ESM 提供了全面的企业安全管理、高级分析和调查以及修复和扩展解决方案的选项, 它们准备好配置和使用。
ESM 通过企业网络中的设备正常化和聚合数据, 提供高级分析和调查工具, 并提供用于自动和工作流管理的补救的选项。ESM 为您提供了所有相关 IT 系统的安全状态的整体视图, 并将安全性集成到现有的管理流程和工作流中。
ESM启用态势感知
与大型美术馆的安全系统一样, 网络安全操作必须完美地保护对组织至关重要的对象。在美术馆, 安全操作团队监视、分析和调查连续的数据提要, 包括监视视频、读卡器日志和严格校准的气候控制。
其中一台监控摄像头检测到一个人在测试锁定的门。读卡器从看门人那里登记, 他们每周只能工作一天。无价绘画收藏品的湿度控制动摇了一小部分的百分比。这些孤立的事件, 或者是协调性的突破尝试的一部分?
能够将来自许多不同收集点的数据关联起来并添加逻辑, 例如检查是否是看门人的工作日, 或者检查锁着的门是否在大楼的这个或其他门之前做过, 这对于知道何时和如何行动。
ESM 收集、规范化、聚合和过滤来自您的网络上数以千计的资产到可管理的流中的数以百万计的事件, 根据风险、漏洞和所涉及的资产的关键程度确定优先级。然后, 可以使用 ESM 工具对这些优先级的事件进行关联、调查、分析和补救, 从而给您提供情景感知和实时事件响应时间。
- 相关性 - 许多有趣的活动通常由多个事件表示。相关性是发现事件之间关系的过程,推断这些关系的重要性,优先考虑这些关系,然后提供采取行动的框架。
- 监控 - 一旦事件经过处理并相关联以确定其中最关键或潜在危险的事件,ESM提供了多种灵活的监控工具,使您能够在潜在威胁损坏网络之前调查和修复潜在威胁。
- 工作流程 - 工作流程框架提供可自定义的升级级别结构,以确保感兴趣的事件在正确的时间范围内升级到合适的人员。这使您的团队成员能够立即进行调查,做出明智的决定并采取适当的及时行动。
- 分析 - 当需要调查的事件发生时,ESM提供了一系列调查工具,使团队成员能够深入到事件中以发现其细节和连接,并执行功能,如NSlookup,Ping,PortInfo,Traceroute ,WebSearch和Whois。
- 报告 - 向其他人介绍您的网络安全状况对所有与您的网络健康有关的人员至关重要,包括IT和安全管理人员,执行管理人员和监管审计人员。 ESM的报告和趋势分析工具可用于创建多功能,多元素的报告,可定期关注狭窄主题或手动或自动报告总体系统状态。
惠普提供按需即用的ESM安全解决方案,您可以按原样实施ESM,也可以使用ESM的高级关联工具为您的环境构建自己的解决方案。
ESM 解析
ESM使用SmartConnectors连接器从网络收集事件数据。SmartConnectors将事件数据从设备转换成规范化的模式,成为关联的起点。
管理器在CORR引擎中处理和存储事件数据。用户使用ARCVIEW控制台或ARCIST命令中心监控事件,可以运行报告、开发资源、执行调查和系统管理。ESM的基本架构成为一个额外的ARCVIEW产品的框架,它管理事件流,促进事件分析,并提供安全警报和事件响应。
下面的主题描述了 ESM 的基本组件和增强其功能的产品。
SmartConnectors
SmartConnector是网络上生成关联相关事件数据的对象的接口。 从网络节点收集事件数据后,它们通过两种方式对数据进行规范化:将值(例如严重性,优先级和时区)归一化为通用格式,并将数据结构规范化为通用模式。 然后,SmartConnector可以过滤和聚合事件以减少发送到Manager的事件的数量,从而增加ESM的功能。
SmartConnectors使您能够在本地主机上执行命令,例如指示扫描仪运行扫描。 SmartConnector还会向他们收集的数据添加信息,例如查找IP和/或主机名称,以便在Manager中解析IP /主机名称查找。
SmartConnector执行以下功能:
- 从源设备收集所需的所有数据,因此您无需在调查或审计期间返回设备。通过筛选出你知道分析不需要的数据来节省网络带宽和存储空间。
- 解析单个事件并将它们归一化为通用模式(格式)供ESM使用。
- 汇总事件以减少发送给Manager的事件数量。
- 使用通用的,可读的格式对事件进行分类。这使您不必成为从多个供应商的众多设备中读取输出的专家,并且可以更轻松地使用这些事件类别来构建过滤器,规则,报告和数据监视器。
- 事件经过处理后将事件传递给Manager。
- 根据网络节点的不同,一些SmartConnector也可以指示设备向设备发出命令。这些操作可以手动执行,也可以通过规则和某些数据监视器的自动操作执行。
