HP ArcSight Logger — это комплексное программно-аппаратное решение для сбора, эффективного хранения, высокопроизводительного поиска информации и подготовки отчетности с использованием всех корпоративных журналов аудита, которое является надежным решением для управления журналами событий.
Службы внутреннего контроля и безопасности, а также ИТ подразделения, понимают важность эффективной организации сбора, хранения и анализа информации из журналов аудита для выявления рисков, автоматизации проверки соответствия и проведения аудита, быстрого выявления угроз и оптимизации соглашений об уровне обслуживания. С целью решения перечисленных задач, любая система сбора данных должна обеспечивать возможность сбора информации о событиях из широкого диапазона источников — от устройств сетевой и периметровой безопасности до баз данных и приложений собственной разработки.
Решение ArcSight Logger поддерживает различные варианты развертывания,
оптимизированные для нужд компаний, как малого так и крупного бизнеса,
решение применяется в неоднородных и распределенных средах.
В дополнение к поддержке широкого спектра устройств и высокой производительности агрегации данных, для обеспечения соответствия нормам и требованиям, а также возможности расследования инцидентов, система должна обеспечивать аудиторское качество сбора и хранения информации. Только сбор информации о событиях на месте их возникновения позволит обеспечить комплексную безопасность, надежность и доступность данных. Для этого необходимо иметь готовое к немедленной эксплуатации масштабируемое решение для сбора информации из журналов, которое можно просто развернуть и эксплуатировать в сотнях или даже тысячах подразделений, что гарантирует комплексный сбор информации обо всех корпоративных событиях.
После сбора данных, их необходимо хранить на протяжении различных периодов времени, часто несколько лет, в соответствии с требованиями законодательства или корпоративными политиками хранения. Поэтому необходимо внедрить экономически эффективное решение для длительного хранения информации. Инфраструктура сбора данных из журналов аудита должна предоставлять возможности хранения и передачи информации в централизованные репозитории, где обеспечивается сжатие и безопасное хранение данных, при этом вся информация должна быть доступна для анализа.
Расследование инцидентов на лету — от консолей управления до отчетов и от сигналов тревоги до базовых событий. Обеспечивает быстрые и интуитивно понятные функции анализа.
Помимо агрегации и эффективного хранения журналов аудита, комплексное решение для управления журналами должно обеспечивать возможности для высоко-производительного анализа без ущерба для сбора и сохранения текущих данных. Для решения этих задач необходим интуитивно понятный интерфейс доступа к собранным данным с возможностью навигации по терабайтам имеющейся информации.
HP ArcSight Logger: решение для управления журналами аудита
Решение HP ArcSight Logger специально разработано для удовлетворения возрастающих потребностей сбора, хранения и анализа информации из корпоративных журналов. Это набор готовых к использованию стоечных комплексов, обеспечивающих высокопроизводительный сбор данных из любых источников и сохранение их в сжатом виде в самоуправляемом и постоянно доступном репозитории. Решение HP ArcSight Logger имеет многофункциональную систему подготовки отчетности и генерации сигналов тревоги, оно может применяться как отдельно, для управления журналами, так и в качестве дополнения к решению HP ArcSight ESM и более широкой платформе ArcSight.
Комплексная агрегация информации из журналов
HP ArcSight Logger обеспечивает сбор данных из любых необработанных системных журналов или файловых источников. Благодаря наличию библиотеки интерфейсов HP ArcSight Connectors, реализована возможность сбора данных из более чем 275 источников. Система HP ArcSight FlexConnector расширяет возможности сбора информации, обеспечивая взаимодействие с приложениями собственной разработки. Гибкое программное или программно-аппаратное развертывание HP ArcSight Connectors обеспечивает возможность сбора информации из любых удаленных источников по всему предприятию. Помимо обеспечения надежного и безопасного доступа к репозиторию HP ArcSight Logger, решение HP ArcSight Connectors также предоставляет средства для контроля полосы, пропускной приоритезаций трафика данных из журналов, локального кэширования и отказоустойчивость инсталляций HP ArcSight Logger.
