Data Sheet >>

Demo >>

HDSD >>

Yêu cầu hệ thống >>

Xuất xứ >>

Mô tả: ​Trellix Network Forensics kết hợp giải pháp thu thập và truy xuất dữ liệu mạng không mất dữ liệu nhanh nhất trong ngành với phân tích và trực quan hóa tập trung. Nó tăng tốc quá trình điều tra mạng bằng một công cụ duy nhất giúp đơn giản hóa việc điều tra và giảm thiểu rủi ro.

Tổng quan về phần mềm

Trellix Network Forensics

Giảm thiểu tác động của các cuộc tấn công mạng bằng tính năng phân tích điều tra và thu thập gói hiệu suất cao.

Tổ chức của bạn cần phát hiện sự cố sớm và điều tra nhanh chóng để xác định phạm vi và tác động, ngăn chặn các mối đe dọa một cách hiệu quả và bảo vệ lại mạng của bạn.

Network Forensics cho phép bạn xác định và giải quyết các sự cố bảo mật nhanh hơn bằng cách thu thập và lập chỉ mục các gói đầy đủ ở tốc độ cao. Với Network Forensics, bạn có thể phát hiện hàng loạt sự cố bảo mật, cải thiện chất lượng phản hồi và định lượng chính xác tác động của từng sự cố.

Là một phần của Network Forensics, các thiết bị phân tích điều tra sẽ phát hiện các mối đe dọa tiềm ẩn và đẩy nhanh quá trình ứng phó sự cố bằng cách thêm một bàn làm việc tập trung với giao diện phân tích dễ sử dụng.

Các nhà phân tích có thể xem xét các gói và phiên mạng cụ thể trước, trong và sau một cuộc tấn công. Bằng cách xây dựng lại và trực quan hóa các sự kiện kích hoạt tải xuống hoặc gọi lại phần mềm độc hại, nhóm bảo mật của bạn có thể phản hồi một cách hiệu quả và nhanh chóng để ngăn chặn sự tái diễn. Họ cũng có thể mở rộng khả năng hiển thị hoạt động của kẻ tấn công bằng cách giải mã các giao thức thường được sử dụng để phát tán các cuộc tấn công trong mạng.

Sự kết hợp độc đáo giữa tính năng thu thập gói hiệu suất cao và phân tích chuyên sâu này giúp tổ chức của bạn nhanh chóng nhận ra và giám sát mọi yếu tố của một cuộc tấn công.

Lợi ích phần mềm

Tính năng chi tiết

Features - Tính năng

Thu thập dữ liệu quan trọng để phát hiện vi phạm nhanh hơn (Capture Vital Data To Detect Breaches Faster)

• Ghi lại và lập chỉ mục các gói mạng có gắn dấu thời gian và thuộc tính kết nối ở tốc độ ghi lên tới 20 Gbps.

Tổng hợp dữ liệu IOC từ nhiều công cụ (Aggregate IOC Data from Multiple Tools)

• Hợp nhất các cảnh báo từ các sản phẩm Trellix và bên thứ ba khác cùng với tất cả siêu dữ liệu mạng trong một bàn làm việc duy nhất với khả năng xoay vòng ngay lập tức “một cú nhấp chuột” sang dữ liệu phiên.

Tập trung khả năng hiển thị dữ liệu mối đe dọa (Centralize Visibility of Threat Data)

• Xem và chia sẻ siêu dữ liệu và hoạt động mạng cụ thể thông qua bảng điều khiển tùy chỉnh dễ tạo và web tìm kiếm, email, FTP, DNS, trò chuyện, chi tiết kết nối SSL và tệp đính kèm.

Thực hiện chiến thuật săn lùng mối đe dọa (Execute Threat Hunting Tactics)

• Tìm kiếm các hoạt động bất thường hoặc độc hại, đáng ngờ hoặc rủi ro có thể khiến các công cụ hiện có của bạn không phát hiện được.

