Security Information & Event Manager (SIEM)

Transkript

1 Plnění regulativ pomocí jednotného řízení bezpečnostních informací, log u a analýzy chování sítě Přínosy Pracovníci NOC a SOC se nyní soustřeďují na použitelné informace - namísto toho, aby se museli snažit interpretovat milióny každodenních událostí generovaných aplikacemi bezpečnosti sítě, přepínači, směrovači, servery a aplikacemi Používá pokročilý dohled a forenzní analýzu, aby poskytl přehled o výskytu jak externích, tak interních hrozeb: včetně neodpovídajícího obsahu, přenosů souborů IM, provoz z nežádoucích teritorií, odcizení dat a nakažení škodlivými červy. Využívá stávající investice do sítě prostřednictvím své funkčnosti, rychlého nasazení a růstu efektivnosti pracovníků, přičemž navíc pozitivně zvyšuje poměr investovaného času vůči získané užitné hodnotě. Integruje řešení detekce a prevence narušení Extreme Networks (IDS/IPS), kontroly přístupu k síti (NAC) a automatického řízení bezpečnosti (ASM) a poskytuje tak jednotný přehled o výskytu hrozeb reálném časea účinně detekuje, izoluje a automaticky opravuje hrozby. Poskytuje rychlá, přesná data o bezpečnostních hrozbách: -Závažnost útoku -Důležitost ovlivněného aktiva -Identitu útočníka -Důvěryhodnost datových zdrojů -Identifikace anomálního chování O produktu Extreme Networks SIEM je manažer bezpečnostních informací a událostí (Security Information and Event Manager - SIEM), jehož cílem je sběr, analýza a korelace událostí v síti. Řešení v sobě kombinuje to nejlepší z osvědčených metod detekce a analýzy anomálního chování sítě. SIEM poskytuje smysluplné a dále použitelné informace a pomáhá tak řídit sítě a bezpečnost i pro největší organizace. Výzvou, kterou vytváří většina dnešních systémů detekce hrozeb, je to, že generují tak mnoho informací, že je obtížné určit, které zranitelnosti si vyžadují okamžité a vysoce prioritní řešení. Řešení řízení bezpečnosti Extreme Networks SIEMbylo vyvinuto speciálně ktomu, aby řešilo tento úkol. SIEM poskytuje silné nástroje, které umožňují týmu zajišťujícím bezpečnost, aby aktivně řídil komplexní infrastruktury IT bezpečnosti. Klíčové vlastnosti Jde dále než tradiční systémy řízení bezpečnostních informací a událostí a produkty pro analýzu chování sítě; poskytuje řízení bezpečnosti, správu logů, reporting v souladu se zákony a zajišťuje tak zvýšenou provozní efektivnost; Soustřeďuje a kombinuje údaje o činnosti sítě, bezpečnostních událostech, logy, data o zranitelnosti a externích hrozbách do silného nástroje řízení. Extreme Networks SIEM dokáže tak velmi inteligentně korelovat, standard izovat a stanovovat priority podstatně tedy zlepšuje nápravu a čas odezvy a významně zvyšuje efektivnost pracovníků IT; Kontroluje normální chování sítě tím, že soustřeďuje, analyzuje a agreguje datové toky sítě ze širokého spektra síťových a bezpečnostních aplikací; včetně záznamů JFlow, NetFlow a SFlow. Ztěchto informací pak rozpoznává vzorce provozu sítě, které se odkloňují od této normy a označuje tak potenciální útoky nebo zranitelnosti. Nenormální chování je hlášeno na SIEM, aby bylo korelováno a napraveno. Sleduje rozsáhlé logovacízáznamy a informace o trendech,a generuje široké spektrum hlášení pro bezpečnost sítě, optimalizaci sítě a pro účely souladu se zákony. Jsou kdispozici šablony hlášení pro COBIT, GLB, HIPPA, PCI a Sarbanes Oxley.

2 Portfolio řešení SIEM je zařízení postavené na rychlém a snadném nastavení. Jsou k dispozici následující hardwarové komponenty: Zařízení SIEM Procesor událostí (Event Processor) Procesor anomálií toků (Flow Anomaly Processor) Senzor toků chování sítě (Behavioral Flow Sensor) Zařízení SIEM zajišťují soustřeďování a korelaci událostí přímo v akci, analýzu provozu sedmé vrstvy OSI modelu, agregaci toku dat z různých připojených přístrojů na síti a bohaté manažerské rozhraní. Díky před instalované mu softwaru a nastavení pomocí webového rozhraní lze SIEM zařízení jednoduše zavést a nakonfigurovat systém jednotného řízení bezpečnosti. Jsou k dispozici dva modely: zařízení SIEM pro malé podniky (model DSIMBA7-SE), které je ideální pro použití v centru menšího podniku nebo oddělení a pro rychlé a snadné použití. Zařízení SIEM pro velké podniky (model DSIMBA7-LU) je určen o pro velké a geograficky rozšířené organizace. Je ideální pro uživatele, kteří požadují rozšiřitelné řešení na úrovni podniku, které může být snadno o rozšířeno, aby podporovalo dodatečnou kapacitu monitorování toků a událostí podle potřeby. Obě platformy SIEM zachycují data o událostech a tocích ze širokého spektra síťových zařízení; včetně aplikačních serverů, webových serverů, pracovních stanic, směrovačů, přepínačů, firewallů, VPN tunel serverů a zařízení IDS/IPS. Aktualizovaný seznam podporovaných zařízení najdete na webových stránkách Networks.com v části informací o produktech Extreme Networks SIEM. pro produkt SIEM Large Enterprise (model DSIMBA7-LU) a SIEM Small Enterprise (model DSIMBA7-SE) jsou uvedeny v následující tabulce: Model DSIMBA7-LU DSIBMA7-SE High-performance, scalable Security All-in-one Security Information and Event Application Information and Event Managemen Managemen Event Management, Vulnerability Management, and Directed Remediation Expansion Options Yes Software License Upgrades External Flow Anomaly Processors External Event Processors Yes The DSIMBA7-SE appliance is designed specifically for smaller enterprise and departmental deploymen Behavioral Flow Sensor Uses external Behavioral Flow Sensor Integrated Behavioral Flow Senso Maximum # Flows Per Minute (FPM) Maximum # Events Per Second (EPS) 400,000 FPM (Unidirectional) 200,000 FPM (Bidirectiona 5,000/sec 2 x Quad Core Intel Xeon Processors at 2.33 GHz 8 GB 100,000 FPM (Unidirectional) 50,000 FPM (Bidirectional) 1,000/sec Hard Disk Drive 6 x 750 GB SATA 6 x 500 GB SATA 2 x Quad Core Intel Xeon Processors at 2.33 GHz 8 GB s 2 x 10/100/1000 Base-T 3 x 10/100/1000 monitoring Dual redundant 110 V / 220 V autosensing Dual redundant 110 V / 220 V auto-sensing 2U rack-mountable chassis 2U rack-mountable chassis

3 Možnosti rozšíření systému SIEM Pro zvýšení výkonu řešení a zlepšení schopnosti detekce anomálií vsíti, je možno systém SIEM rozšířit o tyto komponenty: Procesor událostí Procesor anomálií toků Senzory toků chování sítě Procesor událostí SIEM Event Processor (model DSIMBA7-EVP) je rozšiřujíc jednotkou pro základní zařízení SIEM. Přebírá a zdokonaluje zpracování dat o událostech ze zařízení DSIMBA7-LU.Informace o událostech se soustřeďují ze širokého spektra síťových a bezpečnostních zařízení včetně systémových záznamů směrovačů, událostí SNMP a událostí na firewallu. Každý procesor událostí SIEM může zpracovat až událostí za vteřinu. K dosažení větší flexibility může být připojeno k jedinému zařízení DSIMBA7-LUvíce procesorů událostí. pro produkt Procesor událostí SIEM(model DSIMBA7-EVP) jsou uvedeny v následující tabulce: Model Rated Throughput Hard Disk Drive DSIMBA7-EVP 5,000 events / second base configuration 10,000 event / second maximum 2 x Quad Core Intel Processors at 2.33 GHz 8 GB 6 x 750 GB SATA 2 x 10/100/1000 Base-T Dual redundant 110 V / 220 v auto - sensing 2U rack-mountable chassis Procesor anomálií toků Procesor anomálií toků (model DSIMBA7-FAP) je rozšiřující jednotkou pro produkt Extreme Networks SIEM. Přebírá a zdokonaluje zpracování dat o tocích ze zařízení DSIMBA7-LU a má rozhraní se senzory toků chování sítě k soustřeďování toku informací o provozu IP ze širokého spektra zařízení. Každý procesor anomálií toku SIEM může zpracovat až toků za minutu a jediné zařízení DSIMBA7-LU podporuje jeden nebo dva procesory anomálií toků. pro produkt procesor anomálií toků SIEM(model DSIMBA7-FAP) jsou uvedeny v následující tabulce: Model Rated Throughput Hard Disk Drive DSIMBA7-FAP 1,200,000 Max FPM (Unidirectional) 600,000 Max FPM (Bidirectional SIEM Behavioral Flow Sensors DSNBA7-xxx-xx 2 x Quad Core Intel Processors at 2.33 GHz 8 GB 6 x 750 GB SATA 2 x 10/100/1000 Base-T Dual redundant 110 V / 220 v auto - sensing 2U rack-mountable chassis Senzory toků chování sítě Tok síťového provozu je sekvencí paketů, které sdílejí společné charakteristiky takové jako zdrojová/cílová IP adresa, zdrojový/cílový TCP/UDP port a použitý IP protokol. Senzory toků chování sítě SIEM jsou nasazeny ve strategických bodech sítě, aby sbíraly informace o toku provozu ze širokého spektra síťových zařízení včetně přepínačů, směrovačů, bezpečnostních zařízení, serverů a aplikací. Senzory toků chování sítě SIEM jdou dále než tradiční zdroje dat o tocích, aby umožnily analýzu toků vrstvy aplikací a detekci anomálií. Možnosti hloubkového zkoumání paketů a obsahu identifikují hrozby procházející standardními protokoly a porty. Jsou k dispozici rozhraní senzorů toků chování sítě se zařízeními SIEM nebo procesorem anomálií toků SIEM.

