“Conocimiento Redes>Seguridad de Red

¿Por qué un administrador de red utilizaría Wireshark e Investigador de Netwitness juntos?

2015/7/2
Un administrador de la red puede usar Wireshark y Netwitness Investigator juntos para aprovechar las fortalezas de cada herramienta para un análisis de seguridad de red más completo. Son herramientas complementarias, no directas que competían.

Así es como trabajan juntos:

* Wireshark para una inspección de paquetes profundos: Wireshark se destaca para proporcionar un análisis detallado de bajo nivel de paquetes de red individuales. Es invaluable para solucionar problemas de red específicos, identificar la causa raíz de los problemas de rendimiento y diseccionar patrones de tráfico de red sospechosos. Permite el examen granular de encabezados de paquetes, cargas útiles y tiempo.

* Investigador de netwitness para contexto e investigación de gran imagen: El investigador de Netwitness (e información de seguridad similar y gestión de eventos - SIEM - Sistemas) está diseñado para analizar cantidades masivas de datos de red durante períodos prolongados. Proporciona una descripción general de alto nivel, que correlacionan los eventos de varias fuentes (no solo los paquetes de red), incluidos los registros de firewalls, servidores y otros dispositivos de seguridad. Se destaca para identificar tendencias más amplias, amenazas e incidentes de seguridad mediante el análisis del contexto y las relaciones entre diferentes eventos.

Ejemplos de escenario de uso combinado:

* Respuesta de incidentes: Un SIEM como Investigador de Netwitness podría detectar actividades sospechosas (por ejemplo, una gran cantidad de intentos de inicio de sesión fallidos de una dirección IP específica). Luego, el administrador usaría Wireshark para capturar y analizar paquetes de esa dirección IP para ver exactamente qué intentos se hicieron, qué técnicas se usaron e identificar cualquier carga útil maliciosa.

* Investigación de malware: El investigador de Netwitness puede resaltar conexiones de red inusuales o transferencias de archivos. Wireshark se emplearía para inspeccionar el tráfico de red específico asociado con ese evento, revelando potencialmente el tipo de malware, su servidor de comando y control y los datos que exfiltró.

* Ajuste de rendimiento: El investigador de Netwitness podría identificar el tráfico de red inusualmente alto en una aplicación o subred específica durante las horas pico. Wireshark podría usarse para diagnosticar el cuello de botella analizando los tamaños de paquetes, los protocolos y las retransmisiones.

En esencia, el investigador de Netwitness proporciona el contexto más amplio y alerta al administrador sobre problemas potenciales, mientras que Wireshark proporciona la profunda inmersión necesaria para comprender los detalles de eventos específicos y solucionarlos de manera efectiva. Son herramientas poderosas que, cuando se usan juntas, mejoran significativamente la capacidad de un administrador de la red para administrar, monitorear y asegurar una red.

Página anterior:
Página siguiente:
Seguridad de Red
Cómo instalar una cámara de red
¿Por qué se me cerró el puerto de escucha
¿Qué cliente de protección de acceso a red (NAP) recopila y mantiene un estado de salud del sistema?
Cómo prevenir el robo de identidad mediante la eliminación de sus datos personales de los motores de búsqueda
¿Es malo ejecutar 3 firewalls al mismo tiempo?
Cómo prevenir los ataques de desbordamiento de búfer
¿Qué es un túnel seguro
Pasos en Kerberos encriptación
Los últimos artículos de equipo
Artículos de la popular computadora
Más categorías
Conocimiento de la computadora © http://www.ordenador.online