信息安全

众里寻她千百度,却在苏州众里数码

现今网络设备、服务器与资安产品多能支持Syslog或是Flow流量数据的输出功能。对 IT 人员来说,讯息完整的Syslog Data 提供了一个非常简易的查询基础,而Flow Record 则是了解网络用量的最佳帮手。 N-Partner 采用多项创新开发技术所生产的N-Reporter 产品除了具备Syslog/Flow 讯息搜集、储存、实时分析、查询与报表制作等功能之外, 其更大的特点是可以执行Syslog SyslogSyslog Flow 间的关联性分析(Correlation),将来自Flow L3/L4 Packet/Byte 数据与来自Syslog L7 事件内容完美结合,让IT 管理者完全掌握下辖网络的使用细节。N-Reporter 堪称业界效能最优越、功能最强大、操作最亲和的Syslog Flow 报表系统+ 整合分析仪(Reporter + Analyzer)

 

软件功能
 
支持IPv6环境,同时也适用于IPv4 与IPv6双轨运行的环境
不分厂牌和设备,支持各式Syslog资料的搜集
提供Flow 收集的能力,如Netflow V5、Netflow V9、sFlow、flow 等
支持中文Web 操作接口,用户权力可分为管理者与一般使用者
提供CLI(Command Line Interface),可透过Console 或SSH联机进行系统操作;Setup Page 可恢复系统的出厂值
可输入多笔查询条件进行逻辑运算 (or/not),条件包括事件关键词、IP、严重等级等各项参数,输入条件数无限制
不压缩数据时,可储存高达6 亿笔Syslog Data
提供数据压缩技术,其压缩比高达8倍,大幅度提升储存空间利用率
统计1 千万笔Syslog Data 的TOP 1,000 报表仅需48 秒;搜寻5 亿笔Flow 数据内的特定IP 仅耗时300 秒
内建Flow 分析与统计功能,能自动绘制流量图(Packet/Byte) 并产生用量TOP N 表
具备Flow 异常流量智能分析功能,实时分析异常流量(DDoS、Host Scan 等)
可绘制根据第七层行为的流量图
支持SNMP V1/V2 网络设备,系统可呈现出特定内网IP 所在的Switch 位置
系统可下达阻挡特定IP 指令到网络与资安设备进行联防( 注:非所有设备都支持此项功能)
系统提供自动阻挡的联防机置。可以自行定义自动联防的条件
根据Syslog/Flow 历史用量自动学习建立Base Line,能实时分析出发生异常突增的事件或IP,并送出告警
根据资安事件、提供实时Security 事件报表
内建2D/3D、圆饼、长条、曲线等多种图型式样,可依需求客制化报表
支持报表Drill Down 深入查阅行为
脱机报表可依工作时与工作日产生,并能设定自动寄送至指定对象
可以自行订制事件呈现的字段和事件PDF 输出的字段
自定义PDF 输出的LOGO 和版面
提供Windows AD 解析功能,可以将事件的IP 解析出使用者名称(如:Alen)
支持各类主机的用户登入注销的稽核日志报表:Linux、Windows 2003、Windows 2008 等
提供异常登入行为侦测与告警
支持各类数据库的用户登入注销的稽核日志报表:Oracle、MS SQL Server、MySQL 等
支持Windows 档案分享的稽核日志报表
支持数据库备份与回复功能
支持Syslog原始的Rawdata 备份
动态Dashboard 实时呈现与全球( 个别国家/ 地区/ 洲际)IP 的事件关联性
可将Syslog/Flow Data转发至多个目标
支持管理埠的Access List Control,限制可执行管理的IP 白名单
完整的记录用户操作历程,并提供PDF 格式的输出
独创最新压缩的储存技术,并且使用符合国际公认推荐密码模块SHA-256 和DES-256 的加密原则,确保数据的
完整性和不可否认性
提供CPU、风扇和硬盘状态监控,主动通知管理者异常告警
支持SNMP Agent,可提供系统运行状况
支持SNMP Trap,硬件异常可以实时告警
提供Open Interface,使用者可以通透Open Interface取得事件信息
完整的告警通报设定、不同的告警或报表,可以寄送给不同的信件群组
可依客户需求规划                                 
Syslog接收能力最高达10,000EPS以上
可同时搜集100部Syslog 设备
可连接外接式NFS,扩容数据储存空间
 