4 Technická specifikace Technická specifikace pro produkt senzory toků chování sítě jsou uvedeny v následující tabulce. Model DSNBA7-50-TX DSNBA7-250-TX DSNBA7-250-SX DSNBA7-1G-TX DSNBA7-1G-SX Rated Throughput 50 Mbps 200 Mbps 200 Mbps 1 Gbps SIEM Flow Anomaly Processor DSIMBA7-FAP Processor Memory 1 GB 2 GB 2 GB 4 GB 4 GB Hard Disk Drive 160 GB SATA 2 x 80GB SATA 2 x 10/100/1000 Base-T (onboard)-available in TX only Base -T for 3 x 10/100/1000 monitoring 2 x 1000 Base -SX for monitoring 2 x 10/100/1000 monitoring Dual redundant 110 V / 220 V auto - sensing 1U rack-mountable chassis 1 Gbps 2 x 1000 Base-SX for monitoring Specifikace Environmentální a regulační specifikace pro Extreme Networks SIEM Environmentální specifikace Operační teplota: 10º C do 35º C (50º F do 95º F) Teplota úložiště dat: -40º C do 65º C (-40º F do 149º F) Operační relativní vlhkost: 20% do 80% neuvažuje se Relativní vlhkost úložiště dat: 5% to 95% non-condensing Maximální gradient vlhkosti: 10% za hodinu, operační i neoperační Operační vibrace: 0.26 G na 5 Hz do 350 Hz po dobu 2 min Vibrace úložiště dat: 1.54 Grms Náhodné vibrace na 10 Hz do 250 Hz po dobu 15 min Operační úder: 1 shock pulz o 41 G po dobu do 2 ms Úder úložiště dat: 6 shock pulzů o 71 G po dobu do 2 ms Operativní nadmořská výška: -16 m do 3,048 m (-50 ft do 10,000 ft) Nadmořská výška úložiště dat: -16 m do 10,600 m (-50 ft do 35,000 f Regulativní specifikace CC (U.S. only) Třída A ICES (Canada) Třída A CE Mark (EN Třída A, EN55024, EN , EN ) VCCI (Japan) Třída A BSMI (Taiwan) Třída A CTick (Australia/New Zealand) Třída A SABS (South Africa) Třída A CCC (China) Třída A MIC (Korea) Třída A UL , EN ,IEC CAN/CSA C22.2 No

5 Informace pro objednání Part number DSIMBA7-LU DSIMBA7-SE DSIMBA7-EVP DSIMBA7-FAP DSNBA7-50-TX DSNBA7-250-TX DSNBA7-250-SX DSNBA7-1G-TX DSNBA7-1G-SX Popis SIEM Appliance for large enterprise deployments SIEM for small enterprise deployments, with integrated Behavioral Flow Sensor Event Processor Flow Anomaly Processor Behavioral Flow Sensor with 200 Mbps rated throughput Behavioral Flow Sensor with 200 Mbps rated throughput Behavioral Flow Sensor with 200 Mbps rated throughput and optical interfaces Behavioral Flow Sensor Appliance with 1 Gbps rated throughp Behavioral Flow Sensor with 1 Gbps rated throughput and optical interface Záruka Jako společnost, pro kterou je zákazník v centru jejího zájmu, dodává společnost Extreme Networks co nejlepší možné provedení a design ve spektru svých produktů. Pro případ, že některý z našich produktů bude mít závadu z důvodů poruchy jednoho z těchto faktorů, jsme vyvinuli komplexní záruku, která vás chrání a poskytuje vám jednoduchý způsob, jak si necháte svůj produkt co nejrychleji opravit. Servis a podpora Extreme Networks poskytuje kvalitní nabídku služeb od profesionálních služeb, design, nasazení a optimalizaci zákaznických sítí, specializovaný technická školení, až po podporu šitou na míru pro individuální zákazníky. Pro více informací ohledně Extreme Networks servisu a podpory, prosím kontaktujte svého zástupce Extreme Networks.