Система сбора, обработки и управления событиями ИБ ...
description
Transcript of Система сбора, обработки и управления событиями ИБ ...
1Confidential 1
Система сбора, обработки и управления событиями ИБ ArcSight ESM
Наталья Зосимовская,Компания «Информзащита»
www.arcsight.com © 2008 ArcSight Confidential
Содержание
О компании ArcSight
Архитектура ArcSight ESM
SmartConnectors
ArcSight Manager
www.arcsight.com © 2008 ArcSight Confidential
О компании ArcSight
Основана в Мае 2000 года www.arcsight.com
300+ сотрудников
500+ прямых клиентов, 850+ партнерских клиентов
www.arcsight.com © 2008 ArcSight Confidential
Основные проблемы
Сотни тысяч событий в день
Отсутствие единой централизованной системы сбора, обработки и анализа событий
Сложности в управлении инцидентами ИБ и информационной безопасностью в целом
NetworkDevices
ServersMobile DesktopSecurityDevices
PhysicalAccess AppsDatabasesIdentity
Sources Email
www.arcsight.com © 2008 ArcSight Confidential
Архитектура системы ArcSight ESM
ArcSightManagerTM
Анализ и корреляция
SmartConnector FlexConnectorСбор данных
Консоль управления
Web-интерфейс
ArcSightConsoleTM
ArcSightWebTM
Database
www.arcsight.com © 2008 ArcSight Confidential
ArcSight SmartConnectors и FlexConnectors 180+ продуктов в 35+ категориях от 80+ партнеров
Access and Identity
Anti-Virus
Applications
Content Security
Database
Data Security
Firewalls
Honeypot
Network IDS/IPS
Host IDS/IPS
Integrated Security
Log Consolidation
Mail Filtering
Mail Server
Mainframe
NBAD
Network Management
Network Monitoring
Net Traffic Analysis
Policy Management
Security Management
Router Web Cache
Web Filtering
Switch
Vulnerability Mgmt
Web Server
Operating System VPN Wireless
www.arcsight.com © 2008 ArcSight Confidential
SmartConnector
Основные функции:
Сбор данных
Нормализация
Категоризация
Фильтрация
Агрегация
Программное обеспечениеПрограммное обеспечение
www.arcsight.com © 2008 ArcSight Confidential
Нормализация и категоризация
Jun 02 2005 16:39:31: %PIX-6-106015: Deny TCP (no connection) from 10.50.215.102/15605 to 204.110.227.16/443 flags FIN ACK on interface outside
Категоризация в ArcSight :Нормализация в ArcSight :
www.arcsight.com © 2008 ArcSight Confidential
Фильтрация и агрегация
Фильтрация - исключение из рассмотрения определенных событий, соответствующих заданным критериям
Агрегация
www.arcsight.com © 2008 ArcSight Confidential
Схема работы
СобытияСобытияSSL
Централизованные обновления
КэшКэш
ArcSightConnectorArcSight
Connector
Управление пропускной
способностью канала
События
Фильтрация* Агрегация* ArcSightManager
www.arcsight.com © 2008 ArcSight Confidential
ArcSight ESM
www.arcsight.com © 2008 ArcSight Confidential
ArcSight ESM
Основные функции:
Приоритезация
Корреляция
Мониторинг и Расследования
Оповещения
Отчетность
www.arcsight.com © 2008 ArcSight Confidential
Приоритезация
Основные факторы приоритезации:
Важность события
История событий (System Active Lists)
Критичность актива (Very High, High,
Medium, Low, Very Low)
www.arcsight.com © 2008 ArcSight Confidential
Механизмы корреляции
Корреляция в режиме реального времени
– >100 установленных правил корреляции Статистическая корреляция Историческая корреляция Корреляция основанная на данных об уязвимостях Корреляция основанная на данных о пользователе и его
роли Графический редактор для создания правил (без
использования программирования)
www.arcsight.com © 2008 ArcSight Confidential
Мониторинг и расследования
Консоль управления:
Active Channels для интерактивных расследований
Dashboards с возможностью детализации
– 169 графических блоков
– 41 шаблон dashboards
Web-консоль
Viewer ArcSightWebTM
www.arcsight.com © 2008 ArcSight Confidential
Active Channels
Статистический обзор
Гисторграмма
Табличный вид
Возможности
глубокой детализации
(drill down)
www.arcsight.com © 2008 ArcSight Confidential
Dashboards
Графический и
табличный вид
Возможности
глубокой детализации
(drill down)
www.arcsight.com © 2008 ArcSight Confidential
Оповещения
Оповещения в режиме реального времени– Email, SMS
– Оповещения в формате SNMP
Возможность интеграции с
Service Desk
www.arcsight.com © 2008 ArcSight Confidential
Отчетность
400 стандартных шаблонов отчетов
Отчетность касающаяся активов
Отчетность касающаяся событий
Отчетность касающаяся соответствия требованиям стандартов (SOX, PCI DSS, ISO 17799)
Графический пользовательский интерфейс
Гибкая схема создания отчета
Без использования программирования
www.arcsight.com © 2008 ArcSight Confidential
База данных
Oracle Partitions
Активные партицииАктивные партиции
Будущие партицииБудущие партиции
Каталог заархивированных партицийКаталог заархивированных партиций
Заархивированные партиции, которые были активированы
Заархивированные партиции, которые были активированы
www.arcsight.com © 2008 ArcSight Confidential
Результаты внедрения
Централизованный сбор, хранение и обработка событий ИБ
Мониторинг, анализ и корреляции событий информационной безопасности в режиме реального времени
Использование средств визуализации и детализации инцидента
Снижение времени расследования и реагирования на инциденты
Снижение рисков информационной безопасности и повышение устойчивости бизнес-процессов за счет своевременного обнаружения и обработки инцидентов информационной безопасности