懇懋科技

日誌提供了稽核追蹤的途徑，可藉由分析來偵測網路攻擊和執行詳細的鑑識分析、簡化法規稽核作業、協助應用開發，以及改善IT 服務等級。過去，日誌分析多半著重於資產部分，並採用 IT 群組及其受管資產專屬的商務工具。這些解決方案設計從特定來源收集日誌，適合用來解決特定的問題。不過，這些工具並不足以解決 IT 團隊今日所面臨的挑戰。

今天，企業組織面臨日新月異的安全威脅、不斷成長的法規遵循工作量，以及需要達到嚴苛服務等級的沈重壓力。需要透過日誌分析回答的問題越來越朝向以使用者為主，而且可能橫跨任何基礎架構。傳統的日誌管理工具受限於收集的來源類型，無法擴充來分析整個企業所收集的日誌；其為了解決非常特定的問題，搜尋 / 報告功能受到侷限；而且無法進行擴充，面對現今龐大的工作量可能會出錯連連。

延伸第一代日誌管理工具，對於日誌收集速率、日誌分析速度以及日誌儲存效率來說，效果可能會大打折扣。下一代的通用日誌管理解決方案就必須消除這種效能和效率無法兼得的狀況，並能夠從整體企業和基礎架構的角度檢視日誌資料。不同於單點解決方案，通用日誌管理解決方案應具備足夠的彈性，除了能夠由個別團隊所運用，還可視需要擴充成適用於全企業的日誌管理解決方案。

HP ArcSight Logger — 唯一的選擇

全方位進行收集

HP ArcSight Logger 可使用 ArcSight 連接器的內建功能，從350 種以上的記錄產生來源收集資料，而且支援來自於任何 syslog或檔案型日誌來源的原始記錄。 ArcSight 連接器可從超過 350 種各式各樣的日誌產生來源收集、分類和標準化日誌資料。此外，ArcSight FlexConnector 工具還能延伸日誌收集功能，將自訂來源和內部應用程式囊括其中。

資料擴充可簡化分析

HP ArcSight Logger 採用 ArcSight 通用事件格式 ( CEF )，不需要熟悉來源的日誌格式，因此無須進行裝置或廠商特定分析或專屬知識 ( 請見圖 1 )。此外，傳送到 HP ArcSight Logger 的所有原始資料還會進行全文檢索，透過類似 Google™ 的搜尋介面就能快速進行搜尋和報告。有利害關係的搜尋模式可以很容易地透過 SMTP、SNMP 或 syslog 轉換為即時警示，快速偵測和減少安全問題。

無可比擬的效能

大多數的日誌管理工具雖支援快速日誌分析，但卻要犧牲掉收集速率和儲存效率，或是需要更多的硬體。HP ArcSight Logger採用獨特架構，可克服這項難題，因此單一執行個體擷取原始日誌的速度高達每秒 10 萬個事件、壓縮和儲存多達 42 TB 日誌資料，而且執行搜尋的速度達每秒數百萬事件。

企業等級的擴充性

HP ArcSight Logger 提供多種效能選擇，例如應用裝置、軟體、虛擬機器和雲端。有多個管理網域的大型企業組織或資安代管服務供應商可以選擇以分散式、階層式或對等式部署多個 HPArcSight Logger 產品，以擴充容量和效能。以角色為基礎的存取控制可同時保護系統和事件資料。

彈性的儲存選擇

HP ArcSight Logger 提供多種儲存選擇。除了應用裝置內建的RAID 架構，軟體和應用裝置解決方案也可以利用現有的 NAS、DAS 和 SAN 設施作為主要資料存放區。不論是內建或外接儲存體，日誌資料都能夠以平均 10:1 的比例有效率壓縮。

預先封裝的內容

HP ArcSight Logger 隨附可用於網路安全、法規遵循、應用開發和 IT 運維監測的系統內容。特定法規的專屬內容 ( 如 PCI 和SOX ) 可透過附加解決方案套件取得，適用於廣為人知的標準，包括 NIST 800–53、ISO-17799 和 SANS

[ TOP ]

近來 ArcSight ESM 的關聯性基礎架構，可提供特定事件發生的人員、內容、地點、時間和原因等背景資訊，以協助判定該事件的意義，以及對業務風險的影響 (見圖 1)。除了 ArcSight ESM 資產和區域模型外，最新版 ArcSight ESM 也引進了使用者模型，讓管理人員直接了解使用者的身份、角色和群組，以及組織內每個人所使用的全部帳戶。

有了使用者模型，管理人員可以針對共同的身份資訊，如電子郵件地址、登入帳戶和使用者帳戶等，建立其間的關係，並報告使用者在每個系統、應用程式和 IP 位址所做的動作。

