FlowControl

  • Категория: Системы мониторинга
  • Производитель: Sycope

FlowControl – это специализированное решение для анализа сетевого трафика и обнаружения угроз, использующее протоколы NetFlow, sFlow, IPFIX и NSEL. 

Добавить к заказу

FlowControl – это специализированное решение для анализа сетевого трафика и обнаружения угроз, использующее протоколы NetFlow, sFlow, IPFIX и NSEL. Среди прочего, его функциональные возможности включают в себя: диагностику проблем сетевой инфраструктуры, включая настройки сетевых подключений, или узкие места сетевых соединений. Предоставляет подробную информацию о пользовательском трафике, связи между серверами и приложениями. Позволяет отслеживать ошибки и обнаруживать аномалии в среде пользователя. Реализованные и созданные на основе методологии ATT&CK MITRE правила и механизмы обнаружения инцидентов безопасности позволяют обнаруживать атаки и нежелательные действия в сети. Использование BGP FlowSpec позволяет блокировать DDoS-атаки. FlowControl предлагает ряд передовых индикаторов, отчетов и резюме, основанных на практическом опыте инженеров, создавших это решение, накопленном за 20 лет работы в крупнейших компаниях и институтах мира.

Ключевые особенности решения

  • Высокая эффективность и скорость (250 000 потоков в секунду).
  • Гибкие инструменты анализа данных на основе механизмов больших данных, например Google search.
  • Обнаружение инцидентов, нарушений политики безопасности, DDoS-атак, нежелательной коммуникации.
  • Визуализация сетевых подключений, геолокация.
  • Идентификация приложений и хостов, ответственных за сетевую нагрузку.
  • Функциональная валидация политики QoS.
  • Обнаружение и нейтрализация DDoS-атак.
  • Анализ связи на уровне одного сетевого порта.
  • Верификация и анализ сегментации сети L3.
  • Простота установки и настройки – базовая реализация, когда базовая конфигурация экспорта потока занимает один день.

Комплексный анализ сетевого трафика

FlowControl состоит из трех полностью интегрированных модулей – XN, XNS и XND. Модуль XN является основным; он выполняет роль сборщика, одновременно обеспечивая мониторинг и анализ сетевого трафика. Модуль XNS содержит множество правил и алгоритмов, анализирующих инциденты ИТ-безопасности. Модуль XND отвечает за обнаружение и блокировку DDoS-атак. FlowControl записывает, обрабатывает и анализирует все параметры, содержащиеся в NetFlow и связанных протоколах, дополненных данными SNMP, геолокацией и редактируемыми черными и белыми списками IP-адресов. Система, помимо прочего, анализирует параметры TCP/IP на уровнях 3 и 4 (исходный и целевой IP-адрес, протокол, порт), атрибуты трафика, а также номера интерфейсов по направлению трафика (входящий/исходящий), включая IP-адреса сетевых устройств, генерирующих NetFlow. Для мониторинга любой сети любой сложности и архитектуры достаточно одного виртуального устройства, что снижает инвестиционные затраты и сокращает время внедрения.

Рис. 1 - Реализация системы FlowControl в сети на примере организации с двумя филиалами

Сетевой мониторинг FlowControl XN

Flow Control XN собирает и анализирует данные, записанные с помощью протоколов NetFlow, sFlow, IPFIX и NSEL, для определения производительности и пропускной способности сети.

Быстрый доступ к критической информации

Система снабжена интерактивными диаграммами, таблицами и картами, содержащими критические данные, статистику и индикаторы; позволяет анализировать модели поведения сети и поддерживать обнаружение аномалий и их причин; предлагает, среди прочего, следующие функции:

  • Подробная статистика о наиболее активных хостах, приложениях и интерфейсах.
  • Информация о сетевом трафике, разбитом на входящие и исходящие потоки.
  • Списки соединений, включая протоколы, порты, IP-адреса и профиль трафика для соответствующих соединений.
  • Данные о пропускной способности и нагрузке на интерфейс, генерируемой приложениями, сервисами и пользователями.
  • Информация о входящем и исходящем трафике, включая геолокацию публичных IP-адресов.
  • Генерирующие NetFlow и связанные с ним устройства, расположены на картах и планах.
  • Статистические данные, позволяющие оценить правильную конфигурацию и реализацию действующей политики QoS.
  • Автоматическое обновление результатов анализа ежедневных, еженедельных или ежемесячных исторических данных.

