Introduction
REMARQUE : Pour obtenir des instructions d'installation détaillées, consultez le guide de configuration de votre appareil réseau.
L'appareil Field Effect est un capteur qui alimente certaines des capacités de détection de Field Effect. Il permet également aux analystes de Field Effect de fonctionner en configuration gérée.
L'appliance Field Effect est installée dans le réseau, qu'il s'agisse d'une appliance matérielle physique (déployée en ligne ou via un miroir passif/SPAN), ou d'une appliance virtuelle déployée dans votre environnement ou hébergée par un tiers. Pour en savoir plus sur les appliances virtuelles, consultez le chapitre sur l'appliance virtuelle Field Effect dans notre base de connaissances.
Une fois en place, l'appliance commence immédiatement à capturer et à stocker tout le trafic de paquets quittant et entrant dans le réseau. L'appliance collecte également les données qui lui sont envoyées par les agents des points d'extrémité.
Les ingénieurs de Field Effect veillent à ce que le déploiement de votre matériel soit à l'épreuve du temps et puisse s'adapter à la croissance de votre entreprise en proposant plusieurs modèles d'appliances. Le modèle qui convient à votre organisation sera déterminé lors de l'évaluation technique initiale avec nos ingénieurs commerciaux.
Catégories d'analyse de réseau :
Les données de télémétrie du réseau collectées sur l'appliance Field Effect et les capteurs distants sont analysées pour signaler les risques liés à la surface des menaces et répondre aux détections de menaces. La section suivante énumère quelques-unes des catégories de menaces et de détection de menaces associées à la télémétrie du réseau.
Risques liés au réseau :
- Configurations non sécurisées - utilisation d'anciens protocoles, d'anciens systèmes de cryptage ou de suites de chiffrement faibles.
- Services exposés - adresses IP publiques qui accèdent à des services tels que les protocoles de bureau à distance (RDP), Secure Shell (SSH), le protocole de transfert de fichiers (FTP), Server Message Block (SMB).
- Identification des actifs - dispositifs hérités et nouveaux dispositifs de l'internet des objets (IoT).
Détection des menaces :
- - Perte de données - modèles anormaux de transferts de données (points finaux, réseau et en nuage).
- - Mouvement latéral - détections au niveau des terminaux et du réseau.
- - Balayages internes du réseau - schémas de connexion indiquant qu'un dispositif effectue un balayage des ports sur le réseau.
- - Connexions associées à des indicateurs de compromission connus.
- - Découverte - analyse du réseau interne.
- - Connexions suspectes - Déviation du comportement d'un nœud et communication à intervalle fixe (balises) pouvant indiquer la présence de logiciels malveillants.
Techniques de surveillance des réseaux :
Les capteurs réseau de Field Effect effectuent une inspection approfondie des paquets à haute résolution et une analyse des protocoles sur l'ensemble du trafic réseau IPv4 et IPv6 qui passe par l'appliance ou qui y est reflété. Field Effect collecte les données NetFlow du trafic et conserve les données brutes sous forme de captures de paquets (PCAP) lorsque cela est possible pour une analyse supplémentaire.
Field Effect extrait des informations du trafic réseau qui soutiennent la surveillance de la sécurité. Il s'agit notamment d'identifier passivement les services réseau et les dispositifs d'empreinte, de collecter les résolutions DNS, de surveiller les connexions et d'identifier les scans. Le capteur réseau Field Effect évalue également les signatures réseau afin d'alerter sur les activités malveillantes connues.
Modèles et caractéristiques des appareils
Les modèles suivants sont disponibles, en fonction de la taille de votre organisation :
Appareils électroménagers | Cas d'utilisation typique |
Les succursales ne disposant pas d'équipement informatique "en rack". | |
Bureaux de taille moyenne ne disposant pas d'équipement informatique "en rack". | |
Environnements distribués et équipements informatiques en place. | |
Environnements distribués nécessitant une fonctionnalité 10Gb/s ou une capacité de stockage supérieure à celle du Business One. | |
Enterprise 1000 | Environnements distribués nécessitant une fonctionnalité de 10 Gb/s ou une capacité de stockage supérieure à celle du Business One Hundred. |
Les opérations/caractéristiques suivantes sont disponibles pour les appareils énumérés ci-dessus:
Fonctionnement | Description |
Capture d'un réseau de paquets complets | Capture, analyse et stocke (au format PCAP) l'intégralité du trafic réseau pour les réseaux IPv4 et IPv6. |
Surveillance de la périphérie du réseau | Surveille les menaces et les vulnérabilités sur tous les appareils d'un réseau. |
Gestion des capteurs de points finaux | Gère les agents des points d'extrémité, ce qui inclut la collecte, le stockage et l'analyse de toutes les données télémétriques. |
Capacités d'ingestion de journaux | Field Effect ingère des données de journal saillantes provenant de sources externes, enrichissant ainsi le contexte de sécurité. Les données de journalisation peuvent provenir de tout ce qui peut générer des données au format "syslog". Field Effect prend également en charge les messages RFC3164 et Common Event Format (CEF). |
Connexions des appareils
Chaque appareil comporte plusieurs ports de connexion obligatoires et optionnels. Ils sont codés par couleur et utilisés pour ce qui suit :
| Connexion | Description |
Vert (obligatoire) |
|
Jaune (obligatoire) |
|
Bleu (obligatoire) |
|
Rouge (facultatif) |
|
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article