¡Esta pregunta tiene dos años! Preguntado justo antes de la adquisición de FireEye de nPulse Technologies.
La herramienta forense / captura nPulse (hammerhead, CPX, FireEye PX [creo]) realizó un gran trabajo interno para capturar, analizar y visualizar el tráfico de red que vio. Todavía me sorprende lo rápido que era el aparato.
Nuestro gran eje en la seguridad de la red se produjo cuando agregamos la herramienta de reensamblado de sesiones y análisis forense. El análisis interno se basó principalmente en datos de series temporales. Contadores alrededor de diferentes tipos de paquetes y flujos vistos y capturados.
- ¿Qué sucede cuando su computadora está infectada con un virus?
- ¿Hay alguna solución para deshacerse de los ataques de phishing? ¿Cómo sé que no volverán a atacar el sistema?
- ¿Por qué Microsoft no elimina o crea características opcionales de Windows que usa el malware?
- ¿Es realmente imposible encontrar un proveedor de correo electrónico lo suficientemente seguro contra hackers, phishers y agencias gubernamentales?
- ¿Qué métodos pueden fortalecer la seguridad de EC2 más allá de los grupos de seguridad y las cadenas de IP?
Insertar los datos del flujo de red y los datos de la capa 7 en Elasticsearch o alguna otra herramienta de Big Data / spark / hadoop, etc., habría sido muy divertido
(Me doy cuenta de que esto lleva dos años de retraso. No he estado asociado con FireEye por un tiempo, y no tengo idea de lo que han hecho con el producto desde que me fui)