《ArcSight技术优势与特点》由会员分享,可在线阅读,更多相关《ArcSight技术优势与特点(8页珍藏版)》请在金锄头文库上搜索。
1、ArcSight技术优势与特点伴随网络相关业务和应用的飞速发展,企业风险也迅速增大,防范和化解风险、全面反映IT安全风险,全面协调处理安全事件,降低安全风险,增强事后审计取证的能力成为当前面临的主要问题。这些需求也促使企业要尽快建立一套完善的日志管理与分析系统,可以为风险管理和监控提供强有力的技术支撑手段。优异的日志管理和分析系统除了提供必备的日志采集、日志分析、日志保存等基本的功能之外,还应该充分考虑一下几点关键的技术实现能力:1、 日志数据安全保障 日志的管理与关联分析对原始日志的安全性和完整性有很高的要求,日志从采集、传输、保存等各个环节都要求保证数据的完整性和私密性。ArcSight
2、Logger 和 ESM应用了多种技术手段来保证数据的安全性:1) 数据传输加密日志数据在传输过程中需要有加密的机制保障日志数据的私密性,ArcSight Logger和ArcSight ESM在数据传输过程中采用TCP协议和SSL加密,保证日志数据的可靠传输和安全。2) 本地缓存,断点续传在从前端设备或系统采集到日志数据后,ArcSight Logger和ArcSight ESM的采集器如果遇到日志转发目标不可用的情况下(例如,网络连接故障),可以在本地缓存日志数据(缓存大小可设置),等到恢复连接后可以继续日志的传输,确保日志可以被100%获取,没有因为网络中断而丢失。3) 5时间戳,保证数
3、据分析正确日志的时间对日志分析非常重要,错误的时间会影响到日志分析的正确性。ArcSight ESM采用了独有的5时间戳技术,系统共维护了5个时间戳:日志源日志生成时间、日志采集器收到时间、管理服务器收到时间、数据库存储开始时间和完成时间。该技术使系统日志数据更具有可靠性证明,可满足法庭调查的能力。4) 数据本地保存使用MD5哈希校验日志的完整性对于日志审计和分析非常关键,ArcSight Logger和ESM对本地保存的日志数据提供MD5哈希校验来检查和确保数据的完整性。5) 细粒度的用户访问控制日志管理和分析系统保存的日志数据涉及到不同的用户和系统,对于不同的数据的访问需要区分哪些用户可以
4、访问哪些资源,ArcSight Logger和ESM提供了细粒度的基于角色的用户访问控制,严格控制系统登录的访问权限和内容。2、 广泛的日志采集来源企业的网络包含了多样化的各种系统,操作系统涉及到除了主流的PC系统,如Windows、Unix、Linux等,同时还有IBM大机、以及各种行内开发的业务应用程序。这就要求日志管理系统既提供广泛的日志源采集支持,同时又提供很好的定制和扩展能力。ArcSight Logger和ESM的SmartConnector采集器组件提供对近300多种各种系统和设备的出厂支持,覆盖了当前各种主流的操作系统、应用程序、以及网络和安全设备,而且还提供对大机系统日志采集
5、的支持(如AS400等),可以使企业在部署日志管理与分析系统时获得最大的支持范围和最小的定制工作。当然没有任何一个厂商的产品是可以100支持企业目前所有的系统日志采集与分析的。因此可以利用ArcSight提供的FlexConnector工具软件,以图形化的方式对企业当前比较特殊的应用程序日志格式进行分析和匹配,无需编程和脚本语言,就可以在最短的时间内可以很方便的完成对特殊系统的日志采集工作的定制。3、 系统的可扩展性和高可用性日志管理会面临大量的日志数据,而且日志量在不断的增加,日志管理系统需要保存的日志数据时长是企业对在线日志要求的策略相关的,如果日志管理系统的磁盘容量不足以支持当前要求的日
6、志保存时长,则需要对日志管理设备进行扩展。虽然日志管理系统不是企业的业务应用系统,无需要进行高成本的容错除了,但是在日志管理系统的选择上要考虑到如何避免单点故障、数据通讯故障等因素,确保所有的日志数据能的采集能够应付通讯或系统意外故障情况,这就要求日志管理系统提供相应的技术手段来支持高可用性的配置方法。ArcSight Logger提供网络扩展口,可以在日志数据量超出硬盘容量的时候方便的通过堆叠和级连的方式实现存储空间的扩展要求;也可以通过多台Logger并联的方式提供采集性能的扩充。另外,ArcSight Logger和ESM都支持多目的地址设定,一台Logger或一个ESM采集器可以设置为
