آشنایی با اجزای اصلی Cisco Secure Network Analytics

تصور کنید مدیر شبکه یک سازمان بزرگ هستید؛ سازمانی با ده‌ها سرور، صدها کلاینت، چندین شعبه و البته کلی تجهیزات جانبی مثل دوربین‌های مداربسته، تلفن‌های VoIP و سیستم‌های اتوماسیون که همه با هم در ارتباط هستند. در نگاه اول، همه چیز عادی به‌نظر می‌رسد، کاربران به سرورها متصل می‌شوند، دوربین‌ها تصاویر را ذخیره می‌کنند و ارتباط‌های تلفنی هم برقرار است.
اما یک روز صبح کاربری که همیشه راس ساعت ۹ صبح وارد سیستم می‌شد، حالا ساعت ۳ نیمه‌شب لاگین کرده و به یکی از سرورهای حساس دسترسی پیدا کرده. همزمان یکی از دوربین‌های مدار بسته، که قرار بوده فقط تصویر به سرور داخلی بفرستد، شروع کرده هر چند دقیقه یکبار بسته‌های کوچکی به یک IP خارجی ارسال می‌کند. این رفتارها، شاید به‌تنهایی مشکوک به‌نظر نرسند. اما اگر بتوانید تمام این جریان‌های ارتباطی را کنار هم ببینید، تصویر متفاوتی شکل می‌گیرد. تصویر یک تهدید که هنوز پنهان است، اما الگوی رفتاری شبکه را به‌آرامی تغییر داده. درست همین‌جا است که Cisco Secure Network Analytics (SNA) وارد عمل می‌شود. Cisco SNA به جای اینکه فقط دنبال تهدیدهای شناخته‌شده باشد، روی تحلیل رفتار کلی شبکه تمرکز می‌کند. یعنی حتی اگر هیچ نشانه‌ای از حمله در لاگ‌های امنیتی نبینید، Cisco SNA می‌تواند فقط با تکیه بر همین تغییرات رفتاری، نشانه‌های خطر را شناسایی و اعلام کند.

حالا این سیستم پیشرفته از چه اجزایی تشکیل شده، معماری آن چگونه است و چطور کار می‌کند؟ در ادامه مقاله به آن می‎پردازیم.

اجزای اصلی Cisco Secure Network Analytics

برای اینکه Cisco Secure Network Analytics بتواند دید جامع و دقیقی از رفتار شبکه ایجاد کند، از چند مولفه کلیدی استفاده می‌کند که هر کدام وظیفه مشخصی دارند. در ادامه، اجزای Cisco SNA را همراه با نقش و ارتباطشان با کل سیستم بررسی می‌کنیم.

1. Flow Collector – قلب تپنده پایش جریان‌های شبکه

Flow Collector همان‌طور که از اسمش مشخص است، وظیفه جمع‌آوری و ذخیره جریان‌های ترافیکی (Flow Data) را به‌عهده دارد. این داده‌ها از منابع مختلف مثل روترها، سوئیچ‌ها، فایروال‌ها و حتی تجهیزات غیرسازگار (از طریق Flow Sensor) دریافت می‌شوند.

Flow Collector با دریافت و ذخیره این جریان‌ها، پایگاه داده‌ای از رفتارهای عادی شبکه می‌سازد که مبنای تشخیص انحرافات رفتاری در آینده قرار می‌گیرد.
هر Flow اطلاعاتی مثل مبدا، مقصد، پورت‌ها، پروتکل‌ها، مدت‌زمان ارتباط و حجم داده را شامل می‌شود.

ویژگی‌های کلیدی Flow Collector

• پشتیبانی از مدل‌های VE FC 4210/FC 5210
• پردازش قدرتمند: توانایی پردازش 240,000 Flow Per Second (FPS) در هر Flow Collector
• حجم بالای ذخیره‌سازی: امکان ذخیره‌سازی تا 6 ترابایت Flow Data
• پشتیبانی از تعداد زیاد منابع داده: قابلیت مدیریت 4,000 منبع داده در هر Flow Collector
• یکپارچگی با دیگر ابزارهای امنیتی: امکان تعامل با سایر اجزای Cisco Secure Network Analytics و همچنین راهکارهای SIEM برای بررسی جامع‌تر تهدیدات
• تحلیل ترافیک رمزنگاری‌شده (ETA): امکان تحلیل رفتارهای ترافیکی حتی در صورت رمزنگاری داده‌ها

چگونه Flow Collector به امنیت شبکه کمک می‌کند؟
Flow Collector نه‌تنها داده‌های خام ترافیکی را ذخیره می‌کند، بلکه با تحلیل این داده‌ها، تغییرات غیرعادی را شناسایی کرده و هشدارهای امنیتی را صادر می‌کند. این ماژول می‌تواند اطلاعات Telemetry را از منابع مختلف جمع‌آوری کند و با استفاده از داده‌های جهانی تهدیدات (Threat Intelligence) رفتارهای مخرب را شناسایی نماید. با این قابلیت‌ها، Flow Collector به‌عنوان یک رکن اساسی در Cisco SNA عمل کرده و باعث افزایش دید شبکه و بهبود امنیت سایبری سازمان می‌شود.

