ArcSight Connectors

Простая масштабируемая система сбора данных из журналов и источников событий в масштабе предприятия, предоставляющая данные аудиторского качества для анализа инцидентов безопасности в реальном масштабе времени.

Организации архивируют журналы аудита и анализируют хранящиеся в них данные по целому ряду причин, в том числе из-за необходимости мониторинга безопасности, обеспечения работы ИТ-систем, соблюдения нормативных требований и выявления случаев мошенничества. Инфраструктура сбора данных из журналов, которая упрощает и оптимизирует процесс агрегации журналов тысяч устройств и сотен территориально распределенных подразделений, является фундаментом для создания платформы управления журналами и событиями, информационной безопасности (SIEM).

Задачи комплексной и эффективной системы сбора информации из журналов в масштабе предприятия не ограничиваются общей таксономией с целью упрощения анализа. В связи с быстрым расширением нормативной базы организации должны собирать информацию из значительно более широкого круга источников событий, включая физические и сетевые устройства, устройства безопасности, узлы, базы данных и большое количество коммерческого ПО, а также приложений, разработанных силами предприятия. Поэтому сбор данных из журналов многочисленных устройств является очень непростой задачей. Различные устройства, узлы и приложения, генерирующие журналы, охватывают сотни или даже тысячи географически распределенных объектов, поэтому инфраструктура сбора информации из журналов должна масштабироваться, чтобы обеспечивать поддержку неоднородных сетей и предоставлять при этом надежную и достоверную информацию аудиторского качества. Система должна иметь средства управления трафиком и быть простой в развертывании и администрировании.

Технология ArcSight Connector разработана специально для решения ключевых задач по сбору данных из журналов аудита с помощью мощного интерфейса для агрегации и оптимизации журналов, который также является основой более широкой платформы для управления журналами, а также платформы SIEM. Ниже описаны основные возможности и преимущества ArcSight Connectors.

Широкая и комплексная поддержка устройств

Библиотека ArcSight содержит готовые к использованию интерфейсы SmartConnectors, которые обеспечивают оптимизированный сбор информации из журналов более чем 275 коммерческих продуктов. Эти продукты являются различными источниками событий и включают в себя сетевое оборудование средств защиты базы данных, и наиболее распространенные корпоративные приложения:

• Средства контроля доступа и управления учетными записями
• Антивирусы и спам-фильтры
• Программные сканеры уязвимостей
• Приложения
• Средства контентного амплуа
• Средства безопасности данных
• Базы данных
• Межсетевые экраны
• Сети-ловушки (незащищенные сети для анализа действий хакеров)
• Системы обнаружения и предотвращения вторжений на уровне узлов–Host-Based IDS/IPS
• Системы обнаружения и предотвращения вторжений на уровне сети– Network-Based IDS/IPS
• Системы предотвращения утечки информации
• Интегрированные средства безопасности
• Системы консолидации журналов
• Системы фильтрации электронной почты
• Серверы электронной почты
• Мейнфреймы
• Системы среднего класса
• Средства контроля сетевого доступа (NAC)
• Средства обнаружения отклонений в штатной работе сети
• Средства сетевого администрирования
• Средства мониторинга сети
• Анализаторы сетевого трафика
• Средства управления сетевым трафиком
• Операционные системы
• Средства управления политиками
• Маршрутизаторы
• Средства управления безопасностью
• Коммутаторы
• Виртуальные частные сети (VPNs)
• Средства управления уязвимостями
• Системы Интернет-кэширования
• Интернет-фильтры
• Веб-серверы
• Средства беспроводной связи

Кроме того, структура ArcSight FlexConnector содержит средства создания правил сбора данных из унаследованных источников и приложений, разработанных силами компаний, при помощи мастеров. Это очень важно в таких сферах, как обеспечение соответствия нормативным требованиям, предотвращение мошенничества и утечки информации.

Распределенная обработка данных

Собранные текущие и ретроспективные данные необходимо анализировать с различных точек зрения, например, с целью контроля безопасности или обеспечения соответствия нормативным требованиям. Обычно обработка данных ведется централизованными компонентами управления журналами и платформы SIEM.

Однако ArcSight Connectors помогут освободить платформы ArcSight и SIEM от задач по анализу данных, поскольку успешно решают эту задачу непосредственно на месте сбора информации. Соответственно, устройства ArcSight Connectors также могут выполнять разнообразные функции:

• Сбор необработанной информации из журналов с целью поиска определенных событий и создания универсальной классификации на основе их структуры и значений. Это позволяет осуществлять поиск по нескольким источникам, подготовку сводных отчетов и сопоставление данных.
• Группировка или дополнительная классификация событий с использованием общего удобочитаемого формата избавляет от необходимости вникать в тонкости форматов отчетов, поддерживаемых многочисленными устройствами различных поставщиков. Такая категоризация также гарантирует, что система не устареет, поскольку все устройства остаются автономными, и в случае замены какого-либо компонента все отчеты и правила будут по-прежнему работать.
• Опциональная фильтрация данных без привязки к анализу, не предписанная нормативными требованиями или корпоративными политиками хранения информации, например, предупреждающие сообщения о состоянии системы.