Рис. 2- Простой и понятный график показывает хосты, генерирующие наибольший трафик, а также поддерживающие его приложения, и интерфейсы с наибольшей загрузкой.

Легкий доступ к публичным источникам

Система обеспечивает доступ к общедоступным источникам, таким как VirusTotal, непосредственно из анализируемого представления (с помощью правой кнопки мыши) с последующим анализом данных.

Дедупликация NetFlow

Если потоки дублируются из нескольких источников, FlowControl дедуплицирует данные, сохраняя единственную информационную запись. Помимо других преимуществ, механизм дедупликации позволяет:

  • Предоставлять фактические значения объема трафика независимо от применяемых фильтров.
  • Отображать пути трафика на основе полей NetFlow, полученных для одной и той же передачи от нескольких маршрутизаторов.

Мониторинг брандмауэра Cisco ASA

Поддерживая устройства Cisco ASA/NSEL, система обеспечивает полный доступ к трафику на брандмауэрах, которые часто являются единственными устройствами уровня 3 в данном месте, и благодаря этому:

  • Позволяет анализировать данные только для брандмауэров.
  • Устраняет несоответствия в ситуации, когда статистика NSEL комбинируется с типичными данными NetFlow, отправляемыми другими устройствами.
  • Поддержка полей NSEL, выходящих за пределы NetFlow.

Рис. 3 - Распределение трафика по ключевым приложениям с детализацией каждого из них облегчает выявление сетевых проблем, связанных с конкретным приложением.

Анализ NetFlow, включающий автономные системы (AS)

FlowControl предназначен для удовлетворения потребностей крупных организаций, работающих с несколькими соединениями. Поддержка технологии автономной системы (AS) для BGP позволяет:

  • Просмотр и фильтрация данных на основе чисел AS.
  • Визуализация путей движения трафика на основе исходного/транзитного AS.
  • Представление источников, целей и распределения трафика между соединениями или операторами.

Группировка статистики NetFlow

  • Презентация и сетевой анализ для определенных пользователем групп с разбивкой по местоположению, функциям или бизнес-ролям.
  • Группы могут анализироваться как по входящему, так и по исходящему трафику.

FlowControl — быстрый ответ на ключевые вопросы

  • Какие приложения используются? Все ли они легитимны?
  • Кто использует приложения?
  • Какие серверы являются источником трафика?
  • Действительно ли это серверы?
  • До каких серверов доходит трафик? Должны ли они быть доступны?
  • Какие приложения генерируют наибольший трафик?
  • Кто занимает всю доступную полосу пропускания?
  • Правильно ли промаркирован входящий трафик оператора?
  • Какие интерфейсы/маршрутизаторы показывают наибольшую нагрузку ?

FlowControl XNS – IT безопасность

Модуль XNS является расширением системы FlowControl XN, использующийся для обнаружения и анализа аномалий безопасности и угроз в контексте всей организации. Он использует правила и алгоритмы, построенные на основе методологии ATT&CK MITRE, а также два независимых механизма обнаружения угроз – Threat Intelligence и Threat Detection. Механизм Threat Intelligence генерирует оповещения на основе корреляции со списками репутации IP-адресов и подозрительных стран. Механизм Threat Detection обнаруживает угрозы на основе корреляции и агрегации связей между значениями различных параметров, статистикой NetFlow и аналогичных протоколов.

Рис. 4- Топ 10 IP-адресов генерируют наибольшую подозрительную активность

Обнаружение атак, тактик и техник

Использование методологии ATT&CK MITRE позволяет выявлять инциденты, и анализировать последовательности событий и тактики, используемые киберпреступниками. Модуль XNS содержит 65 проприетарных правил, которые, среди прочего, обнаруживают:

•    Атаки, направленные на обход безопасности.

•    Атаки на основе учетных данных, например атаки типа “грубой силы” и атаки на основе связи LLMNR/NetBIOS.