Производительность без компромиссов
До настоящего времени инструменты управления журналами могли обеспечить высокую скорость анализа только путем привлечения дополнительных ресурсов за счет процессов сбора и сохранения, в противном случае, для этих целей необходимо было наращивать аппаратное обеспечение. Решение HP ArcSight Logger разработано специально с целью решения этой задачи. Одна инсталляция Logger может осуществлять сбор необработанных данных со скоростью до 100 000 событий в секунду, а также сохранять до 35 ТБ журналов, или осуществлять поиск, анализируя более 3 миллионов событий в секунду.
Эффективный и гибкий репозиторий
В дополнение к существующему хранилищу с поддержкой RAID, HP ArcSight Logger поддерживает также сети SAN. Не смотря на то, используются внешние или внутренние накопители, данные постоянно архивируются со степенью сжатия до 10:1.
Масштабируемость
Дополнительные инсталляции HP ArcSight Logger позволять значительно расширить возможности хранения и анализа данных, а также объем репозитория. Таким образом, крупные организации с несколькими административными доменами или несколькими Управляемыми системами безопасности (MSSPs) могут развернуть несколько инсталляций HP ArcSight Logger и создать иерархическую структуру или структуру "точка-точка", чтобы увеличить емкость и производительность по мере необходимости. Поскольку несколько инсталляций HP ArcSight Logger работают в массиве, по-прежнему существует возможность обзора данных из всех корпоративных журналов.
Персонифицированный аналитический портал
Пользователи получают интерактивные персонифицированные консоли управления, комбинирующие все необходимые отчеты в единый обзор с учетом конкретных ролей. Сводные обзоры, представленные на консолях управления, позволяют пользователя просматривать конкретные отчеты и симулировать поток операций аудиторской проверки. Интересующие пользователя результаты можно подвергнуть дальнейшему анализу, используя простой интерфейс интерактивного поиска, аналогичный Google. В свою очередь, элементы поиска могут конвертироваться в сигналы тревоги реального времени. Это позволяет консоли HP ArcSight Logger выдавать по результатам поиска сигналы тревоги. используя протоколы SMTP, SNMP или syslog. Наконец, предусмотрена возможность перехода из сообщения о сигнале тревоги непосредственно к событию-источнику с целью анализа причинно-следственных связей. В целом, эта опция перехода из инструментальной панели к событиям-источникам сигнала тревоги, позволяет проводить криминалистический анализ на лету и устраняет необходимость формирования нового содержимого на каждом этапе исследования.
Содержимое любого типа использует стандартный формат событий, что позволяет конечным пользователям формировать отчеты, не вникая в формат журналов из различных источников. Это позволяет проводить анализ, параметры которого не зависят от используемых устройств и программного обеспечения.
Простота развертывания и сопровождения
Уникальная, надежная и высокоэффективная архитектура инсталляций HP ArcSight Logger обеспечивает целостность процесса управления журналами аудита. Администратору системы не нужно быть специалистом в области сопровождения бах данных, полнофункциональный графический интерфейс с применением Интернет-технологий упрощает развертывание и сопровождение, при этом нет необходимости устанавливать клиентское программное обеспечение. Специализированные конфигурации, такие как HP ArcSight PCI Logger, представляют собой комплексное программно-аппаратное решение для сбора, хранения и анализа данных по предустановленным алгоритмам. Это идеальное решение для малого бизнеса, поскольку внедрение конфигурации PCI не требует больших затрат.
Сбор информации из журналов с аудиторским качеством на уровне аудита
Решение HP ArcSight Logger включает в себя лучшие апробированные аудиторские и судебные практики. Необработанные данные, собранные из журналов по всему предприятию, проходят проверку целостности в соответствии со стандартом NIST 800-92 (стандарт, регламентирующий управление журналами) с использованием проверенного алгоритма хеширования SHA-1. Система контроля доступа на основе ролей обеспечивает защиту системы и данных.
