思科安全监控、分析和响应系统

《思科安全监控、分析和响应系统》由会员分享，可在线阅读，更多相关《思科安全监控、分析和响应系统（8页珍藏版）》请在金锄头文库上搜索。

1、思科安全监控、分析和响应系统（思科安全 MARS）概述思科安全监控、分析和响应系统（思科安全MARS）是一款基于设备的全功能解 决方案，可提供针对您现有安全部署的、前所未有的了解和控制能力。思科安全 MARS 是思科安全管理生命周期的一个关键组件，可帮助您的安全和网络机构识 别、管理和抵御安全威胁。它可充分利用您现有的网络和安全投资，来识别、隔 离被攻击的组件和建议对其精确删除的方式。它也有助于保持内部策略符合性， 可作为整体法规符合性解决方案工具中一个不可缺少的部件。安全和网络管理员所面临的问题有： 安全和网络信息过载 性能不佳的攻击和故障识别、优先级划分和响应 更高攻击先进程度、速度和修复

2、成本 满足法规符合性和审查要求 较少的安全人员和预算思科安全MARS可通过以下功能满足其需要： 集成网络智能，进行网络异常事件和安全事件的先进关联 察看校正后的事件并自动执行调查 通过全面充分利用网络和安全基础设施来防御攻击 监控系统、网络和安全运行来帮助企业达到法规符合性 以最低 TCO 提供一个易于部署和使用的、可扩展的设备思科安全MARS可将原始网络和安全数据转化为可操作的智能特性，以提交正确 有效的安全事件并保持法规符合性。这一易于使用的威胁防御设备系列可利用已 部署在您的基础设施中的网络和安全设备，使操作员可集中、检测、防御和报告 重要威胁。深度防御问题 信息安全已从互联网、周边防护

3、发展为深度防御模式，在基础设施中部署了多项 措施来抵御安全漏洞和攻击。鉴于攻击频率日益增加、攻击复杂度各不相同，以 及攻击非常迅速，网络内部和周边间的界线逐渐模糊，因此这些措施是非常必要 的。为试图利用漏洞发动攻击，每天攻击者都会对网络接入点和系统进行数千次探 测。先进的混合攻击使用多种欺骗式攻击方法，以便从机构内外获得未授权系统 访问和控制。蠕虫、零日攻击、病毒、特洛伊木马、间谍软件和攻击工具的普及 可对最为坚固的基础设施构成挑战导致防御作用时间缩短、出现停运和昂贵 的修复措施。除服务器和网络设备数量较多外，每个安全组件都提供独立的事件记录和报警功 能，以用于异常流量检测、威胁响应和分析。不

4、幸的是，这就生成了大量的干扰、 报警、日志文件和误报，需操作员辨别或高效利用它们但这样的前提是有足 够的时间和资源来分析和了解这些信息。此外，法规也要求严格数据保密、更高 运营安全性和进行持续审查。先进的安全信息管理安全信息/事件管理(SIM)产品从逻辑上看来避免了这一问题一一因为您无法对 您不能测量出的信息加以管理。SIM使操作员拥有了集中操作的能力：汇总安全 事件和记录，通过有限关联和查询技术来分析数据，并针对独立事件生成报警和 报告。但是，许多第一代和第二代SIM不具备足够的网络智能和性能属性，无法更精确 地识别和确认关联事件、更好地指出攻击路径、有效地消除威胁或应对高事件负 荷。思科系

5、统公司通过一个可扩展的企业威胁防御设备系列，解决了这些安全问题， 弥补了管理的不足。思科安全MARS提供了一个易于部署和使用、经济有效、性 能出众的安全命令和控制解决方案，对您的网络和安全基础设施投资构成补充。 思科安全MARS是一个性能出众的可扩展威胁防御设备系列，通过结合网络智能、 ContextCorrelationTM、SureVectorTM 分析和 AutoMitigateTM 功能，来使公司 能作好准备，识别、管理和消除网络攻击并保持法规符合性，从而增强已部署的 网络设备和安全措施。思科安全MARS的主要特性和优势网络智能事件汇总和性能处理思科安全MARS 了解路由器、交换机和防

6、火墙的拓扑和设备配置，以及网络流量 配置，实现了网络智能。通过该系统的集成网络发现功能，可构建一个包括设备 配置和当前安全策略的拓扑图，使思科安全MARS能对您网络中的分组流建模。 因为此设备不在内部运行，极少使用现有软件代理，所以对网络或系统性能的影 响极小。这一设备集中汇总了来自各种常用网络设备（如路由器和交换机）、安全设备和 应用（如防火墙、入侵检测、漏洞扫描器和防病毒软件）、主机（如Windows、 Solaris和Linux系统日志）、应用（如数据库、Web服务器和验证服务器）以 及网络流量（如Cisco NetFlow）的日志和事件。Con text Correla ti onTM

7、在接收到事件和数据时，可针对网络拓扑、所发现的设 备配置、相同的源和目的地应用（跨NAT边界）和类似的攻击类型，来对信息进 行标准化。相似的事件会进行实时分组，随后对其运用由系统和用户定义的关联 规则，来识别事故。系统配备了全面的预定义规则，Protego会经常更新这些规 则，它们能识别大多数混合攻击、零日攻击和蠕虫。一个图形化规则定义框架简 化了用户为任何应用创建定制规则的过程。Con text Correla tion大大减少了原 始事件数据、实现了响应优先级划分并可最大限度地发挥所部署的措施的作用。 高性能汇总和整合。思科安全MARS解决方案可获取数千个原始事件，高效地对 事件分类，实现

