Cisco Steathlwatch  یک دید کامل از شبکه فراهم می کند و تجزیه و تحلیل امنیتی پیشرفته ای را برای شناسایی و پاسخ به تهدیدات در زمان خودش اعمال می کند که در واقع از ترکیب behavioral modeling  ، machine learning  و threat intelligence  استفاده می کند .

Cisco Steathlwatch   می تواند با سرعت و با اطمینان بالا تهدیدات  مانند Command and Control attack (C&C)  Ransomware  ، DDOS attack  ، illicit crypto mining ، unknown malware  و تهدیدات داخلی را تشخیص دهد .

با یک راه حل واحد و جامع ، نظارت کامل بر تهدید را در کل ترافیک شبکه دریافت می کنید ، حتی اگر ترافیک رمزگذاری شده باشد. سازمان ها در حال حاضر سرمایه گذاری زیادی در زیرساخت های فناوری اطلاعات و امنیت خود انجام داده اند. با این حال ، تهدیدها در حال یافتن راه هایی برای عبور از زیر ساخت ها هستند. علاوه بر این ، ماهها یا حتی سالها طول می کشد تا تهدیدات را تشخیص دهند. و با وجود تمامی زیرساخت ها و پیچیدگی های آنها ، تهدیدات دائما در حال تکامل هستند و تیم های امنیتی با منابع محدود و ابزارهای جداگانه تنها می توانند کارهای بسیار زیادی انجام دهند. همه ما راه حل های امنیتی مانند فایروال ها داریم ، اما از کجا می دانیم آنهایی که به درستی کار می کنند ، مدیریت می شوند و پیکربندی شده اند؟ از کجا می دانیم این ابزار کارهایی را انجام می دهند که ما به آنها نیاز داریم . تله متری شبکه یک منبع داده غنی است که می تواند اطلاعات مفیدی راجع به اینکه چه کسی به سازمان متصل است و آنچه را که آنها می خواهند ارائه دهد. هر چیزی که می تواند شبکه را به نوعی تحت تاثیر قرار دهد مانند اطلاعاتی که از سمت دیتاسنتر به سمت شعب و بالعکس و همچنین کاربران Wired   و Wireless  را ردیابی و با جزییات دقیق مبدا و مقصد ترافیک را برای ما مشخص کند. تجزیه و تحلیل این داده ها می تواند به شناسایی تهدیدهایی کمک کند که ممکن است راهی برای دور زدن کنترل های موجود شما داشته باشند ، قبل از اینکه بتوانند تأثیر عمده ای داشته باشند. راه حل کمک به شما نرم افزار و پلتفرم Cisco Steathlwatch می باشد که تمامی ترافیک شبکه را رصد و بازبینی می کند. این دید شامل شناخت هر میزبان است ، دیدن اینکه چه کسی به اطلاعاتی در هر نقطه دسترسی دارد . از آنجا ، مهم است که بدانید یک رفتار خاص برای یک کاربر خاص یا “میزبان” چیست و یک base line  ایجاد کنید که از طریق آن می توانید هرگونه تغییر در رفتار کاربر را در لحظه مشاهده و اخطارهای آن را رصد کنید.

افزایش سریع ترافیک رمزگذاری شده ، نوع تهدید را تغییر می دهد. با دیجیتالی شدن مشاغل بیشتر ، تعداد قابل توجهی از خدمات و برنامه ها از رمزگذاری به عنوان روش اصلی ایمن سازی اطلاعات استفاده می کنند. فناوری رمزگذاری ، حریم خصوصی و امنیت بسیار بیشتری را برای شرکتهایی که از اینترنت برای برقراری ارتباط و معامله آنلاین استفاده می کنند ، فراهم کرده است. با این حال  عوامل تهدید آمیز، از این مزایا برای جلوگیری از شناسایی و تأمین فعالیتهای مخرب خود استفاده کرده اند Cisco stealthwatch با استفاده از Machine learning، Flow Control و سایر ابزارهایش توانایی شناسایی، اطلاع دادن به مدیران شبکه و پاسخ های مناسب و خودکار به تهدید ها و ترافیک های مخرب را دارد.

سیسکو برای ارائه محصولات امنیتی مدرن خود ازجمله stealthwatch شرکت Lancope را به ارزش ۴۵۰ میلیون دلار خریداری کرد. تا با کمک این شرکت بتواند محصولی بی نظیر برای تحلیل ترافیک شبکه ارائه کند. و با همکاری این شرکت توانست ویژگی ETA را برای اولین بار در این محصول ارائه کند. در این ویژگی ترافیک های Encrypt  شده توسط قابلیت ETA که توانایی مشاهده ترافیک را به سیستم می دهد.

در واقع این محصول با استفاده از پروتکل های Net flow , G flow  و همچنین S flow  تمامی ترافیک شبکه سازمان را دریافت و شروع به یادگیری رفتارهای ترافیکی می نماید و یک Base Line  از رفتار آنالیز شده را در خود نگهداری می کند و تمامی اطلاعات مربوط به Endpoint  ها و ترافیک ارسالی از سمت داخل به سمت Data Center  و همچنین به خارج از سازمان را با دقت کامل بررسی و آنالیز می کند. اگر نرخ ترافیک ارسالی در شبکه با نرخ Base line  دیده شده در بازه های زمانی مختلف از قبل متفاوت بوده باشد آن هنگام ترافیک را با توجه به الگوریتم هایی که در این سرور قرار دارد به عنوان Anomaly  شناسایی کرده و اگر با سرور ISE  ادغام شده باشد می تواند توسط سرور فوق دسترسی آن کلاینت را محدود کرده و یا از دسترسی به شبکه به طور کامل جلوگیری کند .

پلتفرم Steathlwatch از چهار سرور تشکیل شده است که دو عدد از این سرورها اجزای اصلی می باشند و به عنوان سرورهایی که می بایست نصب و راه اندازی شوند در نظر گرفته می شود . که در مجموع شامل سرور های ذیل می باشند :

  •  Stealthlwatch Management Console (SMC)
  •  Flow Collector
  •  UDP Director
  •  Flow Sensor

دو سرور اول یعنی SMC   و Flow Collector  به عنوان سرورهای اصلی می بایست نصب و راه اندازی شوند و دو سرور دیگر می توانند به عنوان سرورهایی که در شبکه سازمان مورد نیاز باشد استفاده گردد. ترافیک های Net flow  از سمت Device  های شبکه (روتر ، سوییچ و فایروال ) به سمت سرور Flow Collector  رفته و پس از آنالیز و بررسی به سمت سرور SMC هدایت می شود. در سرور SMC  لاگ ها اگر به عنوان Anomaly  شناسایی شده باشند در یکی از Category  های دسته بندی شده سرور SMC  قرار می گیرد و در داشبورد تمامی اطلاعات با جزییات مربوطه نمایش داده می شود .