Ecco come lavorano insieme:
* Wireshark per ispezione dei pacchetti profondi: Wireshark eccelle nel fornire analisi dettagliate e di basso livello dei singoli pacchetti di rete. È prezioso per la risoluzione di problemi di rete specifici, identificare la causa principale dei problemi di prestazione e dissezionare i modelli di traffico di rete sospetti. Consente l'esame granulare di intestazioni di pacchetti, carichi utili e tempi.
* Investigatore di netwitness per il contesto e l'indagine di grande immagine: NetWitness Investigator (e simili informazioni sulla sicurezza e gestione degli eventi - SIEM - Systems) è progettato per analizzare enormi quantità di dati di rete per periodi prolungati. Fornisce una panoramica di alto livello e eventi correlati da varie fonti (non solo pacchetti di rete), inclusi i registri di firewall, server e altri dispositivi di sicurezza. Eccelle nell'identificare tendenze, minacce e incidenti di sicurezza più ampi analizzando il contesto e le relazioni tra eventi diversi.
Esempi di scenario di uso combinato:
* Risposta incidente: Un SIEM come NetWitness Investigator potrebbe rilevare attività sospette (ad esempio, un gran numero di tentativi di accesso non riusciti da un indirizzo IP specifico). L'amministratore userebbe quindi Wireshark per acquisire e analizzare i pacchetti da quell'indirizzo IP per vedere esattamente quali tentativi sono stati fatti, quali tecniche sono state utilizzate e identificare eventuali carichi utili dannosi.
* Indagine sul malware: Lo investigatore di NetWitness potrebbe evidenziare connessioni di rete insolite o trasferimenti di file. Wireshark verrebbe quindi impiegato per ispezionare il traffico di rete specifico associato a quell'evento, rivelando potenzialmente il tipo di malware, il suo server di comando e controllo e i dati che si sono esfiltrati.
* Tuning delle prestazioni: NetWitness Investigator potrebbe identificare il traffico di rete insolitamente elevato su un'applicazione o una sottorete specifica durante le ore di punta. Wireshark potrebbe essere utilizzato per diagnosticare il collo di bottiglia analizzando le dimensioni dei pacchetti, i protocolli e le ritrasmissioni.
In sostanza, NetWitness Investigator fornisce il contesto più ampio e avvisa l'amministratore a potenziali problemi, mentre Wireshark fornisce l'immersione profonda necessaria per comprendere i dettagli di eventi specifici e risolverli in modo efficace. Sono strumenti potenti che, se usati insieme, migliorano significativamente la capacità di un amministratore di rete di gestire, monitorare e proteggere una rete.
networking © www.354353.com