by Mark Harris 3 mai 2018
Alors que les entreprises dépendent de plus en plus du réseau pour fournir des services et des produits, l'automatisation du réseau devient de plus en plus critique. Le réseau ne prend pas de jours de repos, et lorsque j'étais ingénieur réseau, j'ai appris cela à mes dépens. Il y a des années, j'étais à un barbecue dans mon jardin lorsque mon ancien patron m'a appelé, frénétique : un serveur de fichiers critique a été bloqué à la suite d'une attaque de ransomware. J'ai immédiatement couru vers la console et séparé le site de la cyberattaque du reste du réseau mondial pour atténuer le risque.
Une fois les choses réglées, le CIO a appelé pour demander une mise à jour : Avons-nous perdu des données ? Comment le rançongiciel est-il entré ? Comment s'est-il propagé ? Avons-nous de bonnes sauvegardes ?
Le flux de travail NOC typique est manuel et répétitif. Avec une automatisation du réseau de niveau 0, un NetBrain le diagnostic est automatiquement lancé via l'intégration de l'API dès que votre système de surveillance ou de gestion des événements enregistre un événement.
Je me suis assis dans notre bureau vide et j'ai mis ma casquette de détective à la recherche d'indices parmi la myriade de données numérisées devant moi, ce qui n'était pas une tâche triviale. Je me suis penché sur des dizaines de graphiques, j'ai sauté d'écran en écran dans plusieurs outils, je me suis connecté à des dizaines d'appareils et j'ai même dû appeler quelques-uns de mes collègues pour obtenir une image complète du réseau.
Si seulement j'avais à portée de main les informations sur ce qui se passait sur le réseau juste au moment de la cyberattaque. Si seulement j'avais un script automatisé qui se déclenchait dès qu'une activité malveillante était détectée . . . alors je serais encore en train de savourer mon cheeseburger et mes frites.
Le flux de travail typique du CNO
Des situations comme celle-ci se produisent tout le temps. Considérez le flux de travail typique d'escalade à plusieurs niveaux. Lorsqu'un ticket d'incident d'événement est soumis, un ingénieur de niveau 1 lance un ensemble de base de flux de travail de diagnostic, très probablement basé sur un playbook standard. Habituellement, cela implique de nombreuses collectes de données manuelles via la CLI, suivies d'une navigation dans le texte brut en mode "regarder et comparer". Si l'ingénieur de niveau 1 n'est pas en mesure de résoudre ce problème, le ticket est transmis dans la chaîne alimentaire à l'ingénieur de niveau 2, qui répète probablement le diagnostic de base pour vérifier les données reçues, puis creuse un peu plus profondément. Et puis c'est rincé et répété lorsque le problème s'intensifie jusqu'à un ingénieur de niveau 3.
La surveillance automatisée ne perd pratiquement pas de temps à détecter un événement, mais sa résolution reste un processus manuel très inefficace.
Ce flux de travail NOC typique est manuel et répétitif. Cela implique beaucoup d'efforts dupliqués pour vérifier les données. Au fur et à mesure de l'escalade du ticket, les données de diagnostic fournies sont soit trop peu nombreuses pour en tirer des conclusions, soit trop nombreuses (c'est-à-dire, un vidage de journal). Il doit sûrement y avoir un moyen plus efficace.
NetBrain Présente l'automatisation du réseau de niveau 0
NetBrain redéfinit le flux de travail d'escalade NOC pour commencer par un diagnostic déclenché par un événement. Nous appelons cela un diagnostic de niveau 0. Avec un diagnostic de niveau 0, un NetBrain le diagnostic est automatiquement lancé via l'intégration de l'API dès que votre système de surveillance ou de gestion des événements enregistre un événement. Les données sont immédiatement collectées au moment où l'événement est détecté, et les résultats du diagnostic sont écrits dans le ticket pour que les dépanneurs les examinent et les exploitent.
Les équipes réseau peuvent configurer des diagnostics de niveau 0 avec n'importe quelle plate-forme compatible API, y compris les systèmes de gestion d'événements, les systèmes de billetterie, l'IDS et d'autres systèmes de surveillance.
Un événement système tiers déclenche un appel d'API pour NetBrain pour cartographier et analyser le problème en temps réel, au fur et à mesure qu'il se produit.
Disons que vous intégrez NetBrain avec votre système de détection d'intrusion. Lorsque l'IDS signale une intrusion et déclenche une alerte, NetBrain cartographie automatiquement le chemin de la cyberattaque le long du réseau, rassemble toutes les données pertinentes et évalue l'impact en temps réel. Par conséquent, vous disposez d'une série de données recueillies pendant que l'intrusion était en cours, même si vous ne pouvez analyser le problème que plus tard. Cela ouvre un tout nouveau monde pour les équipes de sécurité : elles peuvent désormais analyser ce qui s'est réellement passé pendant l'événement de sécurité, trouver des vulnérabilités et les atténuer plus rapidement que jamais.
Et le même diagnostic de niveau 0 déclenché par un événement peut être lancé par vos outils de surveillance (SolarWinds et autres), système de billetterie (ServiceNow, BMC Remedy), Splunk ou n'importe quoi avec une API.
Unir tous les systèmes API de votre équipe grâce à NetBrain permet des possibilités presque infinies et une efficacité considérablement améliorée ; pas seulement pour NetBrain mais pour chaque plate-forme de l'écosystème.