ArcSight ESM
应对安全问题、规范性要求和内部威胁的企业安全管理 (ESM) 系统 |
“有了 ArcSight,无论安全事件来自何方,查看起来都非常容易,并可以知道问题的影响范围以及该采取何种措施。利用 ArcSight 提供的分析工具可以深入探查事件的内部,了解事实真相。”
Priority Health 信息服务安全官 Tim Maletic |
我们的时代充满挑战。
黑客和内部恶意攻击者在不断地寻找企业计算机网络中可能存在的任何漏洞,使企业备受困扰。系统攻击数量不断成指数增长。在 1988年,CERT协调中心记录在案的 Internet系统攻击只有6起。而到 2005 年,该数字已经暴涨到约 200,000 起。
这些攻击的增长并不仅仅表现在发生频率上,其复杂性和严重程度也在不断增加。当今最复杂的蠕虫和病毒的开发时间正在不断缩短,已经从以年为单位减少到以月甚至以天为单位,有时候,几个小时就可制造出病毒或蠕虫。随着时间的推移,要抵御这些攻击变得越来越困难。
我们必须防御的不仅仅是外部攻击,还有那些以窃取和销售机密客户信息和业务数据来非法获取经济利益的内部恶意攻击者。根据 Deloitte Touche 的调查显示,在 2004 年,全球排名前 100 位的金融机构中,大约有 35% 遭遇过内部攻击,而这一比率在 2003 年仅为 14%。
同时,政府法规,如 Sarbanes-Oxley、HIPAA、Gramm-Leach-Bliley 和 FISMA,也增加了保护机密数据工作的要求和难度。企业经常会被迫报告其财务控制方面的弱点、数据库漏洞以及信息损失情况。泄漏敏感数据或满足不了这些法规的要求,会损害客户对企业的信任,导致企业股票价格大跌,招致集体诉讼,并可能受到政府和行业组织的罚款。安全问题的不良后果将会对企业造成长远的负面影响。
难以承受的复杂性
企业为了自我保护,实施了各种最佳安全解决方案,比如防病毒网关、防火墙和入侵防御系统。这些技术虽然有助于改进安全性,但却引发出一个新的问题:难以承受的复杂性。
如今,企业通常被来自不同提供商的几十种安全设备和系统所淹没。这些互不相同的设备生成巨大的数据源。三年前,一个典型的企业所拥有的安全设备也就几百台,每天生成 50,000 个事件;如今,企业拥有的安全设备数以万计,每天生成的需要监视、记录日志、分析和关联的事件高达几十亿个。
在这些事件当中,有一些是误报事件;安全分析人员需要对这些随机事件进行分析处理,其结果当然是无果而终,这不仅加重了工作负担,还浪费了大量的宝贵时间。因此,高效地管理和审核这些安全事件成了一项艰巨的工作。
企业需要的是单一的集成解决方案,该方案要能收集、关联和管理来自不同类型数据源的大量安全数据,以便进行实时监视和响应。而且,该解决方案还要具有很强的适应能力,能满足不断变化发展的环境的要求。ArcSight ESM™ 就是这样的解决方案。
ArcSight ESM 合规性解决方案
审计、合规性和 IT 管理是所有企业的主要要求。并且集中收集、监视、响应和报告安全事件数据比以前任何时候都更重要。ArcSight 可将费时的证明符合法规(例如 Sarbanes-Oxley、GLBA、FISMA、HIPAA 和 PCI)的过程自动化。
我们的安全信息管理解决方案获得过诸多奖项,可对安全事件经济高效地、灵活地、智能地进行聚合、关联、监视和报告,从而实现和支持多种重要规范的要求。
利用 ArcSight ESM,可以执行以下操作:
• 集中收集、存储和监视安全事件数据 • 轻轻一点,就可提交合规性报告,该报告以相关格式提交相关数据
• 展示监视、响应和降低风险的能力
• 独立监视和报告涉及管制系统的事件
• 取消手动过程,轻松提升安全性能
• 将安全分析人员从乏味无聊的手动审核任务中解放出来
• 提高所有相关人员的责任意识和风险意识
真正理解安全威胁。
有了 ArcSight ESM,您就无需对要收集的信息进行限制了。更无需事先确定哪些信息重要,哪些信息不重要。再也不会因为数据太多而漏掉潜在的威胁。
ArcSight ESM 将所有安全数据都收集到一个智能系统中;安全小组使用该系统可管理合规性要求,向董事会成员通报安全状态,深入了解内部威胁,同时确保在外围建立强大的保护屏障。有史以来第一次,公司可以真正了解其环境中的安全威胁的本质。
“ArcSight 的 SmartAgent 和 FlexAgent 是非常有价值的资产。利用它们,我们可以从网络中的 100 多种安全产品和非安全产品收集数据,并将这些数据标准化。”