Автоматические политики хранения
Организации могут создать различные политики хранения на основе нормативно-правовых актов, регламентирующих их деятельность, или в соответствии с внутренними стандартами. Данные из журналов можно гибко приводить в соответствие с этими политиками с учетом типа источника и IP-адреса. Политики хранения выполняются автоматически, необходимость в ручных операциях отсутствует.
Предустановленное содержимое
Решение HP ArcSight Logger поставляется с системным содержимым, которое используется для контроля безопасности и соответствия нормам. Дополнительное содержимое для таких конфигураций, как PCI и SOX, доступно в виде пакетов расширения, созданных в соответствии со стандартами NIST 800-53, ISO-17799 и SANS.
Интеграция платформы HP ArcSight
Решения для управления журналами, управления событиями информационной безопасности (SIEM) помогают увеличить ценность одних и тех же данных. Организации смогут повысить окупаемость своих инвестиций благодаря использованию уникального решения HP ArcSight, представляющего собой интегрированную платформу для управления журналами и SIEM.
Решение HP ArcSight Logger поддерживает двухстороннюю интеграцию с лучшим в отрасли решением HP ArcSight SIEM — HP ArcSight ESM. Такая интеграция позволяет решению HP ArcSight Logger обеспечивать гибкую передачу событий системы безопасности в HP ArcSight ESM в реальном времени, а также корреляцию данных между устройствами, визуализацию и выявление нарушений безопасности. В свою очередь, решение HP ArcSight ESM может направлять скоррелированные сигналы тревоги обратно в HP ArcSight Logger с целью осуществления поиска или архивации данных. Обе эти инсталляции могут использовать стандартную инфраструктуру сбора данных, построенную на базе технологии HP ArcSight Connector.| Модель | L3000/L3000-PCI | L5100-SAN | L7100s | L7100x |
|---|---|---|---|---|
| Управление | Интернет браузер, командная строка | Интернет браузер, командная строка | Интернет браузер, командная строка | Интернет браузер, командная строка |
| Поддерживаемые источники | Syslog системные журналы (TCP/UDP), необработанные файлы журналов (FTP, SCP, SFTP). Более 275 коммерческих продуктов. Данные оптимизированы для анализа. Система FlexConnector для взаимодействия с устаревшими источниками событий. ArcSight CEF (общепринятый формат событий), ArcSight ESM. | |||
| Операционные сиситемы | CentOS Linux | Oracle Enterprise Linux | CentOS Linux | CentOS Linux |
| Сжатие | до 10:1 | до 10:1 | до 10:1 | до 10:1 |
| Устройства | 200 | Без ограничений | 500 | Без ограничений |
| Максимальное количество EPS | 2000 | 75000 | 5000 | 100000 |
| Процессор | 1x Dual Core Intel Xeon 3050 | 2x Quad Core Intel Xeon E5405 | 2x Quad Core Intel Xeon E5405 | 2x Quad Core Intel Xeon E5405 |
| Оперативная память | 4 ГБ | 8 ГБ | 8 ГБ | 8 ГБ |
| Накопители | 2 x 750 GB – RAID1 | RAID1 Внешний | SAN 6 x 750 ГБ | SAN 6 x 750 ГБ |
| Форм-фактор | 1U | 1U | 2U | 2U |
| Блок питания | 260 Вт — без резервирования | 2 x 670 Вт — без резервирования | 2 x 750 Вт — без резервирования | 2 x 750 Вт — без резервирования |
| Сетевые интерфейсы | 2x 10/100/1000 | 2x 10/100/1000 | 2x 10/100/1000 | 2x 10/100/1000 |
| Адаптер главной шины | Не применяется | Emulex LPe 11002 2x 4 Gigabit | Не применяется | Не применяется |
| Размеры (ГxШxВ, мм) | 751,8x426,7x43.2 (L3000) | 751,8x426,7x43.2 | 744,2x444,5x86,4 | 744,2x444,5x86,4 |