2. Flow Sensor – چشم سوم برای تجهیزات غیرسازگار

همه تجهیزات شبکه توانایی تولید Flow ندارند. برای همین Cisco Secure Network Analytics از Flow Sensor استفاده می‌کند. Flow Sensor به‌عنوان یک ابزار شنود Passive، ترافیک عبوری از تجهیزات غیرسازگار (مثل سرورهای قدیمی یا برخی دوربین‌های مدار بسته) را Capture و تبدیل به Flow می‌کند تا Flow Collector بتواند تحلیلش کند.

علاوه بر این، Flow Sensor قابلیت تولید ETA enhanced NetFlow را هم دارد که حاوی اطلاعات اضافی برای تحلیل ترافیک رمزنگاری‌شده (Encrypted Traffic Analytics – ETA) است. این یعنی حتی ارتباطات رمزنگاری‌شده هم زیر نظر هستند.

ویژگی‌های کلیدی Flow Sensor

• مدل‌های پشتیبانی‌شده: FS 1210/FS 3210/FS 4210
• پردازش قدرتمند: توانایی پردازش تا 80Gbps ترافیک شبکه
• پشتیبانی از انواع رابط‌های شبکه: شامل 1Gb، 10Gb و 40Gb
• تبدیل داده‌های SPAN به NetFlow: استخراج و تولید داده‌های Flow از طریق دریافت اطلاعات SPAN
• دقت بالا در تحلیل داده‌های شبکه: ایجاد دید جامع از تجهیزات قدیمی و ناسازگار که به‌طور مستقیم از NetFlow پشتیبانی نمی‌کنند

به طور کلی Flow Sensor یکی از اجزای کلیدی در Cisco Secure Network Analytics است که با جمع‌آوری اطلاعات از منابع مختلف، به شناسایی تهدیدات و تحلیل دقیق‌تر رفتارهای شبکه کمک می‌کند.

لایسنس سیسکو SNA

برای خرید لایسنس Cisco SNA با بهترین قیمت و دریافت مشاوره رایگان به این صفحه مراجعه کنید.

مشاهده محصول

3. UDP Director – توزیع هوشمند داده‌های شبکه

در شبکه‌های بزرگ که تعداد منابع داده (روترها، سوئیچ‌ها و …) بالاست، مدیریت و انتقال همه Flowها به Flow Collector می‌تواند چالش‌برانگیز باشد. UDP Director وظیفه دارد داده‌های Flow را از منابع مختلف دریافت و به مقصدهای مناسب مثل Flow Collector یا سیستم‌های تحلیل امنیتی (SIEM) هدایت کند.
این مؤلفه نقش یک هاب مرکزی را بازی می‌کند که توزیع داده‌ها را بهینه کرده و جلوی شلوغی غیرضروری در شبکه را می‌گیرد.

ویژگی‌های کلیدی UDP Director

• مدل پشتیبانی‌شده: VE UDPD 2210
• ارسال داده‌های امنیتی: قابلیت ارسال داده‌های NetFlow، SYSLOG و SNMP به منابع مختلف
• پشتیبانی از نرخ بالای پردازش: توانایی مدیریت 150,000 Packet Per Second (pps)
• بهینه‌سازی ترافیک شبکه: کمک به کاهش ازدحام داده و افزایش بهره‌وری در تحلیل داده‌ها
• یکپارچگی با Flow Collector و SIEM: تضمین توزیع کارآمد داده‌ها برای بهبود نظارت و تحلیل امنیتی

چگونه UDP Director به امنیت شبکه کمک می‌کند؟

1. کاهش فشار روی Flow Collector: با هدایت هوشمندانه داده‌ها، از افزایش بار پردازشی جلوگیری می‌کند.
2. یکپارچگی بهتر با سایر سیستم‌های امنیتی: داده‌های تحلیل‌شده را به SIEM و دیگر سیستم‌های مانیتورینگ ارسال می‌کند.
3. بهینه‌سازی مدیریت جریان‌های داده‌ای: تضمین می‌کند که داده‌های ضروری به مقصدهای صحیح هدایت شوند و از شلوغی غیرضروری شبکه جلوگیری می‌شود.