软硬件的完美结合
N-Reporter 为标准19 吋机架式一机成型(Appliance) 架构,使用专属操作系统,经由简单的管理IP 设定步骤,短短5 分钟即可完成上线,开始搜集Syslog/Flow Data 与进行功能操作。N-Reporter 支持横跨网络(Router、Switch)、资安(Firewall、IDP/IPS、Web Cache Appliance、WAF、UTM)、服务器、数据库、大型主机等设备Syslog 数据收集。
N-Partner 公司RD 团队多年来专注于巨量数据的高效率收集、储存以及分析领域,运用自行开发的数据库优化技术:命名为N-Partner《Smart DB》,可将数据搜寻与统计排序所需要的时间缩减至最短。经过实际环境的验证,N-Reporter 统计1 千万笔Syslog Data 制作成TOP 1,000 报表仅需花费 48 秒钟;而在5 亿笔Flow Records 中要找寻一个多是多个特定IP 则仅需耗时300 秒。
若要完整呈现Syslog/Flow 事件与流量内容并确保统计结果的正确性,Syslog/Flow 资料的接收不容丢失。N-Reporter 提供高达每秒钟10,000 笔的Syslog Data 接收效能,能确保在任何情况下都不会丢失设备所输出的Syslog 数据;而最高等级的Flow 模块则具备超过每秒钟50,000 笔以上的Flow Records 接收能力。
除了能够拥有高速与稳定的处理效能之外,提供简易的维修程序亦是产品以Appliance 架构问世的主要考虑。保固期间内若硬件损坏N-Partner 公司将以整机RMA 方式处理,免去除错时间的浪费。
 
硬件功能
All-in-One Appliance,内建专属OS、数据库与应用程序
Core 2 Quad Q9400 CPU 4MB L2 Cache
Intel 3200 Chipset 1333MHz FSB
4GB RAM DDR2/500GB 7200 rpm HD
512 MB SATA DOM
2T/4T/6T HD for Flow Module
2 Ports Gigabit Ethernet
1U,19 Inch Standard Wide Rack Mount Industry Server
100V-240V,60-50Hz AC power
Maximum Power Consumption: 350 Watts
Dual Redundant Power Supply (NP-RPT-D 机型)
Extended Disk Bay x 3
内建CLI 接口可设定网络参数
 
 
同时输入多笔查询条件
进行逻辑运算与制作报表
在维运的历程中,数据查询是大部分时间里所需执行的工作。当接收的Syslog/Flow Data 越来越多时,能够支持弹性的搜寻条件输入与快速的查询结果呈现是用户对报表工具的基本要求。
N-Reporter 提供智能型的查询功能,搭配逻辑运算概念能够让用户完成各式各样要求下的查询工作。
可输入的参数选项
根据Syslog查询或是根据Flow 查询
设备
设备的接口
时间
事件关键词
使用者名称
来源/ 目的IP( 支持CIDR与不连续区段)
来源/ 目的Port
来源/ 目的国家
Packet/Byte 大小
事件严重等级
事件类型(Traffic、IPS、Web Filter、Anti-Virus、Spam 等)
事件处置动作(Block、Permit 等)
Policy ID
Session ID
 
所谓的逻辑运算指的是多个查询条件间以联集(Or)和排除(Not) 概念所建立的关联性结果。举例来说:若要查询多个事件关键词,可以在输入关键词之间用联集(Or);若是希望排除某些特定的关键词不要呈现于报表之中,则使用排除(Not)指令。
N-Reporter 不仅支持「事件关键词」的逻辑运算,用户亦可针对「IP」选项进行逻辑运算,或是同时进行跨不同选项间的逻辑运算。以下说明几个操作范例:
Event Keyword
P2P+Streaming:
表示欲同时查找含有P2P 或是Streaming
关键词的所有事件。
 
P2P+Streaming!BT:
表示欲同时查找含有P2P 或是Streaming 关键词的所有事件,但是需要排除BT。
 
[IP]
192.168.1.0/24+192.168.2.0/24
表示欲同时查找这两个网段的所有事件。
 
192.168.1.0/24+
192.168.2.0/24!192.168.1.100-200
表示欲同时查找这两个网段的所有事件,但是过滤掉192.168.1.100-200 这个区段的事件。
 
