O-STA

HP ArcSight je predstavil Express različico 4.0

10.6.2013
HP ArcSight, uveljavljeni proizvajalec rešitev za upravljanje z informacijsko varnostjo in skladnostjo namenjenih odkrivanju in zmanjševanju poslovnih tveganj, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o., je letos strankam ponudil ArcSight Express 4.0 - novo generacijo družine rešitev za srednje velika podjetja, v kateri so vse SIEM storitve in funkcije integrirane v eni sami cenovno ugodni in za rabo ter administracijo enostavnejši napravi. Nove naprave prinašajo kar nekaj sprememb predvsem glede uporabnosti, nekoliko pa tudi po zmogljivosti. So namreč nadgradnja različice 3.0 CORR-E, ki je že prej ponujala izredno povečano zmogljivost - na isti strojni opremi je mogoče obdelati nekajkrat več dogodkov na sekundo in hraniti mnogo več dnevniških zapisov. To je bilo predvsem rezultat prehoda na tehnologijo CORR-E - HP ArcSight Correlation Optimized Retention and Retrieval (CORR) Engine. CORR-E pomeni predvsem prehod iz na podatkovni bazi Oracle temelječega sistema na za SIEM potrebe precej bolj optimalen ArcSight sistem zgrajen okoli močno prirejene baze MySQL; podobno, kot že prej na Logger-ju. CORR-E je do 20x bolje izkoristil pomnilniški prostor in hitreje preiskoval milijone zapisov dolgo podatkovno bazo, do različice 4.0 pa so implementirali še nekaj izboljšav in popravkov samega pogona. Connectors ArcSight Priključki (Connectors) zbirajo dnevniške zapise in druge informacije, ki jih naprave posredujejo v svojem jeziku, nato pa jih preoblikujejo v poenoten ArcSight format. Priključek je v bistvu programski proces, ki zbira dogodke z ene vrste naprav ali strežniških aplikacij v informacijskem sistemu. S tem si ustvarimo enotno strukturo za enostavno in učinkovito iskanje, povezovanje, analiziranje in poročanje podatkov o stanju in dogodkih, ki se bo zmožna soočiti tudi z novimi tehnologijami. Če na primer zamenjamo požarno pregrado enega ponudnika z rešitvijo nekega drugega ponudnika, bodo vsa naša obstoječa in bodoča poročila in analize še vedno delovale tako, kot smo si začrtali. Največja novost v Express 4.0 je, da lahko konektorje implementiramo tudi na sami napravi, kar pomeni, da v nekaterih manjših podjetjih za ta namen sploh ne bo treba rezervirati procesorskega prostora na drugih strežnikih. Express 4.0 dobimo z dvema že vnaprej nameščenima konektorjema, za katera je treba iti le skozi minimalno konfiguracijo med inicializacijo naprave: - Syslog Daemon connector, ter
- Windows Unified Event Log connector Takoj zatem pa lahko na napravi konfiguriramo še dva konektorja ali namestimo nove poljubnega tipa. HP ArcSight Express 4.0 ima sedaj integriran Connector Management, tudi v spletni upravljalni konzoli, s katerim je mogoče upravljati interne in zunanje softverske konektorje in konektorje na specializiranih napravah (ArcSight Connector Appliance). Omejitve: - 4 nameščeni in 4 oddaljeni konektorji, ter
- možnost za 4 dodatne interne ali 50 dodatnih remote konektorjev Content Navigacija po uporabni vsebini je poenostavljena z grupiranjem vsebine v primere uporabe (use cases). ArcSight Content sedaj vključuje nove vsebine za takojšnje delo z NetFlow Monitoring, Microsoft Windows Monitoring, Cisco Monitoring, zaprosimo pa lahko tudi za preizkusno različico HP Reputation Security Monitor Solution. Instant value content - pripravljena vključi-in-predvajaj vsebina za naprave (AV, BlueCoat, database, firewall, IDS, OS, VPN), operacije (traffic monitoring, case management) in varnost (malware, recon). Dashboards in the Management Console Izboljšave vključujejo: - izboljšana postavitev, izgled in navigacija po preglednicah, - naprednejša nastavitev in oblikovanje, - preiskovanje do podrobnosti (drill-down) iz preglednic v druge preglednice, - podpora za nove prej ne-podprte preglednice, - podpora za nove prej ne-podprte podatkovne monitorje (Event Graph, Geographical Event Graph, Hierarchy Map). Posodobitve v ArcSight Console name omogočajo boljše raziskovanje iz podatkovnih monitorjev in povpraševanj (query) do preglednic, poročil, aktivnih kanalov in podrobnih povpraševanj. Correlation & Reporting Kar nekaj izboljšav v korelacijskem pogonu in sistemu za pripravljanje ter samodejno dostavljanje poročil, podrobnosti so na razpolago v produktni dokumentaciji. CORR-Engine Storage Spet sta dodani polji Original Agent ter Final Device, arhiv dnevniških zapisov sedaj podpira tudi hranjenje zapisov o dogodku (annotation). Security Skladnost s pravilnikoma Federal Information Processing Standard (FIPS) 140-2 ter Suite B. SSL avtentikacija za upravljalno konzolo. Specifikacije novih modelov naprav ArcSight Express ArcSight SIEM ArcSight SIEM je platforma med sabo tesno povezanih rešitev za zbiranje, analiziranje, obdelavo in upravljanje s podatki o stanju in dogodkih v informacijskem sistemu organizacije. Izdelke iz te skupine je mogoče kupiti in namestiti ločeno kot samostojne rešitve, ali pa v različnih paketih, pač odvisno od tega kako velika organizacija se zanje odloča oz. kake potrebe in načrt ima. Platforma SIEM se sestoji iz naprav, aplikacij in dodatkov za: · zbiranje podatkov o dogodkih (Event Collection) - za zbiranje dnevniških zapisov (log, logs, log events) iz velike množice različnih virov (mrežna oprema, strežniki, varnostne rešitve, aplikacije itd.) služijo naprave ArcSight Connector Appliance ali programska oprema ArcSight SmartConnectors; · upravljanje dnevniških zapisov (Log Management) - dnevniške zapise hranimo in obdelujemo na napravah ArcSight Logger ali na programski različici ArcSight Software Logger; · analizo povezanosti dogodkov (Event Correlation) - programska oprema ArcSight ESM je vrhunec platforme SIEM, ArcSight Express je ta ista programska oprema združena v eno napravo skupaj z drugimi SIEM komponentami v paket, ki zadostuje vsem potrebam srednje velikih podjetij; · avtomatizacijo skladnosti (Compliance Automation) - na rešitve Logger in ESM / Express je mogoče naložiti za potrebe vzdrževanja skladnosti s standardi kot so PCI , SOX idr. vnaprej pripravljene pakete poročil, delovnih tabel, filtrov, iskanj, pravil in korelacij; · spremljanje identitet (Identity Monitoring) - dodatna orodja kot sta npr. Identity View ali Pattern Discovery ponujajo dodatno pomoč pri odkrivanju neprimernih aktivnosti uporabnikov ali škodljive kode. Avtor: Robert Lubej Povezava do domače strani: http://www8.hp.com/us/en/software-solutions/software.html?compURI=1340562 O podjetju ArcSight

HP ArcSight je priznan proizvajalec uveljavljenih rešitev za upravljanje z informacijsko varnostjo in skladnostjo, s katerimi je mogoče inteligentno odkrivati in zmanjševati poslovna tveganja v organizacijah vseh vrst in velikosti. Vse rešitve podjetja so načrtovane tako, da so primerne tudi za najbolj kompleksne in geografsko razpršene organizacije z različnimi tehnologijami, dobavitelji in tipi infrastruktur. ArcSight je edini od dobaviteljev drugih komponent povsem neodvisni ponudnik rešitev za odkrivanje, ovrednotenje in ukrepanje proti napadom od zunaj, notranjim nevarnostim in kršitvam zahtev o skladnosti. Od konca leta 2010 je ArcSight v lasti podjetja HP in se v javnosti pojavlja kot HP ArcSight ali ArcSight An HP Company. Več o podjetju najdete na spletnih straneh: http://www.arcsight.com Dodatne informacije: Robert Lubej, projektni vodja robert.lubej@real-sec.com REAL security d.o.o. Meljska cesta 1 2000 Maribortel.: 02 234 74 74 http://www.real-sec.com info@real-sec.com