با این ویژگی‌ها، UDP Director نقشی کلیدی در بهینه‌سازی فرآیند جمع‌آوری و تحلیل داده‌های امنیتی در Cisco Secure Network Analytics ایفا می‌کند.

4. Manager – مغز متفکر مدیریت و تحلیل

Manager، کنسول مدیریتی اصلی است که همه داده‌های جمع‌آوری‌شده را نمایش می‌دهد، تحلیل‌های رفتاری را ارائه می‌کند و گزارش‌های امنیتی را در اختیار تیم‌های SOC قرار می‌دهد.

از طریق این کنسول می‌توانید:

• وضعیت لحظه‌ای شبکه را ببینید.
• رفتارهای غیرعادی شناسایی‌شده را تحلیل کنید.
• هشدارهای امنیتی را بررسی و اولویت‌بندی کنید.
• با دریافت هشدارهای جهانی از Cisco Talos، تهدیدات نوظهور را هم زیر نظر بگیرید.

 این کنسول قابلیت مدیریت و پیکربندی تا 25 Flow Collector را دارد و می‌تواند 10,000 کاربر همزمان را پشتیبانی کند. همچنین مقیاس‌پذیری بالایی داشته و توانایی پردازش تا 6 میلیون FPS را در یک استقرار دارد.

5. Data Store – پایگاه داده توزیع‌شده و بهینه‌سازی‌شده

Data Store یک معماری جدید برای پایگاه داده Cisco Secure Network Analytics محسوب می‌شود که عملکرد ذخیره‌سازی و بازیابی داده را بهبود می‌بخشد. ویژگی‌های کلیدی آن شامل موارد زیر است:

• افزایش مقیاس‌پذیری و انعطاف‌پذیری با تفکیک جریان‌های جمع‌آوری‌شده از فرآیند ذخیره‌سازی
• زمان نگهداری داده بیش از یک سال
• افزایش سرعت پردازش گزارش‌ها به میزان چندین برابر
• افزایش پایداری و تحمل خطا با توزیع داده در چندین نود

پایداری و افزونگی داده

• داده‌های Telemetry به صورت افزونه‌ای در چندین نود ذخیره می‌شوند تا در صورت خرابی یک نود، دسترسی به داده‌ها حفظ شود.
• معماری جدید امکان به‌روزرسانی شبکه و تعویض تجهیزات بدون قطعی را فراهم می‌کند.

عملکرد Data Store در مقایسه با معماری سنتی

ارتباط بین اجزای Cisco Secure Network Analytics (SNA) 

همانطور که در تصویر بالا مشاهده می‌کنید، تمام این اجزا کنار هم، یک اکوسیستم کامل برای پایش رفتارهای شبکه‌ای، تحلیل جریان‌های داده و تشخیص زودهنگام تهدیدات می‌سازند. Cisco Secure Network Analytics (SNA) یک معماری چندلایه و یکپارچه است که تمام اجزای آن مثل تکه‌های یک پازل، کنار هم قرار می‌گیرند تا دید جامع و عمیقی از رفتارهای شبکه ارائه کنند. در ادامه با جزئیات بیشتر ارتباط بین این اجزا را شرح می‌دهیم:

مرحله اول – جمع‌آوری داده‌های جریان (Flow Collection)

همه‌چیز از تجهیزات شبکه شروع می‌شود؛ سوئیچ‌ها، روترها، فایروال‌ها و حتی سرورها، با قابلیت NetFlow، IPFIX یا سایر فرمت‌های جریان‌محور، ترافیک عبوری خود را به شکل Flow خلاصه‌سازی کرده و برای Flow Collector ارسال می‌کنند.

در مواردی که تجهیزات از NetFlow پشتیبانی نمی‌کنند (مثل برخی تجهیزات قدیمی یا دستگاه‌های IoT)، Flow Sensor وارد عمل شده و مستقیماً ترافیک را شنود (Packet Capture) و به Flow تبدیل می‌کند.

تمام این داده‌ها (چه NetFlowهای بومی، چه Flowهای تولیدشده توسط Sensor) به سمت Flow Collector ارسال می‌شود.

مرحله دوم – توزیع بهینه جریان‌ها (Flow Distribution)

در شبکه‌های بزرگ و توزیع‌شده، حجم بالای جریان‌ها نیاز به مدیریت و بهینه‌سازی دارد. UDP Director به‌عنوان یک نقطه متمرکز (Central Aggregator)، تمامی داده‌های Flow را از منابع مختلف دریافت کرده و به شکلی بهینه، به Flow Collector و دیگر ابزارهای تحلیل (مثل SIEM) ارسال می‌کند.

این مکانیزم توزیع، فشار اضافی را از دوش منابع شبکه برمی‌دارد و باعث می‌شود که تجمیع داده‌ها بدون ایجاد سربار (Overhead) در شبکه انجام شود.

