- 1、本文档共8页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ArcSight技术优势与特点
ArcSight技术优势与特点
伴随网络相关业务和应用的飞速发展,企业风险也迅速增大,防范和化解风险、全面反映IT安全风险,全面协调处理安全事件,降低安全风险,增强事后审计取证的能力成为当前面临的主要问题。这些需求也促使企业要尽快建立一套完善的日志管理与分析系统,可以为风险管理和监控提供强有力的技术支撑手段。
优异的日志管理和分析系统除了提供必备的日志采集、日志分析、日志保存等基本的功能之外,还应该充分考虑一下几点关键的技术实现能力:
日志数据安全保障
??? Logger 和 ESM应用多种技术手段保证数据的安全性数据传输加密本地缓存,断点续传
5时间戳,保证数据分析正确ArcSight ESM采用了独有的5时间戳技术,系统共维护了5个时间戳:日志源日志生成时间、收到时间、管理器收到时间、数据库存储开始时间和完成时间。该技术使系统日志数据更具有可靠性证明,可满足法庭调查的能力数据本地保存使用MD5哈希校验细粒度的用户访问控制?
广泛的日志采集来源
企业的网络包含了多样化的各种系统,操作系统涉及到除了主流的PC系统,如Windows、Unix、Linux等,同时还有IBM大机、以及各种行内开发的业务应用程序。这就要求日志管理系统既提供广泛的日志源采集支持,同时又提供很好的定制和扩展能力。
ArcSight Logger和ESM的SmartConnector采集器组件提供对近300多种各种系统和设备的出厂支持,覆盖了当前各种主流的操作系统、应用程序、以及网络和安全设备,而且还提供对大机系统日志采集的支持(如AS400等),可以使企业在部署日志管理与分析系统时获得最大的支持范围和最小的定制工作。
当然没有任何一个厂商的产品是可以100%支持企业目前所有的系统日志采集与分析的。因此可以利用ArcSight提供的FlexConnector工具软件,以图形化的方式对企业当前比较特殊的应用程序日志格式进行分析和匹配,无需编程和脚本语言,就可以在最短的时间内可以很方便的完成对特殊系统的日志采集工作的定制。
系统的可扩展性
日志管理会面临大量的日志数据,而且日志量在不断的增加,日志管理系统需要保存的日志数据时长是企业对在线日志要求的策略相关的,如果日志管理系统的磁盘容量不足以支持当前要求的日志保存时长,则需要对日志管理设备进行扩展。虽然日志管理系统不是企业的业务应用系统,无需要进行高成本的容错除了,但是在日志管理系统的选择上要考虑到如何避免单点故障、数据通讯故障等因素,确保所有的日志数据能的采集能够应付通讯或系统意外故障情况,这就要求日志管理系统提供相应的技术手段来支持高可用性的配置方法。
ArcSight Logger提供网络扩展口,可以在日志数据量超出硬盘容量的时候方便的通过堆叠和级连的方式实现存储空间的扩展要求;也可以通过多台Logger并联的方式提供采集性能的扩充。另外,ArcSight Logger和ESM都支持多目的地址设定,一台Logger或一个ESM采集器可以设置为向多个目标地址传送日志,可以提供良好的高可用性。
?
日志长?对于日志分析系统,通常是针对近1个月内的数据进行实时的分析处理,或者对历史数据生成统计报表。但是日志分析系统的数据是经过格式标准化处理的,如果需要查看原始格式内容的日志,就需要在日志管理系统去查找。不同的行业不同的用户通常对原始数据在线保存时长的要求不同,从几个月到几年都有。通常建议用户可以在线保存1-3年左右的原始日志,以便于对日志内容的查询和审计工作。
?
基于身份关联ArcSight ESM可以提供基于用户身份的关联,而不仅仅是IP层面的关联分析。。?
针对合规性审计内容
针对国际化的上市企业,对于国际通用的风险管理和控制的法律法规(如ISO17799、萨班斯法案,等等)也要进行参考和相应的合规性审查。参考这些法律法规有利于企业更加规范的进行IT系统管理,降低风险、保障企业信息系统的安全正常运行。
但是各种法律法规的内容通常都是很抽象和摘要形式的,并没有提出具体的技术实现手段和方法,这就对内审准备工作提出了很高的要求。如何找到能够满足各种法规要求的数据,从哪些系统中提供这些数据,都需要对审计人员的要求很了解才能做到。
ArcSight Logger和ESM提供现成的Compliance)内容包,根据采集的数据提供要求报表
实时监控是否有违规行为发生
ArcSight 合规性解决方案包提供了审计人员认可的报表模板内容
丰富直观的可视化显示
日志分析系统主要是通过对收集上来的海量日志事件进行自动的分析,并提供良好的展现形式,以便于系统管理员或者安全分析员可以快速定位并分析出问题的根源。ArcSight ESM提供了丰富的、直观的可视化显示,通过动态的仪表板、事件图形等方式将分析出的结果直观的展现给操
文档评论(0)