Mô tả: Trellix Network Forensics kết hợp giải pháp thu thập và truy xuất dữ liệu mạng không mất dữ liệu nhanh nhất trong ngành với phân tích và trực quan hóa tập trung. Nó tăng tốc quá trình điều tra mạng bằng một công cụ duy nhất giúp đơn giản hóa việc điều tra và giảm thiểu rủi ro.
Trellix Network Forensics
Giảm thiểu tác động của các cuộc tấn công mạng bằng tính năng phân tích điều tra và thu thập gói hiệu suất cao.
Tổ chức của bạn cần phát hiện sự cố sớm và điều tra nhanh chóng để xác định phạm vi và tác động, ngăn chặn các mối đe dọa một cách hiệu quả và bảo vệ lại mạng của bạn.
Network Forensics cho phép bạn xác định và giải quyết các sự cố bảo mật nhanh hơn bằng cách thu thập và lập chỉ mục các gói đầy đủ ở tốc độ cao. Với Network Forensics, bạn có thể phát hiện hàng loạt sự cố bảo mật, cải thiện chất lượng phản hồi và định lượng chính xác tác động của từng sự cố.
Là một phần của Network Forensics, các thiết bị phân tích điều tra sẽ phát hiện các mối đe dọa tiềm ẩn và đẩy nhanh quá trình ứng phó sự cố bằng cách thêm một bàn làm việc tập trung với giao diện phân tích dễ sử dụng.
Các nhà phân tích có thể xem xét các gói và phiên mạng cụ thể trước, trong và sau một cuộc tấn công. Bằng cách xây dựng lại và trực quan hóa các sự kiện kích hoạt tải xuống hoặc gọi lại phần mềm độc hại, nhóm bảo mật của bạn có thể phản hồi một cách hiệu quả và nhanh chóng để ngăn chặn sự tái diễn. Họ cũng có thể mở rộng khả năng hiển thị hoạt động của kẻ tấn công bằng cách giải mã các giao thức thường được sử dụng để phát tán các cuộc tấn công trong mạng.
Sự kết hợp độc đáo giữa tính năng thu thập gói hiệu suất cao và phân tích chuyên sâu này giúp tổ chức của bạn nhanh chóng nhận ra và giám sát mọi yếu tố của một cuộc tấn công.
Lợi ích phần mềm
Tiến hành điều tra mối đe dọa hiệu quả (Conduct Effective Threat Investigations)
Phát hiện một loạt các sự cố bảo mật, cải thiện chất lượng phản hồi của bạn và định lượng chính xác tác động của từng sự cố.
Tái thiết chuỗi hành động tấn công mạng (Reconstruct the Cyber Attack Kill Chain)
Phát hiện các mối đe dọa tiềm ẩn và tăng tốc độ ứng phó sự cố bằng cách xem xét các gói và phiên mạng cụ thể trước, trong và sau một cuộc tấn công.
Giảm thời gian trung bình để phát hiện và phản ứng (Reduce the Mean Time to Detect and Respond)
Tăng tốc quá trình điều tra mạng bằng một bàn làm việc duy nhất giúp đơn giản hóa việc điều tra và khắc phục các cuộc tấn công.
Features - Tính năng
Thu thập dữ liệu quan trọng để phát hiện vi phạm nhanh hơn (Capture Vital Data To Detect Breaches Faster)
Tổng hợp dữ liệu IOC từ nhiều công cụ (Aggregate IOC Data from Multiple Tools)
Tập trung khả năng hiển thị dữ liệu mối đe dọa (Centralize Visibility of Threat Data)
Thực hiện chiến thuật săn lùng mối đe dọa (Execute Threat Hunting Tactics)
Nhận kết quả nhanh chóng (Get Results Fast)
Hỗ trợ kiến trúc đang phát triển (Support Evolving Architectures)
(Lưu ý: Giá trên web có tính chất tham khảo, có thể tăng hoặc giảm so với hiện tại, Quý khách vui lòng liên hệ để có báo giá tốt nhất.)