Nhận kết quả nhanh chóng (Get Results Fast)

• Tìm kiếm và truy xuất các kết nối và gói mục tiêu một cách nhanh chóng, đồng thời thực hiện các truy vấn từ khóa, biểu thức chính quy và ký tự đại diện cấp ứng dụng tập trung trên tất cả các cảnh báo, luồng được ghi lại và siêu dữ liệu.

Hỗ trợ kiến trúc đang phát triển (Support Evolving Architectures)

• Triển khai quy mô trên khắp các cơ sở, môi trường kết hợp và đám mây để đáp ứng các yêu cầu phân tán và doanh nghiệp lớn.

Giá bán và chính sách cấp bản quyền

(Lưu ý: Giá trên web có tính chất tham khảo, có thể tăng hoặc giảm so với hiện tại, Quý khách vui lòng liên hệ để có báo giá tốt nhất.)

Packet capture highlights

Hiệu suất cao: Ghi gói không bị mất liên tục với tính năng ghi thời gian ở tốc độ ghi lên tới 20 Gbps

Độ trung thực cao: Lập chỉ mục theo thời gian thực của tất cả các gói đã ghi Captured Packets bằng cách sử dụng dấu thời gian “time stamp” và thuộc tính kết nối “connection attributes”; xuất chỉ mục luồng “flow index” và siêu dữ liệu kết nối “Connection metadata” ở định dạng JSON; chỉ mục luồng có thể được chuyển đổi sang các định dạng NetFlow v9, IPFIX và SiLK Data formats

Ngữ cảnh phong phú: GUI chi tiết, dựa trên web để tìm kiếm và kiểm tra các gói, kết nối và phiên

Kết quả nhanh: Tìm kiếm và truy xuất cực nhanh các kết nối và gói mục tiêu bằng kiến trúc lập chỉ mục được cấp bằng sáng chế

Capture thông minh: Lọc có chọn lọc lưu lượng truy cập đã ghi để loại bỏ phát trực tuyến video, truyền tệp lớn, tải trọng được mã hóa, v.v.

Cải thiện hiệu quả: Quy trình tự động để xác định hành vi trộm cắp dữ liệu, sử dụng thuật toán độc quyền để chẩn đoán hành vi mạng có khả năng bất thường

Khả năng hiển thị mở rộng: Hỗ trợ bộ giải mã phiên để xem và tìm kiếm trên web, email, FTP, DNS, chat, chi tiết kết nối SSL và tệp đính kèm

Table 1. Available packet capture appliances

Model

Capture port configuration

Management ports

Max record speed

Total onboard storage

Dimensions

Power supply/typical operating load

PX 1004S-6

4 x 1GE

1 x 1GbE

500 Mbps

6 TB

1U 17.2” (437mm) x 19.7” (500mm) x 1.7” (44mm) 18 lbs (8.2 kg)

AC, Fixed AC 100–240 V @ 50–60 Hz, IEC60320-C14 inlet

PX 2060ESS-96

4 x 10GE SFP+

2 x 1GbE 

2 Gbps

96 TB, expandable SAS attached storage

2U 17.24” (438mm) x 24.41” (620mm) x 3.48” (88.4mm) 57.3 lbs (26.0 kg)

Redundant (1+1) 800 watt, 100–240 VAC 10.5–4.0A, 50–60 Hz IEC60320-C14 inlet, FRU

PX 2060ESS-120

4 x 10GE SFP+

2 x 1GbE

7.5 Gbps

120 TB, expandable SAS attached storage

2U 17.24” (438mm) x 24.41” (620mm) x 3.48” (88.4mm) 57.3 lbs (26.0 kg)

Redundant (1+1) 800 watt, 100–240 VAC 10.5–4.0A, 50–60 Hz IEC60320-C14 inlet, FRU

Note: All performance values vary depending on the system configuration and traffic profile being processed

Table 2. Available next-generation packet capture appliances

Model

Capture port configuration

Management ports

Max record speed

Total onboard storage

Dimensions

Power supply/typical operating load

7600PX-HW

2p*40G FPGAQSFP Optional 8x10G fiber port

2p*10GT+2p*SFP 

10-20 Gbps

192 TB raw storage, 122 TB for PCAP storage Expandable SAS attached storage

17.2” (437mm) x 25.5” (437mm) x 3.5” (89mm) 81.2 lbs (36.8 kg)

