Einblick statt Datenmüll
Network Detection and Response in der Cloud

Da Unternehmen stark skalieren, um trotz beispielloser Komplexität eine nahtlose digitale Erfahrung zu unterstützen, muss die IT-Abteilung schneller als je zuvor Netzwerk- und Applikationsprobleme erkennen, eine Diagnose erstellen und zum Handeln übergehen. Die ExtraHop Performance Plattform gibt Ihnen eine umfassende Sichtbarkeit auf alle OSI Layer Ebenen und hilft Ihnen in Sekundenschnelle die Ursache von Performance-Problemen aufzudecken und reduziert somit die Ausfallzeit von Anwendungen enorm.

Extrahop Network Visibility Plattform Screenshot

Mit einem Analytics-First-Workflow, der auf maschinellem Lernen basiert, und robusten Integrationen für die Untersuchungsautomatisierung unterstützt Sie ExtraHop Performance dabei, ein erstklassiges Kundenerlebnis vom Core über die Edge bis hin zur Cloud zu bieten.

ExtraHop Performance bietet Echtzeittransparenz in allen Bereichen von Datenbank bis Cloud-Traffic durch zuverlässige Dekodierung und Entschlüsselung von über 50 Unternehmensprotokollen, einschließlich SSL/TLS-verschlüsselter Sitzungen, mit einer Leitungsrate von 100 Gbps. Mit Hilfe der Stream-Verarbeitung wandelt ExtraHop Ihre Netzwerkdaten in Echtzeit in strukturierte Leitungsdaten um, während das maschinelle Lernen Ihnen zusätzlich hilft, versteckte Probleme und Möglichkeiten aufzudecken und darauf zu reagieren, ohne dass es zu einer Beeinträchtigung Ihrer Applikations-Performance kommt.

  • Automatische Erkennung und Klassifizierung aller Netzwerkgeräte vom Rechenzentrum bis zur Cloud.
  • Erkennen von Performance-Anomalien mit maschinellem Lernen, das auf 4600+ Leitungsdatenmetriken geschult ist.
  • Schwenken Sie in Sekundenschnelle von kontextualisierten Erkenntnissen zu forensischen Beweisen.

FEATURES

Mit einer dynamischen Echtzeitansicht aller Transaktionen in Ihrer Umgebung kann jedes Team von NetOps bis SecOps Probleme schnell erkennen und lösen.

ExtraHop entschlüsselt SSL/TLS (einschließlich TLS 1.3) in Echtzeit, so dass Sie sowohl die Sicherheitskonformität als auch die vollständige Transparenz bei der Fehlersuche gewährleisten können.

Von einer auf einer hohen Ebene angesiedelten Karte aller Assets in Ihrem Unternehmen bis hin zu spezifischen Paket-Nutzlasten für die Behebung von Vorfällen bietet ExtraHop Kontext und Präzision in einer einzigen zentralen Benutzeroberfläche.

Das Machine Learning, das auf der objektivsten, vollständigsten Datenquelle basiert, bietet High-Fidelity-Analysen, die die Masse von Fehlalarmen reduzieren.

ExtraHop lernt, wie sich ein Gerät basierend auf empirischer, beobachteter Aktivität verhalten sollte, und zeigt dann ungewöhnliches Verhalten im vollen Kontext dessen, was betroffen sein wird und warum.

Integration mit anderen Analysetools sowie Orchestrierungsplattformen, so dass Sie Reaktionsabläufe automatisieren und begrenzte Ressourcen einfach skalieren können.

Stream Processing

Der Backbone der Technologie von Extrahop ist der Echtzeit-Streamprozessor, der unstrukturierte Netzwerkpakete mit bis zu 100 Gbit/s in geordnete Leitungsdaten umwandelt. Der für die parallele Verarbeitung konzipierte Stream-Prozessor verteilt die Verarbeitungsaufgaben auf mehrere Rechenkerne – und wird skaliert, wenn neue Generationen von Serverprozessoren um weitere Kerne erweitert werden – so erhalten Sie einen tieferen Einblick zu einem Bruchteil der Kosten pro Gbit/s-Analyse im Vergleich zu anderen Echtzeitanalyseplattformen.

