ArcSight

Содержание
ArcSight о системе
Архитектура HP ArcSight
Консоли системы ArcSight
Где используется
Конкуренты
Достоинства и недостатки
Заключение
Список литературы

Интересной особенностью является применение технологии, популярной у производителей антивирусов. SymantecGlobalIntelligenceNetwork - это глобальная сеть, анализирующая актуальные на данный момент угрозы и генерирующая соответствующие правила обработки событий для SIEM-системы. Такой метод позволяет реагировать на новые атаки и аномалии куда быстрее, чем классический подход с регулярными обновлениями системы с сайта производителя.Symantec имеет специальный инструментарий для разработки коннекторов для неподдерживаемых систем, но он не распространяется свободно и доступен только партнерам.Рис.9Рис.10Рис.11Достоинства и недостаткиДостоинстваНачиная с 2004 г. семейство продуктов HP ArcSight завоевало лидирующие позиции на мировом рынке систем мониторинга информационной безопасности, в частности в знаменитом квадранте компании Gartner (SecurityInformationandEventManagementMagicQuadrant) на протяжении 7 лет решения ArcSight занимают лидирующие позиции среди участников мирового рынка данного сегмента ИБ, с каждым годом уверенно увеличивая «отрыв» от ближайших конкурентов.[4]Рис.12Внедрение системы управления событиями информационной безопасности HP ArcSight позволит обеспечить:Достижение соответствия требованиям стандартов и лучших практик, а также повышение уровня информационной безопасности за счет:Централизованного сбора и анализа событий информационной безопасности с объектов, входящих в состав корпоративной информационной системы.Обеспечения компактного хранения событий с возможностью их анализа и корреляции.Мониторинга и анализа событий ИБ на различных уровнях модели OSI в режиме реального времени.Наличия пакетов правил обработки событий и отчетов, разработанных для выполнения и контроля требований международных и российских стандартов.Снижение рисков информационной безопасности за счет своевременного обнаружения и обработки инцидентов информационной безопасности.Снижение времени реагирования на инциденты информационной безопасности за счет использования автоматизированных средств обработки инцидентов и управления конфигурациями объектами информационной системы.Снижение времени расследования инцидентов информационной безопасности за счет:Использования средств визуализации и инструментария поиска связанных событий информационной безопасности.Анализа и корреляции событий с разнородных объектов корпоративной информационной системы.Возможности анализа событий за большой период времени.Важным показателем для оценки SIEM-систем является поддержка большого количества различных устройств и приложений. Отдельно стоит отметить наличие большого количества различных дополнительных пакетов, которые позволят контролировать выполнение международных стандартов, таких как PCI DSS, SOX, NIST, ISO 27002:2005, HIPAA и др.Решения, построенные на базе продуктов ArcSight, обладают свойствами масшатбируемости, надежности, расширяемости и отказоустойчивости. Они обеспечивают возможность ежеминутной обработки нескольких сотен тысяч событий безопасности. Программные комплексы ArcSight являются многомодульными и могут внедряться поэтапно. Они дают возможность собирать и обрабатывать данные о событиях, поступающих от средств защиты информации, операционных систем, телекоммуникационного оборудования, аппаратного обеспечения, прикладных сервисов и других источников.НедостаткиЗа все приходится платить, и ArcSight не исключение. Пользователи зачастую жалуются на сложность в освоении системы и необходимость долгой наладки многочисленных параметров перед тем, как продукт заработает на полную мощность. К минусам следует отнести и дороговизну продукта. Достаточно сказать, что в состав ArcSight ESM входит СУБД Oracle, но даже ее стоимость оказывается незначительной, по сравнению с общей ценой решения. ArcSight ориентируется на крупные корпорации, и далеко не каждая компания может себе ее позволить.ЗаключениеРынок SIEM-систем растет стремительно. В России, куда новинки приходят с задержкой, это особенно заметно. Все больше компаний приходят к пониманию, что корпоративная система ИБ без продуктов класса SIEM и LogManagement, не будет эффективной. В процессе подготовки работы удалось убедиться в том, что производители не отстают от потребностей клиентов и готовы предложить продукты высокого уровня на любой вкус и финансовые возможности. По соотношению цена/качество и по уровню поддержки отечественных продуктов на первое место выходит система SecurityVision. Крупным корпорациям также следует обратить внимание на ArcSight, а небольшим компаниям будет достаточно решения класса LogManagement, например Splunk.Список литературыГоротов Семен Управляемая безопасность. //Специальный проект №205, июль 2012 с. 48-51http://arcsight-russia.ruhttp://itsec.by/produktyi-siem-sistemyi-upravleniya-infor-2/http://co-inform.ru/solutions/SIEM/arcsight-the-best.phphttp://www.sysonline.ru/products/events/arcsight-esm.html