HPE定期发布新的和更新的ArcSight SmartConnector。
ArcSight管理中心
ArcSight 管理中心 (ArcMC) 是一种硬件解决方案, 它在单个设备中承载所需的 SmartConnectors, 并具有基于 web 的用户界面进行集中化管理。
ArcMC提供对设备本身的SmartConnector,远程ArcMC以及安装在远程主机上的基于软件的SmartConnector的统一控制。
ArcSight管理中心:
- 支持跨所有SmartConnector的批量操作,并且适用于具有大量SmartConnector的ArcSight部署
- 在Logger-only环境中提供SmartConnector管理工具
- 提供单一接口来配置,监控,调整和更新SmartConnector
除非用于更改其配置,否则ArcSight管理中心不会影响工作的SmartConnector。
当连接器针对多个异类目标(例如Logger与ESM一起部署时),Logger-only环境中或大量SmartConnector(例如MSSP部署)时,ArcSight管理中心是理想的解决方案。
支持的数据源
ESM从网络节点,入侵检测和预防系统,漏洞评估工具,防火墙,防病毒和反垃圾邮件工具,加密工具,应用程序审计日志和物理安全日志等数据源收集输出。
下图显示了ESM支持的常见网络安全数据源以及您可以在ESM中分析其输出的方式。
有关ESM支持的完整产品列表,请登录到Protect 724站点:https://protect724.hp.com。 单击产品文档链接,选择ArcSight SmartConnector文档,然后选择索引到SmartConnector配置指南。 此索引中的指南将映射到SmartConnector支持的产品。
SmartConnector可以直接安装在设备上,也可以分别安装在SmartConnector专用服务器上,具体取决于向其报告的网络节点。如果设备是通用计算机,并且它的功能都是基于软件的,例如ISS RealSecure,Snort等,SmartConnector可以共同托管在设备上。对于嵌入式数据源(如大多数思科设备和诺基亚Checkpoint防火墙设备),设备上的共同托管不是一种选择。要了解有关部署选项的更多信息,请参阅“ArcSight ESM安装和配置指南”。
在配置过程中,将SmartConnector注册到ArcSight Manager(ESM解决方案的中央服务器组件),并配置了其报告设备特有的特性以及网络的业务需求。默认情况下,SmartConnector每10秒钟用Manager维持一次心跳。管理器发回它对SmartConnector的任何命令或配置更新。 SmartConnector将以100批次的事件向管理器发送新的事件数据,或每秒一次,以先到者为准。时间和事件计数间隔都是可配置的。
FlexConnector
FlexConnector框架是一个软件开发工具包(SDK),使您能够为您的网络上的节点及其特定事件数据量身定制自己的SmartConnector。
FlexConnector类型包括文件阅读器,正则表达式文件阅读器,基于时间的数据库阅读器,系统日志和简单网络管理协议(SNMP)阅读器。 有关FlexConnector以及如何使用它们的更多信息,请联系您的ArcSight客户服务代表。
Forwarding Connector
转发连接器在分层ESM部署中的多个管理器和/或一个或多个记录器部署之间转发事件。 有关转发连接器的更多信息,请参阅ArcSight转发连接器的连接器配置指南。
ArcSight Manager
ArcSight Manager是解决方案的核心。 它是一个基于Java的服务器,可以驱动分析,工作流程和服务。 它还与各种安全系统的输出相关联。
管理器在CORR引擎流入系统时将事件写入CORR引擎。 它通过关联引擎同时处理它们,关联引擎利用网络模型和漏洞信息评估每个事件,以开发实时威胁摘要。
ESM附带默认配置和标准基础用例,包括过滤器,规则,报告,数据监视器,仪表板和网络模型,使ESM可以在安装后立即使用。 您还可以设计Manager从驱动器检测到关联到升级的整个过程。 HPE ArcSight专业服务部门可用于帮助完成此设计和设置。
CORR-EngineStorage
关联优化保留和检索(CORR)引擎是一种专有数据存储和检索框架,可以高速接收和处理事件,并执行高速搜索。
有关CORR引擎的更多信息,请参阅第109页上的“CORR引擎”。