•    Запрещенная сетевая активность, включающая сканирование портов, попытки получить несанкционированный доступ к указанным службам, а также аномалии в сетевом трафике.

•    Атаки на основе удаленного доступа, например, через RDP.

•    Действия, которые указывают на атаки C&C, включая, среди прочего:

  • Активность на подозрительных портах (на основе черных и белых списков)
  • Незашифрованные соединения с критическими серверами и службами.
  • Соединения с подозрительными IP-адресами,
  • Ботнет, Вредоносное ПО, С2, Вымогатели.
  • Нарушения политики безопасности, состоящие в использовании TOR, Open DNS или Open Proxy, запрещенных P2P-активностях.
  • Потенциальные утечки данных

Рис. 5 - Ключевые еженедельные показатели позволяют анализировать тенденции безопасности.

Оперативный центр безопасности

Модуль XNS оснащен диаграммами, индикаторами и таблицами, адаптированными к специфике работы команды SOC, на основе анализа протокола NetFlow:

  • Быстрое обнаружение угроз на уровне организации с учетом различных категорий уведомлений.
  • Анализ динамики изменения количества и вида подозрительных событий в поминутном режиме.
  • Проведение анализа по типу атаки, предполагаемым исходным и целевым хостам, а также приложениям.
  • Детальный анализ источника и причины данного предупреждения безопасности с помощью статистики NetFlow, доступной по одному щелчку.

Анализ рисков

Ключевые показатели, относящиеся к уровню риска, представлены в еженедельных сводках и позволяют отслеживать тенденции и оценивать эффективность профилактических мер. Отдельные, выделенные панели мониторинга представляют:

  • Информацию о количестве атак, разделенную по методам и тактикам, используемым киберпреступниками.
  • Генерируемые индикаторы оценки рисков учитывают серьезность предупреждений и хосты, к которым относятся аномалии и угрозы.
  • Ключевые показатели эффективности, подготовленные для руководителей, позволяющие проводить управленческий анализ.
  • Данные, позволяющие оценить степень соблюдения нормативных требований, стандартов и правил.

Рис. 6 - Автоматически сгенерированные карты четко показывают места, из которых были совершены атаки.

Минимизация кол-ва ложноположительных предупреждений

Модуль XNS оснащен множеством механизмов, позволяющих настраивать оповещения, адаптируя их к специфике и потребностям организации и принятой политике безопасности. Они включают в себя, среди прочего:

  • Конфигуратор, позволяющий быстро активировать и деактивировать отдельные правила безопасности и оповещения.
  • Удобный редактор с графическим интерфейсом, который позволяет быстро и удобно изменять параметры, используемые в правилах.
  • Редактируемые белые списки, содержащие набор доверенных IP-адресов, которые могут быть использованы непосредственно в правилах.
  • Готовые интерфейсы, позволяющие подключать внешние базы данных и дополнительно проверять риски, связанные с обнаруженным инцидентом.

Рис. 7 - Быстрый доступ к информации о наиболее распространенных угрозах, обнаруживаемых механизмом Threat Intelligence

Доступ к базе данных знаний прямо из приложения

Интерпретации обнаруженных событий способствует как встроенная база данных знаний, так и ссылки на специализированные веб-сайты, доступные по щелчку правой кнопки мыши.

  • Описание предупреждений, дополненное вспомогательной информацией и ссылкой на полное описание тактики, или технологии на вебсайте ATT&CK MITRE облегчают анализ данного события в широком контексте.
  • Подозрительные IP-адреса могут быть проверены на внешних сайтах (например, VirusTotal) непосредственно из модуля XNS.

Готовые аналитические сценарии

Сценарии, реализованные в модуле, облегчают анализ и вывод наиболее важных аспектов безопасности.

  • Сценарий анализа опасности позволяет идентифицировать наиболее подозрительные IP-адреса, а затем анализировать корреляции с другими IP-адресами или другими сетевыми артефактами.
  • Сценарии, используемые для анализа внутренних или внешних атак, позволяют проводить многомерный анализ подозрительного IP-адреса (или группы адресов):
  1. Представление тактики и приемов, используемых во время атак и генерируемых предупреждений.
  2. Анализ направления атак и участвующих хостов с учетом адресов источника и назначения.

