HP ArcSight Logger HP ArcSight ESM HP ArcSight Express HP TippingPoint NGIPS
HP ArcSight Logger 提供業界領先且符合成本效益的日誌管理解決方案,可整合任何類型企業設備資料的搜尋、報告、警示和分析,以供 IT GRC、IT 維運、SIEM 和日誌分析。
HP 的資安智慧和風險管理 ( SIRM ) 平台正在改變企業資安的面貌。這套 SIRM 平台運用先進的威脅研究,加上能夠有效交叉比對資安事件和漏洞,功能之強大獨一無二。由於我們能夠在營運關鍵流程和應用的環境下,針對資安資產提供無可比擬的能見度,因此可以幫助客戶有效管理風險並符合法規。
HP ArcSight Logger 是通用日誌管理解決方案,可跨任何類型的企業日誌資料統一搜尋、報告、警示和分析,賦予其獨特的能力來收集、分析和儲存現今網路產生的龐大資料量。這套解決方案支援 Windows® 和 Linux 環境中的多種部署方式,例如應用裝置、軟體、虛擬機器以及雲端
產品特色
市場需要通用日誌管理解決方案
日誌提供了稽核追蹤的途徑,可藉由分析來偵測網路攻擊和執行詳細的鑑識分析、簡化法規稽核作業、協助應用開發,以及改善IT 服務等級。過去,日誌分析多半著重於資產部分,並採用 IT 群組及其受管資產專屬的商務工具。這些解決方案設計從特定來源收集日誌,適合用來解決特定的問題。不過,這些工具並不足以解決 IT 團隊今日所面臨的挑戰。
今天,企業組織面臨日新月異的安全威脅、不斷成長的法規遵循工作量,以及需要達到嚴苛服務等級的沈重壓力。需要透過日誌分析回答的問題越來越朝向以使用者為主,而且可能橫跨任何基礎架構。傳統的日誌管理工具受限於收集的來源類型,無法擴充來分析整個企業所收集的日誌;其為了解決非常特定的問題,搜尋 / 報告功能受到侷限;而且無法進行擴充,面對現今龐大的工作量可能會出錯連連。
延伸第一代日誌管理工具,對於日誌收集速率、日誌分析速度以及日誌儲存效率來說,效果可能會大打折扣。下一代的通用日誌管理解決方案就必須消除這種效能和效率無法兼得的狀況,並能夠從整體企業和基礎架構的角度檢視日誌資料。不同於單點解決方案,通用日誌管理解決方案應具備足夠的彈性,除了能夠由個別團隊所運用,還可視需要擴充成適用於全企業的日誌管理解決方案。
HP ArcSight Logger — 唯一的選擇
全方位進行收集
HP ArcSight Logger 可使用 ArcSight 連接器的內建功能,從350 種以上的記錄產生來源收集資料,而且支援來自於任何 syslog或檔案型日誌來源的原始記錄。 ArcSight 連接器可從超過 350 種各式各樣的日誌產生來源收集、分類和標準化日誌資料。此外,ArcSight FlexConnector 工具還能延伸日誌收集功能,將自訂來源和內部應用程式囊括其中。
資料擴充可簡化分析
HP ArcSight Logger 採用 ArcSight 通用事件格式 ( CEF ),不需要熟悉來源的日誌格式,因此無須進行裝置或廠商特定分析或專屬知識 ( 請見圖 1 )。此外,傳送到 HP ArcSight Logger 的所有原始資料還會進行全文檢索,透過類似 Google™ 的搜尋介面就能快速進行搜尋和報告。有利害關係的搜尋模式可以很容易地透過 SMTP、SNMP 或 syslog 轉換為即時警示,快速偵測和減少安全問題。無可比擬的效能
大多數的日誌管理工具雖支援快速日誌分析,但卻要犧牲掉收集速率和儲存效率,或是需要更多的硬體。HP ArcSight Logger採用獨特架構,可克服這項難題,因此單一執行個體擷取原始日誌的速度高達每秒 10 萬個事件、壓縮和儲存多達 42 TB 日誌資料,而且執行搜尋的速度達每秒數百萬事件。
企業等級的擴充性
HP ArcSight Logger 提供多種效能選擇,例如應用裝置、軟體、虛擬機器和雲端。有多個管理網域的大型企業組織或資安代管服務供應商可以選擇以分散式、階層式或對等式部署多個 HPArcSight Logger 產品,以擴充容量和效能。以角色為基礎的存取控制可同時保護系統和事件資料。
彈性的儲存選擇
