TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
บทความนี้ทางทีมงาน TechTalkThai ขอนำเสนอโซลูชันการติดตามการใช้งานระบบเครือข่ายระดับเทพที่น่าสนใจตัวหนึ่งนะครับ เป็นระบบ Big Data สำหรับจัดเก็บและวิเคราะห์ข้อมูลความปลอดภัยบนระบบเครือข่ายเพื่อป้องกันภัยคุกคามขั้นสูง นั่นคือ DeepSee ของ Solera Networks ซึ่งเป็นผลิตภัณฑ์ภายใต้แบรนด์ของ Blue Coat นั่นเอง
โซลูชันที่ผมจะพูดถึงนี้ เป็นการทำงานร่วมกันระหว่าง Palo Alto Networks ซึ่งให้บริการ Next Generation Firewall ชั้นนำของโลก และตัวอุปกรณ์ Solera DeepSee ซึ่งทำหน้าที่จัดเก็บและวิเคราะห์ข้อมูลเชิงลึกประสิทธิภาพสูง ทำให้ผู้ดูแลระบบสามารถ “มองเห็น” การโจมตีที่เกิดขึ้นในระบบ รวมทั้งสามารถค้นหาต้นตอของปัญหาและจัดการแก้ไขปัญหาที่เกิดขึ้นได้อย่างรวดเร็ว
หลักการทำงาน
โดยปกติแล้ว Palo Alto NGFW สามารถติดตามการใช้งานของผู้ใช้ได้ในระดับหนึ่ง นั่นคือ สามารถตรวจสอบ session ที่เกิดขึ้นได้ว่าเป็นทราฟฟิคที่มาจากหมายเลข IP ใด ไปที่ IP ใด โดยผู้ใช้งานชื่ออะไร แล้วใช้แอพพลิเคชัน, เซอร์วิส, หมายเลขพอร์ทอะไร ที่เวลากี่โมง รวมทั้งขนาดของ packet อย่างไรก็ตาม การติดตามการใช้งานของ Palo Alto NGFW นั้น ไม่สามารถเลือกลงไปดูรายละเอียดเชิงลึกของ session ที่ต้องการได้ว่า หน้าตา packet จริงๆเป็นอย่างไร มีข้อมูล, content เต็มๆอะไรบ้าง ซึ่งจุดนี้เอง Solera DeepSee จะเข้ามาช่วยตอบโจทย์ให้ได้ โดยการทำ Log-Link เชื่อมระหว่างหน้าจอของ Palo Alto NGFW และ Selera DeepSee เข้าด้วยกัน ทำให้ผู้ดูแลระบบสามารถกดปุ่ม URL คลิ๊กเดียว ก็จะถูกลิงค์จากหน้ารายละเอียด session ของ Palo Alto ไปยังหน้ารายละเอียด session เชิงลึกของ Solera DeepSee ทันที ส่งผลให้ผู้ดูแลระบบสามารถย้อนเวลาไปดูเหตุการณ์ที่เกิดขึ้น เพื่อเก็บรวบรวมข้อมูลเชิงลึก session ดังกล่าว แล้วนำไปวิเคราะห์ ตรวจจับการโจมตีหรือพฤติกรรมที่ผิดปกติของผู้ใช้งานได้อย่างเต็มที่
เพื่อให้ง่ายต่อความเข้าใจ เชิญชมวิดีโอสาธิตการทำงานร่วมกันระหว่าง Palo Alto NGFW และ Solera DeepSee ที่นี่ได้เลย ผมทำซับไทยให้ดูง่ายๆแล้วครับ 😀
รายละเอียดเพิ่มเติม: http://www.soleranetworks.co.jp/resource/briefs/Palo-Alto-Networks-Partner-Brief.pdf
