Micro Focus ArcSight
Данный продукт обеспечивает сбор, обработку и хранение событий безопасности, которые могут поступать от различных источников.
Основой продуктовой линейки HP ArcSight является комплексное решение HP ArcSight Security Intelligence, ядром которого служит продукт HP ArcSight ESM (Enterprise Security Manager). Данный продукт обеспечивает сбор, обработку и хранение событий безопасности, которые могут поступать от различных источников. HP ArcSight ESM поддерживает интеграцию с большим количеством прикладных систем и устройств (более трех сотен) и поставляется с несколькими сотнями предустановленных правил корреляции. В состав поставки также может входить уникальный агент FlexConnector, позволяющий осуществлять интеграцию с любым типом приложения.
HP ArcSight ESM является лидером на рынке по техническим возможностям и возможностям интеграции с бизнес-приложениями. Архитектура HP ArcSight ESM позволяет развернуть решение даже в территориально-распределенной информационной системе с низкоскоростными каналами связи. HP ArcSight ESM поставляется как в программном, так и программно-аппаратном виде, что выгодно отличает его от других систем корреляции.
Для упрощения задачи по сбору, хранению и анализу журналов аудита может использоваться продукт HP ArcSight Logger – готовый программный или программно-аппаратный комплекс, которой может собирать и анализировать все данные журналов аудита организации, предоставляя сжатый и экономичный репозиторий для хранения логов.
Для более простого и эффективного сбора информации о событиях безопасности в составе HP ArcSight ESM и HP ArcSight Logger могут использоваться программные комплексы HP ArcSight Connectors. Необходимо отметить, что HP ArcSight Connectors также могут поставляться в виде программно-аппаратных комплексов (HP ArcSight Connector Appliance).
Решения HP ArcSight Security Intelligence включают в себя следующие продукты:
- HP ArcSight Logger - обеспечивает сбор и фильтрацию событий;
- HP ArcSight Threat Response - обеспечивает моментальную реакцию на инциденты путем анализа информации от HP ArcSight ESM, локализацию проблемы и применение ответных мер реагирования;
- HP ArcSight Configuration Management - позволяет провести конфигурацию сетевого оборудования и настроек безопасности;
- HP ArcSight Fraud Detection - уникальное решение для выявления и предотвращения мошенничества в области интернет-банкинга и банковских (пластиковых) карт.
Внедрение системы мониторинга на основе продуктов HP ArcSight дает возможность автоматизировать процесс принятия решений по реагированию на события, связанные с нарушением политик информационной безопасности Компании. При этом применение систем мониторинга также позволяет значительно повысить эффективность уже установленных в организации средств защиты.
На сегодняшний день решения HP ArcSight активно используют во всем мире крупнейшие операторы связи, финансовые организации и государственные структуры.
Архитектура HP Arcsight
HP Arcsight состоит из следующих компонентов:
- ArcSight Manager – основной серверный компонент, «ядро» системы, обеспечивающее корреляцию событий и их обработку;
- ArcSight DB – база данных (на основе СУБД Oracle 11g), предназначенная для хранения информации;
- ArcSight Console – консоль для управления и работой с системой, представляющая собой приложение, устанавливаемое на клиентское рабочее место администратора или пользователя системы;
- ArcSight Web – серверный компонент web-консоли для мониторинга и получения отчетности. Для доступа к информации используется любой современный web-браузер;
- ArcSight SmartConnectors – компоненты системы, обеспечивающие сбор событий с источников, их предварительную фильтрацию и агрегацию, а также передачу событий в ArcSight Manager.
Видео вебинара "Функциональные возможности современных SIEM-систем"
ArcSight Manager
Компонент ArcSight Manager является центральным компонентом, ядром системы. Manager представляет собой сервер приложений, написанный на языке Java, и управляющий всеми процессами обработки данных в ESM – корреляцией, анализом, документооборотом и прочими внутренними сервисами. Компонент Manager записывает обработанные события в СУБД, одновременно пропуская все события через механизм корреляции, который сопоставляет события с данными о сетевой модели и данными об уязвимостях, тем самым, выявляя потенциал угрозы, представляемой событием, и проставляя приоритет событий и угроз.
