HP ArcSight ESM 6.8c - HP je posodobil vodilno SIEM rešitev
HP ArcSight, uveljavljeni proizvajalec SIEM rešitev namenjenih odkrivanju in zmanjševanju poslovnih tveganj, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
je v začetku leta 2015 predstavil novo različico SIEM rešitve HP ArcSight Enterprise Security Manager (ESM) 6.8c z nadgrajenim pogonom za sprotno korelacijo, izboljšanim uporabniškim vmesnikom in drugimi novostmi. Po verziji 6.5c je to druga pomembnejša predelava rešitve z optimiziranim korelacijskim pogonom CORR - Correlation Optimized Retention and Retrieval in prinaša spodaj naštete novosti.
E SM High Availability (HA)
Stranke z zahtevo po neprekinjenem obratovanju lahko sedaj c svoje okolje (ob ustrezni licenci) namestijo dva ESM strežnika v aktivno-pasivno gručo s sprotno izmenjavo stanj, replikacijo podatkov in samodejnim preklopom v primeru napake. Nova HA licenca opredeljuje samo HA postavitev ESM strežnika, za druge komponente so še vedno na razpolago že doslej znane arhitekture zanesljivih namestitev.
ArcSight Command Center
Predelani spletni uporabniški vmesnik prinaša nekaj novosti, med drugim tudi glavno posebnost ArcSight-a, to so Aktivni Kanali (Active Channel). Stranka lahko odpira nove ali uporablja že prej narejene kanale, znotraj katerih lahko interaktivno dela s sproti prihajajočimi dogodki. Na ta način Lahko postane spletni uporabniški vmesnik popolno nadomestilo ArcSight Console za uporabnike, ki jih zanima predvsem vsebina ne pa tudi administracija ali razvoj vsebine.
Bloom-ovi filtri
To izboljšavo v postopke iskanja podatkov v podatkovni bazi smo imeli priložnost preizkusiti že v ArcSight Logger, sedaj pa so vgrajeni tudi v SIEM. Bloom-ovi filtri omogočajo telo hitro izločanje velikih skupin podatkov, ki prav gotovo ne vsebujejo iskane informacije. Z zmanjšanjem gore informacij za podroben pregled, pridobimo veliko na času iskanj po podatkih - do 1000-krat hitrejša iskanja na najbolj pogosto rabljenih poljih. Podatki, na katerih delujejo Bloom-ovi filtri, so tudi v arhiviranih dnevniških zapisih, ki sicer nimajo indeksov, zato bo sedaj hitrejše tudi iskanje po arhivih.
ESM Web Service APIs Support
HP ArcSight je predstavil programske vmesnike za dostop do ESM podatkov, s katerimi je mogoče narediti integracije drugih rešitev z SIEM, sestaviti prilagojene uporabniške vmesnike in dopolnjevati funkcionalnosti rešitve.
Pomnilnik dogodkov
Povečanje skupne kapacitete velikosti podatkovne baze iz 8 na 120Tb, kar pomeni da lahko shranimi do 120Tb izvornih dogodkov.
CFC Connector
Correlation (event) Forwarding Connector nove različice lahko pošilja do 1500 EPS osnovnih in koreliranih dogodkov od enega do drugega ESM v distribuirani postavitvi.
Korelacija
ESM 6.8c ima samodejni optimizator opravil, ki ocenjuje normativna pravila glede na dohodne podatke in jih naredi bolj učinkovite. S tem se v bistvu zmanjšuje število delno pravilnih ocen, ki odžirajo do sistemske vire. Sistemu omogočimo, da spremlja bolj verodostojne potencialne grožnje in oceni več dogodkov z istimi sredstvi. Posledično dobimo do 25% zmanjšanje zasedenosti. Pomembne izboljšave algoritma za Pattern Discovery so ga naredile manj zahtevnega in precej hitrejšega.
Programska skladnost
Prehod na Java 7, podpora za nove različice operacijskih sistemov in za dodatne poti nadgradnje starejših rešitev.
http://www.eweek.com/security/hp-updates-arcsight-enterprise-security-management-platform.html
http://www8.hp.com/us/en/hp-news/press-release.html?id=1849138#.VMIP59LF8t0
Avtor / prevod: Robert Lubej
Povezava do izvorne novice:
http://www8.hp.com/us/en/hp-news/press-release.html?id=1849138#.VMIP59LF8t0
### ### ###
O podjetju HP ArcSight
HP ArcSight je priznan proizvajalec uveljavljenih rešitev za upravljanje z informacijsko varnostjo in skladnostjo, SIEM rešitev, s katerimi je mogoče inteligentno odkrivati in zmanjševati poslovna tveganja v organizacijah vseh vrst in velikosti. Vse rešitve podjetja so načrtovane tako, da so primerne tudi za najbolj kompleksne in geografsko razpršene organizacije z različnimi tehnologijami, dobavitelji in tipi infrastruktur in so v osnovi razdeljene v rešitve za zbiranje, dolgotrajno hranjenje in napredno primerjanje ter obdelavo varnostnih dogodkov. ArcSight je edini od proizvajalcev drugih komponent povsem neodvisni ponudnik rešitev za odkrivanje, ovrednotenje in ukrepanje proti napadom od zunaj, notranjim nevarnostim in kršitvam zahtev o skladnosti.
Od konca leta 2010 je ArcSight v lasti podjetja HP, del oddelka HP Enterprise Security, in se v javnosti pojavlja kot HP ArcSight ali ArcSight, An HP Company.
Več o podjetju najdete na spletnih straneh: http://www.arcsight.com
Dodatne informacije:
Robert Lubej, projektni vodja
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74