AkabSensor è la famiglia di apparati periferici che costituiscono la base dell'architettura Akab e sono preposti alla gestione dei dati raccolti dalla rete e/o ricevuti dai sistemi.

Il ruolo di tali apparati è fondamentale poichè forniscono i dati agli algoritmi di Anomaly Detection ed Event Correlation che verranno applicati dagli apparati centrali di livello superiore.

La famiglia di apparati AkabSensor comprende apparati specializzati per funzioni specifiche:

• security audit (AS-SA),
• intrusion detection (AS-ID),
• bandwidth management (AS-BM),
• traffic monitoring (AS-TM),
• log server (AS-LS).

Gli apparati della linea Network Management (BM, TM e LS) sono configurabili in modalità stand-alone.

Le operazioni di gestione sono varie e diverse a seconda della funzione specifica di AS.
In generale, le operazioni comuni a tutta la famiglia sono: raccolta dati, filtraggio, interpretazione e generazione di messaggi in formato AKevent, comunicazione con AkabCollector.

Ai fini di Alta Disponibilità, tutti gli apparati sono opzionalmente dotabili delle funzioni di FailOver (due macchine gemelle) e, solo per AS-BM, di Bypass (continuità fisica del collegamento).

In tutti gli apparati dell'architettura Akab viene utilizzata la stessa interfaccia utente web-based.

Raccolta Dati

In particolare, i dati che possono essere raccolti da AS sono:

• Netflow/Sflow
• Syslog
• SNMPTrap
• Security Alert

Tutti i dati raccolti vengono memorizzati localmente in formato nativo, a fini di rintracciabilità e di eventuali analisi forensi successive.

Filtraggio

Per ogni combinazione di dati (Netflow, Syslog, SNMPTrap e Security Alert) e di host e/o applicazione che generano tali dati, è possibile configurare opportuni e personalizzati criteri di filtraggio.

Interpretazione e generazione eventi AKevent

Alcuni dei dati raccolti assumono un particolare significato in ambito sicurezza (Denial Of Service, scan, tentativi di intrusione, ...): un'interpretazione in tal senso genererà dei messaggi AKevent.

Comunicazione con AkabCollector

Tutti gli Akevent generati e/o le informazioni di stato rilevate vengono trasmesse al livello superiore di apparati (AkabCollector), con gestione dei livelli di priorità opportuni ed in modalità cifrata, secondo un protocollo di comunicazione proprietario.

Tipologia di apparati AkabSensor

La famiglia di apparati AkabSensor comprende diversi tipi di apparati, specializzati per funzioni specifiche, più o meno complesse, ed aventi capacità differenti di gestione della quantità di dati.

• AS-ID (Security Audit) gestisce, in relazione ad eventi di sicurezza, i dati di netflow, syslog e SNMPTrap, generando messaggi  in formato Akevent che invia ad AkabCollector. Comprende le attività di Vulnerability Assessment, mirate alla verifica della esistenza di vulnerabilità nelle configurazioni e nelle versioni di sistemi operativi e applicazioni dei sistemi di rete.
• AS-ID (Intrusion Detection) gestisce i Security Alert generando messaggi AKevent che invia ad AkabCollector.
• AS-BM (Bandwidth Management) realizza il partizionamento della banda trasmissiva disponibile, secondo vari criteri.
• AS-TM (Traffic Monitoring) analizza il traffico di rete, in transito (fino al livello delle applicazioni) e quello rilevato da apparati di terze parti tramite Netflow (connessioni e protocolli), e fornisce i dati statistici ad AkabCollector.
• AS-LS (Log Server) raccoglie i messaggi di Log da più host e applicazioni e ne permette la visualizzazione e la estrazione secondo vari criteri.