Um administrador de rede pode usar o Wireshark e o NetWitness Investigator para alavancar os pontos fortes de cada ferramenta para uma análise de segurança de rede mais abrangente. Eles são ferramentas complementares, não diretamente competindo.

Aqui está como eles trabalham juntos:

* Wireshark para inspeção de pacotes profundos: O Wireshark se destaca em fornecer uma análise detalhada e de baixo nível de pacotes de rede individuais. É inestimável para solucionar problemas de rede específicos, identificar a causa raiz dos problemas de desempenho e dissecar padrões suspeitos de tráfego de rede. Permite o exame granular de cabeçalhos de pacotes, cargas úteis e tempo.

* Investigador de Netwitness para contexto e investigação de grande porte: O NetWitness Investigator (e informações de segurança similares e gerenciamento de eventos - SIEM - Systems) foi projetado para analisar grandes quantidades de dados de rede por períodos prolongados. Ele fornece uma visão geral de alto nível, correlacionando eventos de várias fontes (não apenas pacotes de rede), incluindo logs de firewalls, servidores e outros dispositivos de segurança. Ele se destaca na identificação de tendências, ameaças e incidentes de segurança mais amplos, analisando o contexto e as relações entre diferentes eventos.

Exemplos de cenário de uso combinado:

* Resposta de incidentes: Um investigador do SIEM como o Netwitness pode detectar atividades suspeitas (por exemplo, um grande número de tentativas de login com falha de um endereço IP específico). O administrador usaria o Wireshark para capturar e analisar pacotes desse endereço IP para ver exatamente quais tentativas foram feitas, quais técnicas foram usadas e identificar quaisquer cargas úteis maliciosas.

* Investigação de malware: O NetWitness Investigator pode destacar conexões de rede incomuns ou transferências de arquivos. O Wireshark seria então empregado para inspecionar o tráfego de rede específico associado a esse evento, potencialmente revelando o tipo de malware, seu servidor de comando e controle e os dados que ele exfiltrou.

* ajuste de desempenho: O NetWitness Investigator pode identificar o tráfego de rede incomumente alto em um aplicativo ou sub -rede específico durante o horário de pico. O Wireshark pode ser usado para diagnosticar o gargalo analisando tamanhos de pacotes, protocolos e retransmissões.

Em essência, o Netwitness Investigator fornece o contexto mais amplo e alerta o administrador sobre problemas em potencial, enquanto o Wireshark fornece o mergulho profundo necessário para entender os detalhes de eventos específicos e solucioná -los de maneira eficaz. São ferramentas poderosas que, quando usadas juntas, aprimoram significativamente a capacidade de um administrador de rede de gerenciar, monitorar e proteger uma rede.