區域模型可將 IT 資產分類，與其相同，使用者模型也具備使用者分類功能，可讓您將組織結構對應到自訂的檢視畫面，進而根據報告的結構、地區和角色，監控各個使用者群組。

建立使用者資料和資產資訊之間的關聯性，有助於分析人員將工作焦點放在處理環境中所發生的正確事件。

ArcSight ESM 會特別注意擁有特殊權限的使用者是否對組織最重要的資產執行未授權的動作，以確保最關鍵性的事件在造成安全漏洞之前就被發現。ArcSight ESM 也能建立使用者權限和事件日誌 (log) 資訊、Netflow 資料之間的關聯性。分析人員可以快速比對使用者以其權限所執行的動作，立即準確找出特殊權限角色的違規行為，以及使用者執行非授權行為的事例。另外，稽核人員將這些不同資料關聯起來後，即使使用者是利用共享的系統管理帳戶或動態的 IP 位址，無論什麼動作，稽核人員都可以確認該動作的具體行為者。

可開發監控程式的彈性平台

ArcSight ESM 是一個強大又彈性的威脅風險監控平台，可用以建構精密先進的安全管理應用程式，以防禦現今複雜的威脅。此平台的功能包括：

ArcSight FlexConnector 開發工具組
只要使用簡單的拖放式連接介面(connector) 開發架構，就能擷取任何裝置、系統或應用程式所送出的資料。
日誌管理架構
安全、有效率地管理和儲存您環境中所發生的每一個事件。
鎖定特定業務的客製化功能
可利用特定產業的資料類型擴充ArcSight ESM 平台，以監控精確鎖定的業務對象。
目錄 (directory) 整合
利用企業目錄同步更新使用者、角色和權限資料，以找出未授權的使用者活動、共享帳戶的使用情況、以及違反角色政策的事件。
網際網路服務 API
介接其他 IT 管理架構以收集資料，或提供智慧型資訊給分析、稽核及管理人員。
全域型變數
從一個中央位置編寫變數 (variable)，並在不同來源間使用這些變數，使應用程式的編寫流程更簡單。
模式偵測引擎
利用 ArcSight 威脅偵測器對歷史事件資料進行啟發式 (heuristic) 分析，找出細微難查的模式、低速且緩慢的攻擊以及技術先進的持續性威脅。

企業利用這些功能開發精密的關聯性應用程式，就能持續警覺環境的狀態。分析人員可以專心處理少數幾個必須檢視的關鍵事件。而即時警示功能，除了通知管理人員環境中所發生的最關鍵性應用程式、交易和安全事件外，也提供進一步分析和消弭企業安全威脅所需要的全部背景資料。

最廣泛的資料收集功能

ArcSight ESM 的資料收集基礎架構，擁有先進的收集功能，可收集最廣泛的事件來源。它能收集超過 300 種裝置和事件來源所送出的日誌資料，包括作業系統、網路裝置 (路由器、交換器)、網路分析器 (NetFlow 資料、流量分析器、NAC、NBA)、安全解決方案 (IPS/IDS、防火牆、VPN、安全弱點掃描軟體)，以及來自應用程式、資料庫、身份管理解決方案和 Web 伺服器/Web 化應用程式的日誌檔。同一系列中不同裝置所發生的事件，會經過正規化 (normalized)，讓管理人員容易執行跨裝置的監控和分析作業。其他可選配的解決方案套件，則可以支援和解決企業最關注的議題和計畫如 SOX、PCI、HIPAA、GLBA、使用者監控和 IT 治理 (governance)。

直覺化的儀表板和強大的報告功能

ArcSight ESM 提供廣泛的功能，確保管理人員可以快速、便利、直覺地存取所有資訊。可客製化且圖形豐富的儀表板，保證量身打造的業務和技術檢視圖，能為組織內每個人提供適用的洞察資訊。ArcSight ESM 控制台提供單一的檢視圖，讓管理人員可根據已驗證的攻擊和業務風險，檢視公司的安全狀態；而地理區域和網路結構圖的檢視畫面，也則讓使用者持續注意其在組織內所負責區域的狀況。ArcSight ESM 能產出完整的技術、維運和趨勢報告，以顯示安全狀況，並滿足法規報告的需求。其報告製作架構提供標準報告和客製化報告範本，可針對法規遵循狀況、業務風險及使用者設定檔(profiling)，輕鬆產出企業層級的報告。

除了預建的報告和範本，此架構還容許使用者針對臨時和定期的報告需求，建構新的報告和範本。此架構將豐富的關聯性資訊融合成完整的檢視圖，協助相關人員找出有風險的地方，展現安全運作的價值和有效性，並輕鬆回答重要的業務問題。趨勢報告功能可追蹤事件狀況及事件對未來的影響。同時，利用關聯性技術，趨勢報告功能還可以建立假設模擬情境，以探索變更作業對組織整體安全性和風險狀態的影響。

