Citando a Wikipedia, la «observabilidad» tiene su origen en la teoría del control, que mide lo bien que se puede determinar el estado de un sistema a partir de sus salidas.
Del mismo modo, en software, la observabilidad se refiere a lo bien que podemos entender el estado de un sistema a partir de la telemetría obtenida, incluyendo métricas, registros, trazas y perfiles.
La visibilidad y la supervisión actuales carecen de inteligencia conductual
La supervisión tradicional se emplea habitualmente para supervisar visualmente e identificar problemas relacionados con aplicaciones, redes y puntos finales relativos al rendimiento, la salud, la experiencia del usuario, la seguridad y la resistencia.
Las alertas se combinan con la monitorización para notificar rápidamente los eventos críticos a través de correos electrónicos, SMS y cuadros de mando.
Esta monitorización convencional, utilizada por APM, NPM y SIEM, opera sobre «incógnitas conocidas», en las que los riesgos se conocen de antemano, pero se desconoce el momento concreto en que se producirán.
Este tipo de supervisión es suficiente para sistemas sencillos con un número limitado de entidades, en los que la resolución de problemas es sencilla y evidente.
Sin embargo, los sistemas empresariales se han vuelto más complejos con la llegada de arquitecturas múltiples, como las aplicaciones distribuidas, los despliegues en varias nubes, la informática Edge y las aplicaciones de colaboración con numerosos socios.
Además, la ampliación de la superficie de ataque asociada a estas arquitecturas ha hecho que la supervisión tradicional y la correlación más sencilla resulten inadecuadas.
Abordar únicamente las «incógnitas conocidas» es insuficiente.
Las plataformas de observabilidad dan un salto adelante al identificar riesgos inesperados que antes no se tenían en cuenta.
Estas plataformas están diseñadas para manejar «incógnitas desconocidas» y ofrecen una solución de problemas y depuración de sistemas más rápida y precisa al proporcionar una visibilidad profunda de su rendimiento, salud, seguridad y comportamiento.
Este post se centra en la observabilidad conseguida de forma óptima a través de las entradas recogidas de los componentes de red y seguridad SASE (Secure Access Service Edge).
En concreto, exploramos los casos de uso de la observabilidad relacionados con las anomalías de comportamiento para identificar comportamientos anómalos de usuarios, redes, entidades de aplicación y acceso a Internet.
Las plataformas de observabilidad dependen en gran medida de la calidad de los datos de entrada que reciben.
En este contexto, profundizamos en cómo las soluciones SASE ofrecen datos ricos en forma de registros, métricas y rastros y cómo los sistemas de observabilidad pueden aprovechar estos datos para abordar diversos casos de uso.
Al aprovechar los conocimientos de las soluciones SASE, las soluciones de observabilidad pueden mejorar sus capacidades, lo que se traduce en una mejora de la supervisión, la detección proactiva de riesgos y un análisis robusto del sistema.
La combinación de SASE y la observabilidad proporciona un marco potente para supervisar y asegurar eficazmente los sistemas empresariales modernos.
SIEM, NPM, NDR, APM, XDR – La detección de anomalías es limitada
En el panorama actual, existen numerosas herramientas de visibilidad y supervisión, cada una de ellas competente en sus respectivas funcionalidades.
Sin embargo, tienen ciertas limitaciones, principalmente en torno a la detección de anomalías basadas en el comportamiento y la correlación limitada de eventos, que dificultan su capacidad para proporcionar una visibilidad en profundidad y un análisis de la causa raíz.
Nuestra perspectiva es que estas herramientas deberían abarcar con el tiempo análisis de comportamiento/análisis predictivo y una visibilidad más profunda, cumpliendo los requisitos de los sistemas de rendimiento, seguridad y resistencia.
Para lograr la exhaustividad, añadir la funcionalidad de análisis del comportamiento de usuarios y entidades (UEBA) resulta crucial para estas herramientas.
Además, creemos firmemente que para lograr una observabilidad satisfactoria es necesario mejorar las capacidades de correlación.
Para lograr una mejor correlación, se necesitan datos relevantes de los dispositivos de red, los dispositivos de seguridad, los sistemas de identidad y las infraestructuras de aplicaciones.
Sin embargo, obtener esta información de forma coherente entre dispositivos y sistemas de distintos proveedores supone un reto debido a las variaciones en el contenido de los registros, las métricas y los esquemas y formatos de los registros.
