NetWitness NDR Network

Pełna widoczność sieci (Full Packet Capture)
Wartość pełnego przechwytywania pakietów (Full Packet Capture) w kontekście bezpieczeństwa i optymalizacji działania sieci nie może być przeceniona. W przeciwieństwie do przechwytywania częściowego, które rejestruje jedynie nagłówki lub metadane, pełny zapis obejmuje każdy bajt danych przepływających przez sieć – zarówno nagłówki, jak i zawartość pakietów (payload).
Dzięki temu zespoły bezpieczeństwa zyskują pełny, szczegółowy obraz komunikacji sieciowej, który jest niezbędny do dogłębnej analizy zagrożeń. W świecie, gdzie szyfrowanie stało się standardem, NetWitness to „okno” do prawdy – także tam, gdzie inni widzą tylko „bezpieczny” tunel.

Rekonstrukcja sesji
Jedną z najbardziej zaawansowanych i unikalnych funkcji NetWitness jest rekonstrukcja sesji sieciowej, czyli możliwość odtworzenia komunikacji sieciowej w formie zbliżonej do tej, jaką widział użytkownik lub atakujący. To nie tylko analiza ruchu na poziomie pakietów, ale zrozumienie pełnego kontekstu i treści danej interakcji.

Wykrywanie zaawansowanych zagrożeń (APT)
Netwitness posiada dedykowany zespół Threat Intelligence(FirstWatch), który na bieżąco tworzy i aktualizuje reguły detekcji oparte na technikach i taktykach stosowanych przez rzeczywiste grupy APT, zgodnie z ramami MITRE ATT&CK. Reguły są codziennie aktualizowane i publikowane w ramach platformy LIVE, zapewniając szybką reakcję na najnowsze kampanie – np. phishing, ransomware-as-a-service, eksfiltracje danych czy ataki typu living-off-the-land.

Enablers of Compromise (EoC) – Precyzyjna ocena ryzyka i priorytetyzacja zagrożeń
Enablers of Compromise w NetWitness to specjalna kategoria wykrywanych zdarzeń, które same w sobie nie są jeszcze atakiem, ale stanowią istotny czynnik ryzyka, który może ułatwić przeprowadzenie skutecznego ataku lub kompromitację systemu.
EoC to nic innego jak potencjalne słabości w konfiguracji, polityce lub zachowaniu użytkowników, które cyberprzestępca może wykorzystać jako punkt wejścia lub ścieżkę eskalacji w dalszych etapach ataku. Pozwala to na utwardzenie środowiska, zwiększając odporność na potencjalne ataki. Przykładowym EoC są: używanie publicznych platform do udostępniania plików, używanie nieszyfrowanych protokołów wewnątrz sieci, przesyłanie niezaszyfrowanych poświadczeń.

Indicators of Compromise (IoC) – Wysokie prawdopodobieństwo zagrożenia
Indicators of Compromise (IoC) to konkretne ślady, dowody lub artefakty pozostawione przez złośliwe oprogramowanie lub działania atakującego w systemie. W NetWitness IoC stanowią wysokiej wagi wskaźniki, które są wykorzystywane do oznaczania pewnych i potwierdzonych zagrożeń, opartych na znanych sygnaturach lub danych wywiadowczych (Threat Intelligence). Przykładowym IoC są: złośliwe adresy IP, domeny, user-agent itd.

Behaviors of Compromise (BoC) – Analiza zachowań, które mogą zwiastować zagrożenie
Behaviors of Compromise (BoC) to obserwowalne taktyki lub techniki wykorzystywane przez złośliwe oprogramowanie lub osoby atakujące, które mogą – choć nie muszą – oznaczać zagrożenie. W odróżnieniu od IoC (które są twardym dowodem) i EoC (które wskazują na słabości), BoC koncentruje się na podejrzanych działaniach, które same w sobie nie są jednoznacznym dowodem ataku, ale budzą uzasadnione obawy, zwłaszcza jeśli dotyczą krytycznych zasobów lub uprzywilejowanych użytkowników. Przykładowym BoC są: połączenia korzystające z niestandardowych portów, skanowania sieci, enumeracja domeny itd.

Skalowalność i elastyczność
NetWitness został zaprojektowany z myślą o elastycznym i skalowalnym wdrożeniu – zarówno w małych, jak i bardzo dużych środowiskach. Architektura systemu opiera się na modułach, które można wdrażać i rozszerzać stopniowo. Klasyczna architektura rozwiązania składa się z:
Decoder – przechwytywanie i dekodowanie ruchu sieciowego (Full Packet Capture),
Concentrator – agregacja i indeksowanie metadanych,
Admin server– kontrola zarządzająca.
ESA Server – serwer korelacyjny.
NetWitness pozwala na wdrożenie „na miarę” – od małej sieci firmowej po rozproszoną infrastrukturę korporacyjną czy krytyczne środowisko przemysłowe. Rośnie razem z organizacją – bez względu na skalę i złożoność wdrożenia.

Pełna widoczność ruchu sieciowego (Full Packet Capture)
NetWitness NDR zapewnia dokładny podgląd całego ruchu – zarówno metadanych, jak i payloadu. Dzięki temu zespoły SOC mogą zidentyfikować nie tylko czy coś się wydarzyło, ale co dokładnie się wydarzyło – z pełnym kontekstem komunikacji.

Zaawansowane wykrywanie zagrożeń (APT, ransomware, C2)
Wbudowane mechanizmy analizy behawioralnej, detekcja oparta na taktykach MITRE ATT&CK oraz ciągle aktualizowane reguły od zespołu Threat Intelligence (FirstWatch) pozwalają wykrywać nawet najbardziej ukryte i zaawansowane ataki, które inne systemy mogą przegapić.

Widoczność w szyfrowanym ruchu
Dzięki FPC i analizie szyfrowanych sesji (np. TLS/HTTPS), NetWitness pozwala zidentyfikować podejrzaną aktywność ukrytą w zaszyfrowanym ruchu.

Klasyfikacja EoC, BoC i IoC – skuteczna priorytetyzacja zagrożeń
NetWitness nie tylko wykrywa incydenty, ale nadaje im kontekst i wagę, rozróżniając pomiędzy twardymi dowodami ataku (IoC), ryzykownym zachowaniem (BoC) i słabościami infrastruktury (EoC). Dzięki temu analitycy wiedzą, na czym się skupić w pierwszej kolejności.

Elastyczność wdrożeniowa: lokalnie, w chmurze, hybrydowo
Niezależnie od tego, czy środowisko klienta to lokalne centrum danych, chmura publiczna (AWS, Azure, GCP), czy sieć rozproszona – NetWitness może zostać dopasowany do dowolnej architektury, nawet środowisk air-gapped lub przemysłowych (OT/ICS).

Integracja z ekosystemem bezpieczeństwa (SIEM, EDR, SOAR)
NetWitness NDR płynnie współpracuje z innymi narzędziami bezpieczeństwa – zarówno własnymi (NetWitness Platform), jak i zewnętrznymi rozwiązaniami (np. Splunk, CrowdStrike, Palo Alto, ServiceNow). To centrum dowodzenia i analizy dla całej organizacji.