7、向多个目标地址传送日志,可以提供良好的高可用性。4、 日志长期在线保存对于日志分析系统,通常是针对近1个月内的数据进行实时的分析处理,或者对历史数据生成统计报表。但是日志分析系统的数据是经过格式标准化处理的,如果需要查看原始格式内容的日志,就需要在日志管理系统去查找。不同的行业不同的用户通常对原始数据在线保存时长的要求不同,从几个月到几年都有。通常建议用户可以在线保存13年左右的原始日志,以便于对日志内容的查询和审计工作。 5、 基于身份的关联分析当前企业很多网络都是采用动态DHCP环境分配IP地址,也提供VPN等远程登录方式。在这种网络环境下,相同用户在不同时间接入网络后获取的IP地址可能是
8、不同的。因此不同的IP地址产生的事件是有可能来自于相同的用户。在日志分析过程中,也要求可以更加准确的通过对用户身份的分析得出关联结果,这样的结果才是更准确的。ArcSight ESM可以提供基于用户身份的关联,而不仅仅是IP层面的关联分析。通过DHCP服务器、VPN接入服务器等用户IP分配信息,建立会话列表(Session List),把不同时间不同IP产生的时间与会话列表进行匹配,从而更加准确的定位到用户身份。基于身份的关联分析对于企业动态IP的网络环境可以提供更加准确的分析和对用户身份的定位。即时对于静态IP的网络,同样可以通过对资产类别的建模和用户身份信息,提供更好的内部管理手段和方法。
9、例如,通过对BlueCoat Proxy日志的采集和与PC资产IP地址与主机名、使用者信息的对应,可以方面的分析不用使用者对Internet访问的行为,很方便的发现网络中P2P软件或聊天软件在办公环境中的使用情况,查出违反企业安全策略的人员和事件。ArcSight ESM的身份关联技术是领先与基于IP地址的新一代关联分析的技术,ArcSight ESM也是目前唯一能够提供身份关联(Identity Correlation)功能的产品。6、 针对合规性审计内容针对国际化的上市企业,对于国际通用的风险管理和控制的法律法规(如ISO17799、萨班斯法案,等等)也要进行参考和相应的合规性审查。参考这
10、些法律法规有利于企业更加规范的进行IT系统管理,降低风险、保障企业信息系统的安全正常运行。但是各种法律法规的内容通常都是很抽象和摘要形式的,并没有提出具体的技术实现手段和方法,这就对内审准备工作提出了很高的要求。如何找到能够满足各种法规要求的数据,从哪些系统中提供这些数据,都需要对审计人员的要求很了解才能做到。ArcSight Logger和ESM提供了现成的合规性(Compliance)内容包,提供了大量的规则、报表、过滤器、仪表板等内容,并给出针对不同法规所需要采集的日志来源。根据采集到的日志数据,结合合规性审计要求,提供针对该要求符合性总结报表。而且ArcSight不仅提供定期的符合性报
11、表,而且还可以实时的提供针对这些合规内容的检查,通过不断的日志采集,实时分析出是否存在违规行为,并给出警告和提示。目前ArcSight提供的合规性审计内容包括有针对ISO17799/27001、萨班斯法案、PCI(Payment Card Industry )等合规性内容。这些合规性解决方案包可以和其他日志分析、安全事件监控功能运行在同一ESM平台上,无需另外单独的系统就可以获得功能上的扩充与提升。实时监控是否有违规行为发生ArcSight 合规性解决方案包提供了审计人员认可的报表模板内容7、 丰富直观的可视化显示日志分析系统主要是通过对收集上来的海量日志事件进行自动的分析,并提供良好的展现形式,以便于系统管理员或者安全分析员可以快速定位并分析出问题的根源。ArcSight ESM提供了丰富的、直观的可视化显示,通过动态的仪表板、事件图形等方式将分析出的结果直观的展现给操作人员。例如当企业内部有未知蠕虫出现时,ArcSight ESM可以通过路由器、交换机、防火墙、操作系统登录结果等日志内容,提供图形化的事件关系,从而在还没有病毒特征码和IDS签名数据的时候就可以在第一时间发现蠕虫爆发事件,从而采取应对策略,避免对办公和生产网络造成影响。蠕虫爆发事件P2P、木马、DDoS攻击事件