[ TOP ]

HP ArcSight Express：採用 CORR 引擎

鎖定複雜的網路攻擊，監控組織的安全性及法規遵循

HP 的資安智慧和風險管理 ( SIRM ) 平台正在改變企業資安的面貌。這套 SIRM 平台運用先進的威脅研究，加上能夠有效交叉比對資安事件和漏洞，功能之強大獨一無二。由於我們能夠在營運關鍵流程和應用的環境下，針對資安資產提供無可比擬的能見度，因此可以幫助客戶管理風險並發揮資安投資的最大效益。

技術複雜的攻擊事件巨幅成長

近來 Aurora、Stuxnet、Zeus、APT、WikiLeaks、Anonymous等名稱充斥在各種新聞報導中，顯示組織所面臨的威脅愈來愈多，也愈來愈複雜。根據 Verizon 資料外洩調查報告指出，2010 年資料外洩事件已超過 800 起。這個數字幾乎和前 6 年的件數一樣，在 2004 年到 2009 年之間，資料外洩事件接近 900 件。事實上，光是處理的外洩事件總數就突破 10 億起，造成的實際損失超過 5 億美元。

Google™ 前執行長艾瑞克施密特指出，現在我們僅僅兩天所產出的資訊量，就等於人類創始到 2003 年的總量。前所未有的爆炸性資料量成長，加上美國特勤局外洩案件的數量，反映了三個密不可分的重要趨勢：資訊科技 ( IT ) 消費端化、數位資料以爆炸性的速度持續產出、愈來愈老練的駭客企圖竊取資料並從中獲利。

對於管理、儲存資料及保護資料安全的 IT 和安全管理人員來說，這三大趨勢對他們形成了龐大的工作壓力。IT 管理人員必須部署及管理數量和種類愈來愈多的基礎架構裝置、系統和應用，所有這些元件都會產生巨量的記錄事件資料。而安全分析人員必須了解這些事件之間的關係，並熟悉及掌握駭客竊取機密資料時所使用的各種更加複雜、更多元的攻擊手法。

產品特色

偵測更多事件：執行更精確的關聯性事件排序
處理更多記錄事件：大幅提升儲存容量
運作更有效率：讓安全分析人員有更多時間主動監控安全事件

以思緒的速度建立關聯性

HP ArcSight 的關聯性最佳化保留及檢索 (CorrelationOptimized Retention and Retrieval，CORR) 引擎是一項突破性的技術，可大幅提升日誌的交叉比對和儲存能力，協助安全管理人員防禦他們現在所面臨的複雜威脅。

HP ArcSight Express SIEM 解決方案以 CORR 引擎為基礎，提供了現今執行威脅偵測、安全分析和日誌資料管理所需的速度。ArcSight Express 可提供特定事件發生的內容、地點、時間和原因等背景資訊，以協助判定該事件的意義，以及對組織的影響。ArcSight 關聯性的分析結果，可在與業務相關的背景下，提供正確且自動排序的安全風險及法規違反事件。即時的警示通知功能，則告知管理人員環境中所發生的最重要安全事件，並提供進一步分析及消除安全漏洞所需的全部背景資料。

ArcSight Express 還新增了簡化管理工作的管理控制台，讓這套解決方案更容易管理、維護及使用。ArcSightExpress 讓管理人員及分析人員可以：

偵測更多事件
新架構使事件關聯性的建立速度比目前相同硬體的執行效能提升 5 倍。
處理更多資料
新架構的關聯事件儲存容量是目前相同磁碟空間所提供容量的 10 倍。
運作更有效率
透過共同的資料存放區，即時關聯性建立軟體和記錄管理軟體可以使用相同的資料集，進而讓整個工作流程，包括偵測、警示、鑑識分析和報告產出等，變得更加順暢、有效率。

[ TOP ]

HP N Platform 新一代入侵預防系統 ( NGIPS )

產品概觀

HP N Platform 新一代入侵預防系統 ( NGIPS ) 將 in-line 即時防護提升到新的境界，採用主動網路安全技術，可滿足現今和未來網路流量和資料中心的實際需求。N Platform NGIPS 的新一代架構大幅提升容量，可進行深層封包流量檢測，而模組化軟體設計則可將重要的網路防護服務新增到其深獲肯定的入侵預防解決方案。這套領先業界的 NGIPS 平台改寫了入侵預防的定義，可作為全方位網路安全的基礎。