某家著名医疗保险提供商的 IT 主管 |
 |
ArcSight ESM:您企业的守护神
ArcSight ESM 设计为与安全分析人员、操作 人员和管理人员协同工作,共同保护您的企业 免受攻击。该系统包含大量工具、特点和功能, 如下所述:
• 从任何日志源无缝地收集信息
• 智能关联信息,从浩如烟海的数据中提取出有意义的信息
• 监视与企业风险相关的信息
• 显著缩短响应时间,把破坏降低到最低程度
• 充分利用企业数据库的能力,高效存储和检索信息
• 迅速调查和确定安全问题和违规活动的根源
• 灵活自动地为企业中每个安全和合规性相关人员生成与其角色相适应的报告
• 获得适用于任务关键应用的高可用性且可扩展的体系结构
• 可高效管理和自定义系统,使系统保持高性能
关键组件
ArcSight Manager 是系统的核心。ArcSight 的分析和工 作流都由该组件驱动。ArcSight Manager 适用于多种操作 系统和硬件平台,它能智能地关联来自各种安全系统和与安 全相关的系统的输出。
ArcSight SmartAgent 可智能地收集和预处理事件数据, 并能够管理事件数据的传输,从而确保获得较高性能和完成 信息处理过程。这些组件对数据进行智能过滤和聚合,将数 以百万计的安全事件浓缩成数量有限的需要进行调查的有 意义事件。
ArcSight Console 专门用于安全分析,其中提供灵活的直 观管理功能、丰富的图形视图和深入分析研究能力。
ArcSight Web 可为组织中各个级别的用户提供与其角色 相适应的安全状况信息。此基于 Web 的安全界面提供通过 仪表板查看的自定义且可配置的信息视图,以及调查功能, 目的是使更广泛的用户可以安全地访问整个分布式企业。
ArcSight 数据库 是企业级关系数据库存储库,用于捕获 事件和存储所有安全管理配置信息,如用户、组、权限、 规则、区域、资产、报告、显示和首选项。这些组件共同组 成了一个市场上最为完整和灵活的企业安全管理解决方案。
ArcSight ESM:综合解决方案
“我们每天用 ArcSight 处理数以百万计的安全事件,ArcSight 能够自动显示那些需要关注的重要事件。我们在对这些事件做出反应时,无需将精力浪费在电话、Excel 和电子邮件上,只使用 ArcSight ESM 跟踪所有进展情况即可。”
某大型金融机构的 CIO
ArcSight 数据收集:适应于强大安全性和合规性管理基础要求的、全面的智能收集功能
捕获并规范化所有相关信息的能力是安全管理解决方案实现产品价值的关键。ArcSight SmartAgent 提供目前市场上最先进的数据收集能力,以及对各种设备最广泛的支持能力,从而确保所有数据都能被有效收集。目前,ArcSight SmartAgent 可为 170 多种产品提供既有支持,比任何其他供应商提供的都多。
同时,您还可以使用 ArcSight FlexAgent 为您的环境创建特有的 agent。ArcSight 的 FlexAgent 工具包直观易用,广受赞誉;利用它可轻松进行自定义,与非传统设备(例如物理安全系统和专用应用程序)进行高性能集成。
ArcSight 可收集并规范化 100% 的事件数据,从而确保安全有效地捕获丰富的经过预先处理的信息,以便进行实时分析和历史分析。
SmartAgent 的主要功能包括:
• 灵活的 agent部署方式
• 不断的连接检查和完整性检查以及可自定义的缓存功能,可确保 ArcSight Manager接收到所有数据,并对传输链的各个环节进行监控
• agent 的可配置过滤和聚合功能可以消除无关数据,并且合并重复的设备日志
• 强大的数据压缩功能可节省昂贵的带宽
• 可基于时间、事件优先级和可用带宽自定义传输选项
• 自动将漏洞评估数据填写到资产配置文件中
ArcSight 关联分析:识别出真正的威胁并设置优先级
ArcSight ESM 提供最为智能和灵活的关联分析功能,这些功能可用于满足安全日志数据的各种用途,包括检测内部威胁、检测外部威胁和合规性要求。ArcSight 的关联功能可用于对企业相关环境中所面对的真正威胁和合规性问题进行精确地自动化识别和分级。企业利用智能收集来的数据和 ArcSight 的多种分析功能可获得长期效益。
ArcSight 的关联功能包括:
• 通过事件关联中的已知漏洞信息消除误报
• 基于资产重要性、事件严重程度和漏洞状态的自动精确分级功能,可使分析人员将精力集中在最为紧迫的问题上
• 可扩展的资产分类功能可将关联规则与企业策略和风险管理目标关联起来
