戻る

ネットワーク自動化による「レベル0」診断

著者注 by マーク・ハリス 2018 年 5 月 3 日

企業がサービスや製品を提供するためにネットワークへの依存度を高めるにつれて、ネットワークの自動化がますます重要になっています。 ネットワークには休みがありません。私はネットワーク エンジニアとして、これを苦労して学びました。 何年も前、私が裏庭でバーベキューをしていると、昔の上司から電話がかかってきました。 私はすぐにコンソールに向かい、サイバー攻撃のサイトをグローバルネットワークの残りの部分から隔離して、リスクを軽減しました.

事態が落ち着いた後、CIO から電話があり、更新を求められました。データは失われましたか? ランサムウェアはどのように侵入したのですか? どのように広がったのですか? 適切なバックアップがありますか?

典型的な NOC ワークフローは手動で反復的です。 レベル 0 のネットワーク自動化により、 NetBrain 監視またはイベント管理システムがイベントを登録するとすぐに、API 統合を介して診断が自動的に開始されます。

空っぽのオフィスに座って、目の前にある無数のスキャンデータから手がかりを探すために探偵帽をかぶったのは簡単なことではありませんでした。 私は何十ものグラフに目を通し、複数のツールで画面から画面へとジャンプし、何十ものデバイスにログインし、ネットワークの全体像を把握するために何人かの同僚に電話する必要さえありました.

サイバー攻撃の瞬間にネットワークに何が起こっていたのか、その情報をすぐに手に入れることができれば. 悪意のあるアクティビティが検出された瞬間に開始される自動化されたスクリプトがあれば。 . . それから私はまだチーズバーガーとチップスを味わっています.

典型的な NOC ワークフロー

このような状況は常に発生します。 一般的な階層型エスカレーション ワークフローを考えてみましょう。 イベント トラブル チケットが送信されると、レベル 1 のエンジニアが診断ワークフローの基本セットを開始します。これは、おそらく標準的なプレイブックに基づいています。 通常、これには CLI を介して手動で大量のデータを収集し、続いて「見つめて比較する」モードで生のテキストを調べます。 レベル 1 のエンジニアがこの問題を解決できない場合、チケットはフード チェーンを介してレベル 2 のエンジニアに渡されます。レベル 3 のエンジニアは、基本的な診断を繰り返して受信したデータを検証し、さらに深く掘り下げます。 そして、問題がレベル XNUMX エンジニアにエスカレートすると、すすぎと繰り返しが繰り返されます。

NOC ワークフロー

自動化された監視では、イベントの検出に実質的に時間を無駄にすることはありませんが、その解決は非常に非効率的な手動プロセスのままです。

この典型的な NOC ワークフローは手動で反復的です。 データを検証するには、多くの重複した作業が必要です。 チケットがエスカレートされると、提供される診断データが少なすぎて結論を導き出せないか、多すぎます (つまり、ログ ダンプ)。 確かに、もっと効率的な方法があるはずです。

NetBrain レベル 0 ネットワーク自動化の導入

NetBrain NOC エスカレーション ワークフローを再定義して、イベント トリガー診断から開始します。 これをレベル 0 診断と呼びます。 レベル 0 の診断では、 NetBrain 監視またはイベント管理システムがイベントを登録するとすぐに、API 統合を介して診断が自動的に開始されます。 イベントが検出されるとすぐにデータが収集され、トラブルシューティング担当者が確認して活用できるように、診断結果がチケットに書き込まれます。

ネットワーク チームは、イベント管理システム、チケット システム、IDS、その他の監視システムなど、API 対応のプラットフォームでレベル 0 診断をセットアップできます。

API 統合ロゴ

サードパーティのシステム イベントが API 呼び出しをトリガーします。 NetBrain 問題が発生しているときに、リアルタイムで問題をマッピングして分析します。

統合するとしましょう NetBrain 侵入検知システムで。 IDS が侵入を報告し、アラートを発すると、 NetBrain ネットワークに沿ったサイバー攻撃パスを自動的にマッピングし、関連するすべてのデータを収集してリアルタイムで影響を評価します。 その結果、後になって問題を分析できなくても、侵入の進行中にさまざまなデータが収集されます。 これにより、セキュリティ チームにまったく新しい世界が開かれます。セキュリティ イベント中に実際に何が起こったのかを分析し、脆弱性を見つけて、かつてないほど迅速に緩和できるようになりました。

また、監視ツール (SolarWinds など)、チケット システム (ServiceNow、BMC Remedy)、Splunk、または API を使用するあらゆるものによって、同じイベント トリガーによるレベル 0 診断を開始できます。

チームのすべての API 対応システムを統合する NetBrain ほぼ無限の可能性と大幅に改善された効果を可能にします。 だけでなく NetBrain ただし、エコシステム内のすべてのプラットフォームに対して。

関連記事