مرحله سوم – ذخیره و تحلیل اولیه جریان‌ها (Behavioral Flow Analysis)

Flow Collector پس از دریافت جریان‌های ورودی، آن‌ها را در پایگاه داده خود ذخیره کرده و شروع به تحلیل رفتارهای ارتباطی می‌کند. هر ارتباط بر اساس:

• مبدأ و مقصد
• پروتکل‌ها
• پورت‌ها
• مدت‌زمان ارتباط
• حجم داده‌ها
• الگوهای ارتباطی

ثبت و تحلیل می‌شود. به‌مرور، یک خط مبنای رفتاری (Baseline) از رفتار عادی هر دستگاه و سرویس شکل می‌گیرد. هرگونه انحراف از این الگوهای عادی، به‌عنوان رفتار مشکوک علامت‌گذاری می‌شود.

مرحله چهارم – تحلیل پیشرفته و همبستگی (Advanced Analytics & Threat Intelligence)

داده‌های جمع‌آوری‌شده از Flow Collector به Secure Network Analytics Manager ارسال می‌شود. این کنسول مدیریتی، وظیفه همبستگی (Correlation) بین جریان‌های مختلف، شناسایی الگوهای رفتاری غیرعادی و تولید هشدارهای امنیتی را بر عهده دارد.

در کنار این تحلیل‌های رفتاری، Manager به Threat Intelligence Feed متصل است و آخرین اطلاعات تهدیدات شناخته‌شده جهانی را از Cisco Talos دریافت می‌کند. به این ترتیب، حتی رفتارهای جدید و مشکوکی که تاکنون در شبکه دیده نشده‌اند، در صورت همخوانی با امضاهای رفتاری و الگوهای حمله جهانی، سریع‌تر شناسایی می‌شوند.

مرحله پنجم – نمایش و مدیریت هشدارها (Alerting & Visualization)

تمام یافته‌ها و هشدارها از طریق Dashboard مرکزی Manager در اختیار تیم امنیت قرار می‌گیرد. این داشبورد شامل:

• نقشه ارتباطات شبکه (Network Map)
• الگوهای ارتباطی هر دستگاه (Device Behavioral Profiles)
• هشدارهای اولویت‌بندی‌شده بر اساس شدت و احتمال تهدید (Priority Alerts)
• پیشنهادهای عملیاتی برای مقابله (Suggested Actions)

است. به‌این‌ترتیب، تیم امنیت (SOC) می‌تواند به‌جای غرق شدن در سیل هشدارهای غیرواقعی (False Positive)، با تمرکز بر مهم‌ترین انحرافات، تهدیدات واقعی را شناسایی و مهار کند.

جمع‌بندی – چرا Cisco Secure Network Analytics؟

در دنیای امروزی، مهاجمان دیگر فقط به فکر نفوذ مستقیم نیستند. خیلی وقت‌ها بدون اینکه نشانه خاصی از خود بگذارند، به آرامی در شبکه حرکت می‌کنند، ارتباطات عادی را شبیه‌سازی کرده و سعی می‌کنند تا جای ممکن زیر رادار بمانند.

Cisco Secure Network Analytics با ترکیب دید عمیق به جریان‌های شبکه و تحلیل رفتاری پیشرفته، کمک می‌کند حتی این حرکت‌های پنهان و غیرعادی را هم شناسایی کنید.

مزیت اصلی Cisco SNA این است که نه‌ فقط به لاگ‌ها و رخدادهای امنیتی متکی است و نه منتظر شناسایی بدافزارهای شناخته‌شده می‌ماند. بلکه رفتار خود شبکه و کاربران را زیر نظر می‌گیرد و هر چیزی که با الگوهای عادی همخوانی نداشته باشد، قبل از اینکه به یک بحران بزرگ تبدیل شود، به تیم امنیتی اعلام می‌کند. به بیان ساده، Cisco Secure Network Analytics مثل یک دوربین مدار بسته هوشمند برای شبکه عمل می‌کند که نه‌فقط تصویرهای ثابت، بلکه الگوهای رفتاری و تغییرات دینامیک را هم زیر نظر دارد. این دید رفتاری کمک می‌کند حملات پنهان، دسترسی‌های مشکوک و حتی تهدیدات ناشناخته شناسایی شده و امنیت شبکه همیشه یک قدم جلوتر از مهاجمان باشد.
اکنون که با Cisco Secure Network Analytics و اجزای آن به طور کامل‌تری آشنا شدید، می‌توانید برای مشاوره رایگان و پیاده‌سازی تخصصی این محصول قدرتمند از سیسکو، روی تخصص تیم تتیس‌نت حساب کنید. جهت اطلاعات بیشتر با کارشناسان فنی ما تماس بگیرید.