Blog

Megérkezett az új ArcSight Enterprise Security Manager!

Az ESM 7.0 bemutatása

Az ArcSight Enterprise Security Manager központi szerepet tölt be a modern intelligens biztonsági eseménykezelő központ (SOC) működésében. Mint vezető SIEM platform, összegyűjti és osztályozza a napló eseményeket a vállalat rendszer- és biztonsági eszközeiről, miközben valós időben észleli a kiber-biztonsági fenyegetéseket segítve ezzel a SecOps csoportok és biztonsági elemzők munkáját. Az új ADP Event Broker-el és az elosztott korreláció erejével skálázható, így a kifinomultabb biztonsági követelményeket is kielégíti.

1. ábra ArcSight architektúra

Új ArcSight képességek

Elosztott korreláció
Mi történik, ha a legerősebb SIEM korrelációs motort egyesítjük az elosztott csomópont/klaszter technológiával? ESM 7.0!
A fejlett korrelációs folyamatokban használt komponensek szétválasztásával az ügyfelek mostantól további csomópontokat (node) adhatnak az ESM klaszterhez és úgy skálázhatják az ESM-et, mint még soha, másodpercenként akár 100.000 eseményt is elemezhetnek.

3. ábra ESM elosztott korreláció architektúra

Az utóbbi néhány évben tanúi lehettünk az adatok nagy mértékű növekedésének, amelyeket az összekapcsolt informatikai rendszerek generálnak. Talán hallották már azt az állítást is, mely szerint a világ összes adatának 90%-a az elmúlt három évben keletkezett, napi szinten 2,5 millió terrabyte adat születik. Ez az exponenciális trend nem mutatja lassulás jeleit.

Mindezen adatok és metaadatok esetében az ipar két kihívással szembesült:

  • Hogyan és hol tárolja el ezeket az információkat?
  • Azokaz az adatokat, amelyeket hasznosítanunk kell, hogyan kell terjeszteni és továbbítani azokat a rendszerek között?

Ezek a kihívások a szervezet IT infrastruktúrájának minden területén érvényesülnek, de a biztonsági műveleteken belül különösen. Szerencsére néhány nagyon innovatív fejlesztés alakult ki, amely segített megoldást találni ezekre a fájdalom pontokra, lássuk csak mik ezek:

Eseménygyűjtés Event Broker-el

Mint a fentiekből is következik a legtöbb szervezet folyamatosan küzd a belső rendszereik által generált napló események mennyiségével és sebességével. Az ArcSight Data Platform (ADP) részeként a Micro Focus® alkalmazta a nyílt üzenet busz technológiát, Apache Kafka alapokon.

A Big Data által nyújtott kihívásokra (sebesség, masszív skálázhatóság) válaszolva, az ArcSight ESM teljes mértékben integrálható az ADP Event Broker-rel: ún. adat beviteli és szállítási busz a modern SOC számára. Az ESM képes küldeni és fogadni eseményeket (publisher & consumer) az ADP EB nyitott architektúrától, amely lehetővé teszi az adatok megosztását, hogy bármely harmadik féltől származó eszköz felhasználja, a nagy adat és analitikai megoldásokat, mint például az Elastic, Hadoop vagy Splunk.

4. ábra ADP

Keretrendszer aktiválása

Az ESM bevált gyakorlata szerint a tartalmi keretrendszer aktiválása (Activate) további húzó erőt jelent, azáltal, hogy lehetővé teszi az ügyfelek számára, hogy létrehozzanak és megosszanak korrelációs szabály készleteket és logikákat. Az aktiválás mostantól több száz use case megoldást és csomagot tartalmaz és a gyártói termékek listáját folyamatosan növekszik.

Cyber Threat Intelligence (CTI)

Az „Activate Threat Intelligence” csomag új kiegészítése most tartalmazza a közös fenyegetés megosztási szabványokat, mint például a STIXX és a CIF. Az ügyfelek többet nyerhetek azáltal, hogy a SIEM korrelációs tartalmához hozzáadják a fenyegetettségi intelligenciát.

Új audit események

Az ESM mostantól új audit eseményeket tartalmaz az SLA-k követésére, a jegy változtatásokra és a szabály módosítások követésére.

Új felhasználói felület (UI)

Az ESM 7.0 felhasználói felülete több vizuális fejlesztést hozott, többek között bővült a népszerű világos és sötét témákkal, új grafikonokkal valamint SOC dashboard-al.

2. ábra az új GUI

Összefoglalva, mi is az, amit az ESM 7.0 nyújthat számunkra?

  • javult a korreláció pontossága
  • hatékonyabb erőforrás felhasználás, mivel az ESM dinamikusan azonosítja az EOI-t (event of interest)
  • javult az ESM redundanciája és elérhetősége
  • jobb költség/performancia rugalmasság
  • rugalmas bővítési és kapacitás tervezési lehetőségek
  • visszafelé kompatibilitás a meglévő szabályokkal és tartalmakkal
  • képes több használható információt kinyerni a meglévő biztonsági eszközökből és eseményekből

Amennyiben további információt szeretne megtudni az ESM-ről kattintson az alábbi link-re:
http://www.microfocus.com/arcsightesm

Kérdéseket intézhet, észrevételeket küldhet az S&T szakértőinek, kérem vegye fel velünk a kapcsolatot!

Menyhárt Csaba Menyhárt Csaba • Rendszermérnök

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük