Security Information & Event Manager (SIEM) Plnění regulativ pomocí jednotného řízení bezpečnostních informací, log managementu a analýzy chování sítě

Transkript

1 Security Information & Event Manager (SIEM) Plnění regulativ pomocí jednotného řízení bezpečnostních informací, log managementu a analýzy chování sítě O produktu Poskytuje rychlá, přesná data o bezpečnostních hrozbách: - Závažnost útoku - Důležitost ovlivněného aktiva - Identitu útočníka - Důvěryhodnost datových zdrojů - Identifikace anomálního chování Enterasys SIEM je manažer bezpečnostních informací a událostí (Security Information and Event Manager - SIEM), jehož cílem je sběr, analýza a korelace událostí v síti. Řešení v sobě kombinuje to nejlepší z osvědčených metod detekce a analýzy anomálního chování sítě. SIEM poskytuje smysluplné a dále použitelné informace a pomáhá tak řídit sítě a bezpečnost i pro největší organizace. Výzvou, kterou vytváří většina dnešních systémů detekce hrozeb, je to, že generují tak mnoho informací, že je obtížné určit, které zranitelnosti si vyžadují okamžité a vysoce prioritní řešení. Řešení řízení bezpečnosti Enterasys SIEM bylo vyvinuto speciálně k tomu, aby řešilo tento úkol. SIEM poskytuje silné nástroje, které umožňují týmu zajišťujícím bezpečnost, aby aktivně řídil komplexní infrastruktury IT bezpečnosti. Klíčové vlastnosti Jde dále než tradiční systémy řízení bezpečnostních informací a událostí a produkty pro analýzu chování sítě; poskytuje řízení bezpečnosti, správu logů, reporting v souladu se zákony, a zajišťuje tak zvýšenou provozní efektivnost; Soustřeďuje a kombinuje údaje o činnosti sítě, bezpečnostních událostech, logy, data o zranitelnosti a externích hrozbách do silného nástroje řízení. Enterasys SIEM dokáže tak velmi inteligentně korelovat, standardizovat a stanovovat priority podstatně tedy zlepšuje nápravu a čas odezvy a významně zvyšuje efektivnost pracovníků IT; Kontroluje normální chování sítě tím, že soustřeďuje, analyzuje a agreguje datové toky sítě ze širokého spektra síťových a bezpečnostních aplikací; včetně záznamů JFlow, NetFlow a SFlow. Z těchto informací pak rozpoznává vzorce provozu sítě, které se odkloňují od této normy a označuje tak potenciální útoky nebo zranitelnosti. Nenormální chování je hlášeno na SIEM, aby bylo korelováno a napraveno. Sleduje rozsáhlé logovací záznamy a informace o trendech, a generuje široké spektrum hlášení pro bezpečnost sítě, optimalizaci sítě a pro účely souladu se zákony. Jsou k dispozici šablony hlášení pro COBIT, GLB, HIPPA, PCI a Sarbanes Oxley. Přínosy Pracovníci NOC a SOC se nyní soustřeďují na použitelné informace namísto toho, aby se museli snažit interpretovat milióny každodenních událostí generovaných aplikacemi bezpečnosti sítě, přepínači, směrovači, servery a aplikacemi Používá pokročilý dohled a forenzní analýzu, aby poskytl přehled o výskytu jak externích, tak interních hrozeb: včetně neodpovídajícího obsahu, přenosů souborů IM, provoz z nežádoucích teritorií, odcizení dat a nakažení škodlivými červy. Využívá stávající investice do sítě a bezpečnostní infrastruktury prostřednictvím své funkčnosti, rychlého nasazení a růstu efektivnosti pracovníků, přičemž navíc pozitivně zvyšuje poměr investovaného času vůči získané užitné hodnotě. Integruje řešení detekce a prevence narušení Enterasys (IDS/IPS), kontroly přístupu k síti (NAC) a automatického řízení bezpečnosti (ASM) a poskytuje tak jednotný přehled o výskytu hrozeb v reálném čase a účinně detekuje, izoluje a automaticky opravuje hrozby. Není nic důležitějšího než naši zákazníci

