威胁情报和资产管理大屏免费升级来了
还记得去年发布的FlowMonitor和NPMonitor吗?
FlowMonitor
FlowMonitor就是网络健康报告,让网络异常一目了然。
目前,FlowMonitor有三个重要更新需要要和大家介绍:
🔷 新增威胁情报模块
要使用威胁情报功能首先要在Panalog上进行威胁情报库的下载和更新,如下图所示:
设置完成后,在大屏上才有数据显示,并且在Panalog中的“威胁情报”,以前是只显示有问题的URL信息,现在增加了域名和IP地址。目前对接了国内外最大的开源威胁情报库,再配合VirusTotal进行问题的排查,基本上可以帮助客户快速发现异常信息。
关于“威胁情报”的使用我们简单介绍一下。
访问排名:威胁情报库里被访问的URL、域名、IP地址的次数由大到小进行排序;
用户排名:内外网用户访问威胁情报库中的URL、域名以及IP地址的次数排名;
情报校验:点击情报校验,则可以找到命中这些情报数据的客户端,从而达到溯源目的。
有了威胁情报功能后,我们不能放过任何的蛛丝马迹,在“访问排名”中,我们给每个显示的域名、URL或是IP地址都链接了“情报校验”,也就是通过VirusTotal进行确认和验证。举例说明:
上图所显示URL被Panalog内置情报显示为恶意,但是任何威胁情报也会出现一些纰漏,最保险的方式就是通过更多的威胁情报进行分析判断,那么VirusTotal就是最好的选择。
我们点开排行第一的URL,在VirusTotal上看到,没有检测到这个URL,并且国内外多家威胁报机构以及安全公司都显示它是干净的,所以,基本上可以排除该URL异常的可能。
但是也不能完全放松警惕,我们继续使用“用户排名”查询时,我们要看排名靠前的IP地址访问的URL是否存在问题,如果有,那么说明该IP的主机可能已经中毒。
通过“威胁情报”还可以直接判断两种异常现象:
1) 外网或是内网IP对多个相似URL进行访问,且被访问的URL呈现明显的规律,则有扫描嫌疑,比如下图所示:
通过客户端排名,可以锁定这类扫描的IP地址。
2)内网IP对外网的一个URL进行多次访问,且该URL已由安全公司加入情报库。比如这次安天CERT曝光的本次病毒攻击的C2域名,Panalog的大屏集成威胁情报后,也采集到了相关信息。
🔷 增加世界地图选项;
🔷 支持具体协议的流量流向显示。
这样一来,我们可以在中国地图和世界地图任意切换并且可以选择某个具体的协议或是应用进行监控。
NPMonitor
NPMonitor是业务健康报告,帮助用户显示业务应用的时延信息。
目前,NPMonitor有两项重要更新和大家介绍:
🔷 增加世界地图选项;
🔷 支持具体协议的时延显示。
以前我们只能看到内网用户访问国内服务器的时延信息,有了世界地图,我们可以方便的看到内网用户访问世界各地服务器的时延信息。
ServerMonitor
ServerMonitor是服务器管理系统,可以帮助数据中心进行资产管理以及流量态势感知。
作为本次更新的重点,接下来给大家详细介绍下该动态大屏的展示信息。
🔷 左边屏信息讲解
资产数:表示被访的数据中心或是内网IP数量;
用户数:表示当前访问数据中心的源IP数量;
域名数:表示被访的数据中心或是内网域名数量;
流量趋势:表示一段时间内访问数据中心或是内网资产的上行和下行流量趋势;
连接趋势:表示一段时间内访问数据中心或是内网资产的连接数趋势;
热点资产:表示当前数据中心或是内网被访问的IP地址排名(基于流量和连接数排出TOP 10);
热点用户:表示当前访问数据中心或是内网的外网用户IP地址排名(基于流量和连接数排出TOP 10)。
🔷 中间屏信息讲解
全球访问:表示访问数据中心或是内网的源IP地址所在的世界地理位置。这是基于网络流量会话的世界地图,需要注意源地址地理位置。例如:平日内来自于非洲访问服务器连接比较少,突然有一天,这个数值变大,需要重点关注。
国内访问:表示访问数据中心或是内网的源IP地址所在的国内地理位置。这是基于网络流量会话的中国地图,需要注意源地址地理位置。例如:平日内来至于新疆访问服务器连接比较少,突然有一天,这个数值变大,需要重点关注。
🔷 右边屏信息讲解
热点应用:表示数据中心或是内网中被访问的应用协议排名(基于流量或是连接数排出TOP 10);
热点域名:表示数据中心或是内网中被访问的域名排名(基于流量或是连接数排出TOP 10);
新增域名:表示相对于5分钟之前,数据中心或是内网被访问的新出现的域名以及访问次数;
热点端口:表示数据中心或是内网被访问的端口号排名;
敏感端口:系统内置了一些容易出现问题的端口号,如果大量的出现该端口号就需要引起重视;
资产时延:表示数据中心或是内网被访问的服务器的应用时延(可简单理解为服务器自身处理数据的时延),通过此模块可以快速判断哪些资产服务器的自身响应出现了问题。
数据中心的资产管理成为了近些年的一项新兴需求,越来越多的数据中心需要有一个合适的系统对整个内网的资产进行梳理,同时实现对这些资产的状态实时监控,并且对可能会出现的异常流量或是攻击行为进行防御。毫无疑问,ServerMonitor的出现正是为了解决以上需求,不仅如此,在企业上云后,ServerMonitor同样可以成为公有云或是私有云的有效监控平台。
下载链接:
http://bbs.panabit.com/forum.php?mod=viewthread&tid=22710&extra=page%3D1
更多精彩: