当前您所在的位置:首页>网络管理 资产和审计>网络管理

DeviceLock EtherSensor

DeviceLock EtherSensorDeviceLockDLP的一个可选网络驻留服务器模块,是一个高性能的网络事件和消息提取系统,使组织能够实时地对企业网络流量进行全面的监控、捕获和分析,目的是重建、过滤和收集传输。TTD应用程序级数据对象(消息、文件、日志等)、它们的元数据,以及记录相关事件。EtherSensor收集的消息、元数据和日志可以发送到DeviceLock DLP的中央日志数据库,以及任何安全操作中心子系统,包括SIEMEdiscoveryUEBA等。DeviceLock EtherSensor在专用或虚拟化Windows服务器上运行时,支持20 Gbps+通道中的流式流量处理。Ethersensor只占用了很小的服务器空间,同时确保了最低的资源消耗和所需的网络通信监控水平。

 

 

通过在服务器模式下利用企业网络流量,DeviceLock EtherSensor可以捕获和记录网络事件,以及重建和收集数千个互联网服务的消息和文件,而不需要使用DeviceLock代理,以便通过电子邮件、网络邮件、社交网络、即时通讯监控内部和外部数据交换。员工、求职服务、博客和论坛。企业用户通过HTTP和FTP协议传输的文件以及上传到云存储的文件也可以被捕获和记录。收集到的事件和数据存储在DeviceLock DLP中央日志数据库中,以便进一步分析,其中包括使用DLP套件的DeviceLock Search Server组件进行索引和全文搜索。

 

Hybrid DeviceLock DLP解决方案的优势

协调使用DeviceLock代理在其主机上实施全功能预防性DLP控制,并结合一个网络驻留的DeviceLock EtherSensor来监视、捕获和分析公司办公室中的所有流量,使组织能够实施一个有效的混合DLP解决方案,包括以下额外的好处:

 

 

 

 

 

DeviceLock EtherSensor是如何工作的?

 

DeviceLock EtherSensor执行以下三项主要任务:

 

 

 

 

设备锁定以太网传感器数据源:

1.来自活动网络设备的网络抽头或以太网端口的网络流量,其中配置了来自特定端口的网络流量复制(镜像,rx和tx数据包)。同样,当解密的SSL/TLS流量副本发送到DeviceLock EtherSensor的网络接口时,DeviceLock EtherSensor可以接收来自各种外部源(如SSL Splitter和下一代防火墙(如Palo Alto Networks, FortiGate)的网络流量。

 

2.从能够解密HTTPS或FTPS会话的外部代理服务器(如SSQUID, Blue Coat Proxy SG, Cisco WSA, Webwasher, FortiGate, Entensys UserGate等)通过ICAP协议接收的纯HTTP和FTP流量。

 

3.PCAP文件可以用于处理存储到本地目录的pcapng和tcpdump/libpcap格式的流量。

 

4.本地和远程Lotus Notes事务日志目录中的数据可由DeviceLockEtherSensor复制,以监视、重建和分析来自Lotus Notes系统的消息。同时,可以实时捕获和处理未加密的Lotus Notes流量,以提取Lotus Notes事件、消息、日历事件等。

 

5.具有Edge角色的MicrosoftLync(Microsoft Skype for Business)服务器的自定义插件可以使用ICAP协议将LYNC消息复制到DeviceLockEtherSensor以进行监视、捕获和处理。

 

 

DeviceLock EtherSensor的基本特点是不干扰被监控网络的流量传输。以太网传感器被动捕获流量,因此它不会以任何方式影响网络基础设施。其正常操作的唯一要求是允许使用镜像端口或网络嗅探器访问网络流量。DeviceLock EtherSensor独立于DeviceLock代理工作,在检测和提取数千个互联网服务的数据时,确保对高达20 Gbps带宽的网络流量进行全面监控。为了进一步降低处理费用,从网络接口和PCAP文件捕获的原始流量数据可以通过内置的Berkeley Packet Filter模块进行预过滤,以从进一步分析中排除“垃圾”流量和不需要的数据。

 

由DeviceLock EtherSensor控制的网络通信

DeviceLock EtherSensor监视、捕获原始流量,并从以下网络通信中提取应用程序级数据:

 

社交媒体:来自社交媒体通信的各种数据(认证凭证、短信、评论等):社交网络,包括Facebook, Instagram, Twitter, LinkedIn, MySpace, Blogger.com,LiveJournal.com, VK.com等;基于phpbb-, ipb-, vbulletin-, and mybb-based的论坛;基于短信/彩信的网络信息服务(包括500多个域)。

 

电子邮件:通过SMTP、POP3和IMAP4协议传输的电子邮件和附件。

 

Webmail:来自以下Webmail服务的传出和传入邮件和附件:g Gmail, Yahoo Mail, Hotmail (Outlook.com), Mail.ru(超过40个域),以及基于SquirrelMail核心的所有服务。

 

IBM(Lotus)Notes:Lotus Notes事件和数据,包括消息和附件、日历事件等。对于加密通信,从Lotus Notes事务日志中提取消息。这些方法不会影响LotusNotes的操作。

 

即时消息:通过Skype即时消息服务发送和接收的消息和文件(包括MS Lync/Skype for Business),XMPP/Jabber, IRC,MSN, Yahoo和OSCAR协议。

 

文件传输:通过HTTP, FTP,SMB/CIFS和WebDAV协议传输的文件。

 

 

北京哲想软件有限公司