2 Portfolio řešení SIEM je zařízení postavené na rychlém a snadném nastavení. Jsou k dispozici následující hardwarové komponenty: Zařízení SIEM Procesor událostí (Event Processor) Procesor anomálií toků (Flow Anomaly Processor) Senzor toků chování sítě (Behavioral Flow Sensor) Zařízení SIEM Zařízení SIEM zajišťují soustřeďování a korelaci událostí přímo v akci, analýzu provozu sedmé vrsty OSI modelu, agregaci toku dat z různých připojených přístrojů na síti a bohaté manažerské rozhraní. Díky předinstalovanému softwaru a nastavení pomocí webového rozhraní lze SIEM zařízení jednoduše zavést a nakonfigurovat systém jednotného řízení bezpečnosti. Jsou k dispozici dva modely: zařízení SIEM pro malé podniky (model DSIMBA7-SE), které je ideální pro použití v centru menšího podniku nebo oddělení a pro rychlé a snadné použití. Zařízení SIEM pro velké podniky (model DSIMBA7-LU) je určeno pro velké a geograficky rozšířené organizace. Je ideální pro uživatele, kteří požadují rozšiřitelné řešení na úrovni podniku, které může být snadno oršířeno, aby podporovalo dodatečnou kapacitu monitorování toků a událostí podle potřeby. Obě platformy SIEM zachycují data o událostech a tocích ze širokého spektra síťových zařízení; včetně aplikačních serverů, webových serverů, pracovních stanic, směrovačů, přepínačů, firewallů, VPN tunel serverů a zařízení IDS/IPS. Aktualizovaný seznam podporovaných zařízení najdete na webových stránkách v části informací o produktech Enterasys SIEM. pro produkt SIEM Large Enterprise (model DSIMBA7-LU) a SIEM Small Enterprise (model DSIMBA7-SE) jsou uvedeny v následující tabulce. Model DSIMBA7-LU DSIBMA7-SE Application Event Management, Vulnerability Management, and Directed Remediation Expansion Options High-performance, scalable Security Information and Event Management Yes Software License Upgrades External Flow Anomaly Processors External Event Processors All-in-one Security Information and Event Management Yes The DSIMBA7-SE appliance is designed specifically for smaller enterprise and departmental deployments Behavioral Flow Sensor Uses external Behavioral Flow Sensors Integrated Behavioral Flow Sensor Maximum # Flows Per Minute (FPM) Maximum # Events Per Second (EPS) 400,000 FPM (Unidirectional) 200,000 FPM (Bidirectional) 5,000/sec Processor & Memory 2 x Quad Core Intel Xeon Processors at 2.33 GHz 100,000 FPM (Unidirectional) 50,000 FPM (Bidirectional) 1,000/sec Hard Disk Drive 6 x 750 GB SATA 6 x 500 GB SATA Network Interfaces 2 x 10/100/1000 Base-T 1 x 10/100/1000 management 3 x 10/100/1000 Power Supply 2U rack-mountable chassis 2U rack-mountable chassis Strana 2

3 Možnosti rozšíření systému SIEM Pro zvýšení výkonu řešení a zlepšení schopnosti detekce anomálií v síti, je možno systém SIEM rozšířit o tyto komponenty: Procesor událostí Procesor anomálií toků Senzory toků chování sítě Procesor událostí SIEM Event Processor (model DSIMBA7-EVP) je rozšiřující jednotkou pro základní zařízení SIEM. Přebírá a zdokonaluje zpracování dat o událostech ze zařízení DSIMBA7-LU. Informace o událostech se soustřeďují ze širokého spektra síťových a bezpečnostních zařízení včetně systémových záznamů směrovačů, událostí SNMP a událostí na firewallu. Každý procesor událostí SIEM může zpracovat až událostí za vteřinu. K dosažení větší flexibility může být připojeno k jedinému zařízení DSIMBA7-LU více procesorů událostí. pro produkt Procesor událostí SIEM (model DSIMBA7-EVP) jsou uvedeny v následující tabulce. Model Rated Throughput Processor & Memory Hard Disk Drive Network Interface Power Supply DSIMBA7-EVP 5,000 events / second base configuration 10,000 event / second maximum 6 x 750 GB SATA 2 x 10/100/1000 Base-T 2U rack-mountable chassis Procesor anomálií toků Procesor anomálií toků (model DSIMBA7-FAP) je rozšiřující jednotkou pro produkt Enterasys SIEM. Přebírá a zdokonaluje zpracování dat o tocích ze zařízení DSIMBA7-LU a má rozhraní se senzory toků chování sítě k soustřeďování toku informací o provozu IP ze širokého spektra zařízení. Každý procesor anomálií toku SIEM může zpracovat až toků za minutu a jediné zařízení DSIMBA7-LU podporuje jeden nebo dva procesory anomálií toků. pro produkt procesor anomálií toků SIEM(model DSIMBA7-FAP) jsou uvedeny v následující tabulce. Model Rated Throughput Processor & Memory Hard Disk Drive Network Interface Power Supply DSIMBA7-FAP 1,200,000 Max FPM (Unidirectional) 600,000 Max FPM (Bidirectional) SIEM Behavioral Flow Sensors DSNBA7-xxx-xx 6 x 750 GB SATA 2 x 10/100/1000 Base-T 2U rack-mountable chassis Senzory toků chování sítě Tok síťového provozu je sekvencí paketů, které sdílejí společné charakteristiky takové jako zdrojová/cílová IP adresa, zdrojový/cílový TCP/UDP port a použitý IP protokol. Senzory toků chování sítě SIEM jsou nasazeny ve strategických bodech sítě, aby sbíraly informace o toku provozu ze širokého spektra síťových zařízení včetně přepínačů, směrovačů, bezpečnostních zařízení, serverů a aplikací. Senzory toků chování sítě SIEM jdou dále než tradiční zdroje dat o tocích, aby umožnily analýzu toků vrstvy aplikací a detekci anomálií. Možnosti hloubkového zkoumání paketů a obsahu identifikují hrozby procházející standardními protokoly a porty. Jsou k dispozici rozhraní senzorů toků chování sítě se zařízeními SIEM nebo procesorem anomálií toků SIEM. Technická specifikace Technická specifikace pro produkt senzory toků chování sítě jsou uvedeny v následující tabulce. Strana 3