主要功能

獲業界肯定的主動網路安全技術
最新和廣泛的 NGIPS 防護
領先業界的安全研究團隊 - DVLabs
降低整體安全成本與複雜性
安全法規遵循最佳實務

特色與優勢

技術特色

新一代入侵預防系統：
N Platform NGIPS 將 in-line 即時防護提升到新的境界，採用主動網路安全技術，可滿足網路流量和資料中心的實際需求。其架構大幅提升容量，可進行深層封包流量檢測，而模組化軟體設計則可整合更多的安全服務。
備受肯定的 In-Line 威脅防護：
從 2001 年開始，我們便致力於開發能夠提供主動 in-line 網路防護，同時又能支援高網路效能和可用性的 NGIPS 解決方案。如果必須犧牲效能或運作時間，網路安全解決方案就稱不上是 in-line。
可擴充的安全架構提供了成長的基礎：
N Platform NGIPS 包含可擴充的安全架構，模組化的軟體設計可支援更快開發和部署新的 NGIPS 過濾套件、安全服務以及合作夥伴安全解決方案整合。
NGIPS 安全服務：透過 N Platform NGIPS 可整合新的安全
服務，例如客戶定義的 IP DNS 信譽項目、HP TippingPointReputation Digital Vaccine Service ( Rep DV Service)、HP TippingPoint Web Application Digital VaccineService、HP TippingPoint Application Digital Vaccine (AppDV )、以位置為基礎的政策 ( 週邊、核心和其他 )，以及客戶開發的防護過濾器。
模組化設計可輕鬆整合解決方案：
N Platform NGIPS 採模組化設計，可與合作夥伴安全性解決方案整合，例如漏洞評估和漏洞管理 ( VA 和 VM ) 產品、鑑識解決方案、安全資訊和事件管理 ( SIEM ) 和網路異常偵測 ( NBAD ) 產品。
支援廣泛的流量類型：
N Platform NGIPS 支援許多流量類型和通訊協定。這套系統可提供效能絲毫不打折扣的 IPv4 和 IPv6 同步封包內容檢測，並支援相關的通道變數 ( 4in6、6in4、6in6 )。

此外還支援檢測具有 VLAN 和 MPLS 標籤的 IPv4 和 IPv6 流量、行動 IPv4 流量、GRE 和 GTP ( GPRS 通道 ) 以及巨型框架。在提供廣泛的支援之下，使 IT 管理員能夠有彈性地在所需之處部署 NGIPS 防護。

專為特定目的打造的軟硬體：防堵數 Gigabit 的網路攻擊，延遲又必須保持在極低的狀況，需要專為特定目的打造的軟硬體。

其他廠商的解決方案採用一般用途硬體和處理器，在執行的同時勢必會影響網路效能，而 HP 的 N platform 則能夠以數Gigabit 的速度提供完整威脅防護，且延遲率極低。

頂尖安全研究團隊 - DVLabs：
DVLabs 是資安業界探索漏洞的頂尖安全研究團隊。這個團隊網羅了業界公認的研究人員，將他們的尖端工程與分析應用在其日常作業中。DVLabs 每年探索到的漏洞居業界之冠，所得到的結果會用來開發漏洞過濾器，再透過 Digital Vaccine ( DV ) 服務傳送到客戶的N Platform NGIPS。
ThreatLinQ 資安入口網站：
ThreatLinQ 是可讓 NGIPS 客戶瞭解全球最新威脅的一項服務。這些資料來自於遍布全球的Lighthouse 監控裝置以及數千名 N Platform NGIPS 客戶。
ThreatLinQ 開放給所有客戶使用，可提供企業重要的資料，讓他們能夠更有效地制訂網路安全政策，因應最新的威脅趨勢。
業界最快的威脅防護，永遠比威脅早一步：
我們的 DV 服務提供可抵禦新興威脅的最新防護。DV 會每週兩次寄送給客戶，並在出現重大漏洞時立即寄送，而且可自動部署，無需 IT 人員介入處理。這些疫苗不僅能夠防堵特定攻擊點，同時還可防禦可能的隨機交換攻擊，保護客戶不受零時差威脅侵犯。
頂尖的零時差威脅防護：
DVLabs 負責管理零時差計畫 ( ZDI )方案，專為獎勵以負責任方式公佈所發現之安全漏洞的全球研究人員而設計；不論是來自 DVLabs 內部漏洞研究或 ZDI 方案，DVLabs 會將發現的所有漏洞資訊提供給相關軟體廠商，並開發 NGIPS 過濾器，在漏洞公佈之前保護客戶不受潛在的零時差攻擊所侵犯。
NGIPS 威脅和漏洞涵蓋面完整，提供最進階的防護：
世界一流DVLabs 研究團隊的人才、研究和資安情報組合、ZDI 方案超過1,200 位研究人員、ThreatLinQ 全球威脅監控之下的數千網站、以及 SANS Institute、CERT 和 NIST 等資安社群合作夥伴，全部結合在一起，提供最廣泛的威脅和漏洞涵蓋面，給予業界領先的最佳防護。

[ TOP ]

Go Top