Интеграция с другими системами

Модуль XNS интегрирован с модулями XN и XND и позволяет экспортировать данные в SIEM.

  • Передача фильтров, определенных в модуле XNS, в модуль XN облегчает детальный анализ инцидента или источника оповещения.
  • Возможность экспорта оповещений с их параметрами вызова в SIEM-системы, включая, в частности, QRadar, ArcSight и Splunk.

FlowControl XND – против DDoS

Модуль XND использует данные протокола NetFlow для обнаружения DDoS-атак на определенные сервисы, выполняемые контролируемой группой хостов, что позволяет использовать BGP FlowSpec для блокирования атак.

Смягчение атак

Модуль позволяет идентифицировать и смягчать как одиночные, так и многовекторные DDoS-атаки различной интенсивности. Основываясь на протоколе FlowSpec, он распространяет фильтры трафика на пограничные устройства. Модуль обнаруживает:

  • Объемные атаки, которые снижают доступность сервиса за счет насыщения сетевого соединения.
  • Протокольные атаки, которые используют определенное свойство или уязвимость данного протокола.

Рис. 8 - Анализ превышения отдельных значений параметров DDoS.

Гибкие правила обнаружения атак

Модуль XND отслеживает изменения характеристик потока с помощью статических и динамических параметров.

  • Статические параметры позволяют определить значения, используемые в процессе идентификации атаки, например количество исходных IP-адресов, байтов, потоков.
  • Динамические параметры позволяют установить допустимые отклонения от базовой линии, создаваемой путем сравнения текущих и исторических характеристик трафика.
  • Возможность адаптации предельных значений параметров к отдельным группам устройств и приложений упрощает масштабирование системы, как для всей организации, так и с учетом конкретных сервисов или подсетей

Расширенный анализ DDoS-атак

Модуль имеет преднастроенные информационные панели для многомерного анализа атак, представляющие, среди прочего:

  • Время начала и окончания атаки в контексте атакованной службы и группы, к которой принадлежит атакованный хост.
  • Тип атакуемого сервиса, например HTTP(s), FTP и DNS.
  • Характеристики параметров DDoS во время атаки, например количество исходных ASN, IP-адресов, сетевых потоков, пакетов, байтов, а также PPF (Пакетов на поток), BPP (Байтов на пакет).

FlowControl

Высокая эффективность

  • Представления генерируются без необходимости постоянной перезагрузки данных.
  • Незначительная нагрузка на сеть и сетевые устройства.
  • Масштабируемое массовое хранилище позволяет гибко управлять периодами хранения данных.

Система оповещений

  • Оповещения генерируются при выполнении предопределенных условий, например, после превышения установленного лимита использования определенного порта или объема трафика приложения.
  • Оповещения отправляются по электронной почте, Syslog, или SNMP-трапом.

Гибкие механизмы анализа данных

  • Представление данных, относящихся ко всей сети, группам параметров или отдельным параметрам (порт, интерфейс, хост, IP) в любом временном окне.
  • Легкий доступ одним щелчком, механизмы детализации позволяют просматривать данные для определенного порта, интерфейса или IP-номера.
  • Поиск данных в системе с помощью аналитических инструментов, таких как Google search.
  • Поддержание временного контекста и фильтров между представлениями.
  • Возможность сохранения сложных поисковых фильтров и временного контекста (закладки).
  • Модуль XND использует данные протокола NetFlow для обнаружения DDoS-атак на определенные сервисы, выполняемые контролируемой группой хостов. Система анализирует параметры DDoS в определенных временных рамках и позволяет блокировать сервис через FlowSpec.
  • Универсальные инструменты системного администрирования
  • Отдельные учетные записи для системного администратора и пользователей, позволяют определить их соответствующие разрешения с большей точностью.
  • Возможность аутентификации по протоколу LDAP или Radius-сервису.

Обновленная версия FlowControl 1.6

Обновленная версия FlowControl 1.6, включает в себя много нового функционала и обновлений. Улучшения продукта ведутся на основе предложений заказчиков и обратной связи от инженеров, которые используют продукт каждый день.

