什么是ETA?
- 过收集来自全新 Catalyst® 9000 交换机和 Cisco 4000 系列集成多业务路由器的增强型 NetFlow 信息,再与思科 Stealthwatch 的高级安全分析能力进行组合,从而检测加密流量中的恶意病毒。
- 思科通过优化自己的ASIC,可以保证高速实时地进行分析,而且不会影响转发性能
- 能够实现对加密流量进行准确性高达99%的威胁检测,同时实现低于0.01%的误报率
- 使用机器学习技术来分析元数据流量,在加密流量中发现已知威胁
- 使用思科Talos团队提供的网络情报来检测已知攻击签名,加密流量中的已知攻击签名亦可被检测出来。
- 一经发现恶意加密的流量,StealthWatch会对其可以阻断或隔离。
ETA的重要组成部分
Enhanced NetFlow
数据收集包括一组记录,每个记录基于模板的格式,每个记录包括一序列的NetFlow信息元素field,以及每个field对应的具体数值。
包括一条流的五元组信息(IP地址、端口号、协议号),以及报文字节数统计、时间戳,TLS特征等等。
从如上图可以看出,在网元上(交换机或者路由器)通过Enhanced NetFlow收集数据流特征。
Stealthwatch认知分析
思科Stealthwatch基于NetFlow、代理服务器、端点遥测、策略访问引擎。
Stealthwatch集成认知分析以及基于云的分析引擎,使得StealthWatch可以关联业务的全球威胁行为,自动识别被感染主机、指挥控制网络通信、隔离