8、前所未有的数据减少，并压缩这些信息以进行归档。管理大量安 全事件需要一个安全、稳定的集中记录平台。思科安全MARS设备可安全地优化， 接收极其大量的事件流量每秒超过10000个事件或每秒超过30万个NetFlow事件。通过即将荣获专利的Protego内部处理逻辑和采用内嵌Oracle。， 这一切成为可能。所有数据库功能和调整都对用户透明。板载存储并可将历史数 据档案持续压缩到NFS备用存储设备的功能，使思科安全MARS成为一个强大的 安全日志/事件汇总解决方案。事件查看和有效防御思科安全MARS有助于加速和简化威胁识别、调查、校正和防御的过程。安全人 员通常面临着所提交的事件需要耗时的分析才能

9、解决问题和进行修复的情况。思 科安全MARS具有一个功能强大的交互式安全管理控制台。操作员GUI提供了一 个由实时热点、事故、攻击路径和具体调查组成的拓扑图，可使用户完全了解事 件立即确认有效威胁。SureVectorTM 分析事件进程等过程，通过评估直至终端 MAC 地址的整个攻击路 径，来确定威胁是否有效或是否已进行了防御。这一自动过程是由分析防火墙和 入侵防御应用等设备记录、分析第三方漏洞评估数据，以及籍由思科安全 MARS 终端扫描来消除误报而完成的。用户可快速、精确地调整系统，来进一步减少误 报。所有安全计划的最终目标是保持系统在线并正常运作即防御安全违背、抑制事件并进行修复。凭借思

10、科安全MARS，操作员可迅速了解攻击中涉及的所有组 件，这可具体到受破坏的系统MAC地址。AutoMitigateTM功能可识别攻击路径 上的阻塞点设备，并自动提供用户可用以防御威胁的适当设备命令。通过充分利 用基础设施，可快速、准确地防御和抑制攻击。实时调查和法规符合性报告思科安全MARS具有一个易于使用的分析框架，简化了传统的安全工作流程，在 日常运作和特殊审查时实现了自动的案例分配、调查、提交、通知和说明。它可 图形化地重现攻击并检索所存储的事件数据，来分析以前的事件。此系统完全支 持临时查询，可进行实时和持续数据采集。思科安全MARS提供大量的预定义报告，来满足运营需要，有助于达到法规

11、符合 性要求，包括Sarbox、GLBA、HTPPA、FISMA和Basel II。一个直观的报告生成 器可以修改80 多种标准报告或生成新报告，以一种无限制的方式，用数据、趋 势和图表格式构建安全措施和修复计划、事件和网络活动、安全状态和审查，以 及部门报告。此系统也能提供批报告和电子邮件报告。迅速部署和可扩展管理思科安全MARS置于一个TCP/IP网络上，可发送和接收系统日志、SNMP捕获，并通过标准安全协议或厂商特定协议，与已部署的网络和安全设备建立安全连接。只需将其插入网络即可。安装和部署思科安全MARS时无需其他硬件、操作 系统补丁、许可或冗长的专业服务部署过程。您只需配置您的日志源

12、，指向MARS 设备，并通过基于 Web 的 GUI 定义任意网络和数据源。该设备由一个安全、基于Web的界面集中管理，它支持基于角色的管理。可选思 科安全M ARSGC设备集中了广泛的安全操作，可提供整个企业的单一视图，分发 访问权限、配置、更新、定制规则和报告模板，并将复杂的调查与本地处理的加 速查询和报告相结合。因为本地思科安全MARS设备可在整个企业中执行查询和规则，因此能高效地获 得整合结果，快速、集中地在思科安全MARSGC中进行分析。这一可扩展架构提 供了一个附加的分布处理和存储层。因此可实现更为经济有效的部署和更高可管 理性，满足地理位置分散的大型机构的需求。思科安全MARS技

13、术规格思科安全MARS系列提供了多种性能特性和价位，以满足多种机构和部署情况的 需要。思科安全MARS技术规格NetFlows/思科产品编号事件/秒秒存储机架单元电源Cisco Security120GB (非50015,0001RU16”300WMARS-20-K9(CS-MARS 20)RAID)Cisco Security1,00030,000240GB1RU25.6”300WMARS-50-K9(CS-MARS 50)RAID0Cisco Security750GB500W，MARS-100E-K9(CS-MARS3,00075,000RAID10，可3RU25.6”双冗余100e)热

14、插拔Cisco Security750GB500W，MARS-100-K9(CS-MARS5,000150,000RAID10，可3RU25.6”双冗余100)热插拔Cisco Security1TB500W，MARS-200-K9 (CS-MARS10,000300,000RAID10，4RU25.6”双冗余200)可热插拔思科产品编号（Global分布式监控Controller 型号)支持的型号最大连接数存储机架单元电源Cisco Security仅限1TB500W，MARS-GCM-K9(CS-MARSMARS5RAID10，4RU25.6”双冗余GCm)20/50可热插拔1TBCisc

15、o Security任意目前无限RAID10，4RU25.6”500W，MARS-GC-K9(CS-MARS GC)制可热插拔双冗余* EPS :在动态关联和支持所有特性的情况下,每秒处理的最大事件数目基于动态连接的关联包括NetFlow的异常流量检测 基于行为和基于规则的事件关联 全面的内置规则和用户定义的规则自动NAT标准化拓扑搜索 第三层和第二层：路由器，交换机，防火墙网络IDS:刀片和设备 手动和事先安排的搜索 SSH，SNMP，Telnet和特定设备通信漏洞分析 由事件触发、基于目标网络和主机的识别交换机、路由器、防火墙和NAT配置分析自动漏洞（VA ）扫描器数据获取 自动和可由用户调整的误报分析事件分析和响应 个性化安全事件管理控制台 基于连接的事件整