El mayor desafío es la información incoherente y faltante que se requiere para un análisis exhaustivo.
La SASE unificada, que unifica múltiples funciones de red y seguridad de un único proveedor bajo una arquitectura cohesiva, puede aliviar la carga de estas herramientas en lo que respecta a la correlación y el análisis del comportamiento -más sobre esto en secciones posteriores.
Profundicemos en UEBA y exploremos el tipo de registros y métricas que se esperan del plano de datos de SASE unificado.
Análisis del comportamiento de usuarios y entidades
La industria de la ciberseguridad acuñó el término «Análisis del comportamiento de usuarios y entidades» (UEBA).
Se refiere a la supervisión y el análisis del comportamiento de usuarios (como empleados, contratistas y socios) y entidades (como dispositivos, aplicaciones y redes) dentro de la red de una organización para detectar actividades anómalas o sospechosas.
Las soluciones UEBA suelen utilizar técnicas avanzadas de análisis y aprendizaje automático (IA/ML) para establecer una línea de base del comportamiento normal de cada usuario y entidad.
Una vez establecida la línea de base, el sistema compara continuamente el comportamiento en tiempo real con esta línea de base para detectar desviaciones o anomalías que puedan indicar posibles amenazas a la seguridad o actividades anómalas.
También es importante tener en cuenta que la línea de base sigue cambiando con el tiempo, de ahí la necesidad de actualizar la línea de base y el correspondiente entrenamiento continuo del modelo.
UEBA pretende identificar patrones o comportamientos inusuales que podrían pasar desapercibidos a las medidas de seguridad tradicionales, ayudando a las organizaciones a detectar amenazas internas, cuentas comprometidas, accesos no autorizados y otras actividades sospechosas.
Al analizar el comportamiento, UEBA proporciona un contexto y una perspectiva adicionales de los posibles incidentes de seguridad, lo que permite a los equipos de seguridad responder con prontitud y eficacia.
Aunque UEBA se define en el contexto de la ciberseguridad, la detección de anomalías en el comportamiento no se limita a la ciberseguridad, sino que se aplica a aspectos del rendimiento de entidades como aplicaciones y redes.
Algunos en la industria dicen, con lo que estoy de acuerdo, que la realización de la Arquitectura de Confianza Cero (ZTA), ya sea con tecnologías de malla de servicios o SASE, sólo está completa si incluyen UEBA en su oferta.
Puesto que UEBA habla de anomalías, entendamos primero el término «detección de anomalías», los diferentes tipos de anomalías y las técnicas utilizadas para detectarlas.
Detección de anomalías para la ciberseguridad
Esta entrada de blog, ¿Qué es la detección de anomalías? ofrece una excelente visión general de la detección de anomalías.
En términos sencillos, la detección de anomalías consiste en identificar puntos o patrones inusuales dentro de un conjunto de datos.
Cualquier cosa que se desvíe de una línea de base establecida dentro de una tolerancia predefinida se considera una anomalía.
Aunque las anomalías pueden ser benignas y preocupantes, la detección de anomalías maliciosas es primordial en la industria de la ciberseguridad.
La detección no supervisada de anomalías es especialmente crucial para la ciberseguridad, ya que ayuda a identificar sucesos no vistos previamente sin depender de conocimientos previos.
En otras palabras, este enfoque no supervisado es esencial para detectar «incógnitas desconocidas» en el contexto de las amenazas a la seguridad.
La detección de anomalías puede abordarse mediante diversas técnicas, unas veces aprovechando herramientas estadísticas y otras requiriendo algoritmos de aprendizaje automático.
Dos tipos populares de algoritmos de aprendizaje automático utilizados para la detección de anomalías son:
- Agrupación: La agrupación es una técnica que agrupa puntos de datos en función de su similitud o distancia.
Las anomalías pueden identificarse en la agrupación mediante la detección de puntos de datos que no pertenecen a ningún conglomerado o que están significativamente alejados de su centro de conglomerado más cercano.
Algunos ejemplos de algoritmos de agrupación son K-means. - Estimación de la densidad: La estimación de la densidad es una técnica que estima la distribución de probabilidad de los datos.
