Unified Monitoring Digital Performance and Security Solution
Flowmon jest przykładem kontrolera IP Flow, który posiada rozmaite moduły analityczne. Jest to narzędzie typu next generation network monitoring and security.
Rozwiązanie Flowmon jest uzupełnieniem dla mechanizmów IPS takich jak NGFW. Zasada działania flowmon polega na zbieraniu informacji o ruchu w sieci. Rozbudowana funkcja raportowania pozwala wykryć nawet najmniejszą anomalię w ruchu sieciowym. Istotnym czynnikiem jest to, ze system nie działa in-line tylko out-of-line, co pozwala zachować monitoring nawet wówczas gdy dojdzie do incydentu bezpieczeństwa. Pozwala to na określenie poniesionych strat. Dzięki tej funkcjonalności, Flowmon może być wykorzystany jako część większego systemu bezpieczeństwa.
Flowmon posiada w sowim portfolio sondy, które potrafią zbierać nie tylko metadane, ale faktyczną treść komunikacji. Pozwala to na analizę komunikacji między dwoma węzłami. Dzięki temu istnieje możliwość np. debugu na poziomie zapytań SQL lub weryfikacji poprawności komunikacji w protokołach sieciowych.
Flowmon posiada osobno licencjonowane moduły, które rozszerzają możliwości systemu.
Rodzaje licencjonowanych modułów, które rozszerzają możliwości systemu:
Moduł DDoS Defender
Dzięki analizie danych zebranych przez kolektor Flowmon DDoS Defender jest w stanie wykryć atak DDoS oraz przeprowadzić mitygację. Sam moduł nie potrafi filtrować lub całkowicie blokować ruchu, ale potrafi zarządzać takim procesem komunikując się bezpośrednio z urządzeniami sieciowymi.
Podstawowe funkcjonalności to back holing, czyli blokowanie ruchu do atakowanego adresu IP, zakładanie filtrów lub ograniczenie pasma przy wykorzystaniu mechanizmu flow spec. Możliwe jest też przekierowanie ruchu np. do dalszej analizy lub oczyszczenia ruchu.
Funkcji uczenia się oraz dynamicznym progom DDoS Defender skutecznie ogranicza liczbę false positive’ów.
Moduł posiada raportowanie , które dla każdego ataku określa jego długość, typ ataku, ilość ruchu zarówno pod kontem wolumetrycznym jak i pakietów na sekundę, cel ataku oraz źródła (np. top 10).
Moduł ADS
Anomaly Detect System jest kolejnym modułem Flowmona wykorzystującym informacja zgromadzone przez kolektor. Jest to moduł typu Network Behevior Anomaly Detection, co oznacza, że powstał po to by wykrywać nie typowe zdarzenia lub trendy w sieci. Potrafi automatyczne wykryć incydenty bezpieczeństwa, ataki lub błędy konfiguracji.
W przeciwieństwie do narzędzi wykorzystujących analizę statystyczną pozwala na wykonanie analizy na pojedynczej komunikacji pomiędzy dwoma hostami. System uczy się typowego zachowania sieci dzięki uczeniu maszynowemu, heurystyce. Wykorzystuje wzorce ruchu i bezę refutacyjną hostów i adresów IP.
ADS podobnie jak reszta modułów Flowmona posiada rozbudowane raportowanie. Moduł można integrować z systemami SIEM oraz systemami User Identyti Awerness
Moduł APM
Moduł Application Performance Monitoring powstał w celu efektywnego monitorowania działania aplikacji sieciowych. W porównaniu do innych aplikacji monitorujących wydajność aplikacji nie wymaga instalowania dodatkowych agentów lub aktywnego odpytywania aplikacji, lecz monitoruje komunikację pomiędzy klientem, a aplikacją (serwerem). Takie rozwiązanie nie jest zależne od systemu operacyjnego klienta. Jest całkowicie pasywne dla komunikacji – nie wprowadza dodatkowego opóźnienia lub innych zakłóceń w komunikacji.
Jednym z ciekawszych zastosowań rozwiązania jest możliwość monitorowania zachowania aplikacji od żądania klienta po odpowiedź bazy danych.
Dodatkowym atutem moduły jest możliwość badana dostępności – SLA dla realnych akcji użytkownika.
Do swojego działania wymaga wykorzystanie sondy, która powinna się znaleźć jak najbliżej serwera aplikacji.
Sonda Flowmon
Sonda jest urządzeniem, które potrafi pracować na kopii ruchu. Może działać zarówno w wersji fizycznej jak i zwirtualizowanej. Dodatkowo małą sonda z możliwością obsługi do 2x 1Gbps ruchu jest wbudowana w każdy kolektor. Dodatkowo każda sonda powiada wbudowany kolektor, który może obsłużyć tylko i wyłącznie IP Flowy generowany przez daną sondę.
Sonda nie tylko potrafi próbkować ruch i generować IP Flowy, ale także potrafi dostarczyć informacji o warstwach wyższych potrzebnych np. do modułu APM.
Traffic Recorder
Trafic Recorder jest modułem, który do swego działania wymaga sondy. Jak sama nazwa wskazuje służy do zapisywania kopii ruchu do pliku – tzw. dumpy. Integruje się a modułem ADS. Pozwala na pełną inspekcję ruchu, co bywa nieocenione w przypadku wykrycia incydentu bezpieczeństwa lub podczas normalnego debugu komunikacji sieciowej.
Oferta usług utrzymania systemów obejmuje 6 pakietów usług pomocy technicznej VECTOR TECH SOLUTIONS: V-AID Service / EW / NBD / NBD+EW / 24h / 24h+EW. Umożliwiają one wykorzystanie potencjału Firmy VECTOR w zakresie codziennego wsparcia technicznego, rozwiązywania problemów, szybkiego reagowania na problemy krytyczne w sieci oraz utrzymania systemu na najwyższym poziomie wydajności oraz planowania rozwoju sieci.