу).

В ближайших планах – разработка функционала для автоматического выявления нарушения политик информационной безопасности в компании.

Стетоскоп Free

Полнофункциональная рабочая версия программы для личного использования, позволяющая решать базовые задачи по контролю и анализу сетевой активности.

История версий

    11.04.2018 1.5.6
    • - Добавлен функционал нормализации значений валового графика. При наличии на графике больших пиковых значений параметров трафика, средние и низкие значения стали более заметны;
      - Добавлено подробное описание ошибок, выводимых пользователю;
      - Выполнено обновление базы геопозиционирования IP-адресов по состоянию на март 2018 года;
      . . .
    31.01.2018 1.5.5
    • - Добавлена возможность фильтрации сетевых сессий по DNS-именам;
      - Добавлена возможность поиска в окне контента сетевых сессий;
      - Добавлена возможность множественного выбора сетевых сессий для экспорта в файл;
      . . .
    13.10.2017 1.5.4
    • - Добавлена возможность просмотра данных сессий непосредственно в Консоли;
      - Добавлена возможность экспорта отображаемых данных сессий с предварительным получением всех данных сессий;
      - Добавлена индикация текущего состояния для сервисов индексации, сохранения и сервера приложений;
      . . .