Las anomalías pueden detectarse mediante la estimación de la densidad encontrando puntos de datos con baja densidad de probabilidad o que residan en regiones de baja densidad.
Entre los algoritmos comunes de estimación de la densidad se incluyen el bosque de aislamiento, la estimación de la densidad del núcleo, etc.
No cubriremos aquí el análisis descriptivo, ya que muchos sistemas de monitorización ya lo soportan.
El enfoque principal aquí es el análisis del comportamiento, una rama del análisis predictivo.
Como se ha mencionado, la detección de anomalías es relevante para la ciberseguridad y, por tanto, cubriremos aquí las detecciones de anomalías.
Algunos ejemplos de detecciones de anomalías pueden ayudar a comprender el tipo de información que se espera de las soluciones SASE, en particular el análisis del comportamiento de usuarios y entidades (UEBA) y la observabilidad en general.
En las siguientes secciones, proporcionaremos detecciones de anomalías que son necesarias para la industria de la ciberseguridad y las redes.
Como ya se ha mencionado, también es importante disponer de un sistema genérico de detección de anomalías con múltiples características para identificar cualquier tipo de detección que no se conozca de antemano.
Una consideración importante para identificar tipos de detección desconocidos es que los registros de entrada y los datos métricos sean exhaustivos. He aquí algunos ejemplos de detecciones de anomalías:Anomalías del comportamiento del usuario:
- Usuarios que acceden a Internet, SaaS y aplicaciones empresariales desde ubicaciones diferentes a sus patrones habituales.
- Usuarios que acceden a los servicios a horas inusuales en comparación con sus patrones de uso habituales.
- Usuarios que acceden a las aplicaciones desde varios lugares en poco tiempo, lo que parece inverosímil.
- Usuarios que acceden a los servicios a través de proxies anónimos, lo que plantea problemas de seguridad.
- Usuarios que acceden a servicios desde direcciones IP sospechosas que podrían estar asociadas a actividades maliciosas.
- Usuarios que acceden a dominios o URL sospechosos, lo que indica posibles amenazas para la seguridad.
- Usuarios que muestran un comportamiento inusual de descarga/subida de archivos, que requiere atención.
- Usuarios que muestran un acceso atípico a aplicaciones, sitios de Internet o aplicaciones SaaS.
Actividad inusual de los usuarios:
- Número inusual de inicios de sesión por parte de un usuario, lo que podría indicar credenciales comprometidas o intentos de acceso no autorizados.
- Número inusual de fallos en el inicio de sesión, lo que sugiere posibles ataques de fuerza bruta o problemas de autenticación.
- Acceso inusual a varios URI de aplicaciones que pueden requerir una investigación más profunda.
- Número inusual de túneles VPN de acceso remoto de un usuario determinado o globalmente entre usuarios.
Anomalías en el acceso a las aplicaciones:
- Acceso a las aplicaciones por parte de usuarios desconocidos, lo que requiere la verificación de su legitimidad.
- Acceso inusual a diferentes secciones o espacios dentro de las aplicaciones por parte de los usuarios.
- Descargas/subidas inusuales de datos por parte de los usuarios, lo que podría indicar una exfiltración de datos o transferencias de datos no autorizadas.
- Acceso inusual desde lugares no vistos anteriormente, lo que podría plantear problemas de seguridad.
- Acceso inusual a aplicaciones en momentos inesperados por parte de usuarios o usuarios específicos, lo que justifica una investigación.
- Accesos inusuales desde ISP no vistos antes, que pueden ser indicativos de actividades sospechosas.
- Detección de cabeceras de solicitud HTTP inusuales durante el acceso a los recursos de la aplicación.
- Detección de longitudes de URI anormales al acceder a recursos de aplicaciones.
- Uso inusual de diferentes agentes de usuario que podrían estar relacionados con intenciones maliciosas.
- Latencia inusual de las transacciones a nivel HTTP.
Anomalías de la red: Tenga en cuenta que Internet se considera una de las redes.
- Anomalías en la cantidad de tráfico entrante, saliente o sus valores combinados para una red determinada.
- Anomalías en la cantidad de tráfico para diferentes conjuntos de protocolos.
- Anomalías en el número de conexiones a los recursos de la red.
- Anomalías en el número de transacciones a los recursos de la red.
- Anomalías en el número de transacciones por conexión.
- Anomalías en la latencia al acceder a los recursos de la red.