Sobald der Echtzeit-Streamprozessor eine Kopie des Netzwerkverkehrs idealerweise von einem Netzwerk Tap, Packet Broker oder Spiegel-Port erhält, geht es unter der Haube weiter:

Der Stream-Prozessor entschlüsselt SSL/TLS-verschlüsselten Datenverkehr, einschließlich Verschlüsselungs-Suiten, wie beispielsweise PFS (Perfect Forward Secrecy), mit Leitungsgeschwindigkeit bei nativer Hardwarebeschleunigung. Diese Massenentschlüsselung kann bis zu 64.000 SSL-TPS mit 2048-Bit-Schlüsseln skalieren, die keine andere Echtzeitanalyse in einer einzigen einheitlichen Appliance erreichen kann. Lesen Sie diese technische Kurzanleitung für Details zur Entschlüsselungsmethode von Extrahop.

Ausgehend von der grundlegendsten Ebene erstellt der Streamprozessor die TCP-Zustandsmaschinen für jeden Sender und Empfänger, der im Netzwerk kommuniziert. Als Voraussetzung für eine tiefere Anwendungsprotokoll- und universelle Nutzlastanalyse ermöglicht dies der Plattform, alle TCP-Mechanismen und deren Auswirkungen zu verstehen. Da TCP der Treffpunkt von Netzwerk und Anwendung ist, hilft Ihnen dieser Ansatz, von Anfang an klar zu erkennen, ob es sich bei Problemen um ein Netzwerk- oder Anwendungsproblem handelt.

Der Echtzeit-Streamprozessor dekodiert IP-basierte Protokolle, um die einzigartigen Anwendungsgrenzen dieses Protokolls zu verstehen, zu definieren und umzusetzen. Dies ermöglicht es dem Prozessor, komplette Abläufe, Sitzungen und Transaktionen für eine flüssige Anwendung zu erstellen, was wiederum eine Inhaltsanalyse höherer Ordnung durch eine vollständige Wiederzusammenstellung in Leitungsdaten (abgeleitet aus dem Leitungsnetz selbst) ermöglicht.

Während in einer perfekten Welt dies alles von Anfang bis Ende ziemlich reibungslos ablaufen würde, können Verkehrsmuster wie Microbursts in Wirklichkeit zu Paketverlusten durch einen Switch oder SPAN führen; in diesen Fällen wird der Prozessor automatisch resynchronisiert und wiederhergestellt.

Nach dem Zusammenstellen von Paketen zu Full-Streams, analysiert der Stream-Prozessor die Nutzlast und den Inhalt der Layer 2-7 und erkennt und klassifiziert automatisch alle Geräte oder Clients, die im Netzwerk kommunizieren. Der Prozessor bildet auch kontinuierlich die Beziehungen zwischen allen Clients, Anwendungen und der Infrastruktur ab, die im Netzwerk kommunizieren, wobei über 4.700 Kennzahlen gemessen und aufgezeichnet werden.

Die Vollinhaltsanalyse unterstützt Dutzende von Protokollen und bietet Schlüsselindikatoren wie verwendete Datenbankmethoden und deren Verarbeitungszeit, Dateizugriff durch den Benutzer, Speicherzugriffszeit und -fehler, DNS-Antwortzeit und -Fehler, Web-URI-Verarbeitungszeit und Statuscodes, SSL-Zertifikate mit Ablaufdatum sowie Load-Balancer- und Firewall-Latenzzeiten. Der Stream-Prozessor sammelt auch ausgefeilte Netzwerkmetriken wie die Window Size, Retransmission Timeouts, und Nagle-Delays.

