中秋佳节已过,国庆小长假即将到来,我们的NTM全流量溯源分析系统也迎来了重要更新(版本代号:TANGr6p3)。
本次更新加入了全新的系统告警态势感知大屏,以直观的可视化布局,实时展示关键告警信息;精细化的HTTP文件还原功能,提供多种文件类型的还原和下载,为安全分析提供了新的解决方案。此外,新版本还增加了系统PCAP文件下载功能,并对一些功能与界面进行了优化。
Update
更新功能一:系统告警态势感知大屏
对网络运维人员来说,最可怕的不是发生故障,而是故障明明已经发生,自己却还不知道,直到被用户疯狂@,方才如梦初醒。
告警的重要性就在于此,在没有告警的情况下,几乎所有的故障都需要用户反馈后才能发现,这一点对于网络运维来说是致命的,对告警的监控与处理是运维的基本职责。
而一个直观、实时的告警平台,对于维护网络的安全顺畅运行至关重要。
NTM作为全流量分析产品,对网络流量的识别与监控的精准程度自然不用多说。在此基础上,NTM具备基于策略的告警功能,用户可以自定义策略,指定需要告警监控的对象。监控的对象可以是NTM系统本身,也可以针对内网IP、应用协议以及威胁情报进行监控。
灵活的告警策略
作为本次更新的核心亮点,系统告警态势感知大屏在NTM告警模块的基础之上,集成告警信息,以动态大屏的形式,为用户提供了一个全面、直观的告警管理视图。
系统告警态势感知大屏
大屏能够实时展示告警等级、告警实例、告警趋势、告警详情等关键信息,提升运维效率。
除此之外,NTM还有5个大屏,轻松铺满一整面墙。
应用协议态势感知大屏
外连态势感知大屏
DNS态势感知大屏
专业情报态势感知大屏
跨境监测大屏
Update
更新功能二:HTTP文件还原
HTTP协议是互联网最常用的传输协议之一,然而,在数据流动、信息交换的背后,HTTP中往往还隐藏了大量安全威胁。恶意软件、钓鱼攻击、数据泄露等安全事件,很多都是通过HTTP协议进行的。
NTM的HTTP文件还原功能,可以自定义还原规则,灵活地对HTTP协议传输的文件进行捕获和重组,包括但不限于视频、音频、图片、文档、安装包、可执行程序、代码文件等。
文件还原规则
还原规则启用后,系统将在后台自动对HTTP中的文件进行还原,用户可在系统中直接进行搜索,下载并查看这些文件的原始内容,从而进行深入分析。
可直接下载还原后的文件
通过分析HTTP传输的文件,能够及时发现潜在的安全威胁。例如,安全人员可以捕获并下载可疑的HTTP传输文件,再利用沙箱或分析引擎等安全工具进一步分析,从而识别恶意软件;又如,可以分析通过网络钓鱼链接传输的文件,识别钓鱼攻击的模式,并迅速向用户发出警告,减少潜在的损失。
可将文件上传至在线分析引擎进行分析
Update
其他更新
● 系统PCAP文件下载
可以下载系统硬盘中存储的所有数据包,每个大小为128M,方便用户上传至第三方工具进行深入分析,也可以借此查看数据包落盘时间范围。
● 奇安信威胁情报离线导入
手动导入离线情报库,适用于部分涉密用户环境无法与外网互通的场景。
*离线情报库请联系派网官方技术人员获取。
▶NTM中的奇安信威胁情报:从价值到价格,独立安全产品要退场?
● IPv6流量诊断分析
增加基于IPv6的流量诊断分析能力,快速发现IPv6流量异常。
● 拓扑图链路趋势增加质量诊断跳转方式
更方便直观地从拓扑图链路趋势中识别和定位网络质量问题,提高网络故障排查的效率。
● 告警日志记录容量扩展
告警日志记录容量由原2048条扩容至64K。
● 奇安信情报命中日志写入硬盘
写入硬盘后,重启后将不会丢失。
Update
界面优化
● 未落盘数据包按钮置灰
对于未落盘的数据包,会话关联的数据包按钮将置灰,避免用户在数据包未落盘时进行无效操作,同时便于分辨该会话数据包是否已落盘。
● 系统告警事件增加已读/未读状态
帮助运维人员更高效地管理和跟踪告警事件处理情况。
Update
下载地址
访问Panabit官网下载中心获取:
https://www.panabit.com/download
下载升级时请注意选择正确的操作系统(FreeBSD/Linux)与版本(标准版/专业版)。
EX100C请选择ARM专业版升级包。
往期精选
