hp arcsight logger日志管理平臺(tái)v3_第1頁(yè)
hp arcsight logger日志管理平臺(tái)v3_第2頁(yè)
hp arcsight logger日志管理平臺(tái)v3_第3頁(yè)
hp arcsight logger日志管理平臺(tái)v3_第4頁(yè)
hp arcsight logger日志管理平臺(tái)v3_第5頁(yè)
已閱讀5頁(yè),還剩22頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、HP/ArcSight Logger日志管理平臺(tái)Kane Xue (薛元斌)企業(yè)安全管理的挑戰(zhàn):沒(méi)有中心控制點(diǎn)復(fù)雜的安全威脅難以揭示合規(guī)性監(jiān)視無(wú)法實(shí)現(xiàn)業(yè)務(wù)連續(xù)性存在風(fēng)險(xiǎn)各種產(chǎn)品的特定控制臺(tái)每天成百上千萬(wàn)的日志AntiVirusAntiVirus數(shù)據(jù)庫(kù)ApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplications應(yīng)用系統(tǒng)防病毒服務(wù)器及桌面機(jī)操作系統(tǒng)網(wǎng)絡(luò)設(shè)備弱點(diǎn)掃面入侵檢測(cè)FirewallsFirewallsFirewallsFirewallsF

2、irewalls防火墻/VPNSign-OnSign-On身份認(rèn)證目錄服務(wù)用戶屬性物理基礎(chǔ)架構(gòu)業(yè)務(wù)流程大型機(jī)2ArcSight企業(yè)級(jí)的風(fēng)險(xiǎn)及威脅管理平臺(tái)滿足安全威脅管理監(jiān)視合規(guī)性控制確保業(yè)務(wù)連續(xù)性報(bào)表&歸檔分析& 報(bào)警收集響應(yīng)AntiVirusAntiVirus數(shù)據(jù)庫(kù)ApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplications應(yīng)用系統(tǒng)防病毒服務(wù)器及桌面機(jī)操作系統(tǒng)網(wǎng)絡(luò)設(shè)備弱點(diǎn)掃面入侵檢測(cè)FirewallsFirewallsFirewallsF

3、irewallsFirewalls防火墻/VPNSign-OnSign-On身份認(rèn)證目錄服務(wù)用戶屬性物理基礎(chǔ)架構(gòu)業(yè)務(wù)流程大型機(jī)市場(chǎng)分析公司背景由市場(chǎng)領(lǐng)導(dǎo)者提供的解決方案 成立于 2000年5月 3000+ 客戶 全球offices worldwide NASDAQ: ARST , An HP Company#1 在使用的SIEM和日志管理解決方案最近四次的報(bào)告中保持 #1 的市場(chǎng)占有率SIEM 領(lǐng)導(dǎo)者象限位置 -連續(xù)8年業(yè)界認(rèn)可 2010 ArcSight Confidential4唯一連續(xù)九年保持領(lǐng)導(dǎo)者地位的廠商Gartner 2012 MQ: Leader 9 YearsIDC: Shar

4、e Leader 5 YearsSource: IDC (December 2010)大中華區(qū)ArcSight 部分客戶名單模塊化架構(gòu)適應(yīng)各種規(guī)模企業(yè)的需求日志關(guān)聯(lián)分析日志管理日志采集HP ArcSight ESMHP ArcSight LoggerHP ArcSight Express法規(guī)遵循用戶監(jiān)控交易監(jiān)控應(yīng)用監(jiān)控HP ArcSight IdentityViewFraud MonitoringAuditor AppsSAP AuditorHP ArcSight TRM企業(yè)隨自身業(yè)務(wù)發(fā)展逐步完善安全管理架構(gòu)安全日志的收集:Arcsight Connector簡(jiǎn)介好處: 提供獨(dú)立于設(shè)備廠商品牌

5、的事件分析強(qiáng)大高效的日志采集功能Rackable AppliancesBranch Office/Store ApplianceInstallable Software任何結(jié)構(gòu)化和非結(jié)構(gòu)化的事件均可收集事件的標(biāo)準(zhǔn)化和類型化,為日后分析打好基礎(chǔ)符合安全審計(jì)要求的收集過(guò)程(加密,緩存, 帶寬控制)HP ArcSight ConnectorsHP ArcSight 事件收集300+ 產(chǎn)品, 50+ 類型, 80+ 合作伙伴Access and IdentityAnti-VirusApplicationsContent SecurityDatabaseData SecurityFirewallsHon

