Alertflex NSM это программное решение в области мониторинга сетевой безопасности. Alertflex можно рассматривать как Network Forensics и SIEM систему для выполнения задач анализа, визуализации и управления событиями безопасности в гибридной (традиционной и облачной) ИТ-инфраструктуре.

В настоящее время многие известные open source программы в области безопасности имеют интерфейсы API для передачи своих данных и функциональных возможностей другим приложениям. Alertflex обьединяет несколько таких программ в единое turn-key решение и работает в качестве приложения оркестровки услуг (service orchestration application). Это позволяет Alertflex предоставлять следующий базовый функционал:

Host and Network IDS

Netflow analysis

Event management

КОМПОНЕНТЫ РЕШЕНИЯ

Решение Alertflex состоит из трех основных распределенных компонентов - Alertflex collector, Alertflex controller и Web security console. Collector находится в сетевом домене, где установлены сенсоры безопасности. Приложения Controller и Security console находятся на центральном сервере. Для обмена сообщениями между Collector и Controller может использоваться MessageBroker и протоколы TLS/SSL на основе two-way authentication.

Распределенная архитектура решения Alertflex может внедряться на сети заказчика в различных конфигурациях, например stand-alone или centralized/distributed. Решение разрабатывается с учетом того, что на рынке IT наблюдается значительный рост облачных и SDN/NVF технологий. Проект будет функционально совместим с OpenStack платформой и позволит внедрять услуги Security as a Service для провайдеров облачной инфраструктуры.

Ниже показана схема stand-alone конфигурации решения Alertflex

Еще одной особенностью архитектуры Alertflex является "Умный" Сollector. На основе events filtering policies, получаемых от Controller, Smart collector отбрасывает незначительные события из потоков данных, генерируемых сенсорами безопасности, а важные события пересылает на центральный сервер Alertflex. Это существенно снижает шум от незначительных событий, упрощает управление оповещениями и инцидентами, уменьшает трафик и предотвращает перегрузки в передачи событий от сенсоров к центральному серверу.

Примечание: для предотвращения потери важной информации, collector собирает статистику по всем событиям и может перенаправить эти события в сторонние Bigdata analytics платформы, например в Graylog или Hadoop. Ниже приведены две диаграммы, которые показывают как Alertflex может уменьшить шум от незначительных событий.

СКРИНШОТЫ

Все данные, полученные от collector, хранятся в базе данных MySQL. Пользователи системы Alertflex через Web security console могут анализировать эти данные на основе различных критериев и отображать результаты анализа посредством аналитических отчетов/веб-форм. Ниже, показаны примеры нескольких веб-форм консоли.