用户接口
ESM 根据您的角色和需要执行的任务提供以下接口:
- ArcSight 命令中心
- ArcSight 控制台
ArcSight 命令中心
ArcSight Command Center提供了一个用于管理用户,存储和事件数据的简化界面; 监测事件和运行报告; 并配置存储,更新许可证,管理组件验证以及设置存储通知。 通过内容管理,您可以与其他ESM安装建立对等关系,搜索并同步跨同行的ESM内容。 搜索范围从简单到复杂,易于配置和保存以供日常使用。
有关ArcSight Command Center以及如何使用其功能的详细信息,请参阅ArcSight Command Center用户指南。
ArcSight 控制台
ArcSight控制台是基于工作站的界面,供安全操作中心或类似安全监控环境中的全职安全人员使用。 它是用于构建过滤器,规则,报告,模式发现,仪表板和数据监视器的创作工具。 它也是管理用户和工作流的界面。
根据您在安全操作中心的角色和您拥有的权限,您可以在ArcSight控制台中执行任何操作,例如从日常监控到构建复杂关联和长序列规则,以执行例行管理功能。
ArcSight控制台版本必须与Manager版本匹配,以确保资源和模式匹配。 有关ArcSight控制台以及如何使用其功能的详细信息,请参阅“ArcSight控制台用户指南”。
用例
用例是查看,配置和传输专门开发的一组相关资源的一种方法,可解决特定的安全问题和业务需求。 用例目前仅适用于ArcSight创建的内容。
安装使用案例后,它们将显示在ArcSight控制台导航器面板的新选项卡中。 当您打开用例时,查看器面板将显示构成该用例的所有不同类型的资源以及在单个视图中操作其事件的设备的类型。 这可以很容易地看到哪些资源与他人相关。
每个用例都带有一套自己的文档,其中包含安装和配置该用例的说明。
有关可用用例以及如何获取这些用例,请联系HP代表获取ArcSight产品。
ArcSight风险洞察
ArcSight Risk Insight是一款附加产品,可让用户了解实时威胁对资产的业务影响。 在ESM中,用户定义资产业务层(包括工作站,服务器,笔记本电脑),使用规则计算这些资产的风险因素,并将数据导入Risk InSight。 风险InSight根据业务模型汇总分数,用户评估可能对业务构成风险因素的特定威胁的影响。 用户建立自己的关键绩效指标,不断监控组织的业务风险。 安装后,通过ArcSight Command Center访问Risk InSight。
有关详细信息,请参阅“ArcSight Risk Insight用户指南”。
交互式发现
ArcSight交互式发现(AID)是一个独立的软件应用程序,可扩展模式发现,仪表板,报告和分析图形。 AID通过全面选择预先构建的交互式统计图形来提供增强的历史数据分析和报告功能。
您可以使用AID来:
- 快速了解您复杂的安全数据
- 通过精确控制和灵活性探索并钻取安全数据
- 加速发现可能危险的难以发现的事件
- 以令人信服的视觉摘要呈现安全状态
- 建立一个有说服力的,非技术性的行动呼吁
- 证明IT安全价值并帮助证明预算合理
使用Interactive Discovery的视觉选择工具,您可以轻松找到并调查潜在的攻击。 这个例子显示了一个攻击者与许多目标的连接失败,这可能表示端口扫描或蠕虫。
AID使您能够使用事件数据的图形摘要来分析您的网络安全活动。 在每日分析过去一天的数据时,您可能会发现仅通过自动分析就错过了的新事物。 您可以使用这些数据来构建新的规则,以改善整体企业安全管理流程。
模式发现
模式发现可以自动检测细微,专业或长期的模式,否则这些模式可能会在事件流中未被发现。您可以使用模式发现来:
- 发现0-day攻击 - 由于模式发现不依赖于编码的领域知识(例如预定义的规则或过滤器),它可以发现否则看不到的模式,或者对您的环境来说是唯一的模式。
- 检测低速和慢速攻击 - 模式发现只需几秒即可处理多达100万个事件(不包括从磁盘读取的时间)。这使得模式发现能够有效地捕获即使低和慢的攻击模式。
- 在您的网络上剖析常见模式 - 从当前网络流量中发现的新模式类似于特定网络流量子集的特征。通过匹配历史模式的存储库,您可以检测正在进行的攻击。
在事件流中发现的模式可以用来对这些资产进行分类,这些模式可以来源于特定资产,也可以用于特定资产。例如,源自具有后门的机器(启动与攻击者的连接的未授权程序)的模式都可以被视为一个群集。如果您看到源自新资产的模式相同,则表明新资产也安装了后门。