Новая функциональность FlowControl 1.6 среди прочего включает:

  • Network Address Translation(NAT) - расширенный анализ  NetFlow, на основе NAT полей
  • Анализ угроз, основанный на постоянно пополняемых фидов безопасности (Cyber Threat Intelligence)
  • Новый мастер настройки оповещений, который позволяет пользователям создавать вложенные правила, основанные на наборе параметров, полей, метрик и операторов.
  • Полная поддержка IPv6, включая адаптацию дашбордов
  • Возможность фильтровать поступающие данные на входе в систему (flow filtering) и перенаправляемые на стороннее решение(flow forward).

Полный перечень обновлений доступен по ссылкам:

Release Notes - https://documentation.sycope.com/Rel#flowcontrol-ver-16

FlowControlv. 1.6 Documentation – https://documentation.sycope.com/XN

Если Вам интересен вебинар или обучение, пожалуйста, свяжитесь с нами по любому удобному каналу связи.

XNSМетоды обнаружения FlowControl версии1.6

FlowControl версии1.6 модель безопасности позволяет:

  • Минимизировать кол-во ложных срабатываний
  • Определить инциденты нарушения политики информационной безопасности, DDoS атак, нежелательных коммуникаций
  • Обнаружить и подавить DDoS атаки
  • Блокировать IP адреса вручную и автоматически

Модули решения содержат большое количество правил и алгоритмов, которые анализируют инциденты информационной безопасности:

XN модуль

Определяет подозрительные изменения в сетевом поведении, такую как утечка данных, запрещенная сетевая активность, сканирование портов и перебор паролей. Модуль снабжен диаграммами, индикаторами, готовыми интерфейсами, редактируемыми белыми списками и таблицами, которые позволяют быстро определить угрозу и проанализировать изменения в динамике. Модуль позволяет использовать механизмы ИБ с первого дня. Поддерживает готовые аналитические сценарии и интеграцию с SIEM системами, такими как SPLUNK и QRadar.

XND модуль

Позволяет идентифицировать и подавить как одиночные DOS атаки, так и мультивекторные DDoS атаки различной  интенсивности. Модуль отслеживает изменения характеристик сетевого потока используя статические и динамические параметры (baseline). Вся аналитика легко доступна с предустановленными дашбордами для анализа многовекторных атак. Модуль будет полезен как для малых организаций, так и для больших интернет-провайдеров.

Механизмы информационной безопасности построены на фреймворке от MITRE, Sycope одним из первых внедрил MITRE в свои решения.MITRE ATT&CK™ это глобальная база знаний различных атак и техник злоумышленников, основанная на реальных наблюдениях. База знаний ATT&CK используется как основа для разработки конкретных моделей угроз и методологий в частном секторе, правительстве, а так же решениях кибербезопасности. Полная матрица MITRE ATT&CK доступна по ссылке MITRE ATT&CK Matrices website. Матрица MITRE ATT&CK содержит множество техник, сгруппированных в тактики.

