RSA Netwitness技术概述和商业价值.ppt

RSA Netwitness技术概述和商业价值,为什么封装的（packed）或混淆的（obfuscated）可执行文件在我的系统中使用?,什么样的重要威胁，防病毒软件或IDS可能检 测不到？,我担心有针对性的恶意软件和APTS- 我怎么能在我抓住和分析环境中的这些活动？,我们需要更好地了解和管理内部威胁带来的风险-我希望可见到最终用户的活动，并对一些特定的行为报警？,对于我们高价值的资产，我们如何能明确我们的安全控制措施工作正常部署到位？,怎么能检测到网络中新的Zeus变种或其它0日攻击？,我们需要检测到关键事件，就好象HD摄像机记录的那样,我担心有针对性的恶意软件和APTS- 我怎么能在我抓住和分析环境中的这些活动？,我们需要更好地了解和管理内部威胁带来的风险-我希望可见到最终用户的活动，并对一些特定的行为报警？,对于我们高价值的资产，我们如何能明确我们的安全控制措施工作正常部署到位？,怎么能检测到网络中新的Zeus变种或其它0日攻击？,我们需要检测到关键事件，就好象HD摄像机记录的那样,什么样的重要威胁，防病毒软件或IDS可能检 测不到？,为什么封包的（packed）或混淆的（obfuscated）可执行文件在我的系统中使用,确定的投资. 灵活的投资.,知道一切事 . 回答任何事,介绍NetWitness网络安全分析平台,恶意软件自动分析并确定优先次序,自动威胁报告，报警和集成,任意形式的调查分析和实时解答,内容可视化和快速浏览,获得最棘手的问题的答案,Investigator,2-7 层数据交互式会话分析 屡获大奖的，拥有专利的会话分析 无限自由的分析形式和内容/背景调查 以用户习惯来展现数据Web, Voice, Files, Emails, Chats, 等.) 支持海量数据集 即时浏览基于TB的数据 快速防内息 原来需要几天，现在只要几分钟 全世界有超过45,000的安全专家用它的免费版本,Ethereal 抓包界面,导航(视频),会话浏览(视频),Session Details,Session content preview,自动分析，报告，和报警,Informer,灵活的仪表盘、 图表和摘要显示威胁统一视图 自动回答任何问题 Network Security Security / HR Legal / R&D / Compliance I/T Operations HTML, CSV 和报告格式 支持 CEF, SNMP, syslog, SMTP 集成其他SIEM 系统,仪表盘,Chart Dashboard,Alert and Report Results,报告和自动化分析,一种新的方式来看待一切,Visualize,革命性可视化界面浏览网络上内容 解析并交互表现图像，声音，文件，语音等做分析 支持多点触摸、 下拉、 时间轴和自动的“播放”浏览 快速审查和内容分流,Visualize 内容,放大内容和浏览,使用可视化(视频),恶意软件自动分析，确定优先次序，以及工作流程,Spectrum,模仿技术领先的恶意软件分析方法通过询问数以千计的问题而不需要特征码或已知的“坏”行动 充分利用NetWitness Live融合领先的威胁信息进行评估，评分和排序 利用NetWitness全网络可视性和网络监控能力来提取在所有协议和应用的内容 向安全专业人员给出完整答案，并提供透明度和效率，以及恶意软件的解析过程,定义恶意软件优先级,NetWitness的客户,高危环境中的安全团队 财富10强中的6个 70% 的美国联邦机构 全世界超过5000名安全专家,公认的出色表现: 2010 Inc. 500强, 中的第21位，在美国企业软件公司中排第一 SC Peoples Choice Award 和许多其它行业成就,Netwitness架构,NetWitness 收集架构,Decoder -实时，分布式，高度可配置的网络记录设备（全数据包） Concentrator 收集并分析多个位置的数据 Broker 跨整个架构的单一视图,NextGen架构,大型部署示意,22,22,Demo,展示: 内容检视,Investigator自动将Session重组, 并做分类呈现,点选HTTP可列出HTTP的相关活动信息,NetWitness是分析真实的Protocol, 而不是以Port. 此例子为: 这些活动都是HTTP 活动, 但它们透过不同的Port,