4 Model DSNBA7-50-TX DSNBA7-250-TX DSNBA7-250-SX DSNBA7-1G-TX DSNBA7-1G-SX Rated Throughput Processor 50 Mbps 200 Mbps 200 Mbps 1 Gbps 1 Gbps SIEM Flow Anomaly Processor DSIMBA7-FAP Xeon 3065 Processor at 2.33 GHz Memory 1 GB 2 GB 2 GB 4 GB 4 GB Hard Disk Drive Network Interface Power Supply Specifikace 160 GB SATA 2 x 80GB SATA 2 x 10/100/1000 Base-T (on-board) - available in TX only 1 x 10/100/1000 Base- T for management 3 x 10/100/1000 Base- T for 1U rack-mountable chassis Environmentální a regulační specifikace pro Enterasys SIEM: 1 x 10/100/1000 Base- T for management 2 x 1000 Base-SX for 1 x 10/100/1000 management 2 x 10/100/ x 10/100/1000 management 2 x 1000 Base-SX for Environmentální specifikace Operační teplota: 10º C do 35º C (50º F do 95º F) Teplota úložiště dat: -40º C do 65º C (-40º F do 149º F) Operační relativní vlhkost: 20% do 80% neuvažuje se Relativní vlhkost úložiště dat: 5% to 95% non-condensing Maximální gradient vlhkosti: 10% za hodinu, operační i neoperační Operační vibrace: 0.26 G na 5 Hz do 350 Hz po dobu 2 min Vibrace úložiště dat: 1.54 Grms Náhodné vibrace na 10 Hz do 250 Hz po dobu 15 min Operační úder: 1 shock pulz o 41 G po dobu do 2 ms Úder úložiště dat: 6 shock pulzů o 71 G po dobu do 2 ms Operativní nadmořská výška: -16 m do 3,048 m (-50 ft do 10,000 ft) Regulativní specifikace FCC (U.S. only) Třída A ICES (Canada) Třída A CE Mark (EN Třída A, EN55024, EN , EN ) VCCI (Japan) Třída A BSMI (Taiwan) Třída A C-Tick (Australia/New Zealand) Třída A SABS (South Africa) Třída A CCC (China) Třída A MIC (Korea) Třída A UL , EN , IEC Nadmořská výška úložiště dat: -16 m do 10,600 m (-50 ft do 35,000 ft) Informace pro objednání Part number Popis CAN/CSA C22.2 No DSIMBA7-LU SIEM Appliance for large enterprise deployments DSIMBA7-SE SIEM for small enterprise deployments, with integrated Behavioral Flow Sensor DSIMBA7-EVP Event Processor DSIMBA7-FAP Flow Anomaly Processor DSNBA7-50-TX Behavioral Flow Sensor with 50 Mbps rated throughput DSNBA7-250-TX Behavioral Flow Sensor with 200 Mbps rated throughput DSNBA7-250-SX Behavioral Flow Sensor with 200 Mbps rated throughput and optical interfaces DSNBA7-1G-TX Behavioral Flow Sensor Appliance with 1 Gbps rated throughput DSNBA7-1G-SX Behavioral Flow Sensor with 1 Gbps rated throughput and optical interfaces Strana 4

5 Záruka Jako společnost, pro kterou je zákazník v centru jejího zájmu, dodává společnost Enterasys co nejlepší možné provedení a design ve spektru svých produktů. Pro případ, že některý z našich produktů bude mít závadu z důvodů poruchy jednoho z těchto faktorů, jsme vyvinuli komplexní záruku, která vás chrání a poskytuje vám jednoduchý způsob, jak si necháte svůj produkt co nejrychleji opravit. Enterasys SIEM přichází s jednoletou zárukou proti výrobním chybám. Podmínky plné záruky najdete zde: Servis a podpora Enterasys Networks poskytuje kvalitní nabídku služeb od profesionálních služeb, design, nasazení a optimalizaci zákaznických sítí, specializovaný technická školení, až po podporu šitou na míru pro individuální zákazníky. Pro více informací ohledně Enterasys servisu a podpory, prosím kontaktujte svého zástupce Enterasys. Kontaktujte nás Pro více informací volejte , nebo nás navštivte na webových stránkách Enterasys Networks, Inc. Všechna práva rezervována. Enterasys je registrovanou obchodní značkou. Secure Networks je obchodní značka Enterasys Networks. Všechny ostatní produkty nebo služby zde odkazované jsou identifikovatelné obchodními značkami či servisními značkami příslušných společností či organizací. Upozornění: Enterasys Networks si vyhrazuje právo měnit specifikace bez předchozího upozornění. Prosím kontaktujte obchodního zástupce či partnera pro potvrzení aktuálního stavu. 05/09 Strana 5