- Anomalías en el tráfico entre las redes.
Anomalías de la amenaza:
- Anomalías en el número de sesiones a direcciones IP sospechosas, que indican posibles intentos de comunicación con entidades maliciosas.
- Anomalías en el número de sesiones a nombres de dominio sospechosos, que pueden significar contacto con dominios no fiables o comprometidos.
- Anomalías en el número de sesiones a URL sospechosas, que apuntan a amenazas potenciales en el tráfico web.
- Anomalías en el número de descargas/subidas de archivos infectados con malware, que ponen de manifiesto posibles ciberataques.
- Anomalías en el número de sesiones a servicios SaaS y en la nube no autorizados o maliciosos.
- Anomalías en el número de sesiones denegadas, lo que podría indicar la existencia de medidas de seguridad.
- Anomalías en el número de transacciones denegadas, que sugieren posibles amenazas a la seguridad o actividades fraudulentas.
Las plataformas de observabilidad con UEBA tienden a proporcionar las detecciones anteriores.
Se puede emplear un modelo genérico de agrupación de riesgos desconocidos para detectar cualquier nueva anomalía que deba ser vigilada.
Este modelo genérico debería incorporar múltiples características.
Dado que la mayoría de las anomalías enumeradas anteriormente requieren datos de referencia para identificarlas con precisión, es crucial que las plataformas de observabilidad permitan el modo de aprendizaje.
A veces, el aprendizaje puede ser dinámico, permitiendo la configuración para comprobar las anomalías del día actual basándose en el último número X de días de datos.
Dado que pueden ser necesarios múltiples modelos, las plataformas de observabilidad deben ser escalables y capaces de manejar la carga para entrenar y acomodar múltiples modelos.
Inteligencia sobre amenazas con precisión
La detección precisa de anomalías en el comportamiento de las amenazas depende de la información actualizada de los proveedores de inteligencia sobre amenazas.
Aunque los sistemas SASE realizan la detección inicial de amenazas en el momento del tráfico, la inteligencia sobre amenazas recopilada en ese momento puede quedar obsoleta.
Los proveedores de inteligencia sobre amenazas evalúan continuamente la puntuación de reputación de direcciones IP, nombres de dominio, URL, archivos y servicios SaaS y actualizan sus feeds con la información más reciente.
Sin embargo, esto puede provocar un desfase temporal entre la aparición de amenazas reales y la actualización de los feeds de inteligencia sobre amenazas.
En consecuencia, cualquier conexión o transacción que se produzca antes de estas actualizaciones de los feeds puede hacer que el plano de datos no clasifique correctamente el tráfico.
Para hacer frente a este reto, las plataformas de observabilidad basadas en UEBA examinan proactivamente los accesos anteriores de forma continua y mejoran los datos con nueva inteligencia sobre amenazas.
A continuación, estas plataformas informan a los equipos de caza de amenazas informáticas sobre los cambios en la inteligencia, lo que permite a los cazadores de amenazas profundizar en las amenazas potenciales.
Unified SASE agrega registros, métricas y trazas con precisión
La exhaustividad y precisión de cualquier análisis, incluidos los descriptivos, predictivos, de diagnóstico y prescriptivos, dependen en gran medida de la calidad de los registros recibidos por la plataforma de observabilidad.
Aquí es donde las soluciones de Unified SASE destacan realmente.
Las plataformas de observabilidad tradicionales dependen de los registros y las métricas de los sistemas de varios proveedores, como los dispositivos cortafuegos, los dispositivos UTM, las aplicaciones, los servicios de identidad, los cortafuegos de aplicaciones web, los sistemas IDS/IPS, los sistemas de seguridad DNS y otros.
Sin embargo, la gestión de registros de varios proveedores plantea varios retos:
- Información insuficiente en los registros.
- Diferentes formatos/esquemas de registro.
- Cambios constantes de los mensajes de registro y del formato por parte de los proveedores.
- Dificultad para correlacionar de forma coherente los registros de los dispositivos de red/seguridad con sesiones de tráfico, usuarios o aplicaciones específicos.
- Un gran número de registros con información duplicada, lo que provoca bombas de registros y caídas de registros.
- Excesiva potencia de cálculo necesaria para la correlación de registros y la gestión del elevado volumen de registros.
