什么是遥测技术?
现代企业和数据中心的网络拓扑结构非常复杂。它们包括许多不同的设备(路由器、交换机、本地和云服务器、管理程序、防火墙和其他安全设备、工作站等),使用以太网、光纤和 Wi-Fi 等各种传输介质,并承载着对业务运营至关重要的各种应用程序。这些数字环境需要复杂的报告解决方案,以便为管理员提供网络活动的广泛而精细的可见性。
遥测是从网络环境中收集的数据,可用于分析监测网络及其组件的健康状况和性能、可用性和安全性,使网络管理员能够快速响应并实时解决网络问题。遥测数据有助于维护高可用性、优化和弹性网络。高级遥测分析还可以利用人工智能和机器学习,提供有关网络运行的可操作事件驱动数据,并检测异常网络活动和潜在恶意行为的指标。
遥测组件
为便于收集和分析遥测数据,设备必须配置能将相关指标转发到集中系统的软件,在该系统中,这些指标被摄取到分析引擎中,经过处理后通过分析仪表板提供给 IT 团队成员。网络遥测侧重于网络及其所有关键设备的性能,而端点遥测则侧重于报告单个端点上发生的活动。
为获得对网络遥测的高层次理解,计算机网络的功能可模拟为三个理论 "平面"。这三个平面是
数据平面:将数据包/帧从一个接口转发到另一个接口。如果将数据流比作公路交通,那么数据平面就是公路,通信就是车辆。
控制平面:操作决定数据在设备间传输路径的规则,如路由器或交换机的路由协议。在交通类比中,控制平面可比作交通信号灯和交通标志。
管理平面:控制和监控设备。可以把管理平面比作具有实时交通数据的导航应用程序与城市规划者的组合,后者负责调整交通信号灯和标志,以优化交通流量。
数据和控制平面的遥测数据可用于对网络架构或配置进行知情更改,以提高性能和安全性。先进的网络工程工具和安全产品(如扩展检测和响应 (XDR))可在管理平面上运行,自动调整网络拓扑和配置。
例如,当设备的硬件资源(CPU、内存、硬盘和网络接口)接近耗尽或出现故障,或者设备或应用程序出现意外行为时,可为 IT 团队成员创建警报,负载平衡器或故障切换可自动分配新资源(如 VPS),以保持网络性能。
端点遥测
端点遥测的优势
数据丢失保护
监控电子邮件、文件共享、云 API 或员工工作站等服务,以发现可能表明攻击者试图外泄数据的数据传输异常行为。
认证和授权
监控试图验证和访问托管资源的服务,以发现可疑活动。
系统流程
监控操作系统中的恶意进程,以及在网络攻击中因应用程序被入侵而产生的进程。
系统文件更改
监控操作系统或应用程序的关键系统文件或配置设置的任何更改。
用户行为
监控端点的活动,如敲击键盘和移动鼠标、打开文档或使用互联网。
网络安全遥测技术
遥测数据可通过多种方式应用于网络安全。网络工程师可以使用遥测技术实时观察网络流量,以确保所有系统的可用性和高性能。在更高级的网络安全场景中,遥测数据可用于对增支经营成本做出响应。
例如,XDR 解决方案从网络端点摄取遥测数据,并对报告的 IOC 自动做出反应,隔离端点,利用 IOC 遥测数据调整整个网络环境的防御措施,从而进一步保护网络的其他部分。这使得防御性网络安全战略超越了传统的对传入文件进行已知签名的病毒扫描,并可对所有系统的异常行为进行实时监控。其结果是缩短了停留时间。
端点遥测技术可帮助安全团队提高威胁检测覆盖率,更早地识别恶意活动。