- 自动创建规则 - 通过单击鼠标就可以将发现的模式转换为完整的规则集。这些规则来源于环境特有的数据模式,而预定义的规则必须足够通用,才能在许多客户环境中工作。
模式发现是在您持续的安全管理操作中进行预防性维护和早期检测的重要工具。使用定期的计划分析,您可以始终在不同的时间间隔内扫描新模式,以保持领先于新的利用行为。
设备上的ESM
设备上的ESM可以称为ESM Express或ESM设备。 不同之处在于ESM设备具有更广泛的授权功能列表.ESM Express适用于每秒钟数量少到中等的事件。
无论哪种情况,ESM都是安全信息和事件管理(SIEM)设备。 它通过利用ESM的优越关联功能以及相关优化保留和检索(CORR)引擎,为网络周边和安全监控提供基本要素。 设备上的ESM通过一系列协调资源(如仪表板,规则和报告)提供企业级安全监控和响应系统。
有关ESM标准内容的更多信息,请参阅“ArcSight管理和ArcSight系统标准内容指南”。
Logger
ArcSight Logger是一款事件数据存储设备,针对极高的事件吞吐量进行了优化。 Logger以压缩格式存储安全事件,但始终可以根据需要检索未经修改的事件以获取历史分析质量的诉讼数据。
记录器可以独立部署以接收来自系统日志消息或日志文件的事件,或从SmartConnector接收通用事件格式的事件。 记录器可以将选定的事件作为系统日志消息转发给ESM。
多个Logger一起工作以扩展以支持高持续输入速率。 事件查询分布在记录器的对等Loggers网络中。
ArcSight解决方案
许多行业越来越受到监管准则的约束,或者面临共同的担忧。 对于这些情况,ArcSight为ESM和Logger提供了详细的现成解决方案。 ArcSight解决方案收集所有位置和来源的相关企业事件,然后实时关联这些数据,以检测违规,数据泄露或其他欺诈活动。
每个ArcSight解决方案都有一个您可以参考的解决方案指南。 例如,“用于IT治理解决方案指南的Compliance Insight软件包”和“用于PCI的Compliance Insight软件包解决方案指南”。
关于资源
ESM使用称为资源的对象来管理事件处理逻辑。 资源定义用于配置ESM执行的功能的属性,值和关系。 资源也可以是这种配置的输出(例如归档报告或模式发现快照和模式)。 资源将在第156页的“ESM资源”中进行更详细的讨论。
ESM拥有超过30种不同类型的资源,并且配备了数百种这些资源,这些资源已经配置为在产品安装后立即为您提供功能。 这些资源显示在ArcSight控制台的“导航器”面板中。
| 功能区域 |
描述 |
相关资源 |
|
| 建模资源 |
第125页的“网络模型”使您能够构建从物理信息系统派生的数据的面向业务的视图。 这些区别有助于ESM清楚地识别网络中的事件,为关联提供额外的详细信息层。
第151页的“Actor模型”创建一个实时用户模型,将人或代理映射到应用程序和网络中的活动。 一旦Actor模型就位,您可以使用类别模型来显示Actor之间的关系,并通过相关性来确定他们的活动是否超出了舞台。 |
|
|
| 相关资源 |
相关性是发现事件之间关系的过程,推断这些关系的重要性,优先考虑它们,然后提供采取行动的框架。 |
|
|
| 监测和调查资源 |
活动渠道和仪表板是监控ESM为您的网络处理的所有活动的工具。 通过这些视图,您可以深入查看特定事件或一系列事件,以调查其详细信息。 保存的搜索是您定期运行的搜索。 它们包括查询语句,关联的字段集和指定的时间范围。 搜索过滤器仅包含查询语句。 您可以在ArcSight Command Center中定义并保存搜索和搜索过滤器,并将这些资源作为软件包导出到ArcSight控制台中。 |
|
|
| 工作流和用户管理资源 |
工作流程指的是组织中的人员了解事件的方式,事件如何升级为其他用户以及跟踪事件响应的方式。 |
|
|
| 报告资源 |
报告资源与创建批处理功能一起工作,用于分析事件,查找新模式并报告系统活动 |
|
|
| Administration Resources |
管理资源是管理ESM日常维护和长期健康状况的工具。 |
|
|
| 标准内容 |
标准内容是一系列协调资源,用于解决常见的企业网络安全和ESM管理任务。
这些资源中的很多资源都会随ESM自动安装,以提供基本的系统运行状况和状态操作。 其他则以按类别安排的安装时间选项呈现。 |
|
|
| 内容同步和管理 |
内容同步提供了将内容从一个ESM实例发布到多个ESM实例的功能。 通过创建支持的软件包,建立ESM订阅者,以及安排发布内容来管理同步。 |
|
|