AC 1200W, Titanium Level, Redundancy, PMBus 1.2, +12V/+5Vsb, 360x76x40 mm, HF, RoHS/REACH

7620PX-HW

2p*40G FPGAQSFP Optional 8x10G fiber port 

Optional 8x10G fiber port 2 x 1GbE

14-20 Gbps

No onboard storage; Fibre HBA to external SAN storage

17.2” (437mm) x 25.5” (437mm) x 3.5” (89mm) 63 lbs (28.6 kg)

AC 1200W, Titanium Level, Redundancy, PMBus 1.2, +12V/+5Vsb, 360x76x40 mm, HF, RoHS/REACH

5000SX-HW

- 

- 

- 

704 TB raw storage, 465 TB for PCAP storage

17.2” (437mm) x 25.5” (437mm) x 7” (89mm) 78 lbs (35.4 kg)

AC 1200W, Titanium Level, Redundancy, PMBus 1.2, +12V/+5Vsb, 360x76x40 mm, HF, RoHS/REACH

5600PX-HW

4p*10G FPGA-QSFP ports

2p 10/100/1000 BASE-T ports

6-10 Gbps

120TB raw storage, 80 TB for PCAP storage

17.2” (437mm) x 25.5” (647mm) x 3.5” (89mm) 42 lbs (19.05 kg)

Redundant (1+1), FRU, 920W with Input 100-240V, 11-4.4A, 50-60 Hz IEC60320-C14 inlet

*All performance values vary depending on the system configuration and traffic profile being processed. 

• 7600PX and 7620PX can support continuous packet capture rates up to 20 Gbps with no metadata analysis (with at least one storage array attached). 
• 7600PX and 7620PX can support continuous packet capture rates up to 16 Gbps with metadata analysis (with at least one storage array attached). 
• 7600PX and 7620PX can support continuous packet capture rates up to 14 Gbps with metadata analysis and with up to 10K Suricata rules loaded (with at least one storage array attached). ƒ 7600PX supports continuous packet capture rates up to 10 Gbps with metadata analysis (with no storage array attached). 
• 5600PX can support continuous packet capture rates up to 10 Gbps with metadata analysis (with at least one storage array attached). 
• 5600PX supports continuous packet capture rates up to 6 Gbps with metadata analysis (with no storage array attached)

Table 3. Compliance for available next-generation packet capture appliances

Model

Regulatory compliance EMC

Regulatory compliance safety

Environmental compliance

7600PX-HW

FCC Part 15 Class-A, CE (Class-A), CNS 13438, CISPR 32, VCCI-CISPR32, EN 55035, EN 55032, EN 61000, ICES-003, KN 32, KN 35

CAN/CSA 22.2 No. 62368 UL 62368 IEC 62368 EN 62368 BS EN 62368

RoHS, REACH, Conflict Minerals

5600PX-HW

“FCC Part 15 Class-A, CE (Class-A), CNS 13438, CISPR 32, VCCI-CISPR32, EN 55035, EN 55032, EN 61000, ICES-003, KN 32, KN 35”

“CAN/CSA 22.2 No. 62368 UL 62368 IEC 62368, EN 62368 BS EN 62368”

“RoHS REACH” 

Table 4. Virtual packet capture appliances (support for Azure, ESXi, KVM, and AMI)

Virtual PX appliance specifications

Minimum requirements

Trellix recommended requirements

Performance requirements

CPU cores

4 CPU Cores

8 CPU Cores

16 CPU Cores

Memory

16 GB RAM

32 GB RAM

64 GB RAM

Network interface controllers (NIC)

A dedicated NIC for management

A dedicated NIC for packet capture

A dedicated NIC for management 

A dedicated NIC for packet capture 

A dedicated NIC for management 

A dedicated NIC for packet capture

Hard drives

80 GB hard drive for the Linux OS 

200 GB hard drive for captured data

80 GB hard drive for the Linux OS 

200 GB hard drive for captured data

80 GB hard drive for the Linux OS 

200 GB hard drive for captured data 

Approximate capture rates

25 Mbps (with a limited number of rules)

100 Mbps (with standard device limitations)

1,000 Mbps (with standard device limitations)

Investigation analysis highlights

Các thiết bị phân tích điều tra Trellix hỗ trợ một số cấu hình cho nút đơn và kiến trúc phân tán để tối ưu hóa băng thông và hiệu suất tổng hợp, truy vấn và phân tích siêu dữ liệu.