Packet capture highlights
Hiệu suất cao: Ghi gói không bị mất liên tục với tính năng ghi thời gian ở tốc độ ghi lên tới 20 Gbps
Độ trung thực cao: Lập chỉ mục theo thời gian thực của tất cả các gói đã ghi Captured Packets bằng cách sử dụng dấu thời gian “time stamp” và thuộc tính kết nối “connection attributes”; xuất chỉ mục luồng “flow index” và siêu dữ liệu kết nối “Connection metadata” ở định dạng JSON; chỉ mục luồng có thể được chuyển đổi sang các định dạng NetFlow v9, IPFIX và SiLK Data formats
Ngữ cảnh phong phú: GUI chi tiết, dựa trên web để tìm kiếm và kiểm tra các gói, kết nối và phiên
Kết quả nhanh: Tìm kiếm và truy xuất cực nhanh các kết nối và gói mục tiêu bằng kiến trúc lập chỉ mục được cấp bằng sáng chế
Capture thông minh: Lọc có chọn lọc lưu lượng truy cập đã ghi để loại bỏ phát trực tuyến video, truyền tệp lớn, tải trọng được mã hóa, v.v.
Cải thiện hiệu quả: Quy trình tự động để xác định hành vi trộm cắp dữ liệu, sử dụng thuật toán độc quyền để chẩn đoán hành vi mạng có khả năng bất thường
Khả năng hiển thị mở rộng: Hỗ trợ bộ giải mã phiên để xem và tìm kiếm trên web, email, FTP, DNS, chat, chi tiết kết nối SSL và tệp đính kèm
Table 1. Available packet capture appliances
Model
Capture port configuration
Management ports
Max record speed
Total onboard storage
Dimensions
Power supply/typical operating load
PX 1004S-6
4 x 1GE
1 x 1GbE
500 Mbps
6 TB
1U 17.2” (437mm) x 19.7” (500mm) x 1.7” (44mm) 18 lbs (8.2 kg)
AC, Fixed AC 100–240 V @ 50–60 Hz, IEC60320-C14 inlet
PX 2060ESS-96
4 x 10GE SFP+
2 x 1GbE
2 Gbps
96 TB, expandable SAS attached storage
2U 17.24” (438mm) x 24.41” (620mm) x 3.48” (88.4mm) 57.3 lbs (26.0 kg)
Redundant (1+1) 800 watt, 100–240 VAC 10.5–4.0A, 50–60 Hz IEC60320-C14 inlet, FRU
PX 2060ESS-120
7.5 Gbps
120 TB, expandable SAS attached storage
Note: All performance values vary depending on the system configuration and traffic profile being processed
Table 2. Available next-generation packet capture appliances
7600PX-HW
2p*40G FPGAQSFP Optional 8x10G fiber port
2p*10GT+2p*SFP
10-20 Gbps
192 TB raw storage, 122 TB for PCAP storage Expandable SAS attached storage
17.2” (437mm) x 25.5” (437mm) x 3.5” (89mm) 81.2 lbs (36.8 kg)
AC 1200W, Titanium Level, Redundancy, PMBus 1.2, +12V/+5Vsb, 360x76x40 mm, HF, RoHS/REACH
7620PX-HW
Optional 8x10G fiber port 2 x 1GbE
14-20 Gbps
No onboard storage; Fibre HBA to external SAN storage
17.2” (437mm) x 25.5” (437mm) x 3.5” (89mm) 63 lbs (28.6 kg)
5000SX-HW
-
704 TB raw storage, 465 TB for PCAP storage
17.2” (437mm) x 25.5” (437mm) x 7” (89mm) 78 lbs (35.4 kg)
5600PX-HW
4p*10G FPGA-QSFP ports
2p 10/100/1000 BASE-T ports
6-10 Gbps
120TB raw storage, 80 TB for PCAP storage
17.2” (437mm) x 25.5” (647mm) x 3.5” (89mm) 42 lbs (19.05 kg)
Redundant (1+1), FRU, 920W with Input 100-240V, 11-4.4A, 50-60 Hz IEC60320-C14 inlet
*All performance values vary depending on the system configuration and traffic profile being processed.