Wir stellen fest, dass nicht jeder daran interessiert ist, jedes Detail über jede Ebene seiner Umgebung zu erfahren, aber machen Sie sich keine Sorgen – während Ihnen immer die vollen Analysefunktionen zur Verfügung stehen, ist es auch einfach, Ihre Ansicht auf die Daten anzupassen, so dass Sie nur die genauen Kennzahlen und Erkenntnisse sehen, die Sie benötigen.

Sobald der Stream-Prozessor seine Arbeit getan und angefangen hat, Leitungsdatenmetriken zu liefern, ist es an der Zeit, die Kontrolle darüber zu übernehmen, welche Erkenntnisse Sie sehen und in welcher Tiefe.

ExtraHop verwendet eine ereignisgesteuerte programmierbare Schnittstelle namens Application Inspection Triggers, um Sie mit dem Stream-Prozessor und allen Stream-Transaktionen zu verbinden. Trigger ermöglichen es Ihnen, Leitungsdatenereignisse und korrelierte Metriken programmgesteuert zu extrahieren, die spezifisch für Ihr Unternehmen, Ihre Infrastruktur, Ihr Netzwerk, Ihre Clients und Anwendungen sind.

Mit Application Inspection Triggers können Sie so chirurgisch oder wortreich sein, wie Sie wollen, und fast alles aus einem Header bis zur vollen Anwendungsnutzlast extrahieren. Bei HTTP-Payloads können diese Daten beispielsweise Umsätze, Auftrags-IDs, eindeutige Benutzer-IDs in Cookies oder URIs und sogar Titel für Webseiten oder Fehlerbeschreibungen beinhalten, die von einem Entwickler in einen 500-Statuscode eingebettet werden. Und es spielt keine Rolle, was HTTP durchläuft – es könnte SOAP/XML, REST, JSON, AJAX, JavaScript oder HTML5 sein.

Das gleiche Prinzip und die gleiche Funktionalität gilt für alle von Extrahop nativ dekodierten Protokolle. Sie können Trigger auch verwenden, um Daten aus definierten Feldern zu extrahieren, zu messen und zu visualisieren oder um proprietäre Protokolle auf Basis von TCP und UDP zu dekodieren.

Machine Learning

Der Cloud-basierte Machine Learning Service verfolgt Erkennungen in acht Kategorien in Ihrer Umgebung:

  • Authentifizierung, Autorisierung und Zugriffskontrolle
  • Netzwerk-Dateisystem
  • Netzwerkinfrastruktur
  • Datenbank
  • E-Mail-Server
  • Webserver
  • Fernzugriffsserver und -verfahren
  • Internetkommunikation und Telefonie

Innerhalb jeder dieser Kategorien wertet das Machine Learning mehrere Protokolle und Hunderte von ExtraHop-Metriken aus, alle mit benutzerdefinierter Logik, um aktive Probleme zu finden und zu korrelieren.

Im Gegensatz zu typischen SaaS-Lösungen werden bei Extrahops Machine Learning Service nur de-identifizierte Metadaten in die Cloud übertragen. Das bedeutet, dass keine Payloads, Dateinamen, Zeichenketten oder andere Datenkategorien, die sensible Daten enthalten könnten, Ihr Unternehmen verlassen. ExtraHop hat die SOC 2, Typ 1 Konformitätszertifizierung für seine Machine Learning Technologie erhalten, über die Sie hier mehr erfahren können.

