《enVision产品介绍》由会员分享,可在线阅读,更多相关《enVision产品介绍(27页珍藏版)》请在金锄头文库上搜索。
1、RSA enVision产品介绍目 录1RSA ENVISION产品介绍31.1RSA enVision产品结构31.1.1ENVISION功能组件31.1.2部署架构41.2RSA enVision功能特色51.2.1LogSmart Internet Protocol Database(IPDB)51.2.2基线61.2.3Reports71.2.4相互关联的警报81.2.5法律需要Forensics91.2.6事件浏览器Event Explorer101.2.7通用设备支持UenVisionversal Device Support112ENVISION产品特点122.1系统分析122.
2、1.1产品可以根据需要进行灵活架构122.1.2安全性122.1.3数据可靠性122.1.4易用性122.1.5可维护性132.1.6可扩展性132.2客户收益132.2.1产品竞争力分析132.3安全审计数据的存储建议152.3.1安全审计数据存储152.3.2安全审计数据符合性存储162.4安全运维的建议182.5本地服务与支持192.5.1RSA SecuCare 技术支持服务192.6案例分析202.6.1JPMorgan Chase202.6.2EDS212.6.3Fifth Third Bancorp223RSA简介233.1RSA信息安全公司简介233.2被EMC收购后的情况24
3、3.2.1产品253.2.2行业标准263.2.3战略性伙伴273.2.4全球支援服务273.2.5业务遍及全球271 RSA enVision产品介绍RSA enVision经市场证明,是SIEM产品的全球领跑厂商。公司的LogSmart Internet Protocol Database (IPDB)通过独特的架构设计,能够高效的收集和保护数据,无需任何代理或过滤器。RSA enVision通过简明实现,大大减低了客户成本,无需担心安全和遵规的复杂性。已经为全球数百个用户所采用。RSA enVision日志管理平台收集从网络设备、安全和企业应用,到主机、桌面和存储设备的所有数据,与遵规和
4、安全解决方案一起融入智能的ENVISION系统中。1.1 RSA enVision产品结构1.1.1 ENVISION功能组件enVision Appliance由三个功能模块组成:Application Server,Data Server和Data Collector。数据通过收集器Data Collector收集进DATA SERVER,管理员提交查询或分析请求时,Application Server访问Data Server的数据,并通过页面显示分析结果。1.1.2 部署架构RSA enVision包括ES和LS两种系列的产品。大规模部署时,LS系列通过分析服务器A-SRV、D-SRV
5、数据服务器、LC本地收集器和RC远程收集器四个模块组件,灵活部署。根据各个分支机构的实际业务量或日志数据处理能力,部署相匹配的产品模块。通过级联实现企业全球范围724的实时监控和管理。1.2 RSA enVision功能特色1.2.1 LogSmart Internet Protocol Database(IPDB)LogSmart IPDB超越了一些传统的Relational Data Base Management System(RDBMS)系统的理念。首先,LogSmart IPDB能够有效的和原始的非结构化数据作整合,而不需要预先定义或作数据的标准化。在事件日志方面,LogSmart
6、IPDB使用原始的的事件日志本身来形成数据库,而无其它额外的要求。其次,LogSmart IPDB在写入数据方面做了高度优化。即使读取的数字远远超过了写入,通过对写入的优化,任何后续的读取都会变得更加有效,并在主机系统上节约总体的I/O负荷。LogSmart IPDB对数据本身使用了Write Once Read Many (WORM)的方法,以确保一旦数据被写入数据库,它就无法被改变。其次,不像大多数基于RDBMS解决方案的数据模型,LogSmart IDPB被设计成储存基于IP的信息并且它总是会储存每一个信息来源(IP,MAC地址,主机名,等等)成为一个独立的信息单位。IPDB不会象RDM
7、S那样将多个信息单位混用成一行或一个表格,这样就提供了更高精度的访问控制。最后,由于LogSmart IPDB使用原始的非结构化数据,它仅仅对数据请求时输出的信息作解析,而不是对输入的数据作100的解析,这样就节约了原来计算机的资源,并保留了输入数据的原始结构。这样就提供了更好的安全性,验证性和压缩技术1.2.2 基线 当enVision被接入网络时,它就开始建立起网络行为的基线;同时,一旦这被执行,相互关联的的警告和报告就会变成企业日常业务中不断持续的一部分而不是只作一次,以后就不管了。基线的原理非常简单,其基本概念是从所有数据中创建基准,因此当一个偏离发生时,你能快速并有效的解决问题。同时
8、,由于每个网络都是唯一的,enVision使你能够将“点点滴滴串连起来”(connect the dots) 并进行分析或是当信息代码不正常时对你发出警告。 当基线被建立起来后,enVision允许你根据资产对业务的影响,功能,对企业的重要性和地理位置来进行定义。资产能够从网络或漏洞扫描系统中被导入,因此enVision不仅能提供基线信息,它也能提供详细的资产报告和相关警告信息。1.2.3 Reports enVision这种对所有数据的收集和浏览提供了对安全敏感数据的快速和容易的访问。通过超过700个报告,enVision可以对各种不同的问题提供相关信息,包括指定内建报告和自动生成特别报告。