HP ArcSight Logger 提供多種儲存選擇。除了應用裝置內建的RAID 架構,軟體和應用裝置解決方案也可以利用現有的 NAS、DAS 和 SAN 設施作為主要資料存放區。不論是內建或外接儲存體,日誌資料都能夠以平均 10:1 的比例有效率壓縮。
預先封裝的內容
HP ArcSight Logger 隨附可用於網路安全、法規遵循、應用開發和 IT 運維監測的系統內容。特定法規的專屬內容 ( 如 PCI 和SOX ) 可透過附加解決方案套件取得,適用於廣為人知的標準,包括 NIST 800–53、ISO-17799 和 SANS
近來 ArcSight ESM 的關聯性基礎架構,可提供特定事件發生的人員、內容、地點、時間和原因等背景資訊,以協助判定該事件的意義,以及對業務風險的影響 (見圖 1)。除了 ArcSight ESM 資產和區域模型外,最新版 ArcSight ESM 也引進了使用者模型,讓管理人員直接了解使用者的身份、角色和群組,以及組織內每個人所使用的全部帳戶。
有了使用者模型,管理人員可以針對共同的身份資訊,如電子郵件地址、登入帳戶和使用者帳戶等,建立其間的關係,並報告使用者在每個系統、應用程式和 IP 位址所做的動作。
區域模型可將 IT 資產分類,與其相同,使用者模型也具備使用者分類功能,可讓您將組織結構對應到自訂的檢視畫面,進而根據報告的結構、地區和角色,監控各個使用者群組。
建立使用者資料和資產資訊之間的關聯性,有助於分析人員將工作焦點放在處理環境中所發生的正確事件。
ArcSight ESM 會特別注意擁有特殊權限的使用者是否對組織最重要的資產執行未授權的動作,以確保最關鍵性的事件在造成安全漏洞之前就被發現。ArcSight ESM 也能建立使用者權限和事件日誌 (log) 資訊、Netflow 資料之間的關聯性。分析人員可以快速比對使用者以其權限所執行的動作,立即準確找出特殊權限角色的違規行為,以及使用者執行非授權行為的事例。另外,稽核人員將這些不同資料關聯起來後,即使使用者是利用共享的系統管理帳戶或動態的 IP 位址,無論什麼動作,稽核人員都可以確認該動作的具體行為者。
可開發監控程式的彈性平台
企業利用這些功能開發精密的關聯性應用程式,就能持續警覺環境的狀態。分析人員可以專心處理少數幾個必須檢視的關鍵事件。而即時警示功能,除了通知管理人員環境中所發生的最關鍵性應用程式、交易和安全事件外,也提供進一步分析和消弭企業安全威脅所需要的全部背景資料。
最廣泛的資料收集功能
ArcSight ESM 的資料收集基礎架構,擁有先進的收集功能,可收集最廣泛的事件來源。它能收集超過 300 種裝置和事件來源所送出的日誌資料,包括作業系統、網路裝置 (路由器、交換器)、網路分析器 (NetFlow 資料、流量分析器、NAC、NBA)、安全解決方案 (IPS/IDS、防火牆、VPN、安全弱點掃描軟體),以及來自應用程式、資料庫、身份管理解決方案和 Web 伺服器/Web 化應用程式的日誌檔。同一系列中不同裝置所發生的事件,會經過正規化 (normalized),讓管理人員容易執行跨裝置的監控和分析作業。其他可選配的解決方案套件,則可以支援和解決企業最關注的議題和計畫如 SOX、PCI、HIPAA、GLBA、使用者監控和 IT 治理 (governance)。
直覺化的儀表板和強大的報告功能
ArcSight ESM 提供廣泛的功能,確保管理人員可以快速、便利、直覺地存取所有資訊。可客製化且圖形豐富的儀表板,保證量身打造的業務和技術檢視圖,能為組織內每個人提供適用的洞察資訊。ArcSight ESM 控制台提供單一的檢視圖,讓管理人員可根據已驗證的攻擊和業務風險,檢視公司的安全狀態;而地理區域和網路結構圖的檢視畫面,也則讓使用者持續注意其在組織內所負責區域的狀況。ArcSight ESM 能產出完整的技術、維運和趨勢報告,以顯示安全狀況,並滿足法規報告的需求。其報告製作架構提供標準報告和客製化報告範本,可針對法規遵循狀況、業務風險及使用者設定檔(profiling),輕鬆產出企業層級的報告。
