hp arcsight logger日志管理平台v3

1、HP/ArcSight Logger日志管理平台Kane Xue (薛元斌)企业安全管理的挑战：没有中心控制点复杂的安全威胁难以揭示合规性监视无法实现业务连续性存在风险各种产品的特定控制台每天成百上千万的日志AntiVirusAntiVirus数据库ApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplications应用系统防病毒服务器及桌面机操作系统网络设备弱点扫面入侵检测FirewallsFirewallsFirewallsFirewallsF

2、irewalls防火墙/VPNSign-OnSign-On身份认证目录服务用户属性物理基础架构业务流程大型机2ArcSight企业级的风险及威胁管理平台满足安全威胁管理监视合规性控制确保业务连续性报表&归档分析& 报警收集响应AntiVirusAntiVirus数据库ApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplicationsApplications应用系统防病毒服务器及桌面机操作系统网络设备弱点扫面入侵检测FirewallsFirewallsFirewallsF

3、irewallsFirewalls防火墙/VPNSign-OnSign-On身份认证目录服务用户属性物理基础架构业务流程大型机市场分析公司背景由市场领导者提供的解决方案 成立于 2000年5月 3000+ 客户 全球offices worldwide NASDAQ: ARST , An HP Company#1 在使用的SIEM和日志管理解决方案最近四次的报告中保持 #1 的市场占有率SIEM 领导者象限位置 -连续8年业界认可 2010 ArcSight Confidential4唯一连续九年保持领导者地位的厂商Gartner 2012 MQ: Leader 9 YearsIDC: Shar

4、e Leader 5 YearsSource: IDC (December 2010)大中华区ArcSight 部分客户名单模块化架构适应各种规模企业的需求日志关联分析日志管理日志采集HP ArcSight ESMHP ArcSight LoggerHP ArcSight Express法规遵循用户监控交易监控应用监控HP ArcSight IdentityViewFraud MonitoringAuditor AppsSAP AuditorHP ArcSight TRM企业随自身业务发展逐步完善安全管理架构安全日志的收集：Arcsight Connector简介好处: 提供独立于设备厂商品牌

5、的事件分析强大高效的日志采集功能Rackable AppliancesBranch Office/Store ApplianceInstallable Software任何结构化和非结构化的事件均可收集事件的标准化和类型化，为日后分析打好基础符合安全审计要求的收集过程(加密,缓存, 带宽控制)HP ArcSight ConnectorsHP ArcSight 事件收集300+ 产品, 50+ 类型, 80+ 合作伙伴Access and IdentityAnti-VirusApplicationsContent SecurityDatabaseData SecurityFirewallsHon

6、eypotNetwork IDS/IPSHost IDS/IPSIntegrated SecurityLog ConsolidationMail FilteringMail ServerMainframeNBADNetwork ManagementNetwork MonitoringNet Traffic AnalysisPolicy ManagementSecurity ManagementRouterWeb CacheWeb FilteringSwitchVulnerability MgmtWeb ServerOperating SystemVPNWireless安全可靠的事件收集过程Fo

7、llows NIST 800-92 Log Aggregation GuidelinesHP ArcSight MonitoringHP ArcSight Connector安全事件集中管理和升级带宽控制通过心跳信号保持连接压缩加密的事件流Windows登录失败事件Oracle登录失败事件核心技术: 事件的标准化UNIX登录失败事件门禁系统拒绝进入OS/390登录失败事件好处: 为后续高效高速的事件分析打好基础标准化和类型化的好处Jun 17 2009 12:16:03: %PIX-6-106015: Deny TCP (no connection) from 02/15605 to 6/44

8、3 flags FIN ACK on interface outsideJun 17 2009 14:53:16 drop eth0 product VPN-1 & Firewall-1 src xxx.xxx.146.12 s_port 2523 dst xxx.xxx.10.2 service ms-sql-m proto udp rule 49 没有标准化的事件标准化后的事件Time (Event Time) name DeviceVendor deviceProduct CategoryBehavior CategoryDeviceGroup Category e CategorySi

9、gnificance 6/17/2009 12:16:03Deny CiscoPIX/Access /Firewall /Failure /Informational/Warning 6/17/2009 14:53:16DropCheckpointFirewall-1/VPN-1/Access/Firewall /Failure /Informational/Warning 可客户化的FlexConnector无需编程即可实现收集自定义日志支持Syslog、Files、SNMP Trap、XML、Database格式的日志支持复杂的单、多行日志一般在5个工作日内即可完成一个客户化日志FlexC

