En nätverksadministratör kan använda Wireshark och Netwitness Investigator tillsammans för att utnyttja styrkorna för varje verktyg för en mer omfattande nätverkssäkerhetsanalys. De är komplementära, inte direkt konkurrerande verktyg.
Så här arbetar de tillsammans:
* wireshark för djuppaketinspektion: Wireshark utmärker sig för att tillhandahålla detaljerad, låg nivå analys av enskilda nätverkspaket. Det är ovärderligt för att felsöka specifika nätverksproblem, identifiera grundorsaken till prestationsproblem och dissekera misstänkta nätverkstrafikmönster. Det möjliggör granulär undersökning av pakethuvuden, nyttolaster och tidpunkt.
* Netwitness Investigator för storbildskontext och utredning: Netwitness Investigator (och liknande säkerhetsinformation och evenemangshantering - SIEM - Systems) är utformad för att analysera enorma mängder nätverksdata under längre perioder. Det ger en översikt på hög nivå, korrelerande händelser från olika källor (inte bara nätverkspaket), inklusive loggar från brandväggar, servrar och andra säkerhetsenheter. Det utmärker sig för att identifiera bredare trender, hot och säkerhetsincidenter genom att analysera sammanhanget och förhållandena mellan olika händelser.
Scenario Exempel på kombinerad användning:
* Incident Response: En SIEM som Netwitness Investigator kan upptäcka misstänkt aktivitet (t.ex. ett stort antal misslyckade inloggningsförsök från en specifik IP -adress). Administratören skulle sedan använda Wireshark för att fånga och analysera paket från den IP -adressen för att se exakt vilka försök som gjordes, vilka tekniker som användes och identifiera skadliga nyttolaster.
* skadlig utredning: Netwitness Investigator kan belysa ovanliga nätverksanslutningar eller filöverföringar. Wireshark skulle sedan användas för att inspektera den specifika nätverkstrafiken som är associerad med den händelsen, vilket potentiellt avslöjar typen av skadlig programvara, dess kommando-och-kontroll-server och de data som den exfiltrerade.
* Prestanda Tuning: Netwitness Investigator kan identifiera ovanligt hög nätverkstrafik på en specifik applikation eller undernät under högtider. Wireshark kan användas för att diagnostisera flaskhalsen genom att analysera paketstorlekar, protokoll och vidarebefordringar.
I huvudsak tillhandahåller Netwitness Investigator det bredare sammanhanget och varnar administratören till potentiella problem, medan Wireshark tillhandahåller det djupa dyket som krävs för att förstå detaljerna om specifika händelser och felsöka dem effektivt. De är kraftfulla verktyg som, när de används tillsammans, förbättrar en nätverksadministratörs förmåga att hantera, övervaka och säkra ett nätverk.
