Intrusion Detection Management
近年来由于IT行业发展越来越迅速,IT在企业中发挥着越来越重大的作用,而企业IT系统的也是非常迅速的扩展,需要管理的安全设备和主机系统也越来越多,其中各品牌的网络设备,防火墙/IPS安全设备等,终端安全、DB2/Oracle/Informix等数据库系统、Windows/Unix/Linux等操作系统、Apache Tomcat应用服务器等,每台每天都产生海量日志,而且各自独立运行,目前还没有集中管理,进行统计分析的解决方案,并且不能够做统计报表,管理复杂,需要登录到每一类系统设备中去查看日志,比较繁琐和低效。诸多安全设备产生的安全日志铺天盖地,并不能及时的定位有效的安全信息,也不能对各种安全设备和非安全设备进行关联分析以防御现在越来越先进的高级威胁。
因此建立一套能够集中收集这些系统设备高性能的日志系统,并能够进行集中管理,统一查询和报表统计,实时对各类安全进行报警的系统就显得尤为重要了, SIEM解决方案就是针对这些问题而设计的。
Proposed Solution
SIEM(信息安全事件管理平台), 可将企业中分散在网络各处的网络设备、操作系统、应用程序的日志源事件数据收集,并将原始日志数据标准化,并使之产生关联以发现实际威胁和安全问题的平台。SIEM解决方案主要包括硬件SIEM方案、软件SIEM方案以及基于云服务的SIEM方案。
SIEM通过使用实时监控全部系统、网络、数据库及应用程序上的所有活动,提供真正的实时态势感知能力、识别关键威胁并做出智能响应所需的速度和规模,以及持续的合规性监控。可针对所有类型的日志自动执行日志管理和分析,包括 Windows 事件日志、数据库日志、应用程序日志和 Syslog。日志将经过签名和验证,从而确保真实性和完整性,这是监管合规性和鉴证的一项必然要求。现成可用的合规规则集和报告可轻松地根据法规要求和内部策略证明企业的合规状态。
SIEM 设备负责从数百个第三方设备收集日志和事件信息,这些设备包括防火墙、IDS/IPS 设备、UTM、交换机、路由器、应用程序、服务器和工作站、身份信息和身份验证系统、漏洞评估扫描程序等。一旦收集到事件,便会对所有相关的详细信息进行解析并将其归入完全规范化的事件分类中,随后针对所有事件提供全面关联,以检测出更大规模的事件。
(高风险事件告警)
SIEM 可针对所有类型的日志自动执行日志管理和分析,包括 Windows 事件日志、数据库日志、应用程序日志和 Syslog。日志将经过签名和验证,从而确保真实性和完整性,这是监管合规性和鉴证的一项必然要求。现成可用的合规规则集和报告可轻松地根据法规要求和内部策略证明企业的合规状态。日志收集后,将整个应用程序会话解码到第 7 层,提供从基础协议和会话完整性直至应用程序的实际内容(如电子邮件文本或其附件)等所有组件的完整分析。这一级别的详细信息支持对实际应用程序使用的准确分析,同时还能让您实施应用程序使用策略,并检测隐蔽的恶意流量。
Key Functions
日志收集管理
内置的日志采集模块负责从各设备收集日志和事件信息。一旦收集到事件,便会对所有相关的详细信息进行解析并将其归入完全规范化的事件分类中,随后针对所有事件提供全面关联,以检测出更大规模的事件。如下图所示:
关联分析
高级关联分析模块可监控实时数据,允许您同时使用基于规则的关联引擎和基于风险的关联引擎来检测风险和威胁,防患于未然。该服务器可以支行在实时模式也可以历史模式来运行,从而可以对历史事件进行关联威胁追溯。
(高级关联分析)
合规审计
原始日志模块会把接收到的日志进行签名和完整性验证,从而确保真实性和完整性,这也是监管合规性和鉴证的一项必然要求。日志集中管理平台中提供现成可用的合规规则集和报告可轻松地根据法规要求和内部策略证明系统的合规状态。
通过数百个预置信息显示板、完整的审计跟踪及ISO27001、 PCI DSS、HIPAA、NERC-CIP、FISMA、GLBA、SOX 等报告来简化合规管理。
调查和分析
通过高级过滤和直观的工作流授权用户以便快速的找到相关 权用户以便快速的找到相关 权用户以便快速的找到相关 权用户以便快速的找到相关 权用户以便快速的找到相关 权用户以便快速的找到相关 权用户以便快速的找到相关 权用户以便快速的找到相关 权用户以便快速的找到相关 权用户以便快速的找到相关 权用户以便快速的找到相关 权用户以便快速的找到相关的事件,来回答你需要案。 使用事件管理器、事件输出或者日志浏览器功能或者通过图表分布特征选择可视化调查数据通过深入挖掘图表和自动更新滤条件, 导出日志数据或者与其他同事共享保存的过滤结果,可以使你快速浏览异构环境下海量日志,图表视化组件通过突出显示的方式,在海量事中进一步调查日志和进行故障排查,而不是被大量的日志事件所淹没导致能发现真正关注的信息。
报表功能
通过SIEM系统,用户可以灵活地根据自己的需求出各种审计报表,可以精确到每一台设备的时间点、事件类型、选定用户、选定地址等特性化的选项,以产生所需的各种报表。为企业管理提供了便捷的方式。
Key Products
Novell NetIQ
HP Arcsight
Trustwave SIEM Enterprise