9、什么是你的报告目标? 预定报告 特别报告 SOX, PCI, GLBA, FISMA, HIPAA, 和其它 对于特权用户监控的安全报告 对于非特权用户访问文件的安全报告 对配置控制改变的安全报告 对登陆失败的安全报告 针对用户行为的日常业务报告 1.2.4 相互关联的警报 一个关联预警是在某一个特定期间多个设备发生的预警的综合。每个关联预警被设置成correlation rule(关联规则)。该规则标识从定义的多台设备类型的系列事件与特定条件的符合。系统将生成一个关联预警。每个关联预警有它自己的消息ID和消息文本。例如,当入侵检测系统,漏洞评估系统和防火墙都正常运作时,收集并分析它们生成的大
10、量事件数据并将其整合将是一个巨大的挑战。enVision 保护你对现有安全设备和安全措施的投资,它通过对安全事件相互关联的分析提供了一种更精确和实时的安全解决方法。enVision收集并关联上千的数据以允许l 通过与其它的网络和安全设备的互相关联,减少单一设备的误报 l 对你的安全设备和威胁进行分级,使你能够关注到最关键的问题点对关键资产的相关威胁的关联可以立即引起你对问题的注意 l 在一个页面中显示所有区域的安全警报 l 同漏洞扫描产品中的数据作整合。使漏洞扫描数据极大地减少了误报 l 对峰值和低谷活动的检测能够检测到不寻常的行为 l 通过复杂的代码匹配功能,能够检测可疑行为和偏离基线的异常
11、行为 1.2.5 法律需要Forensics 如果合适的流程没有建立起来以重现过去的数据信息,那么收集这些网络上的信息,以供不断增长的法律诉讼要求就将会是一项非常庞大的工作。enVision的事件日志可以允许你进行非常详细的调查,帮助你的公司以非常明白的方式记录下网络的使用情况通过无代理的收集,enVision从源设备中收集日志数据,并以它原来的byte-for-byte格式储存这些日志。这提供了一个不可抵赖的数据仓库,这里面储存了压缩,加密,和验证的事件日志数据。最重要的是,它将允许你以一种初始的未作修改的方式找到任何事件enVision允许对实时和历史数据作分析,并能以各种不同的格式来展现
12、数据,以满足企业中各种不同的人群从IT部门到管理部门等等1.2.6 事件浏览器Event Explorer 事件浏览器是一种高级的分析模块,它提供给你一种全新的研究分析方式。现在,你不仅仅能抓取所有数据,而且你能动态地浏览它。通过调整所选的观察点,事件浏览器动态地扩展在同一时间被调查事件的范围。1.2.7 通用设备支持UenVisionversal Device Support 除了内建有对数百台设备的支持,enVision 开放自身架构并提供各种工具以增加不常用的新增设备。UDS(通用设备支持)使用户能够容易的使用这个平台来收集,分析和管理日志数据,并提供对来自不同制造商生产设备的数据比较。
13、UDS特性:l 增添新信息的用户接口 l 控制设备和信息的分类 l message IDS 和负载数据的简单定义 l 支持在同一计算机上运行多个运用 enVision也提供你对整个组织架构中所有节点的安全意识包括网络,安全,主机,设备和存储。支持的设备有Cisco, Microsoft, EMC, JuenVisionper, Check Point, IBM, Oracle, RSA, Symantec和许多其它产品。2 enVision产品特点2.1 系统分析2.1.1 产品可以根据需要进行灵活架构enVision产品有EX、HA和LS三个产品系列。例如可通过LS系列(单台设备支持高达30
14、0,000+EPS的处理能力)的级联满足超大型网络的应用需要。在实际部署中,可以根据需要在企业整体网络中进行各种组合。可以按照要求部署各个功能模块,如总部部署A-SERVER、D-SERVER和Local Collector,省级单位部署D-SERVER和Local Collector用于数据收集和存储,各地市级单位可以根据实际情况部署Remote Collector,用于远程数据收集等。2.1.2 安全性enVision独有的IPDB数据库,底层自动对数据进行压缩、加密和分析。所有数据均加密存储在IPDB中,LS分布式部署时,数据传输由IPDB进行管理,网络传输时所有数据内容也为加密数据。2
15、.1.3 数据可靠性见4.3节。2.1.4 易用性enVision设备为硬件产品(Appliance),部署简易,上电即用。管理员可通过直联CONSOLE口、远程桌面和WEB浏览器等多种方式进行管理和维护。内置大量的标准报表和预警模板,用户可直接根据菜单操作即可获得所需的报表。根据国际领先的产品部署应用经验,预设了大量的关联分析功能类,管理员可根据相关类设置关联规则,并直接运行生成即时预警监控。丰富、强大的权限分配和控制管理,与分组策略结合,可定义不同层次用户的访问权限。如最高管理层、中层经理和操作员,均可看到系统设定的自己感兴趣的报表内容。2.1.5 可维护性enVison设备为硬件产品(Appliance),且无需任何代理(Agentless)。与其它SIEM产品相比,极大的降低了系统的复杂度和维护工作量。