MITRE Tactic MITRE Technique Name Description Module
Command and Control Application Layer Protocol Cleartext Application (Ext->Ext) A rule detects connection to a clear text application such as for example FTP, Telnet, POP3, IMAP, SMTP, IMAP, HTTP from External to External host.  XNS
Command and Control Application Layer Protocol Cleartext Application (Ext->Ext) A rule detects connection to a clear text application such as for example FTP, Telnet, POP3, IMAP, SMTP, IMAP, HTTP from External to External host.  XNS
Command and Control Application Layer Protocol Cleartext Application (Ext->Ext) A rule detects connection to a clear text application such as for example FTP, Telnet, POP3, IMAP, SMTP, IMAP, HTTP from External to External host.  XNS
Command and Control Application Layer Protocol Cleartext Application (Ext->Ext) A rule detects connection to a clear text application such as for example FTP, Telnet, POP3, IMAP, SMTP, IMAP, HTTP from External to External host.  XNS
Command and Control Application Layer Protocol OT Device Discovered A rule detects OT traffic based on defined ports list.  XNS
Command and Control Non-Standard Port Suspicious Port BL A rule detects traffic to a single host on suspicious ports.  XNS
Command and Control Non-Standard Port Suspicious Port BL A rule detects traffic to a single host on suspicious ports.  XNS
Command and Control Application Layer Protocol IP_MALWARE The alert is triggered as a result of detection traffic with MALWARE IP address.  XNS
Command and Control Application Layer Protocol  IP_OPEN_DNS The alert is triggered as a result of detection traffic with OPEN DNS IP address.  XNS
Command and Control Proxy  IP_PROXY The alert is triggered as a result of detection traffic with PROXY IP address.  XNS
Command and Control Application Layer Protocol  IP_SYCOPE_COMMUNITY The alert is triggered as a result of detection traffic with malicious IP address noticed by Sycope Community members. XNS
Command and Control Proxy  IP_TOR The alert is triggered as a result of detection traffic with TOR IP address. XNS 
Command and Control Application Layer Protocol ThreatIntelligence_custom Internal Threat Intelligence - Custom Feed.  XNS
Command and Control Application Layer Protocol WhitelistIP A rule limits number of false alarms generated by IP reputations rules.  XNS
Command and Control Application Layer Protocol Country_custom The Worst Botnet Countries based on custom list.  XNS
Credential Access Man-in-the-Middle  Unauthorized LLMNR/NetBIOS Activity A rule detects unauthorized LLMNR/NetBIOS traffic. Link-Local Multicast Name Resolution (LLMNR) and NetBIOS Name Service (NBT-NS) are Microsoft Windows components that serve as alternate methods of host identification.  XNS
Credential Access  Brute Force  Brute force attack A rule detects a brute force/dictionary attack on specific applications (FTP, HTTPS, HTTP, IMAP, RDP, SSH, IMAP3, LDAP, LDAPS, MYSQL, POP3, POP3S, POSTGRESQL, SMTP, TELNET, TFTP, ASTERISK, VNC, SNMP, MSSQL, SMB, ICQ, NNTP, PCANYWHERE, ORACLELISTENER, SVN, XMPP, SIP, RADMIN2, REXEC, RLOGIN, WS - Management and PowerShell remoting via HTTP, WS - Management and PowerShell remoting via HTTPS, RPCAP, NetBIOS, Kerberos).  XNS
Discovery System Network Configuration Discovery Abnormal flows ratios A rule detects abnormal number of flows per Source & Destination IPs pairs within 1 minute. The reasons for this activity can be worms, scans or network abuses.  XNS
Discovery Network Service Scanning Horizontal Scan A rule detects a Horizontal Scan attack. The Horizontal Scan is a scan against a group of IPs for a single port.  XNS
Discovery Permission Groups Discovery Unauthorized Internet Access A rule detects access to Internet from non-permitted group based on defined zones.  XNS
Discovery System Network Configuration Discovery Unauthorized DHCP Activity A rule detects traffic from unauthorized DHCP server.  XNS
Discovery System Network Configuration Discovery Unauthorized DNS Activity A rule detects traffic from internal host to unauthorized DNS server.  XNS
Discovery Network Service Scanning Vertical Scan Detected A rule detects a Vertical Scan attack. A Vertical Scan is a scan against a single IP for multiple ports.  XNS
Discovery Network Service Scanning Multicast DNS (mDNS) from Internet A rule detects multicast DNS (mDNS) traffic from Internet.  XNS
Discovery System Network Configuration Discovery Unauthorized NFS Export Outside The Local Network A rule detects unauthorized export data outside the local network using NFS (Network File System).  XNS