除了預建的報告和範本,此架構還容許使用者針對臨時和定期的報告需求,建構新的報告和範本。此架構將豐富的關聯性資訊融合成完整的檢視圖,協助相關人員找出有風險的地方,展現安全運作的價值和有效性,並輕鬆回答重要的業務問題。趨勢報告功能可追蹤事件狀況及事件對未來的影響。同時,利用關聯性技術,趨勢報告功能還可以建立假設模擬情境,以探索變更作業對組織整體安全性和風險狀態的影響。
鎖定複雜的網路攻擊,監控組織的安全性及法規遵循
HP 的資安智慧和風險管理 ( SIRM ) 平台正在改變企業資安的面貌。這套 SIRM 平台運用先進的威脅研究,加上能夠有效交叉比對資安事件和漏洞,功能之強大獨一無二。由於我們能夠在營運關鍵流程和應用的環境下,針對資安資產提供無可比擬的能見度,因此可以幫助客戶管理風險並發揮資安投資的最大效益。
技術複雜的攻擊事件巨幅成長
近來 Aurora、Stuxnet、Zeus、APT、WikiLeaks、Anonymous等名稱充斥在各種新聞報導中,顯示組織所面臨的威脅愈來愈多,也愈來愈複雜。根據 Verizon 資料外洩調查報告指出,2010 年資料外洩事件已超過 800 起。這個數字幾乎和前 6 年的件數一樣,在 2004 年到 2009 年之間,資料外洩事件接近 900 件。事實上,光是處理的外洩事件總數就突破 10 億起,造成的實際損失超過 5 億美元。
Google™ 前執行長艾瑞克施密特指出,現在我們僅僅兩天所產出的資訊量,就等於人類創始到 2003 年的總量。前所未有的爆炸性資料量成長,加上美國特勤局外洩案件的數量,反映了三個密不可分的重要趨勢:資訊科技 ( IT ) 消費端化、數位資料以爆炸性的速度持續產出、愈來愈老練的駭客企圖竊取資料並從中獲利。
對於管理、儲存資料及保護資料安全的 IT 和安全管理人員來說,這三大趨勢對他們形成了龐大的工作壓力。IT 管理人員必須部署及管理數量和種類愈來愈多的基礎架構裝置、系統和應用,所有這些元件都會產生巨量的記錄事件資料。而安全分析人員必須了解這些事件之間的關係,並熟悉及掌握駭客竊取機密資料時所使用的各種更加複雜、更多元的攻擊手法。
產品特色
以思緒的速度建立關聯性
HP ArcSight 的關聯性最佳化保留及檢索 (CorrelationOptimized Retention and Retrieval,CORR) 引擎是一項突破性的技術,可大幅提升日誌的交叉比對和儲存能力,協助安全管理人員防禦他們現在所面臨的複雜威脅。
HP ArcSight Express SIEM 解決方案以 CORR 引擎為基礎,提供了現今執行威脅偵測、安全分析和日誌資料管理所需的速度。ArcSight Express 可提供特定事件發生的內容、地點、時間和原因等背景資訊,以協助判定該事件的意義,以及對組織的影響。ArcSight 關聯性的分析結果,可在與業務相關的背景下,提供正確且自動排序的安全風險及法規違反事件。即時的警示通知功能,則告知管理人員環境中所發生的最重要安全事件,並提供進一步分析及消除安全漏洞所需的全部背景資料。
ArcSight Express 還新增了簡化管理工作的管理控制台,讓這套解決方案更容易管理、維護及使用。ArcSightExpress 讓管理人員及分析人員可以:
產品概觀
HP N Platform 新一代入侵預防系統 ( NGIPS ) 將 in-line 即時防護提升到新的境界,採用主動網路安全技術,可滿足現今和未來網路流量和資料中心的實際需求。N Platform NGIPS 的新一代架構大幅提升容量,可進行深層封包流量檢測,而模組化軟體設計則可將重要的網路防護服務新增到其深獲肯定的入侵預防解決方案。這套領先業界的 NGIPS 平台改寫了入侵預防的定義,可作為全方位網路安全的基礎。
主要功能
特色與優勢
技術特色
此外還支援檢測具有 VLAN 和 MPLS 標籤的 IPv4 和 IPv6 流量、行動 IPv4 流量、GRE 和 GTP ( GPRS 通道 ) 以及巨型框架。在提供廣泛的支援之下,使 IT 管理員能夠有彈性地在所需之處部署 NGIPS 防護。
專為特定目的打造的軟硬體:防堵數 Gigabit 的網路攻擊,延遲又必須保持在極低的狀況,需要專為特定目的打造的軟硬體。
其他廠商的解決方案採用一般用途硬體和處理器,在執行的同時勢必會影響網路效能,而 HP 的 N platform 則能夠以數Gigabit 的速度提供完整威脅防護,且延遲率極低。