NashTech

NashTech entwickelt ein Protokollüberwachungs-Tool zur Verbesserung der Netzwerksicherheit

NashTech entwickelt ein Tool zur Protokollüberwachung, um die Netzwerksicherheit zu verbessern

Einführung

Wir haben ein Protokollüberwachungs-Tool entwickelt, um die Netzsicherheit. Erfahren Sie, wie wir die durchschnittliche Zeit bis zur Erkennung und Behebung von Verstößen verkürzt haben.

Über unseren Kunden

Unsere Partnerorganisation ist ein mittelgroßes Cybersicherheitsunternehmen mit Hauptsitz in den USA. Das Unternehmen ist auf die Analyse des Netzwerkverkehrs spezialisiert und seine Produkte helfen den Kunden, ihre Netzwerke sicher zu nutzen, indem sie bösartige Aktivitäten und Sicherheitsbedrohungen erkennen und verhindern. Es nutzt die Möglichkeiten des maschinellen Lernens und der Bedrohungsintelligenz, um Millionen von Austauschvorgängen in Netzwerken zu analysieren, und gehört aufgrund seiner robusten Sicherheitslösungen zu den Top 10.

Auswirkungen

  • Verbesserte Netzwerktransparenz: Systemadministratoren können nun die Netzwerkaktivitäten der im Netzwerk vorhandenen Geräte verfolgen und analysieren.
  • Reduzierte MTTD: Signifikante Reduzierung der mittleren Zeit bis zur Erkennung (MTTD) und der mittleren Zeit bis zur Beseitigung (MTTR) potenzieller Bedrohungen
  • Rechtzeitige Prävention: Bessere Präventionsmechanismen für bösartige Aktivitäten

Die Herausforderung

Unsere Partnerorganisation wollte ihre Netzwerküberwachungslösungen durch ein Protokollüberwachungstool erweitern. Die Systemadministratoren suchten nach einer Lösung, um die von diesen Protokollen auf dem Server erzeugten Aktivitätsprotokolldateien nicht manuell extrahieren und analysieren zu müssen.

Überwachung der laufenden Aktivitäten der Protokolle

  • Das Active Directory stellt den Dateispeicherort der Protokolle im lokalen Dateisystem nicht zur Verfügung, was den Zugriff auf diese Protokolle zu einer technischen Herausforderung macht.
  • Als Apache Kafka auf dem Windows-Server eingesetzt wurde, stellte sich heraus, dass es nicht mit der Programmiersprache Rust kompatibel war und keine Protokolle für die Nachrichtenwarteschlange erstellen konnte.
  • Bei der Komprimierung von Protokollen, bevor sie in einem Kafka-Thema ausgegeben werden konnten, kam es zu unvermeidlichen Verzögerungen.

Warum Netzüberwachung?

In der heutigen Welt, in der sich alles digital abspielt, kann ein unzuverlässiges Netz ein Unternehmen buchstäblich zum Stillstand bringen. Für die Aufrechterhaltung eines gesunden Rechenzentrums sind Netzwerküberwachungslösungen wichtig, damit Unternehmen ihre Netzwerke besser verwalten und kontrollieren können.

Diese Lösungen bieten Unternehmen die Flexibilität, ihre Netzwerke zu überwachen und zu analysieren, um Fehler zu beheben und misstrauische Aktivitäten in Echtzeit zu erkennen.

Lösung

Die Lösung kam in Form von Prolance, einem Tool zur Protokollüberwachung, das NashTech auf der Programmiersprache Rust aufbaute. Wir wollen verstehen, was dieses Projekt ermöglicht hat:

1. Überwachung der laufenden Aktivitäten der Protokolle

Prolance wurde entwickelt, um die Aktivitäten der folgenden Netzwerkprotokolle zu überwachen:

  • Dynamic Host Configuration Protocol (DHCP) – Dies ist ein Netzwerkverwaltungsprotokoll, das Client-Geräten dynamisch IP-Adressen zuweisen kann.
  • Active Directory (AD) – Dies ist eine Microsoft-Technologie, die es Netzwerkadministratoren ermöglicht, Domänen, Benutzer und Objekte sowie deren Berechtigungen und Zugriffskontrolle innerhalb eines Netzwerks zu erstellen und zu verwalten.
  • Prolance automatisierte die Extraktion und Analyse der DHCP-Audit-Protokolle, die die Netzwerkgeräte überwachen und sich als unschätzbares Diagnosewerkzeug erweisen, wenn die Sicherheit im Netzwerk gefährdet ist. Ebenso geben die AD-Protokolle Aufschluss über einen möglichen Missbrauch von Zugriffsrechten und Privilegien.