Las soluciones SASE abordan eficazmente estos retos gracias a su enfoque integrado.
SASE combina múltiples funciones de red y de seguridad de red en un único servicio, suministrado como una solución integral.
Sin embargo, es esencial ser precavido, ya que las soluciones SASE pueden construirse de múltiples maneras.
Los servicios SASE de un único proveedor, aunque se entreguen como una oferta combinada de un proveedor, pueden estar compuestos de componentes discretos de seguridad y de red de múltiples proveedores de componentes.
En consecuencia, los registros y métricas de dichas soluciones SASE de un único proveedor pueden enfrentarse a retos similares.
Por el contrario, las soluciones SASE unificadas suelen entregarse como un plano de datos unificado y completo que se adhiere a los principios de la arquitectura de paso único y la arquitectura de ejecución hasta el final.
Esto significa que Unified SASE tiene una visión holística de cada sesión o transacción y de las funciones de seguridad relacionadas aplicadas.
Como resultado, las soluciones de Unified SASE generan un único registro para cada archivo, transacción o sesión, que contiene toda la información necesaria.
Por ejemplo, los registros de acceso de Unified SASE incluyen detalles exhaustivos como:
- Información de 5 tuplas (IP de origen, IP de destino, protocolo, puerto de origen y puerto de destino)
- Hora de inicio y hora de finalización de la sesión/transacción
- Nombre de dominio en caso de conexiones TLS
- Valor de la cabecera Host y ruta URL en caso de transacciones HTTP
- Si la conexión es segura o no (TLS)
- Método HTTP (GET/POST/DELETE/PUT), parámetros de consulta URI y cabeceras y valores de solicitud y respuesta HTTP, principalmente cabeceras que empiezan por X-
- Hash del archivo (si se envían varios archivos en una transacción HTTP, podría haber varios registros de acceso)
- Número de bytes enviados del cliente al servidor y viceversa
- Políticas de acceso y políticas de seguridad aplicadas, junto con los detalles de las políticas y los valores coincidentes de la sesión de tráfico, como las reclamaciones de los usuarios (nombre principal, grupo, rol, servicio de autenticación, Emisor), categoría y puntuación de reputación de IP, categoría y puntuación de reputación de dominio, categoría y puntuación de reputación de URI, categoría y puntuación de reputación de servicio SaaS y acción realizada.
Es importante señalar que múltiples motores de seguridad proporcionan el consentimiento para el acceso a cualquier sesión o transacción.
Estos motores de seguridad abarcan el motor de reputación de IP, el motor de reputación de dominio, el motor de reputación de URL, los motores de reputación de SaaS, los motores de control de acceso, el motor antimalware, el motor IDPS, etc.
Cada motor de seguridad aplica su propio conjunto de políticas y toma las medidas adecuadas en función de los resultados.
Debido a la presencia de varios motores, cada uno con su tabla de políticas y conjuntos únicos de valores coincidentes de tráfico o enriquecimientos de tráfico, es necesario registrar el nombre de la política coincidente y los parámetros que condujeron a la coincidencia de la política.
Los registros de acceso desempeñan un papel fundamental en las plataformas de observabilidad, ya que permiten realizar análisis precisos.
Sin embargo, otros registros son de igual importancia para las plataformas de observabilidad, y las soluciones «Unified SASE» los ofrecen listos para usar.
Estos registros son fundamentales a la hora de mejorar las capacidades de la plataforma para obtener información exhaustiva.
Algunos de los registros esenciales que ofrecen las soluciones «Unified SASE» son:
- Registros relacionados con la entrada y salida de usuarios a través de su función de agente de identidades.
- Registros relacionados con los fallos en el inicio de sesión de los usuarios, que ayudan a controlar las posibles amenazas a la seguridad.
- Registros relacionados con el inicio de sesión de los usuarios, enriquecidos con información exhaustiva sobre las reclamaciones de los usuarios, que incluye:
- Dirección de correo electrónico del usuario
- Emisor (proveedor de identidad)
- Múltiples grupos y roles a los que pertenece el usuario
- El servicio de autenticación que autenticó al usuario
- Si se aplicó o no la autenticación multifactor (MFA)
- IP de origen desde la que se registró el usuario
- Protocolo de autenticación utilizado por la aplicación de usuario
- Ubicación desde la que el usuario inició sesión
Incluir registros relacionados con la autenticación de usuarios y registros de acceso puede proporcionar valiosas entradas a la plataforma de observabilidad para identificar eficazmente las anomalías de comportamiento.