• 提供 100 多个精确的业内公认的标准关联规则,这些规则可以即装即用
• 实时的内存关联功能可确保获得高性能的处理能力
• 通过使用直观易用的规则创建系统,用户可充分利用功能强大的分析主机,达到最大限度的灵活性
• 基于 ArcSight 可扩展分类语言的独立于设备的关联规则
ArcSight ESM 解决方案使安全防范工作流程化
外围的安全防范工作对于控制访问大型的无防护内部网络极其重要。为完成此重要任务所采取的保护措施会生成数以百万计的安全事件。ArcSight ESM 强大的分析功能可消除误报,验证安全威胁并进行分级,同时还可以通过集中提供所有相关安全数据信息来提供相关的上下文。
ArcSight 可为企业带来以下好处:
• 更高的真实威胁识别率
• 沟通效率获得极大提高
• 响应时间从以小时为单位锐减为以分钟为单位
• 在不增加人员的情况下,将威胁处理能力提高 10 倍以上 |
 |
ArcSight ESM 可通过动态报告和可自定义的仪表板提供即时系统状况信息。
ArcSight 监视:向广泛的用户群体提供即时系统状况信息
ArcSight ESM 向企业提供实时更新的有关风险的视图,使企业能够不断获得系统状况的最新状态。高效、功能强大且图形化的监视功能可提供灵活的显示内容,能够满足组织中所有角色的需求。
不管企业是已具有全天候安全营运中心,还是利用 ArcSight ESM 作为自动化虚拟安全营运中心,该监视系统的灵活访问功能、自动化功能和自定义功能均可确保不断对安全状态进行评估,并且重要问题得到应有的关注。
重要的监视功能包括:
• 可通过 ArcSight 控制台或 ArcSight Web(不受时间和地点的限制)同时访问实时视图和历史视图
• 通过自动化业务过程和技术过滤,充分利用 ArcSight 的标准内容
• 具有深入分析功能的可自定义的图形化仪表板可基于业务、地理位置和技术角色提供适当的视图
• 40 多个可立即使用的可自定义仪表板和超过 150 个用于特定任务的数据监视器
• 威胁雷达依据已确认的攻击和业务威胁提供单一的组织安全状态视图
• 事件图形可直观具体地勾画出组织的安全状态图
• 地理视图和网络地图视图使用户可以管理高风险区域的安全状况
• 集中的资产和网络建模功能使管理员能够将完整的资产和网络模型部署到 ArcSight SmartAgent
ArcSight 调查和响应:显著缩小漏洞范围
在几秒钟就能决定攻击成败的情况下,获取分析人员所需的数据对于决策至关重要。攻击事件发生以后,迅速进行分析、采取措施可使组织避免此类攻击的再次发生。
ArcSight 还可利用工作流、调查和事件响应中的一些关键功能,进一步缩小漏洞范围,这些功能包括:
• 自带的案例管理系统,该系统提供案例管理审核功能,以及直接从案例启动调查工具的功能
• 可与第三方工单系统集成
• 内置知识库,该知识库可合并和扩展企业的安全实践和经验知识
• 实时协作功能,用于快速处理最紧迫的威胁
• 与风险相关的通知等级,用于确保最危险的威胁能够得到处理
• 通过单击右键就可执行的调查工具,包括 Ping、TraceRoute 和自定义脚本
• 可同时进行实时监视和历史调查
• 通过使用 ArcSight 过滤系统可获得多个不同的关注级别
• 对基本事件即时深入分析,该功能可提供事件发生的即时环境信息
• 全系统搜索功能,用于及时提供有关当前任务的信息
• CounterAct 技术,该技术使用户可以向 CounterAct 支持的第三方设备发送命令(自动发送或按要求发送)
• 向上概括和单个用户案例解析度标准,企业利用该功能可以分析操作效果和演示满足合规性的过程
• 与负载分析工具的出站集成功能,该功能使用户可以通过单击导出负载,以进行快速分析
ArcSight SmartStorage:经济高效的长期安全存储方案
通过保留相关事件数据,企业可以找出长期趋势、研究攻击模式和管理由于法律法规要求而带来的不断增长的安全压力。正是由于这些原因,当今的企业必须捕获和存储大量的安全信息。为了能够在保持对数据的必要访问的同时,降低在线存储和长期存储的成本,ArcSight 为 ArcSight SmartStorage™ 设计了压缩和归档解决方案,该解决方案将企业数据库固有的可靠性和性能与创新的存档和检索管理能力完美地结合在一起。 |
 |
ArcSight SmartStorage 通过自动管理大量的安全数据,显著降低了存储要求。
ArcSight ESM 内部威胁解决方案