Trực quan hóa: Xem và chia sẻ siêu dữ liệu cũng như hoạt động của mạng thông qua bảng điều khiển tùy chỉnh dễ tạo

Tìm ra câu trả lời nhanh: Thực hiện các truy vấn từ khóa, biểu thức chính quy và ký tự đại diện cấp ứng dụng tập trung trên tất cả các cảnh báo, luồng được ghi lại và siêu dữ liệu

Giao diện linh hoạt: Xoay vòng và tải xuống dữ liệu PCAP riêng lẻ hoặc hàng loạt ngay lập tức cho các phiên quan tâm

Tìm kiếm mạnh mẽ: Tăng tốc tìm kiếm với siêu dữ liệu được lập chỉ mục từ các giao thức như HTTP, SMTP, POP3, IMAP, SSL, TLS, DNS và FTP

Tập hợp IOC: Hợp nhất các cảnh báo sản phẩm Trellix Network Security, Email Security và Endpoint Security với tất cả siêu dữ liệu mạng trong một bàn làm việc duy nhất với tính năng xoay ngay lập tức bằng một cú nhấp chuột sang dữ liệu phiên từ các cảnh báo

Săn tìm mối đe dọa hồi cứu: Tích hợp các nguồn cấp dữ liệu Trellix Threat Intelligence, STIX và OpenIOC với chức năng tìm kiếm IA tự động để phân tích mối đe dọa IOC ngược thời gian và nhận cảnh báo tự động cho các IOC có trong mạng của bạn vài ngày hoặc vài tuần trước đó

Tái tạo tệp bằng một cú nhấp chuột: Tái tạo các tệp, trang web và email nghi ngờ một cách nhanh chóng và an toàn để phân tích thêm

Table 5. Available next-generation investigation analysis appliances

Model

Total onboard storage

Dimensions

Power supply/typical operating load

2600IA-HW*

120 TB, 82 TB for metadata storage

17.2” (437mm) x 25.5” (437mm) x 3.5” (89mm) 79.4 lbs (36 kg

AC 1200W, Titanium Level, Redundancy, PMBus 1.2, +12V/+5Vsb, 360x76x40 mm, HF, RoHS/REACH

Note: Ingestion rate is 50K events per second. 

*Can be configured as a director node or as a data node

Table 6. Compliance for available next-generation investigation analysis appliances

Model

Regulatory compliance EMC

Regulatory compliance safety

Environmental compliance

2600IA-HW

FCC Part 15 Class-A, CE (Class-A), CNS 13438, CISPR 32, VCCI-CISPR32, EN 55035, EN 55032, EN 61000, ICES-003, KN 32, KN 35

CAN/CSA 22.2 No. 62368 

UL 62368 

IEC 62368 EN 62368 

BS EN 62368

RoHS 

REACH 

Conflict Minerals

Table 7. Virtual investigation analysis appliances (support for Azure, ESXi, KVM, and AMI)  

Minimum requirements

Virtual IA director

Virtual IA data node

CPU cores

16

16

64

Memory (RAM)

32 GB

64 GB

256 GB

Network interface controllers (NIC)

1

1

2 (For multibox clustering)

Hard drives

2.5 TB (IO throughput > 100 MB/s)

1 TB

48 TB (IO throughput) > 1GB/sec

Performance

4–5k/sec

n/a

25–30k/sec (single box cluster)

Retention

7 days

n/a

30 days

Nguồn: https://www.trellix.com/products/network-forensics/