我正在评估各种基于 Netflow/IPfix 的分析器选项,这些分析器专注于识别安全威胁和异常。如果有人可以提供一份考虑到以下几点的工具列表,我将不胜感激。
- 基于windows或*nix...无所谓。
- 专有工具或开源...没关系,但开源会很好。
- 价格..无所谓。
谢谢
答案1
答案2
以下是一些选项:思科刚刚收购了 Cognitive Security。他们只提供威胁检测。没有流量报告。价格 = ??
Plixer 的 Scrutinizer:他们执行威胁检测,并且在报告方面处于领先地位,尤其是在防火墙出口方面。他们自动进行主机信誉查询。价格 = 适中
Arbor Networks:他们是威胁检测领域的领导者,拥有一些流量报告功能。它具有极强的可扩展性。价格 = 昂贵。
我希望这有帮助。
答案3
查看分析仪时需要考虑的一些事项:
- 您的 NetFlow 数据来自哪里?如果您已经有导出 NetFlow 的路由器和交换机,那么情况可能就很好了,但如果没有,有许多免费的流量导出器可用作软件。
- 您是否希望购买可立即部署的盒子,或者在您自己提供的硬件上运行的软件解决方案?
- 您需要多长时间的数据历史记录?您是在寻找全保真存储,还是可以接受聚合?
我工作的公司生产一种名为 FlowTraq 的 NetFlow 分析器。出于显而易见的原因,我是它的粉丝 :)
其他商业产品包括 SolarWinds、Arbor Networks 和 Lancope。我相信思科也有自己的产品。nTop 和 SiLK 是两种很好的开源工具;即使你最终选择使用商业工具,我建议你先试用一下,熟悉一下术语,并弄清楚你需要 NetFlow 工具的哪些功能。