事件搜寻条件可以依据实际需求没有上限的输入, N-Partner《Smart DB》同样给予N-Reporter 快速查询事件的能力,让逻辑运算机制不会因执行大量条件比对而延迟搜寻结果的呈现。
 
Flow 模块进行用量分析
Flow(ex:Netflow/sFlow) 数据在网管工作中经常扮演用量分析的重要角色,IT 管理者藉由Flow 数据了解哪个IP 或是哪个组织单位用量最多;哪种Protocol(ex:Port 80、Port 21) 占去最多的带宽资源等讯息。
N-Reporter 加装Flow 模块后可满足上述IT 管理者对于Flow 分析的需求,诸如:用量TOP N 分析与Drill Down 进阶查询;针对特定对象长期绘制流量图;查询特定IP 或是组织单位的流量使用纪录等。
N-Reporter 的Flow 模块除了支持Netflow V5/V9;sFlow V4/V5;J-Flow 等格式之外,亦可扩充运用于没有Flow 设备但有防火墙建置的环境中。由于大多数的防火墙都支持Syslog 功能,可将流经的网络联机讯息封装成Syslog Data 后输出, N-Reporter 的Flow 模块可将这种型态(Traffic 类别的Syslog Data) 的数据转换成Flow 格式。其好处是:优化未来的查询与分析效能;以及可搭配其他第七层(L7) 资安设备进行关联性整合运用(Correlation)。
 
Syslog与Flow 间的关联性整合运用
过去IT 管理者需要分别建置Syslog 储存系统与Flow 分析机制作为辅助网管工作或是符合法规要求之用。但是独立运作的两套设备所提供的讯息都不是全面性的,导致IT 管理者在执行网络维运与除错时只能往来两套系统反复查询数据后,再自行比对分析找出可能的关联性。
N-Reporter 则能够将搜集来自Flow 的L3/L4 Packet/Byte 数据与来自Syslog 的L7 事件内容作完美结合,让IT 管理者完全掌握下辖网络的使用细节。例如:当IT 管理者从Flow 的TOP N 排行中发现某个IP 或是单位传送了大量的封包,此时透过N-Reporter 的关联性整合功能就可以快速得知这个单位的网络使用行为是甚么内容:原来是透过HTTP 的MP3 下载;亦夹杂着P2P 分享所产生巨量封包。反过来看:从第七层资安设备丢出的Syslog 讯息中察觉到单位正遭受到DDoS 攻击,藉由N-Reporter 的关联性整合功能所绘制的DDoS 攻击流量图,IT 管理者可以知道这样的攻击来自哪里,又各占去了多少带宽资源。
 
丰富多样的实时在线报表
N-Reporter 的实时在线报表系统支持动态显示报表内容与统计图型。用户可依据喜好选择适合的图型样式,包括:圆饼图、直方图、线型图等;或是切换2D/3D 呈现模式。报表功能同样支持逻辑运算概念(Or/Not),使用者可根据各种实际的状况逻辑结合多个过滤参数,让报表产生的结果更贴近使用者的真实所需。例如:服务器遭受严重攻击事件日报表;员工使用社群网站与串流影音的流量周报表;数据库存取记录月统计等。
 
 
报表制作参数包括
事件等级
工作时段( 每日工时区间)
工作日( 星期日至星期六的选项)
报表型态( 日报、周报、半月报、月报、 季报、半年报与年报)
定期寄送时间
指定的报表收件者
报表格式(HTML、PDF、 XML、CSV)
 
脱机报表定期寄送
定期自动产生统计报表让用户无需每日手动执行报表制作与输出的工作。N-Reporter 将根据报表储存功能中用户所定义的报表制作参数,寄送统计报表到指定的电子邮件账号。
此外,N-Reporter 能提供符合HIPPA 国际标准的报表,包括用户登录与注销、登录失败以及读取稽核(Audit) 日志等纪录。
 
自定义分时报表,并提供异常监控功能
管理者可使用过滤条件来定义各式的分时报表,方便长期观察事件或是流量的变化。透过关键词的设定,可观察特定事件的分时变化;更进阶的做法,使用者还能加入从某单位到某单位的过滤条件,形成路径的概念,持续追踪两单位间事件的发生情况。分时报表同时也支持门坎值(Threshold) 的设定。如此只要事件次数暴增,或者发生流量异常时,系统将主动寄发告警邮件通知管理者。
加装Flow 模块的分时报表,可以在同一个分时报表画面里, 同步绘制事件、bps、pps 和session 的线性图方便用户进行交叉比对分析。
 