ExtraHop nutzt die folgende Kombination aus lokalen Technologie- und Cloud-Services, um den gesamten Machine Learning-Prozess zu unterstützen:

  • Ein Vor-Ort-Gerät, das vollständig von Ihnen gesteuert wird, analysiert den Netzwerkverkehr, um mehr als 4.700 Metriken zu extrahieren und zu speichern, darunter IP-Adressen, URIs, Datenbankabfragen, CIFS-Dateinamen, VoIP-Telefonnummern und andere potenziell sensible Daten; Sie können dieses Gerät so konfigurieren, dass es benutzerdefinierte Metriken nach Ihren Wünschen sammelt.
  • Wenn der Machine Learning-Service aktiviert ist, wird eine Teilmenge dieser On-Premise-Metriken de-identifiziert und an eine kundeneigene Cloud-Computing-Instanz in Amazon Web Services gesendet, die von ExtraHop betrieben wird.
  • ExtraHop Machine Learning erstellt dann prädiktive Modelle für das Verhalten von Geräten und Anwendungen und erkennt signifikante Abweichungen von diesen Vorhersagen als Anomalien.
  • Anomalieereignisse werden an Ihr lokales Gerät zurückgesendet, Sie können sich aber auch für den Empfang von E-Mail-Benachrichtigungen entscheiden (die keine sensiblen Daten enthalten). Sobald Ereignisse wieder in Ihrer Umgebung vorhanden sind, können Sie sie mit Ihrem privaten Schlüssel für Warnungen und Untersuchungen neu identifizieren und entschlüsseln.

Auf der Leistungsseite erkennt Extrahop Probleme wie Qualitätsprobleme bei VoIP, die mit erhöhter Latenz und Fehlern verbunden sind, oder Verzögerungen beim Systemstart und bei der Anmeldung im Zusammenhang mit DHCP-Serverfehlern.

Extrahop vs. APM Visibility

Datenindexierung und Storage

ExtraHop verwendet drei komplementäre Formate, um Ihre Leitungsdaten zu indizieren und zu speichern:

Der für die zeitsequenzierte Telemetrie optimierte Streaming-Datastore ermöglicht benutzerdefinierbare Dashboards, die in Echtzeit mit mehr als 4.700 möglichen Metriken gefüllt werden können. Auf diese Weise können Sie die gesamte Kommunikation in Ihrer gesamten Umgebung problemlos einsehen oder sich auf bestimmte Datensätze konzentrieren.


Da die Metriken im Datenspeicher indiziert werden, werden neu entdeckte Geräte automatisch basierend auf der heuristischen Analyse von Maschineninformationen und -verhalten klassifiziert, und ExtraHop beginnt mit dem Aufbau von Basislinien für alle Systeme, Anwendungen und Netzwerke.


Sie können Ihre bestehende NAS-Infrastruktur nutzen, um den Streaming-Datenspeicher für eine langfristige Rückschau zu erweitern, was für die Kapazitätsplanung, den Nachweis von Compliance-Bemühungen oder kontinuierlichen Verbesserungen und die Analyse der Geschäftsaktivitäten im Zeitablauf hilfreich ist. Standardmäßig speichert Ihr Datenspeicher schnelle (30 Sekunden), mittlere (5 Minuten) und langsame (1 Stunde) Kennzahlen lokal. Sie können jedoch 5-Minuten-, 1-Stunden- und 24-Stunden-Kennzahlen extern speichern.


Der Datenspeicher ermöglicht es Ihnen auch, Warnmeldungen basierend auf aktuellem oder vergangenem Verhalten und Ereignissen wie ungewöhnlicher Nutzlastgröße oder ablaufenden SSL-Zertifikaten zu erstellen.

ExtraHop ermöglicht es Ihnen, eine mehrdimensionale Analyse Ihrer Leitungsdaten durchzuführen, auch wenn Sie keine Abfragesprachen kennen. Stellen Sie sich dies wie die Suchfunktionen vor, die Sie in einer Log-Analytics-Plattform finden würden, außer dass Sie Leitungsdaten suchen und analysieren – eine viel reichhaltigere, konsistentere und zuverlässigere Informationsquelle, als Maschinenprotokolle bereitstellen können.