Además, las soluciones SASE unificadas ofrecen registros siempre que se detecta cualquier amenaza, como malware, exploits o actividades sospechosas.
Estos registros incluyen información de 5 tuplas (IP de origen, IP de destino, protocolo, puerto de origen, puerto de destino), fecha/hora e información de reclamaciones de usuarios conocidos en el momento de la detección de la amenaza.
Esto ayuda a correlacionar la amenaza con la sesión o transacción en la que se observó, ayudando en la respuesta y mitigación de incidentes.
Aunque no estamos hablando de ellos aquí, muchos otros logs relacionados con el Kernel del sistema SASE, procesos, contenedores y hardware ayudan en el análisis de diagnóstico.
Además de generar logs, las soluciones SASE unificadas también proporcionan varias métricas, incluyendo contadores, indicadores e histogramas.
Estas métricas son inestimables para identificar anomalías estadísticas y solucionar problemas, ya que ofrecen visibilidad de los distintos componentes de la arquitectura SASE.
En general, los diferentes tipos de registros, incluidos los registros de acceso, los registros relacionados con la autenticación, los registros de amenazas y los registros de diagnóstico con varios tipos de métricas que proporciona Unified SASE, ayudan a las plataformas de observabilidad a proporcionar no sólo análisis descriptivos y de diagnóstico, sino también análisis de comportamiento/predictivos.
El SASE Unificado y la Observabilidad Integrada están unidos por la cadera.
Como se ha comentado hasta ahora, Unified SASE destaca por permitir varias herramientas analíticas con su rico conjunto de datos exportados.
También reconocemos que las soluciones SASE unificadas abarcarán una plataforma de observabilidad integral que incluya diversos análisis, en particular análisis del comportamiento, como se ha descrito anteriormente.
En las etapas iniciales, las plataformas de observabilidad integradas se limitaban principalmente a las soluciones SASE, y la observabilidad de extremo a extremo a menudo dependía de los servicios de observabilidad de Splunk, Datadog, Elastic, New Relic y las plataformas XDR de amenazas de extremo a extremo.
En esencia, Unified SASE incorpora su propia plataforma de observabilidad integrada a la vez que proporciona registros y métricas de alta calidad a diversas herramientas de observabilidad externas.
La SASE unificada es clave para impulsar las capacidades de observabilidad.
Las herramientas tradicionales de supervisión y visibilidad se quedan cortas en entornos empresariales complejos caracterizados por fuerzas de trabajo distribuidas, despliegues de aplicaciones multicloud/edge, uso extensivo de múltiples servicios SaaS, un panorama de amenazas en constante expansión y arquitecturas de aplicaciones basadas en microservicios.
La dependencia de registros y métricas de diversas fuentes de redes, seguridad y aplicaciones a menudo obstaculiza la capacidad de estas herramientas para ofrecer perspectivas procesables y capacidades eficientes de correlación y análisis de la causa raíz.
La necesidad del momento es la «observabilidad».
Muchos proveedores de análisis tradicionales han empezado a aumentar sus ofertas con funciones de observabilidad como UEBA y capacidades de detección de anomalías asociadas.
Sin embargo, la eficacia de estas herramientas de análisis depende en gran medida de la calidad de los registros y las métricas que reciben.
La SASE unificada tiene el potencial de superar los retos relacionados con la generación de registros completos y de alta calidad para todos los tipos de análisis, incluido el análisis del comportamiento.
Al ofrecer un enfoque unificado y una exportación de datos completa, Unified SASE puede mejorar significativamente las capacidades de observación de las organizaciones, facilitando la detección proactiva de amenazas, un análisis preciso y una mejor toma de decisiones.
La integración de múltiples herramientas analíticas y funciones de observabilidad dentro de Unified SASE proporciona una potente solución para abordar las complejidades de los entornos empresariales modernos y reforzar las defensas de ciberseguridad.
-
Blog CTO Insights
La serie de blogs Aryaka CTO Insights proporciona liderazgo de pensamiento para temas de red, seguridad y SASE.
Para conocer las especificaciones de los productos Aryaka, consulte Aryaka Datasheets.