macmons AIR Active Incident Response

Sicherheitssysteme erkennen Bedrohungen deren Ursache sie nicht immer automatisert beseitigen können.

So kann ein IDS-System, welches  den Netzwerkverkehr aufzeichnet und die Pakete analysiert, Gefährdungen und sogar Angriffe erkennen. Ein direktes Eingreifen, also ein abblocken des Angriffs ist nur möglich, wenn das IDS-Systems als IPS-System inline geschaltet ist.

Dies setzt allerdings eine sehr aufwendige Installation voraus, da für jedes Netzwerksegment ein Sensor benötigt wird, durch den der Verkehr geleitet wird. Bei großem Datenaufkommen, in Gigabit-Netzen oder 10GE-Netzen, sind die Anforderungen an ein geeignetes System immens.

IDS–Systeme, die nur über den Mirror Port geschaltet sind, registrieren Angriffe, können aber nur warnen und nicht direkt eingreifen. Über die Active Incident Response Schnittstelle von macmon kann das IDS-System macmon steuern, und so den Angreifer vom Netz trennen. So macht macmon aus einem passiven IDS ein aktives Intrusion Prevention System (IPS)!
macmon bietet Schnittstellen als „Incident Response System“ zu bestehenden Sicherheitslösungen, wie dem Security Command Center von Computer Associates, den Lösungen von Sourcefire und SNORT.

Mit der macmon „Active Incident Response Option“ können von einem Intrusion Detection System (IDS) oder einem Sicherheitsmanagementsystem erkannte gefährliche Geräte schnell und automatisch vom Netzwerk getrennt oder in ein Quarantäne-Netz verschoben werden.

Weitere Informationen finden Sie in den Downloads