10、onnector的开发产品规格安全日志的管理：Arcsight Logger简介日志管理的发展过程按各自运维机构的职责或业务的需求采集基于设备的类型进行分析以前:维护交换机、路由器为何网络里的服务器无法正常通讯?维护桌面及服务器为何文件服务器无法访问?调试特定的应用程序导致程序异常的原因究竟是什么?网络组帮助台组应用开发组多种日志分析工具针对多个不同类型的日志源及其格式用户的日志管理需求跨越了多种设备及日志类型以业务为中心地日志分析需要跨越多种设备 现在:日志管理的发展过程NetworkingAuditSecurityHelpdeskApp DevInfrastructure网络设备安全设备身

11、份识别数据库应用程序桌面机服务器究竟是谁导致网站停机的?究竟是谁 就做了网络配置变更?究竟是谁泄露了财务机密信息?“究竟是谁泄露了财务信息?”1. 用户下载了恶意软件2. 恶意软件在深夜发作3. 访问了机密数据4. 此时服务器的内存及CPU的异常超限使用导致了相应的报警5. 但是早晨看起来一起正常6. 但是信息已经泄露导致上了新闻Alert!ArcSight Logger: 全面的日志管理解决方案同时满足网络安全、合规性、IT运维及应用开发的需求:收取任何内容分析所有内容方便易用业界功能最强及最广泛的日志管理解决方案网络安全IT运维合规性ArcSight Logger应用开发优势: 日志调研与

12、设备类型无关收取任何内容机架式设备分支机构/连锁店设备软件版本任何结构化及非结构化的日志数据给日志赋予分类信息(CEF) 以利于后续的事件验证及调研满足审计要求的收集日志方式 (安全, 可靠, 带宽管理) ArcSight ConnectorsArcSight 网络安全调查: 超过75% 的技术人员都会抱怨他们极少或很难知道调研某个网络攻击时该看什么类似Google的日志内容搜索界面可打包安装的合规性 (PCI, SOX, ISO/NIST) 实时获取信息(仪表板、报表、搜索、报警)优势: 方便易用分析所有内容个性化仪表板实时获取信息个性化仪表板智能搜索智能搜索可钻取的报表可钻取的报表00Sa

13、ve searchSearchSearchSave Search实时报警0 AND Snort优势: 世界级高性价比的日志存储及搜索产品数据中心用设备基于SAN的设备中小/分支机构用设备满足各种日志量需求快速收集 (100K EPS 处理能力)高效存储及灵活性 (42 TB/实例, NAS/DAS/SAN)快速分析 (百万级的 EPS)软件型的部署ArcSight Logger产品规格完全可视化易于调研增加日志价值快速地收集、存储、查询任意日志ArcSight LoggerModelL5GBL3400 & L3400-PCIL7400-SANL7400sL7400 xSoftware Avai

14、labilityAvailable as software only Available as software and appliance N/AAvailable as software and applianceAvailable as software and appliance ManagementWeb browser, CLISupported SourcesRaw syslog (TCP/UDP), raw file-based logs (FTP, SCP, SFTP) Analysis optimized collection for 275+ commercial pro

15、ducts FlexConnector framework for legacy event sources ArcSight Common Event Format (CEF), ArcSight ESM OSSupported OS (software model): Red Hat Enterprise Linux, CentOS and Oracle Enterprise LinuxOracle Enterprise Linux 4, 64-bit (for appliance models)Supported OS (software model): Red Hat Enterpri

16、se Linux, CentOS and Oracle Enterprise LinuxCompressionUp to 10:1Devices50 200 Unrestricted 500 Unrestricted Max Input Rate 5 GB of logs/day (software model)2,000 events/second (appliance model)30 GB of logs/day (software model)75,000 events/second (appliance model)5,000 events/second (appliance model)80 GB of logs/day (software model)100,000 events/second (appliance model)160 GB of logs/day (software model)CPUN/A1 x Intel Xeon E5504 Quad Core 2.0 GHz2 x Intel Xeon E5504 Quad Core 2.0 GHz RAMN/A 12GB 24GB StorageN/A2 x 1TB - RAID 1 External - SAN 6 x