Zo werken ze samen:

* Wireshark voor diepe pakketinspectie: Wireshark blinkt uit in het leveren van gedetailleerde analyses op laag niveau van individuele netwerkpakketten. Het is van onschatbare waarde voor het oplossen van specifieke netwerkproblemen, het identificeren van de hoofdoorzaak van prestatieproblemen en het ontleden van verdachte netwerkverkeerspatronen. Het maakt gedetailleerd onderzoek van pakketheaders, payloads en timing mogelijk.

* NetWitness-onderzoeker voor grote context en onderzoek: NetWitness Investigator (en soortgelijke Security Information and Event Management - SIEM - systemen) is ontworpen voor het analyseren van enorme hoeveelheden netwerkgegevens over langere perioden. Het biedt een overzicht op hoog niveau, waarbij gebeurtenissen uit verschillende bronnen (niet alleen netwerkpakketten) met elkaar in verband worden gebracht, inclusief logbestanden van firewalls, servers en andere beveiligingsapparaten. Het blinkt uit in het identificeren van bredere trends, bedreigingen en beveiligingsincidenten door de context en relaties tussen verschillende gebeurtenissen te analyseren.

Scenariovoorbeelden van gecombineerd gebruik:

* Incidentreactie: Een SIEM zoals NetWitness Investigator kan verdachte activiteiten detecteren (bijvoorbeeld een groot aantal mislukte inlogpogingen vanaf een specifiek IP-adres). De beheerder zou vervolgens Wireshark gebruiken om pakketten van dat IP-adres vast te leggen en te analyseren om precies te zien welke pogingen er zijn ondernomen, welke technieken zijn gebruikt en eventuele kwaadaardige ladingen te identificeren.

* Malware-onderzoek: NetWitness Investigator kan ongebruikelijke netwerkverbindingen of bestandsoverdrachten opmerken. Wireshark zou dan worden ingezet om het specifieke netwerkverkeer dat bij die gebeurtenis hoort te inspecteren, waarbij mogelijk het type malware, de command-and-control-server en de gegevens die het heeft geëxfiltreerd, worden onthuld.

* Prestatieafstemming: NetWitness Investigator kan tijdens piekuren ongebruikelijk veel netwerkverkeer op een specifieke applicatie of subnet identificeren. Wireshark kan worden gebruikt om het knelpunt te diagnosticeren door pakketgroottes, protocollen en hertransmissies te analyseren.

In wezen biedt NetWitness Investigator de bredere context en waarschuwt de beheerder voor potentiële problemen, terwijl Wireshark de diepgaande analyse biedt die nodig is om de details van specifieke gebeurtenissen te begrijpen en deze effectief op te lossen. Het zijn krachtige tools die, wanneer ze samen worden gebruikt, de mogelijkheden van een netwerkbeheerder om een ​​netwerk te beheren, monitoren en beveiligen aanzienlijk vergroten.