ArcSight 企业安全管理 (ESM) 是一种综合的软件解决方案, 它将传统的安全事件监视与网络智能、上下文关联、异常检测、历史分析工具和自动化修复。ESM 是一个多层次的解决方案, 它为网络安全分析人员、系统管理员和业务用户提供了工具。
ESM 包括相关优化的保留和检索 (更正) 引擎, 一种数据存储和检索框架, 它以高速率接收和处理事件, 并执行高速搜索。
本书介绍了 esm 工作原理背后的基本概念, 该引擎的独特功能, 并根据您在安全操作中的角色, 提供了 esm 中可用工具的路线图。看完这本书后, 你会清楚地了解:
- ESM如何在您的网络环境中工作
- ESM功能和特性以及它们在事件生命周期的各个阶段如何使用
- 贵组织中的哪些用户将使用ESM工具
- 关键术语和概念
ArcSight 发送日志实用程序
HP ArcSight 客户支持可以请求日志文件和其他诊断信息来解决问题。"发送日志" 实用工具自动查找日志文件, 对它们进行压缩并保存它们。
使用 "发送日志" 实用工具, 您可以:
- 从控制台或管理器获取ESM系统的所有组件的日志和诊断信息。
- 收集诊断信息,如线程转储和有关系统的存储警报日志。 如果您通过电子邮件[email protected]将该日志通过电子邮件发送给HP ArcSight支持,它可以帮助他们分析组件上的性能问题。
发送日志可以作为向导或从每个组件的命令行界面运行。
用户角色
在安全操作中心中实现 ESM 系统需要进行规划。用户角色帮助决策者确定需要哪些技能和经验才能确保成功部署。
ESM 提供用户组和访问控制列表 (acl) 来管理用户对某些功能和资源的访问。默认用户组和 acl 在安装时为某些资源提供访问控制 (有关详细信息, 请参阅52页上的 "用户和用户组")。还可以根据安全操作中心的需要创建自定义用户组, 以应用于您定义的用户角色。有关访问权限的详细信息, 请参阅165页上的 "访问控制列表 (acl)"。
以下各页提供了一般用户角色及其对应的默认用户组的详细说明。
用户角色 |
描述 |
用户组 |
Administrator |
管理员负责监督系统的安装并维护整个系统的运行状况。 管理员安装和配置管理器、控制台和 SmartConnectors, 并将 ESM 与多个供应商的设备集成在一起。管理员还进行基本功能测试, 以验证安装和配置是否完成。 Administrators能够:
管理员应该对以下内容有深入的了解:
|
Administrators |
Author |
Author (分析器管理员) 负责开发处理企业需求和目标的用例。此角色负责监视在安全操作中心进行调查、历史分析和补救的性质和方向的内容。 Authors能够:
作者应具有以下专业知识:
|
Default User Groups/ Analyzer Administrators |
Operator |
安全操作中心操作员负责日常事件监视和调查事件到会审级别。操作员使用重播工具观察实时事件和重播事件。他们用事件检查器解释事件, 并用预设的自动操作响应事件。他们还运行报告并参考知识库文章。 Operators能够:
安全中心操作员应具备以下工作知识:
|
Default User Groups/ Operators |
Analyst |
安全分析人员负责在由安全中心操作员的通知触发操作时进行专门的调查和修复。分析师也可能是运营商, 或者他们可以是应对特定情况的专家。 Analysts能够:
安全分析师应该具备以下专业知识:
|
Default User Groups/ Operators/ Analysts |
Business User |
业务用户使用 ESM 来确定和将系统条件与其他利益干系人使用度量值进行通信。业务用户通常还负责确保符合法规遵从性。 业务用户通常使用ArcSight控制台或ArcSight Command Center与报表,仪表板,通知和案例进行交互。 |
Default User Groups/ Operators or any custom user group |
Super User |
超级用户在安全操作中心内佩戴许多帽子。虽然每个用户角色的职责可能与他人重叠, 但超级用户具有很高的经验, 并持有高级安全职位, 可能包括作者、操作员和分析人员角色。 Super Users能够:
|
Administrators |
通过ESM的用户路径
下面的图形根据您在组织中的角色, 通过 ESM 提供了一般用户路径的概览, 以及可以参考哪些文档来了解每种信息。
对于任何有兴趣使用ESM的人来说,ESM 101是一个开始的地方。 产品安装完成后,所有用户都可以访问联机帮助系统。 与每个主要用户组相关的任务由ESM文档套件的其余部分解决。