Cisco Secure Network Analytics (SNA) — to rozwiązanie do monitorowania ruchu sieciowego i wykrywania zagrożeń w oparciu o analizę zachowań sieciowych (Network Behavior Analysis, NBA).
Jest częścią pakietu Cisco Secure, a jego kluczowym komponentem jest Stealthwatch Enterprise.
Główne komponenty:
- Flow Collector (FC) -> Zbiera dane telemetryczne (NetFlow, IPFIX, sFlow itp.) z routerów, przełączników, firewalli i innych urządzeń.
- Flow Sensor -> Wstawiany pasywnie w punktach, gdzie nie ma źródła NetFlow — generuje własne dane przepływów.
- Management Console (SMC) -> Centralny punkt zarządzania, wizualizacji i korelacji zdarzeń.
- UDP Director -> Agreguje dane z wielu źródeł NetFlow i przekazuje je do kilku odbiorców (np. kolektorów).
- Cisco Telemetry Broker (CTB) -> Nowoczesny zamiennik UDP Directora, lepiej skalowalny i wieloprotokołowy.
Funkcje bezpieczeństwa:
- Network & Host Behavior Analysis (NBA/HBA)
- IDS-like detection bez podpisów (analiza heurystyczna/statystyczna)
- Encrypted Traffic Analytics (ETA) — wykrywanie złośliwego ruchu w zaszyfrowanym HTTPS bez deszyfrowania
- Threat Intelligence z Cisco Talos
- Integracja z ISE (Identity Services Engine) — przypisanie ruchu do konkretnego użytkownika lub urządzenia
- Analityka lateral movement (np. po infekcji ransomware)