नेटवर्क डिटेक्शन और रिस्पॉन्स (NDR) की व्याख्या

NDR के लिए मॉनिटर किए जा रहे किसी भी नेटवर्क में सेंसर तैनात किए जाने की आवश्यकता होती है। हालांकि, अलग-अलग उपयोग के मामलों के लिए विशिष्ट सेंसर होते हैं, और सफल तैनाती के लिए काम के लिए सही सेंसर की आवश्यकता होती है। उदाहरण के लिए, Linux वितरण वातावरण को Linux सर्वर सेंसर की आवश्यकता होती है। इन्हें अक्सर उपलब्ध CPU संसाधनों की पूर्व निर्धारित मात्रा के साथ तैनात किया जाता है, जिसका उपयोग यह किसी भी समय कर सकता है, ताकि कमांड निष्पादन और लॉग एकत्र करते समय सर्वर गुणवत्ता की रक्षा की जा सके। Windows सर्वर भी अपने स्वयं के प्रकार के सेंसर की मांग करते हैं; ये Windows की पूरी सीमा एकत्र करते हैं घटना प्रकार.

मॉड्यूलर सेंसर एक और प्रकार है: ये सेंसर के साथ पैकेज की जाने वाली अनुकूलन योग्य सुविधाओं की अनुमति देते हैं। उदाहरण के लिए, इसमें लॉग फ़ॉरवर्डिंग शामिल हो सकती है - यदि SIEM या अन्य सुरक्षा उपकरण के साथ तैनात करने की आवश्यकता हो - और नेटवर्क ट्रैफ़िक इंजेक्शन - जैसा कि NDR द्वारा आवश्यक हो। अधिक भारी-भरकम सुरक्षा आवश्यकताओं के लिए, मॉड्यूलर सेंसर को सैंडबॉक्स और घुसपैठ का पता लगाने वाले सिस्टम के साथ भी तैनात किया जा सकता है।

प्रत्येक परिनियोजन के लिए सही सेंसर की पहचान के साथ, उन्हें तदनुसार सेट करना महत्वपूर्ण है। इसके लिए परिनियोजन विधियों की एक पूरी श्रृंखला उपलब्ध है: SPAN पोर्ट सबसे आम में से एक है, और यह NDR सेंसर वाले पोर्ट पर नेटवर्क स्विच पर नेटवर्क ट्रैफ़िक को मिरर करके काम करता है। यह NDR टूल को उस पोर्ट पर जाने वाले सभी ट्रैफ़िक को निष्क्रिय रूप से पैकेट कैप्चर करने की अनुमति देता है।

वर्चुअल वातावरण वर्चुअल टैप पर निर्भर करता है, जो होस्ट के अंदर VM के बीच प्रवाहित होने वाले डेटा की प्रतियों को कैप्चर करता है; भौतिक TAP इस ट्रैफ़िक को मिस कर देते हैं, क्योंकि यह कभी भी भौतिक नेटवर्क केबल से होकर नहीं गुजरता है। एजेंट-आधारित कलेक्टरों के साथ दूरस्थ एंडपॉइंट की नेटवर्क गतिविधि की निगरानी की जा सकती है; हल्के कलेक्टर जो सीधे डिवाइस पर इंस्टॉल होते हैं।