Es gibt zwei grundlegende Arten von Datensätzen in der ExtraHop Benutzeroberfläche: Ablauf und Transaktion. Flow Records zeigen die Kommunikation zwischen zwei Geräten auf der Netzwerkschicht über ein (L3) IP-Protokoll, während L7 Records Details aus einzelnen Nachrichten oder Transaktionen über eines der drei unterstützten L7-Protokolle (transaktions-, nachrichtenbasiert und sitzungsbasiert) anzeigen. ExtraHop ermöglicht es Ihnen, nur nach L7-Verkehr zu suchen und zu filtern oder sowohl Flow- als auch L7-Einträge abzufragen.


Wie ExtraHop eingebaute Datensätze sammelt und speichert, sowie weitere Details zu Datensatztypen und -formaten erfahren Sie hier in Extrahops Dokumentation.


Ihre Transaktions-, Nachrichten- und Flussaufzeichnungen werden alle in einem robusten Cluster gespeichert, der auf der skalierbaren Elasticsearch-Technologie basiert, so dass Sie mit zunehmendem Datenwachstum problemlos Knoten hinzufügen können.

Sie können entweder mit einzelnen Metriken, Benutzern, Geräten oder Paketen beginnen, die einer bestimmten Transaktion zugeordnet sind, oder einfach auf diese Informationen aus einer übergeordneten Ansicht zugreifen. ExtraHop liefert Pakete, die die volle Nutzlast bieten, die Sie bei Bedarf herunterladen und weiter analysieren können.

ExtraHop ermöglicht einen erweiterten forensischen Rückblick zu einem viel günstigeren Preis als jede andere Echtzeit-Analytikplattform, wenn man bedenkt, dass Sie bis zu 1920 TB Erweiterungsspeichereinheiten pro Einsatz ohne Datengebühren an Extrahop hinzufügen können.

Datenvisualisierung und -erkundung

Einer der anspruchsvollsten Aspekte der Echtzeit-Analytik im Unternehmensbereich ist, naja, die Größe selbst. ExtraHop tut sein Bestes, um es Ihnen als Benutzer so einfach wie möglich zu machen, den immensen Reichtum an Informationen zu analysieren und aussagekräftige Erkenntnisse zu gewinnen, unabhängig davon, aus welcher Perspektive Sie kommen.

Wir beginnen mit einer einfachen, intuitiven Benutzeroberfläche, die automatisch ausgefüllte rollenbasierte Dashboards für Teams in Ihrem Unternehmen enthält. Diese Dashboards funktionieren nach einem Drag-and-Drop-Modell, so dass Sie sie mit einzigartigen Widgets weiter anpassen können; wenn Sie Ihr eigenes Widget erstellen möchten, müssen Sie nur die gewünschte Datenquelle und Metriken auswählen, einen Visualisierungstyp auswählen und ihn in Ihrem Dashboard Ihrer Wahl speichern. Sie können Diagramme und Hintergrunddatenpunkte schnell und einfach nach PDF, Excel oder CSV exportieren.

Extrahops visuelle Suchsprache gibt Ihnen die Möglichkeit, Ihre Suchanfragen zu verfeinern oder zu ändern, indem Sie auf Oberflächenelemente klicken, die alles von der Gruppierung über die Filterung bis hin zur Zeitbereichsauswahl steuern. Unabhängig davon, ob Sie sich an die Hunderte von eingebauten Datensatzattributen halten oder Ihre eigenen definieren, diese Funktionalität bedeutet, dass jeder Benutzer schnell auf Leistungs- und Sicherheitsfragen antworten kann, ohne eine Abfragesprache erlernen zu müssen.


Wenn Sie beispielsweise eine schlechte Audioqualität gegenüber VoIP feststellen, können Sie den VoIP-Verkehr nach beschleunigten Weiterleitungs-Tags durchsuchen und schnell feststellen, welche Pakete aufgrund eines falsch konfigurierten Tags hinter weniger zeitkritischem Verkehr zurückbleiben könnten.