6、eypotNetwork IDS/IPSHost IDS/IPSIntegrated SecurityLog ConsolidationMail FilteringMail ServerMainframeNBADNetwork ManagementNetwork MonitoringNet Traffic AnalysisPolicy ManagementSecurity ManagementRouterWeb CacheWeb FilteringSwitchVulnerability MgmtWeb ServerOperating SystemVPNWireless安全可靠的事件收集過(guò)程Fo

7、llows NIST 800-92 Log Aggregation GuidelinesHP ArcSight MonitoringHP ArcSight Connector安全事件集中管理和升級(jí)帶寬控制通過(guò)心跳信號(hào)保持連接壓縮加密的事件流Windows登錄失敗事件Oracle登錄失敗事件核心技術(shù): 事件的標(biāo)準(zhǔn)化UNIX登錄失敗事件門禁系統(tǒng)拒絕進(jìn)入OS/390登錄失敗事件好處: 為后續(xù)高效高速的事件分析打好基礎(chǔ)標(biāo)準(zhǔn)化和類型化的好處Jun 17 2009 12:16:03: %PIX-6-106015: Deny TCP (no connection) from 02/15605 to 6/44

8、3 flags FIN ACK on interface outsideJun 17 2009 14:53:16 drop eth0 product VPN-1 & Firewall-1 src xxx.xxx.146.12 s_port 2523 dst xxx.xxx.10.2 service ms-sql-m proto udp rule 49 沒(méi)有標(biāo)準(zhǔn)化的事件標(biāo)準(zhǔn)化后的事件Time (Event Time) name DeviceVendor deviceProduct CategoryBehavior CategoryDeviceGroup Category e CategorySi

9、gnificance 6/17/2009 12:16:03Deny CiscoPIX/Access /Firewall /Failure /Informational/Warning 6/17/2009 14:53:16DropCheckpointFirewall-1/VPN-1/Access/Firewall /Failure /Informational/Warning 可客戶化的FlexConnector無(wú)需編程即可實(shí)現(xiàn)收集自定義日志支持Syslog、Files、SNMP Trap、XML、Database格式的日志支持復(fù)雜的單、多行日志一般在5個(gè)工作日內(nèi)即可完成一個(gè)客戶化日志FlexC

10、onnector的開(kāi)發(fā)產(chǎn)品規(guī)格安全日志的管理:Arcsight Logger簡(jiǎn)介日志管理的發(fā)展過(guò)程按各自運(yùn)維機(jī)構(gòu)的職責(zé)或業(yè)務(wù)的需求采集基于設(shè)備的類型進(jìn)行分析以前:維護(hù)交換機(jī)、路由器為何網(wǎng)絡(luò)里的服務(wù)器無(wú)法正常通訊?維護(hù)桌面及服務(wù)器為何文件服務(wù)器無(wú)法訪問(wèn)?調(diào)試特定的應(yīng)用程序?qū)е鲁绦虍惓5脑蚓烤故鞘裁?網(wǎng)絡(luò)組幫助臺(tái)組應(yīng)用開(kāi)發(fā)組多種日志分析工具針對(duì)多個(gè)不同類型的日志源及其格式用戶的日志管理需求跨越了多種設(shè)備及日志類型以業(yè)務(wù)為中心地日志分析需要跨越多種設(shè)備 現(xiàn)在:日志管理的發(fā)展過(guò)程N(yùn)etworkingAuditSecurityHelpdeskApp DevInfrastructure網(wǎng)絡(luò)設(shè)備安全設(shè)備身

