1 / 21

Система сбора, обработки и управления событиями ИБ ArcSight ESM

Система сбора, обработки и управления событиями ИБ ArcSight ESM. Наталья Зосимовская, Компания «Информзащита». Содержание. О компании ArcSight Архитектура ArcSight ESM SmartConnectors ArcSight Manager. О компании ArcSight. Основана в Мае 2000 года www.arcsight.com 300+ сотрудников

jorn
Download Presentation

Система сбора, обработки и управления событиями ИБ ArcSight ESM

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Система сбора, обработки и управления событиями ИБ ArcSight ESM Наталья Зосимовская,Компания «Информзащита»

  2. Содержание • О компании ArcSight • Архитектура ArcSight ESM • SmartConnectors • ArcSight Manager

  3. О компании ArcSight • Основана вМае 2000 годаwww.arcsight.com • 300+ сотрудников • 500+ прямых клиентов, 850+ партнерских клиентов

  4. Основные проблемы Сотни тысяч событий в день Отсутствие единой централизованной системы сбора,обработки и анализа событий Сложности в управлении инцидентами ИБ и информационной безопасностью в целом SecurityDevices PhysicalAccess IdentitySources NetworkDevices Servers Desktop Email Databases Apps Mobile

  5. ArcSightConsoleTM ArcSightWebTM Database Oracle 10g Архитектура системы ArcSight ESM Web-интерфейс Консоль управления Анализ и корреляция ArcSightManagerTM Сбор данных SmartConnector FlexConnector

  6. Access and Identity Data Security Integrated Security NBAD Policy Management Vulnerability Mgmt Network Management Anti-Virus Firewalls Log Consolidation Router Web Cache Network Monitoring Applications Honeypot Mail Filtering Security Management Web Filtering Net Traffic Analysis Content Security Host IDS/IPS Mail Server Switch Web Server VPN Wireless Operating System Database Network IDS/IPS Mainframe ArcSight SmartConnectors и FlexConnectors 180+ продуктовв 35+ категорияхот 80+ партнеров

  7. SmartConnector Основные функции: • Сбор данных • Нормализация • Категоризация • Фильтрация • Агрегация Программное обеспечение

  8. Нормализация вArcSight : Категоризация в ArcSight : Нормализация и категоризация Jun 02 2005 16:39:31: %PIX-6-106015: Deny TCP (no connection) from 10.50.215.102/15605 to 204.110.227.16/443 flags FIN ACK on interface outside

  9. Фильтрация и агрегация • Фильтрация - исключение из рассмотрения определенных событий, соответствующих заданным критериям • Агрегация

  10. Агрегация* Фильтрация* ArcSightManager Кэш Схема работы События Управление пропускной способностью канала Централизованные обновления ArcSightConnector События SSL

  11. ArcSight ESM

  12. ArcSight ESM Основные функции: • Приоритезация • Корреляция • Мониторинг и Расследования • Оповещения • Отчетность

  13. Приоритезация Основные факторы приоритезации: • Важность события • История событий (System Active Lists) • Критичность актива (Very High,High, Medium, Low, Very Low)

  14. Механизмы корреляции • Корреляция в режиме реального времени • >100 установленных правил корреляции • Статистическая корреляция • Историческая корреляция • Корреляция основанная на данных об уязвимостях • Корреляция основанная на данных о пользователе и его роли • Графический редактор для создания правил (без использования программирования)

  15. ArcSightWebTM Мониторинг и расследования Консоль управления: • Active Channels для интерактивных расследований • Dashboards с возможностью детализации • 169 графических блоков • 41 шаблон dashboards • Web-консоль • Viewer

  16. Active Channels • Статистический обзор • Гисторграмма • Табличный вид • Возможности глубокой детализации (drill down)

  17. Dashboards • Графический и табличный вид • Возможности глубокой детализации (drill down)

  18. Оповещения • Оповещения в режиме реального времени • Email, SMS • Оповещения в формате SNMP • Возможность интеграции с Service Desk

  19. Отчетность • 400 стандартных шаблонов отчетов • Отчетность касающаяся активов • Отчетность касающаяся событий • Отчетность касающаяся соответствия требованиям стандартов (SOX, PCI DSS, ISO 17799) • Графический пользовательский интерфейс • Гибкая схема создания отчета • Без использования программирования

  20. База данных • Oracle Partitions Активные партиции Будущие партиции Каталог заархивированных партиций Заархивированные партиции, которые были активированы

  21. Результаты внедрения • Централизованный сбор, хранение и обработка событий ИБ • Мониторинг, анализ и корреляции событий информационной безопасности в режиме реального времени • Использование средств визуализации и детализации инцидента • Снижение времени расследования и реагирования на инциденты • Снижение рисков информационной безопасности и повышение устойчивости бизнес-процессов за счет своевременного обнаружения и обработки инцидентов информационной безопасности

More Related