Table 3. Compliance for available next-generation packet capture appliances
Regulatory compliance EMC
Regulatory compliance safety
Environmental compliance
FCC Part 15 Class-A, CE (Class-A), CNS 13438, CISPR 32, VCCI-CISPR32, EN 55035, EN 55032, EN 61000, ICES-003, KN 32, KN 35
CAN/CSA 22.2 No. 62368 UL 62368 IEC 62368 EN 62368 BS EN 62368
RoHS, REACH, Conflict Minerals
“FCC Part 15 Class-A, CE (Class-A), CNS 13438, CISPR 32, VCCI-CISPR32, EN 55035, EN 55032, EN 61000, ICES-003, KN 32, KN 35”
“CAN/CSA 22.2 No. 62368 UL 62368 IEC 62368, EN 62368 BS EN 62368”
“RoHS REACH”
Table 4. Virtual packet capture appliances (support for Azure, ESXi, KVM, and AMI)
Virtual PX appliance specifications
Minimum requirements
Trellix recommended requirements
Performance requirements
CPU cores
4 CPU Cores
8 CPU Cores
16 CPU Cores
Memory
16 GB RAM
32 GB RAM
64 GB RAM
Network interface controllers (NIC)
A dedicated NIC for management
A dedicated NIC for packet capture
Hard drives
80 GB hard drive for the Linux OS
200 GB hard drive for captured data
Approximate capture rates
25 Mbps (with a limited number of rules)
100 Mbps (with standard device limitations)
1,000 Mbps (with standard device limitations)
Investigation analysis highlights
Các thiết bị phân tích điều tra Trellix hỗ trợ một số cấu hình cho nút đơn và kiến trúc phân tán để tối ưu hóa băng thông và hiệu suất tổng hợp, truy vấn và phân tích siêu dữ liệu.
Trực quan hóa: Xem và chia sẻ siêu dữ liệu cũng như hoạt động của mạng thông qua bảng điều khiển tùy chỉnh dễ tạo
Tìm ra câu trả lời nhanh: Thực hiện các truy vấn từ khóa, biểu thức chính quy và ký tự đại diện cấp ứng dụng tập trung trên tất cả các cảnh báo, luồng được ghi lại và siêu dữ liệu
Giao diện linh hoạt: Xoay vòng và tải xuống dữ liệu PCAP riêng lẻ hoặc hàng loạt ngay lập tức cho các phiên quan tâm
Tìm kiếm mạnh mẽ: Tăng tốc tìm kiếm với siêu dữ liệu được lập chỉ mục từ các giao thức như HTTP, SMTP, POP3, IMAP, SSL, TLS, DNS và FTP
Tập hợp IOC: Hợp nhất các cảnh báo sản phẩm Trellix Network Security, Email Security và Endpoint Security với tất cả siêu dữ liệu mạng trong một bàn làm việc duy nhất với tính năng xoay ngay lập tức bằng một cú nhấp chuột sang dữ liệu phiên từ các cảnh báo
Săn tìm mối đe dọa hồi cứu: Tích hợp các nguồn cấp dữ liệu Trellix Threat Intelligence, STIX và OpenIOC với chức năng tìm kiếm IA tự động để phân tích mối đe dọa IOC ngược thời gian và nhận cảnh báo tự động cho các IOC có trong mạng của bạn vài ngày hoặc vài tuần trước đó
Tái tạo tệp bằng một cú nhấp chuột: Tái tạo các tệp, trang web và email nghi ngờ một cách nhanh chóng và an toàn để phân tích thêm
Table 5. Available next-generation investigation analysis appliances
2600IA-HW*
120 TB, 82 TB for metadata storage
17.2” (437mm) x 25.5” (437mm) x 3.5” (89mm) 79.4 lbs (36 kg
Note: Ingestion rate is 50K events per second.
*Can be configured as a director node or as a data node
Table 6. Compliance for available next-generation investigation analysis appliances
2600IA-HW
CAN/CSA 22.2 No. 62368
UL 62368
IEC 62368 EN 62368
BS EN 62368
RoHS
REACH
Conflict Minerals
Table 7. Virtual investigation analysis appliances (support for Azure, ESXi, KVM, and AMI)
Virtual IA director
Virtual IA data node
16
64
Memory (RAM)
32 GB
64 GB
256 GB
1
2 (For multibox clustering)
2.5 TB (IO throughput > 100 MB/s)
1 TB
48 TB (IO throughput) > 1GB/sec
Performance
4–5k/sec
n/a
25–30k/sec (single box cluster)
Retention
7 days
30 days
Nguồn: https://www.trellix.com/products/network-forensics/