1 Confidential1 Система сбора, обработки и управления событиями ИБ ArcSight ESM Наталья Зосимовская, Компания «Информзащита»

ArcSight Confidential Содержание О компании ArcSight Архитектура ArcSight ESM SmartConnectors ArcSight Manager

ArcSight Confidential О компании ArcSight Основана в Мае 2000 года сотрудников 500+ прямых клиентов, 850+ партнерских клиентов

ArcSight Confidential Основные проблемы Сотни тысяч событий в день Отсутствие единой централизованной системы сбора, обработки и анализа событий Сложности в управлении инцидентами ИБ и информационной безопасностью в целом Network Devices Servers Mobile Desktop Security Devices Physical Access AppsDatabases Identity Sources

ArcSight Confidential Архитектура системы ArcSight ESM ArcSight Manager TM Анализ и корреляция SmartConnector FlexConnector Сбор данных Консоль управления Web- интерфейс ArcSight Console TM ArcSight Web TM Database

ArcSight Confidential ArcSight SmartConnectors и FlexConnectors 180+ продуктов в 35+ категориях от 80+ партнеров Access and Identity Anti-Virus Applications Content Security Database Data Security Firewalls Honeypot Network IDS/IPS Host IDS/IPS Integrated Security Log Consolidation Mail Filtering Mail Server Mainframe NBAD Network Management Network Monitoring Net Traffic Analysis Policy Management Security Management RouterWeb Cache Web Filtering Switch Vulnerability Mgmt Web Server Operating System VPNWireless

ArcSight Confidential SmartConnector Основные функции: Сбор данных Нормализация Категоризация Фильтрация Агрегация Программное обеспечение

ArcSight Confidential Нормализация и категоризация Jun :39:31: %PIX : Deny TCP (no connection) from /15605 to /443 flags FIN ACK on interface outside Категоризация в ArcSight : Нормализация в ArcSight :

ArcSight Confidential Фильтрация и агрегация Фильтрация - исключение из рассмотрения определенных событий, соответствующих заданным критериям Агрегация

ArcSight Confidential Схема работы События SSL Централизованные обновления Кэш ArcSight Connector Управление пропускной способностью канала События Фильтрация* Агрегация* ArcSight Manager

ArcSight Confidential ArcSight ESM

ArcSight Confidential ArcSight ESM Основные функции: Приоритезация Корреляция Мониторинг и Расследования Оповещения Отчетность

ArcSight Confidential Приоритезация Основные факторы приоритезации: Важность события История событий (System Active Lists) Критичность актива (Very High, High, Medium, Low, Very Low)

ArcSight Confidential Механизмы корреляции Корреляция в режиме реального времени – >100 установленных правил корреляции Статистическая корреляция Историческая корреляция Корреляция основанная на данных об уязвимостях Корреляция основанная на данных о пользователе и его роли Графический редактор для создания правил (без использования программирования)

ArcSight Confidential Мониторинг и расследования Консоль управления: Active Channels для интерактивных расследований Dashboards с возможностью детализации – 169 графических блоков – 41 шаблон dashboards Web-консоль Viewer ArcSight Web TM

ArcSight Confidential Active Channels Статистический обзор Гисторграмма Табличный вид Возможности глубокой детализации (drill down)

ArcSight Confidential Dashboards Графический и табличный вид Возможности глубокой детализации (drill down)

ArcSight Confidential Оповещения Оповещения в режиме реального времени – , SMS – Оповещения в формате SNMP Возможность интеграции с Service Desk

ArcSight Confidential Отчетность 400 стандартных шаблонов отчетов Отчетность касающаяся активов Отчетность касающаяся событий Отчетность касающаяся соответствия требованиям стандартов (SOX, PCI DSS, ISO 17799) Графический пользовательский интерфейс Гибкая схема создания отчета Без использования программирования

ArcSight Confidential База данных Oracle Partitions Активные партиции Будущие партиции Каталог заархивированных партиций Заархивированные партиции, которые были активированы

ArcSight Confidential Результаты внедрения Централизованный сбор, хранение и обработка событий ИБ Мониторинг, анализ и корреляции событий информационной безопасности в режиме реального времени Использование средств визуализации и детализации инцидента Снижение времени расследования и реагирования на инциденты Снижение рисков информационной безопасности и повышение устойчивости бизнес-процессов за счет своевременного обнаружения и обработки инцидентов информационной безопасности