Analysis
   

 

インターネットの出入口に設置する構成


インターネットのアクセスをモニタリングするには適切な設置場所です。
内部情報漏洩のモニタリングにも適切です。

 ○E-DETECTIVEの処理を高める方法

 

○設置方法
(左図のような構成の場合)
L2またはL3スイッチのミラー(SPAN)ポート
に接続する。

 

 

 

 

○取得できるプロトコル
ほとんどのプロトコルがL2(L3)スイッチを通過します。
HTTP/HTTPS(注1)Webアクセス
FTP ファイル転送
POP/IMAP/SMTP メール
Webメール(Google/Hotmail)
IM/P2P… 等をほとんど取得ができます。

 

 

(注1) HTTPSやGoogleメール等を取得するには、SSLオプションが必要です。

(注2) 管理ポートはファイアウォール内部のスイッチに接続することをお勧めいたします。

他社情報
 ■ 企業内部から外部(インターネット)への通信状況を調査する場合に設置する構成例です。

 ■ DMZの入り口のように限定された範囲への設置ではないので、流量が多くなります。

 ■ 状況によって は、「取得フィルタ」を用いて取得する内容を絞り込む必要があります。情報漏洩・検索機能を使って効率的に発見します。

 

 

 

高ネットワークトラフィックの構成


E-DETECTIVEのパケット取得能力は、 (長い経験と研究により)取得プログラムの最適化チューニングや仕組みで、
ハードウェアを使った機器とほぼ同等のパケット取得能力を持っています。


 ○E-DETECTIVEの処理を高める方法

 

○サーバの処理能力を上げる E-DETECTIVEは、ソフトウェアです。
サーバの処理能力を上げることで、最高500Mbpsまでは上がっていきます。(注3)

■CPUのコア数とクロックをあげる(キャプチャと解析の処理CPUを分割する)
■メモリ容量を増やす
■HDDのスピードを高める

○TAP装置を使ってトラフィックを分割する 

 

○ディストリビュ-ションTAP
(VSSモニタリング社製)
ネットワーク側のトラフィックをフィルター(HTTP/FTP/メール..等)
によってプロトコルでま たは全てのトラフィックをラウンドロビンでで分割することが
できます。

分割されたトラフィックをキャチャすることで無理なく全てのパケットを取得、
解析表示かできます。

 

(注3) トラフィック量は、パケットサイズなどにも影響されますので語注ください。

(注4) DRMS(Date Retention Management System)は、E-DETECTIVEのデータをZB以上保存することができます。

他社情報

ブリッジ接続 取得解析分離構成

■ パケットキャプチャ部で取得部と解析部を分担。 1台を取得に特化させたことにより、パケット取得率(取得ロス減少)が向上させることで可能としています。

■ パケットキャプチャ部と解析部を分けることで、それぞれの能力向上し、システム運用の安定性が増し、高度な要求・大規模ネットワークへの対応が可能になり。

 

 

複数ネットワークのモニタリング構成


Netdata Archivaは、E-DETECTIVEの互換性を持つ日本独自の製品です。
従いましてEDシリーズのCMSを利用することで、複数ネットワークや複数遠隔地拠点(海外含む) を一元管理できるシステムをご提供出来ます。


○複数のNetdata ArchivaのデータをDRMSで纏める

1

○DRMS

DRMSは(各EDシステムのデータ(ISOデータファイル)を検索・参
照できるように設計されています。
定期的(自動)にISOファイルがDRMSにアーカイブされます。
大量のISOのファイルを複数同時に開き、横断的に検索ができます。 


○CMSで一元管理

2

○CMS

●分散環境の中で異なる認証によって全ユーザのキャプチャデータを集中管理ができます。
●安全な接続によって複合のED、ED2S、ED/LEMFおよびWDEXシステム
のリモート管理ができます。
●安全な接続による、データ保持管理システムのリモートシステム管理やデータ管理が
できます。
●それぞれの機能や権限を実行するためにデータ
収集、解析、ユーザアクセス及びデータ管理のプロセスを分離することが可能です。

      

競合他社

複数のネットワークの一元管理に
~複数台 取得解析 管理統合クラスタ~

部署ごとのネットワークに対して設置したキャプチャ部を別々に操作・管理することが、非効率的である場合、管理を統合することができる構成例です。

単純な分散構成では複数台のPacket Black Holeで画面を参照することになりますが、この構成例ではクラスタ・コントローラ一台にアクセスするだけで、全ノードのデータを参照できます。