11、份識(shí)別數(shù)據(jù)庫(kù)應(yīng)用程序桌面機(jī)服務(wù)器究竟是誰(shuí)導(dǎo)致網(wǎng)站停機(jī)的?究竟是誰(shuí) 就做了網(wǎng)絡(luò)配置變更?究竟是誰(shuí)泄露了財(cái)務(wù)機(jī)密信息?“究竟是誰(shuí)泄露了財(cái)務(wù)信息?”1. 用戶下載了惡意軟件2. 惡意軟件在深夜發(fā)作3. 訪問(wèn)了機(jī)密數(shù)據(jù)4. 此時(shí)服務(wù)器的內(nèi)存及CPU的異常超限使用導(dǎo)致了相應(yīng)的報(bào)警5. 但是早晨看起來(lái)一起正常6. 但是信息已經(jīng)泄露導(dǎo)致上了新聞Alert!ArcSight Logger: 全面的日志管理解決方案同時(shí)滿足網(wǎng)絡(luò)安全、合規(guī)性、IT運(yùn)維及應(yīng)用開(kāi)發(fā)的需求:收取任何內(nèi)容分析所有內(nèi)容方便易用業(yè)界功能最強(qiáng)及最廣泛的日志管理解決方案網(wǎng)絡(luò)安全I(xiàn)T運(yùn)維合規(guī)性ArcSight Logger應(yīng)用開(kāi)發(fā)優(yōu)勢(shì): 日志調(diào)研與

12、設(shè)備類型無(wú)關(guān)收取任何內(nèi)容機(jī)架式設(shè)備分支機(jī)構(gòu)/連鎖店設(shè)備軟件版本任何結(jié)構(gòu)化及非結(jié)構(gòu)化的日志數(shù)據(jù)給日志賦予分類信息(CEF) 以利于后續(xù)的事件驗(yàn)證及調(diào)研滿足審計(jì)要求的收集日志方式 (安全, 可靠, 帶寬管理) ArcSight ConnectorsArcSight 網(wǎng)絡(luò)安全調(diào)查: 超過(guò)75% 的技術(shù)人員都會(huì)抱怨他們極少或很難知道調(diào)研某個(gè)網(wǎng)絡(luò)攻擊時(shí)該看什么類似Google的日志內(nèi)容搜索界面可打包安裝的合規(guī)性 (PCI, SOX, ISO/NIST) 實(shí)時(shí)獲取信息(儀表板、報(bào)表、搜索、報(bào)警)優(yōu)勢(shì): 方便易用分析所有內(nèi)容個(gè)性化儀表板實(shí)時(shí)獲取信息個(gè)性化儀表板智能搜索智能搜索可鉆取的報(bào)表可鉆取的報(bào)表00Sa

13、ve searchSearchSearchSave Search實(shí)時(shí)報(bào)警0 AND Snort優(yōu)勢(shì): 世界級(jí)高性價(jià)比的日志存儲(chǔ)及搜索產(chǎn)品數(shù)據(jù)中心用設(shè)備基于SAN的設(shè)備中小/分支機(jī)構(gòu)用設(shè)備滿足各種日志量需求快速收集 (100K EPS 處理能力)高效存儲(chǔ)及靈活性 (42 TB/實(shí)例, NAS/DAS/SAN)快速分析 (百萬(wàn)級(jí)的 EPS)軟件型的部署ArcSight Logger產(chǎn)品規(guī)格完全可視化易于調(diào)研增加日志價(jià)值快速地收集、存儲(chǔ)、查詢?nèi)我馊罩続rcSight LoggerModelL5GBL3400 & L3400-PCIL7400-SANL7400sL7400 xSoftware Avai

14、labilityAvailable as software only Available as software and appliance N/AAvailable as software and applianceAvailable as software and appliance ManagementWeb browser, CLISupported SourcesRaw syslog (TCP/UDP), raw file-based logs (FTP, SCP, SFTP) Analysis optimized collection for 275+ commercial pro

15、ducts FlexConnector framework for legacy event sources ArcSight Common Event Format (CEF), ArcSight ESM OSSupported OS (software model): Red Hat Enterprise Linux, CentOS and Oracle Enterprise LinuxOracle Enterprise Linux 4, 64-bit (for appliance models)Supported OS (software model): Red Hat Enterpri

16、se Linux, CentOS and Oracle Enterprise LinuxCompressionUp to 10:1Devices50 200 Unrestricted 500 Unrestricted Max Input Rate 5 GB of logs/day (software model)2,000 events/second (appliance model)30 GB of logs/day (software model)75,000 events/second (appliance model)5,000 events/second (appliance model)80 GB of logs/day (software model)100,000 events/second (appliance model)160 GB of logs/day (software model)CPUN/A1 x Intel Xeon E5504 Quad Core 2.0 GHz2 x Intel Xeon E5504 Quad Core 2.0 GHz RAMN/A 12GB 24GB StorageN/A2 x 1TB - RAID 1 External - SAN 6 x

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論