Сбор информации из журналов с аудиторским качеством

Для обеспечения соответствия данных нормативным требованиям необходим безопасный и надежный сбор информации из аудиторских журналов аудита. Однако многочисленные удаленные ресурсы могут передавать журналы только с использованием ненадежных и небезопасных протоколов: например они передают системные журналы по протоколу UDP. Устройства ArcSight Connectors — это простые в развертывании и управлении решения для удаленных офисов, которые обеспечивают комплексную безопасность и доступность информации из журналов аудита. Решения ArcSight Connectors осуществляют локальное кеширование, что позволяет избежать потери информации в случае отсутствия соединения между удаленными офисами и централизованными точками агрегирования данных. Это помогает обеспечить целостность данных, что важно для аудита и анализа. ArcSight Connectors поддерживают также автоматический переход на резервные узлы ArcSight Logger или ArcSight ESM Manager в случае потери соединения с основными узлами.

Средства управления трафиком журналов

Часто в удаленных офисах, например в точках розничной торговли, отсутствует широкополосный WAN-доступ для связи с центрами обработки данных. Кроме того, в сети любой производительности необходимо назначать приоритет передаче критически важной для бизнеса информации. Поэтому ArcSight Connectors содержат средства для управления трафиком, сжатия передаваемых файлов журналов, а также назначения приоритетов, формирования пакетов данных и группировки их по времени и важности.

Соблюдение политик развертывания программного и аппаратного обеспечения

Распределенная локализованная система сбора информации из журналов необходима для обеспечения безопасности и надежности процесса агрегирования данных. Раньше организациям приходилось тратить значительные средства и время на развертывание дополнительной инфраструктуры в удаленных подразделениях. Количество мест в стойках ограничено, а существующие серверы нельзя перегружать дополнительными приложениями для сбора информации из журналов. Кроме того, часто в удаленных офисах отсутствует ИТ-персонал для развертывания и сопровождения инфраструктуры сбора информации из журналов. Широкий выбор готовых к использованию устройств ArcSight Connectors помогает решить эти задачи. Это оборудование легко развертывать, а управление им может осуществляться удаленно. ArcSight Connector обеспечивает локализованные безагентные функции сбора данных из журналов, что снижает затраты и позволяет избежать задержек из-за необходимости подбора, закупки и тестирования оборудования.

Если свободные места в стойках отсутствуют, но имеются свободные вычислительные мощности существующих серверов, ArcSight Connectors дает возможность гибкого программного развертывания без ущерба для централизованного управления.

Централизованное управление инфраструктурой сбора данных из журналов

Периодическое обновление, усовершенствование, смена конфигураций и общие задачи по администрированию системы сбора информации из журналов могут существенно повысить расходы. Даже крупные международные организации с многочисленными офисами предпочитают не тратить ценное время ИТ-персонала на управление разветвленной инфраструктурой. Следовательно, задачи решения для сбора данных из журналов не ограничиваются поддержкой распределенных систем. Решение ArcSight Connectors позволяет минимизировать текущие административные расходы благодаря поддержке универсального и (или) селективного определения, изменения и внедрения параметров сбора информации из журналов, а также возможности настроек всех программных или аппаратных реализаций ArcSight Connectors при помощи централизованного Web-интерфейса.

Интеграция платформы ArcSight

Нормативные требования к хранению и подготовке аудиторских отчетов, поиск и устранение неисправностей в ИТ-системах, управление соглашениями об уровне обслуживания (SLA), а также упреждающий мониторинг угроз безопасности — все это представляет собой непрерывный поток операций в цепочке сбора и анализа данных из журналов. Соответственно, целесообразно создавать общую инфраструктуру для сбора данных и ведения архивов предприятия. Именно ее предполагает ArcSight Connectors. Решение ArcSight Connectors обеспечивает комплексную, надежную и простую в управлении инфраструктуру сбора данных, которая может использоваться модулем управления журналами и платформой SIEM, как показано на рис. 1.

Рис. 1. Надежная и безопасная система сбора данных из журналов с охватом всех устройств и подразделений

В этом заключается существенное преимущество интегрированной платформы ArcSight, использование которой устраняет необходимость внедрения дополнительной инфраструктуры сбора данных. Это отличает ArcSight Connectors от решений для управления журналами и SIEM других поставщиков, поскольку возможна программная реализация ArcSight Connectors.

Спецификации оборудования ArcSight Connectors

Реальная производительность зависит от особенностей пользовательской среды.

В случае появления вопросов по данному продукту, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или со страницы «Контакты», адресовав вопрос в «Коммерческий отдел».