Neben traditionellen Methoden der Datenvisualisierung wie Diagrammen und Grafiken verwendet ExtraHop Live-Aktivitätskarten, um eine dynamische und intuitive Sicht auf Ihre Umgebung zu ermöglichen. Anstatt Netzwerkdiagramme manuell zu erstellen und zu aktualisieren, wenn sich Ihre IT-Umgebung ändert, können Sie mit Hilfe von Live-Aktivitätskarten protokollbasierte Verbindungen zwischen Geräten und Anwendungen in Echtzeit visualisieren.


Indem Sie nach Zeitintervallen filtern und Ihren Umfang bei Bedarf erweitern oder einschränken können, erleichtern Aktivitätskarten die Beantwortung mehrteiliger Fragen wie: „Wie interagieren Geräte innerhalb einer bestimmten Ebene, und wie haben diese Geräte in der letzten Stunde im gesamten Netzwerk interagiert“? Anomale Verhaltenserkennungen erscheinen auch auf Live-Aktivitätskarten, so dass Sie den Kontext der Erkennung sehen können, bevor Sie in die Transaktion oder sogar in die genauen Pakete direkt von der Karte aus klicken.


Dieser Blogbeitrag geht viel detaillierter auf die neuesten Funktionen von Live-Aktivitätskarten ein und bietet einige weitere Ideen, wie Sie sie in Ihrem Alltag einsetzen können.

Während umfangreiche Abfrage- und Recherche-Workflows innerhalb der ExtraHop-Oberfläche bereitgestellt werden, macht Extrahop es Ihnen auch leicht, Leitungsdatenmetriken mit den anderen Datenspeichern, Abfragetools und Analyseplattformen in Ihrem Stack zu integrieren. Open Data Stream ermöglicht es Ihnen, Daten aus mehreren Quellen zu einem einzigen, umfangreichen Satz zusammenzuführen, der mit den von Ihrem Team bevorzugten Tools abgefragt und visualisiert werden kann.

Besuchen Sie die Seite für Technologiepartner von Extrahop, um mehr über spezifische Integrationen wie Extrahops Partnerschaften mit AppDynamics, die FireEye Threat Analytics Platform, Elastic, MongoDB und viele mehr zu erfahren.

Protokolle die von Extrahop dekodiert werden können

ExtraHop dekodiert die folgenden Unternehmensprotokolle in Echtzeit auf der Anwendungsebene. Protokollmodule bieten unterschiedliche Analysestufen, beginnend mit der L7-Klassifizierung, und mit den Triggern der Anwendungsinspektion können Sie eine benutzerdefinierte Metrik erstellen.

AAA: RADIUS*
AAA: DIAMETER*
CIFS*
Citrix ICA*
DHCP
DNS
Database: DB2*
Database: Informix*
Database: Microsoft SQL*
Database: MongoDB*
Database: MySQL
Database: Oracle*
Database: Postgres
Database: Sybase*
Database: Sybase IQ*
FIX*
FTP

HTTP-AMF
DSCP
iSCSI*
MS-RPC
WebSocket
SSL
SSH
SMPP*
VoIP: RTP*
VoIP: RTCP*
POP3
Memcache*
Kerberos
Syslog
IBM MQ*
SNMP
RDP

ARP
GRE
ICMP6
IEEE 802.1X
IKE
IMAP
IPSEC
IPX
IRC
ISAKMP
LACP
L2TP
MPLS
NTP
OpenVPN
RCoIP
ModBus

*Add-On-Module (nicht enthalten in der Basis-Lizenz)

Kontaktieren Sie uns

DOKUMENTE:

Datenblatt
Product Overview

Datenblatt
Analytics Platform

Reference Architecture
GUIDE

DATASHEET
Workflow

Extrahop and
GDPR

DATASHEET
ServiceNow

DATASHEET
Protocol Modules

Wir beraten Sie gerne und freuen uns über Ihre Kontaktaufnahme!