Discovery System Network Configuration Discovery Unauthorized MAIL Activity A rule detects traffic from unauthorized Mail Server.  XNS
Discovery Network Service Scanning Unprotected Docker Daemon A rule detects unprotected docker deamon (2375/tcp, 2376/tcp) which allows attackers creating docker container with the ‘/’ path mounted with read/write permissions on the host server.  XNS
Discovery Network Service Scanning Virus Outbreak A rule detects a potential virus outbreak based on abnormal activity between hosts from Workstation group  XNS
Discovery Network Service Scanning IP_SCANNER The alert is triggered as a result of detection traffic with SCANNER IP address.  XNS
Exfiltration Data Transfer Size Limits Abnormal DNS Query Limit A rule detects anomaly in DNS protocol regarding abnormal query volume traffic.  XNS
Exfiltration Data Transfer Size Limits Abnormal DNS Response Limit  A rule detects anomaly in DNS protocol regarding abnormal response volume traffic.  XNS
 Exfiltration Data Transfer Size Limits  DNS Transfer Limit A rule detects anomaly in DNS protocol regarding abnormal query volume traffic.  XNS
Exfiltration Data Transfer Size Limits  High Data Transfer (Int->Ext) A rule detects a high data transfer from internal to external host within 1 minute.  XNS
Exfiltration Data Transfer Size Limits  High Data Transfer (Ext->Int) A rule detects a high data transfer from external to internal host within 1 minute.  XNS
 Exfiltration Data Transfer Size Limits  High Data Transfer (Int->Int) A rule detects a high data transfer from internal to internal host within 1 minute.  XNS
Exfiltration Data Transfer Size Limits Unusually High Data Transfer (Int->Ext) A rule detects a high data transfer from internal to external host within 1 minute.  XNS
Exfiltration Data Transfer Size Limits Unusually High Data Transfer (Ext->Int) A rule detects a high data transfer from external to internal host within 1 minute.  XNS
Exfiltration Data Transfer Size Limits Large Size Protocol Anomaly A rule detects packets of known protocols (ICMP, UDP, TCP) with large size which may indicate on protocol attacks.  XNS
Exfiltration Data Transfer Size Limits SPAM (Ext->Int) A rule detects a SPAM traffic from External to Internal host.  XNS
Exfiltration Data Transfer Size Limits SPAM (Ext->Ext) A rule detects a SPAM traffic between External hosts.  XNS
Exfiltration Data Transfer Size Limits SPAM (Int->Ext) A rule detects a SPAM traffic from Internal to External host.  XNS
Exfiltration Data Transfer Size Limits SPAM (Int->Int) A rule detects a SPAM traffic between Internal hosts.  XNS
Impact  Endpoint Denial of Service DDoS Attack Detected A rule detects DDoS attack based on traffic volume from multiple IP addresses to a single destination IP on the same port  XNS
Impact  Endpoint Denial of Service DDoS DNS Amplification Attack  A rule detects DDoS DNS Amplification Attack based on network traffic statistics (Signature 1)  XNS
Impact  Endpoint Denial of Service  DoS Attack Detected  A rule detects DoS attack based on traffic volume from one IP address to single IP on specific port.  XNS
Impact  Endpoint Denial of Service  DoS - ICMP Flood  A rule detects the DoS ICMP attack.  XNS
Impact  Endpoint Denial of Service  DoS - TCP Flood  A rule detects TCP DoS attack.  XNS
Impact  Endpoint Denial of Service  DoS - UDP Flood  A rule detects the DoS UDP attack.  XNS
Impact  Resource Hijacking  IP_CRYPTO_MINING The alert is triggered as a result of detection traffic with CRYPTO MINING IP address.  XNS
Impact  Network Denial of Service DDOS Attack Detected - XND The rule detects DDoS attacks based on behavioural and statistical analysis  XNS
Initial Access  Drive-by Compromise   P2P Activity A rule detects P2P traffic based on port analysis. This activity may indicate on policy violation.  XNS
Initial Access Phishing  IP_PHISHING The alert is triggered as a result of detection traffic with PHISHING IP address.  XNS
Initial Access Phishing  IP_SPAM The alert is triggered as a result of detection traffic with SPAM IP address.  XNS
Lateral Movement Remote Services Unauthorized RDP from Internet A rule detects unauthorized RDP connections from Internet.  XNS
Lateral Movement Remote Services Unauthorized RDP Connection A rule detects unauthorized RDP connection attempts from outside the organization.  XNS
Lateral Movement Remote Services Sunburst2 The feed includes malicious IPs regarding the Sunburst backdoor. Attacker leverages SolarWinds supply chain to compromise multiple global victims with this backdoor.  XNS

Sycope FlowControl: описание использования продукта для мониторинга ИТ инфраструктуры на основе сетевых данных Use_case_Centrum_Onkologii