2. Herausfiltern der Protokolle entsprechend den Überwachungsanforderungen

Als wir mit der Verarbeitung dieser Protokolle begannen, gab es zwei Szenarien – entweder benötigt der Benutzer Rohprotokolle des Protokolls oder die Protokolle können entsprechend den Überwachungsanforderungen gefiltert werden. Nehmen wir zum Beispiel das Szenario, in dem der Benutzer nur die IP-Adressen und den Gerätenamen aus Tausenden von DHCP-Protokollen abrufen möchte. Es ist eine Filterung erforderlich, damit nur die relevanten Informationen (z. B. die Phasen Discovery, Offer Request und Acknowledge) entsprechend den Benutzeranforderungen extrahiert werden.


3. Kontinuierliches Streaming der Protokolle auf das Kafka-Topic nach der Komprimierung

Unabhängig davon, ob die Protokolle gefiltert oder im Rohzustand verwendet werden, durchlaufen sie einen Komprimierungsprozess, bevor sie in das Kafka-Topic übertragen werden. Apache Kafka wurde hier für die Nachrichtenwarteschlange verwendet, mit der Sie Ihre Verarbeitung skalieren können. Dies geschieht, weil Kafka es ermöglicht, die Verarbeitung auf mehrere Verbraucherinstanzen aufzuteilen. Wir haben die gzip-Komprimierungstechnik verwendet und dem Benutzer die Möglichkeit gegeben, diesen Prozess je nach Bedarf zu planen

Das Ergebnis

  1. Verbesserte Netzwerktransparenz, da Systemadministratoren nun die Netzaktivitäten der im Netz vorhandenen Geräte verfolgen und analysieren können.
  2. Rechtzeitige Vorbeugung gegen potenzielle Schäden im Netzwerk, da Prolance die Kontrolle über böswillige Anmeldungen an Arbeitsplätzen oder unzulässige Softwareinstallationen/Datenübertragungen ermöglicht.
  3. Erhebliche Verringerung der mittleren Zeit bis zur Entdeckung (MTTD) und der mittleren Zeit bis zur Lösung (MTTR ), da die Sicherheitsteams schneller auf Sicherheitsverletzungen reagieren konnten

Weitere Fallstudien lesen

Vom Überwinden von Widrigkeiten zum Reiten der Welle der digitalen Transformation im Bildungssektor

Erfahren Sie, wie NashTech dem Trinity College London hilft, die Welle der digitalen Transformation im Bildungssektor zu reiten

AWS
AWS
Migration und Modernisierung der virtuellen Lernumgebung auf AWS für ein verbessertes Erlebnis

Das migrierte und modernisierte Moodle Infrastruktur bedeutet, dass The Open Die Universität kann nun folgende Vorteile nutzen Cloud-Vorteile.

Ein Einblick in eine einjährige RPA-Reise mit einem führenden digitalen Werbedienst

Ein Einblick in eine einjährige RPA-Reise mit einem führenden Anbieter von digitalen Werbedienstleistungen und -lösungen und wie NashTech ihnen geholfen hat.

Unsere Partnerschaften

Nach oben scrollen
BEISPIEL TITEL
Muster kurz
Musterüberschrift lorem isump
DE FREE WHITEPAPER
Erschließen Sie die Macht des Wissens mit unserem neuen Whitepaper
“Verbesserung der Benutzererfahrung für Produktbesitzer”
KOSTENLOSES WHITEPAPER
Erschließen Sie die Macht des Wissens mit unserem neuen Whitepaper
"Verbesserte Benutzererfahrung für Produktverantwortliche"