by Mark Harris 3 mei 2018
Naarmate bedrijven afhankelijker worden van het netwerk om diensten en producten te leveren, wordt netwerkautomatisering steeds belangrijker. Het netwerk neemt geen vrije dagen, en in mijn tijd als netwerkengineer heb ik dit op de harde manier geleerd. Jaren geleden was ik bij een barbecue in de achtertuin toen mijn oude baas in paniek belde: een kritieke bestandsserver was vergrendeld als waarschijnlijk gevolg van een ransomware-aanval. Ik rende onmiddellijk naar de console en scheidde de plaats van de cyberaanval af van de rest van het wereldwijde netwerk om het risico te verkleinen.
Nadat de zaken tot rust waren gekomen, belde de CIO om een update: zijn we gegevens kwijtgeraakt? Hoe is de ransomware binnengekomen? Hoe heeft het zich verspreid? Hebben we goede back-ups?
De typische NOC-workflow is handmatig en repetitief. Met een level-0 netwerk automatisering, een NetBrain diagnose wordt automatisch gestart via API-integratie zodra uw monitoring- of gebeurtenisbeheersysteem een gebeurtenis registreert.
Ik zat in ons lege kantoor en zette mijn detectivepet op op zoek naar aanwijzingen tussen de talloze scangegevens die voor me lagen, wat geen triviale taak was. Ik bekeek tientallen grafieken, sprong van scherm naar scherm in meerdere tools, logde in op tientallen apparaten en moest zelfs een paar van mijn collega's bellen om een compleet beeld van het netwerk te krijgen.
Had ik maar de informatie binnen handbereik over wat er met het netwerk gebeurde op het moment van de cyberaanval. Had ik maar een geautomatiseerd script dat van start ging op het moment dat kwaadaardige activiteit werd gedetecteerd. . . dan zou ik nog steeds genieten van mijn cheeseburger en patat.
De typische NOC-workflow
Situaties als deze gebeuren de hele tijd. Overweeg de typische gelaagde escalatieworkflow. Wanneer een event trouble ticket wordt ingediend, start een level-1 engineer een basisset diagnostische workflows, hoogstwaarschijnlijk gebaseerd op een standaard draaiboek. Meestal gaat dit gepaard met veel handmatige gegevensverzameling via de CLI, gevolgd door het doorbladeren van onbewerkte tekst in de modus "staren en vergelijken". Als de ingenieur van niveau 1 dit probleem niet kan oplossen, wordt het ticket doorgegeven aan de voedselketen naar de ingenieur van niveau 2, die waarschijnlijk de basisdiagnose herhaalt om de ontvangen gegevens te verifiëren en vervolgens een beetje dieper te graven. En dan is het spoelen en herhalen wanneer het probleem escaleert naar een ingenieur van niveau 3.
Geautomatiseerde monitoring verspilt vrijwel geen tijd aan het detecteren van een gebeurtenis, maar het oplossen ervan blijft een zeer inefficiënt handmatig proces.
Deze typische NOC-workflow is handmatig en repetitief. Het vergt veel dubbel werk om gegevens te verifiëren. Naarmate het ticket wordt geëscaleerd, zijn de geleverde diagnostische gegevens ofwel te weinig om conclusies uit te trekken, ofwel te veel (dwz een logboekdump). Er moet toch een efficiëntere manier zijn.
NetBrain Introduceert de Level-0 netwerkautomatisering
NetBrain herdefinieert de NOC-escalatieworkflow om te beginnen met een door een gebeurtenis veroorzaakte diagnose. We noemen dit een niveau-0 diagnose. Bij een diagnose niveau 0, a NetBrain diagnose wordt automatisch gestart via API-integratie zodra uw monitoring- of gebeurtenisbeheersysteem een gebeurtenis registreert. Gegevens worden onmiddellijk verzameld op het moment dat de gebeurtenis wordt gedetecteerd en de resultaten van de diagnose worden naar het ticket geschreven zodat probleemoplossers deze kunnen bekijken en gebruiken.
Netwerkteams kunnen diagnostiek op niveau 0 opzetten met elk platform dat API-compatibel is, inclusief evenementenbeheersystemen, ticketingsystemen, IDS en andere monitoringsystemen.
Een systeemgebeurtenis van derden activeert een API-aanroep naar NetBrain om het probleem in realtime in kaart te brengen en te analyseren, terwijl het gebeurt.
Stel, je integreert NetBrain met uw inbraakdetectiesysteem. Wanneer de IDS een inbraak meldt en een alarm afgeeft, NetBrain brengt automatisch het pad van de cyberaanval langs het netwerk in kaart, verzamelt alle relevante gegevens en beoordeelt de impact in realtime. Als gevolg hiervan beschikt u over een reeks gegevens die zijn verzameld terwijl de inbraak aan de gang was - zelfs als u het probleem pas later kunt analyseren. Dit opent een hele nieuwe wereld voor beveiligingsteams: ze kunnen nu analyseren wat er daadwerkelijk is gebeurd tijdens het beveiligingsgebeurtenis, kwetsbaarheden vinden en deze sneller dan ooit beperken.
En dezelfde door gebeurtenissen getriggerde niveau-0-diagnose kan worden gestart door uw monitoringtools (SolarWinds en anderen), ticketingsysteem (ServiceNow, BMC Remedy), Splunk of iets anders met een API.
Alle API-compatibele systemen van uw team verenigen door middel van NetBrain zorgt voor bijna oneindige mogelijkheden en enorm verbeterde effectiviteit; niet alleen voor NetBrain maar voor elk afzonderlijk platform in het ecosysteem.