Action 模块执行联合防御
N-Reporter 拥有优越的实时异常分析能力,使用者可以运用这些有用的分析结果进行更进阶的管理处置作为。N-Reporter 能够透过SNMP 协议与网络设备沟通,进而查询出发生异常突增或是其它值得注意行为的内网IP 位于哪一个Switch 的哪一个Interface 上,IT 管理者就能够视影响网络的严重程度准确地执行更进一步的管制作为( 通常是阻挡这个IP 继续连网),让网络立即恢复正常运作。N-Reporter Action 模块不仅只是呈现恶意IP 与Switch 位置的关联性,搭配特定厂牌的Switch,能允许用户直接在Web 管理接口上右键单击下达IP 封锁指令,省去额外Telnet 到Switch 手动下达指令的麻烦。至于来自网外的攻击, N-Reporter Action 模块则可将IP 封锁指令下达至位于Internet 入口处的网络或是资安设备( 注:非所有厂牌均支持),进行第一时间的防御。
用户也可以根据事件的关键词、定义自动阻挡的条件。系统即可主动分析定义的条件,一旦条件达到门坎值时,自动阻挡该异常的IP 于联防的设备上。
N-Reporter 的Action 模块搭配实时趋势分析功能是发掘并阻挡DDoS 攻击最有效的解决方案!
 
内建人工智能,根据历史纪录自动产出趋势分析报表
N-Reporter 内建的人工智能科技能根据搜集到的Syslog/ Flow 历史资料,自动学习得到Base Line 后,实时比对每一分钟的行为与用量,找出任何发生次数、Packet 数或是Byte 数异常突增的事件、来源IP( 通常是攻击端) 以及目的IP( 通常是被攻击端)。N-Reporter 会主动呈现分析结果于趋势报表功能中, 并将发生异常突增的内容主动寄发通知邮件给IT 管理者以利于第一时间处置网络中的的异常状况。使用者无需猜测与预设合理的Threshold 值(Behavior Base 侦测与分析功能),即可充分掌握网络环境里值得注意的变化,让维运工作显得更轻松容易。N-Reporter 不仅是功能强大的事件查询与报表制作系统,更是一部能真正做到趋势分析的Analyzer。
 
异常登入行为报表
实时分析全网的登入行为,发现异常时,实时的通知管理者, 达到更实时的安全防御机置,可以实时发现Hacker 入侵主机行为,大大减少Hacker 入侵的机率。
智能稽核功能
账号密码猜测
可疑IP登入成功
改变登入IP
 
Dashboard:以全球为观点的事件关联性分析
N-Reporter 能够实时统计使用者所属网段与全球各洲、各国以及地区间的联机行为,并在Dashboard 画面中实时呈现统计结果。用户可点选Dashboard 画面中的任一讯息进行Drill Down 细部查询,系统会转至事件查询画面呈现详细的事件或是用量内容。Dashboard 将持续动态更新讯息。
 
简单易用的操作接口与管理功能
透过Web 接口即可进行N-Reporter 的操作与管理。此外,用户亦可以将N-Reporter 数据库中的数据透过以下方式进行备份或是回复:FTP、NFS 、SMB
 
Syslog 与Netflow 转发功能
使用者可以自行定义Syslog 转发至第三方设备。同样的道理, 也提供Netflow 的转发功能。
 
服务器稽核报表
提供全方位各类主机、数据库的登入注销稽核报表和windows 档案分享的稽核报表。同时提供登入失败和尝试不正确账号登入的记录。透过报表,若发现有大量的登入失败或者大量的不正确账号登入,即明确告知贵公司有部份的主机暴露在入侵的网络环境中。
 
符合稽核规范
使用符合国际公认推荐密码模块SHA-256 和DES-256 的加密原则,确保数据的完整性和不可否认性。
http://csrc.nist.gov/groups/STM/cavp/documents/aes/aesval.html#2416

http://csrc.nist.gov/groups/STM/cavp/documents/shs/shaval.htm#20