Micro Focus ArcSight Investigate - orodje kot jih vidimo v hollywoodskih filmih
12.10.2017
Micro Focus ArcSight, uveljavljeni proizvajalec varnostnih in drugih programskih orodij za podporo poslovnim procesom v sodobni organizaciji, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
sta pred nekaj meseci predstavila najnovejše orodje za SOC analitike, nadgradnjo SIEM platforme ali samostojno rešitev za bliskovite interaktivne preiskave po milijonih dnevniških zapisov brez dodatnih SIEM ali 'log management' funkcionalnosti. Med kupci ter tudi v prodajnem kanalu nekaterim še ni jasno, kako lahko rešitvi ArcSight Logger ter ArcSight Investigate sobivata, katera je primerna v katerem okolju, za kaj. Nekateri so celo pričakovali, da se bo po uveljavitvi Investigate-a v primernem trenutku Logger umaknil iz prodaje, to se seveda ne bo zgodilo. Poskušajmo na kratko predstaviti ArcSight Investigate ter razliko med to rešitvijo in Logger-jem.
Na zgornji sliki je kompletna arhitektura platforme ArcSight:
- izvori podatkov, kot so dnevniški zapisi, so čisto na dnu,
- ADP je osnova SIEM platforme za zbiranje, hranjenje, posredovanje in poročanje o dogodkih, v okviru katere ostaja ArcSight Logger kot ključni element,
- rešitve naprednih SIEM funkcionalnosti so tik pod vrhom, to so ArcSight ESM SIEM, UBA za preučevanje tveganj pri uporabnikih, DMA za analizo sumljivih DNS povpraševanj, in v prihodnje morda še druga varnostna analitična orodja,
- na samem vrhu ponudbe najdemo ArcSight Investigate, ki je najnaprednejša rešitev za preiskovanje incidentov in lov na morebitna tveganja in pomanjkljivosti.
Ste ljubitelj vohunskih ali tehnološko usmerjenih filmov in TV nadaljevank tipa Bourne Identity ter The Blacklist? V njih lahko z zavistjo spremljamo delo imaginarnih računalniških analitikov, ki so pravi čarovniki! Sposobni so rešiti probleme vseh vrst in v vseh okolji, zdi se, da do podrobnosti poznajo vse tehnologije, od tega, kako deluje mikrovalovna pečica, do vseh podrobnosti letalskih komunikacijskih sistemov, satelitov, avtomobilske elektronike, mobilnih telefonov, arhitekturnih načrtov, električnih omrežij, nuklearnih laboratorijev. Očitno z lahkoto obvladajo vse operacijske sisteme od DOS-a ali CP/M, Windows-e, Unix-e, mobilne OS-e, kakor tudi namenske industrijske sisteme. Pravzaprav - vsega tega najbrž ne obvladajo, a videti je, kot da lahko v samo nekaj minutah najdejo karkoli iščejo, podatek, informacijo o dogodku, trenutno lokacijo osebe, karkoli, in to tako rekoč samo s tipkovnico, brez dotikanja miške. Običajno na brzino vtipkajo nekaj kratkih besed in tako sprožijo bliskovito hitro povpraševanje po množici podatkovnih virov kjerkoli v svetu, v nekaj trenutkih se jim pričnejo prikazovati vsi mogoči podatki, tabele s statističnimi informacijami in bliskajočimi se alarmi, grafikoni in načrti, okna in podokna in polknice in rolete. Pardon, brez slednjih dveh! No, doslej ste mislili, da je to mogoče le v Hollywood-u. Z ArcSight Investigate pa lahko tudi resnični SOC analitiki postanejo taki čarovniki. To je te vrste orodje!
ArcSight Investigate je predstavnik nove generacije rešitev za preiskovanje in lov za podrobnostmi, temelji na napredni analitični, razvijajočim se potrebam varnostnih ekip prilagodljivi platformi. Služi lovu na in premagovanju neznanih groženj na osnovi skoraj takojšnje obdelave velikih količin podatkov, hitrega uporabniškega vmesnika ter intuitivnega usmerjanja v prednostne podatke. 'Data Lakes' ter 'Big Data' so trend izrazi dandanašnjih analitikov, Investigate jih podpira s tehnologijo HPE Vertica, to je stolpčno orientirana podatkovna baza. Stolpčne baze so pri iskanjih nekajkrat hitrejše od običajnih vrstično urejenih relacijskih baz, Vertico pa dopolnjujejo še napredne analitične funkcije, iskalna orodja, sintaksa. Na podlagi Vertice lahko ArcSight Investigate išče do 10X hitreje od drugih orodij, v le nekaj sekundah prikaže rezultate o več-mesečnem ali ali celo več-letnem obsegu podatkov.
ArcSight Investigate:
· na osnovi Vertice išče do 10x hitreje od podobnih rešitev;
· več-nitna arhitektura za izvajanje več vzporednih povpraševanj;
· napredne analitične funkcije za odkrivanje izmuzljivih podrobnosti;
· ustvarjanje povpraševanj brez podrobnega znanja podatkovnih jezikov ali podatkovne sheme;
· filtriranje, izbiranje, sortiranje, primerjava in agregacija podatkov v intuitivnem uporabniškem vmesniku;
· hitro in enostavno kreiranje vizualnih elementov, tabel, preglednic in delovnih površin;
· hiter dostop, preiskovanje vsega arhiva podatkov v okoljih Hadoop ali Investigate;
· napredne tehnologije za 'big-data' obdelave;
· učinkovita shramba, prilagodljive opcije podatkovnega arhiva.
Avtor / prevod: Robert Lubej
Povezava do domače strani:
https://software.microfocus.com/en-us/software/arcsight-investigate
### ### ###
O Micro Focus - HPE - ArcSight
ArcSight je priznan proizvajalec uveljavljenih rešitev za upravljanje z informacijsko varnostjo in skladnostjo, zbiranje in upravljanje dnevniških zapisov in dogodkov, ter SIEM in analitičnih orodij za inteligentno odkrivanje in zmanjševanje poslovnih tveganj v organizacijah vseh vrst in velikosti. Rešitve podjetja so primerne za manjše kakor tudi za najbolj kompleksne in geografsko razpršene organizacije z različnimi tehnologijami, dobavitelji in tipi infrastruktur in so v osnovi razdeljene v rešitve za zbiranje, dolgotrajno hranjenje in napredno primerjanje ter obdelavo varnostnih dogodkov. HPE ArcSight je edini, od proizvajalcev drugih komponent povsem neodvisni ponudnik rešitev za odkrivanje, ovrednotenje in ukrepanje proti napadom od zunaj, notranjim nevarnostim in kršitvam zahtev o skladnosti.
Leta 2000 ustanovljeno podjetje ArcSight je leta 2010 prešlo v lasti podjetja HP, ta pa se je leta 2015 razdelil na dva dela. Produktna platforma ArcSight je sedaj del enote HP Enterprise - Software, in sicer v sklopu oddelka Security. Leta 2017 se je HPE Software izločil iz HPE in se priključil podjetju Micro Focus. ki je tako postal eden največjih svetovnih proizvajalcev poslovnih programskih rešitev z najbolj celovito ponudbo aplikacij za podporo poslovanja sodobne organizacije.
Več o podjetju najdete na spletnih straneh: https://www.microfocus.com/about/
Dodatne informacije:
Robert Lubej, projektni vodja
REAL security d.o.o.
Žolgarjeva ulica 17
2000 Maribor
tel.: 02 234 74 74