ArcSight DB
Все события, поступающие от коннекторов SmartConnectors в компонент ArcSight Manager, записываются в базу данных с использованием нормализованной схемы события для дальнейшего анализа и обработки, а также отчетности.
База данных ArcSight DB основана на СУБД Oracle 11g (11.2.0.2). В состав компонента ArcSight DB входит набор программного обеспечения (скриптов), позволяющего эффективно управлять данными, архивировать события и получать статус обработки данных и работы СУБД Oracle для самодиагностики системы.
ArcSight Console
Компонент ArcSight Console представляет собой отдельное приложение, устанавливаемое на АРМ Администратора или оператора системы, и предназначенное для выполнения всех операций по взаимодействию пользователя с системой – от мониторинга событий до построения сложных правил корреляции и администрирования всех компонентов системы. В зависимости от имеющихся привилегий пользователя, при запуске консоли ему доступны те или иные возможности по взаимодействию с системой.
ArcSight Web
Компонент ArcSight Web является независимым и имеющим возможность отдельной установки на web-сервер, предоставляющим собой защищенный графический интерфейс для взаимодействия с системой посредством web-браузера.
ArcSight Web предназначен для использования в качестве основного интерфейса мониторинга для операторов системы и бизнес-пользователей системы. ArcSight Web позволяет производить мониторинг событий и работы компонентов, расследование и анализ инцидентов, а также просмотр отчетов.
ArcSight SmartConnectors
SmartConnectors (коннекторы) – это программные компоненты СУСИБ, обеспечивающие взаимодействие системы с источниками событий. Они получают информацию от источников событий в информационной системе, а затем производят нормализацию и категоризацию данных следующим образом:
- нормализация значений, таких как критичность события, приоритет и временная зона;
- нормализация структуры данных – приведение данных к единому формату.
После нормализации коннекторы производят фильтрацию и агрегацию событий с целью уменьшения объема передаваемых для дальнейшей обработки событий в ArcSightManager, тем самым, увеличивая производительность и эффективность системы мониторинга, а также уменьшая время обработки событий.
Основными функциями, выполняемыми компонентами SmartConnectors, являются:
- сбор всех необходимых событий с источников событий;
- фильтрация ненужных для анализа событий («информационного шума») для минимизации объемов сетевого трафика и нагрузки на подсистему хранения событий;
- обработка событий и приведение их к единой схеме события, используемой в ESM;
- агрегация повторяющихся событий для минимизации количества событий, отправляемых в ArcSight Manager для обработки;
- категоризация событий, используемая для облегчения восприятия событий оператором системы и упрощения построения фильтров, правил и отчетов при дальнейшей обработке событий;
- кэширование событий, полученных от источника событий в период недоступности основного компонента ArcSight Manager, при этом потери событий не происходит: события сохраняются и пересылаются в ArcSight Manager после восстановления связи с ним;
- пересылка событий в ArcSight Manager для дальнейшей обработки, используя защищенное соединение.
Концепция FlexConnector
Для подключения к системе мониторинга проприетарных источников событий или источников событий, неподдерживаемых компанией HP ArcSight по умолчанию, используется программный компонент ArcSight FlexConnector, представляющий собой инструментарий разработчика (SDK). С помощью этого инструментария возможно создание собственных SmartConnectors для программных систем или устройств.
В SDK включены такие способы взаимодействия с источниками событий, как:
- получение событий из текстового файла;
- обработка событий из текстового файла с помощью регулярных выражений;
- подключение к СУБД и получение событий непосредственно из таблиц данных;
- обработка Syslog-сообщений;
- обработка SNMP-сообщений;
- обработка XML-файлов.
- и т.д.
Компонент ArcSight FlexConnector позволяет дополнять события от источника событий дополнительной информацией, подгружаемой либо из файла, либо из БД. Например, коннектор может добавлять ФИО пользователя из HR-базы сопоставляя имя пользователя из события.
Специалисты ДиалогНаука разработали ряд коннекторов, которые возможно использовать в проектах по внедрению системы мониторинга.
Внедрение данного продукта является технически сложной задачей, если у Вас возникли вопросы, просим оставить запрос через форму, расположенную ниже. Наши сотрудники с Вами свяжутся.
Рекомендуем ознакомиться: |