ArcSight ESM 可作为揭示用户活动本质的中心。通过收集来自操作系统、应用程序、数据库以及其他数据源的日志,ArcSight 可对破坏行为、可疑活动行为或违反安全管理策略的行为进行监视。
ArcSight 能够通过新的数据模型和分析功能,如操作时间分析,增强检测恶意内部威胁和不适当使用系统情况的能力。用户利用此功能可以基于业务角色定义应用程序活动和系统活动的正常使用时间。ArcSight 利用此操作时间数据,基于活动级别、应用程序业务角色和正常操作时的活动时间,自动甄别出可疑的行为。
使用 ArcSight ESM 可以:
• 对应用程序的使用情况进行统计,找出员工访问敏感数据的规律,及时向安全小组发出异常警报
• 跟踪 ArcSight 管理范围内的系统更改和便携式存储设备插件
• 识别并描述具有风险的员工行为
• 为重要服务器上的特权更改行为创建审核跟踪信息
 ArcSight ESM 可自动生成全面综合的安全和合规性报告,技术人员因而可有效地与业务层面和技术层面的相关人员进行交流。
ArcSight 报告: 与相关人员有效沟通
ArcSight ESM 可自动生成全面综合的安全和合规性报告,技术人员因而可有效地与业务层面和技术层面的相关人员交流安全状况并满足合规性报告的要求。ArcSight 报告功能将广泛收集来的信息和关联后得到的信息合并为综合全面的视图,相关人员利用这些视图可找出存在风险的区域,交流采取的安全措施的价值和效果,以及轻松应答一些关键审核步骤,如安全日志管理、监视、系统活动检查和事件响应等。
ArcSight 报告的功能包括:
• 350 多个标准报告模板,可及时满足报告要求
• 更多规则、报告和仪表板模板,能够提供更多即装即用功能
• 方便快捷地创建业务级别的合规性状态报告、业务风险报告和用户情况报告
• 自动化的报告计划和分发功能
• 直观灵活的报告创建系统
• 多种多样的图表和视图,可向每个安全相关人员提供与其角色相适应的信息 • 业务上下文报告,可在整个企业范围内向主管经理们通报安全状况
• 报告的自动过滤功能,可提供多个不同关注级别的报告,以满足企业的报告需求 |
ArcSight 的管理和操作:全天候不间断的自我监视
企业安全小组不应将他们的精力放在关心安全信息管理解决方案的运行状态上,他们有更重要的事情需要去处理。自我监视和自我调整功能可确保 ArcSight ESM 能够无缝地高性能全天候工作,从而减轻 SIM 的管理负担,其主要特点是:
• 强大的自我监视和故障处理功能、系统级警报、仪表板和性能报告
• SmartAgent 的集中管理和配置
• 直观易用的规则、报告和仪表板创建系统
• 细粒度访问控制,基于需要知道(need-to-know)的级别分发信息
• 能够创建和分配基于角色的视图
完美支持 ArcSight Discovery 系列分析工具
ArcSight Discovery 是一组可选的附加解决方案,用于进一步提高 ArcSight ESM 的性能。 ArcSight Discovery为用户提供发现未知威胁的方法,并可将得到的结果直接传送回 ArcSight ESM 系统以进行进一步的监视。Discovery 系列包括:
ArcSight™ Interactive Discovery
这是一个强大的可视化分析应用程序,它可帮助发现难以察觉的可疑事件,并能给出令人印象深刻的可视化汇总信息。
ArcSight™ Pattern Discovery
这是一些高级的统计算法,使用这些算法可以在数以亿计的数据中挖掘可以行为,从而使用户能够发现新型蠕虫、root-kit 和其他恶意代码,它还能自动创建规则,以便将来进行实时检测。
ArcSight 体系结构:可满足世界上规模最大的、安全性能要求最高的网络的需要
现在,ArcSight ESM 越来越成为一个全天候的企业安全运作的神经中枢。该系统真正实现了高性能和可扩展性,通过了最苛刻的客户环境测试。
ArcSight ESM 的扩展不仅限于单级部署,多级和对等方式部署也能够很好的进行扩展。因此,您可以采用最适合您企业的方式进行部署,无论是部署单个安全营运中心 (SOC),还是部署地理位置分散、相互间必须不断共享信息的多个安全营运中心。
ArcSight ESM 具有高可用性,能够确保无缝连续运转。该系统的多线程架构经过精心优化,性能卓越。ArcSight ESM 可自动收集和转换浩如烟海的随机安全数据,将其转换为区分优先级的、有意义的安全信息和合规性信息。 |
 |
| |
| |
