В более ранних статьях было рассмотрено несколько обширных тем касательно решения по мониторингу
Cisco StealthWatch. Напомню, что StealthWatch — решение по мониторингу трафика в сети на предмет инцидентов безопасности и легитимности сетевого взаимодействия. В основе работы StealthWatch лежит сбор NetFlow и IPFIX с маршрутизаторов, коммутаторов и других сетевых устройств.
Приведу для справки ссылки на прошлые статьи:
первое представление и возможности,
развертывание и настройка, а также
анализ и расследование инцидентов.
Прошу заметить, мониторинг, в частности Cisco StealthWatch, — это прежде всего решение по детектированию угроз и атак. Все мониторинговые решения не подразумевают в себе предотвращение угроз, однако часто это требуется. У StealthWatch есть интеграция “из коробки” с
Cisco ISE (Identity Services Engine). Интеграция состоит в том, что StealthWatch обнаруживает инцидент безопасности, а Cisco ISE вносит в хост карантин до момента, пока администратор руками его из карантина не вынесет.
В данной статье рассматривается настройка интеграции и пример срабатывания.
Читать дальше →Источник: Хабрахабр