HPE Arcsight

  • Достижение соответствия требованиям стандартов и лучших практик, а также повышение уровня информационной безопасности
  • Снижение рисков информационной безопасности за счет своевременного обнаружения и обработки инцидентов информационной безопасности.
  • Снижение времени реагирования на инциденты информационной безопасности за счет использования автоматизированных средств обработки инцидентов и управления конфигурациями объектами информационной системы
  • Снижение времени расследования инцидентов информационной безопасности

Программно-аппаратное обеспечение HP ArcSight – это линейка продуктов компании Hewlett Packard. Решения HP ArcSight осуществляют сбор, обработку, сопоставление и реагирование на такие события, предоставляя всеобъемлющие функции масштабируемости, защиты и отказоустойчивости. Системы HP ArcSight позволяет каждую минуту обрабатывать сотни тысяч событий информационной безопасности, чтобы автоматизировать решения по обеспечению постоянной ИБ в организации. Продукты HP ArcSight активно используются крупнейшими мировыми операторами связи, финансовыми организациями и государственными структурами.

Начиная с 2004 г. семейство продуктов HP ArcSight завоевало лидирующие позиции на мировом рынке систем мониторинга информационной безопасности, в частности в знаменитом квадранте компании Gartner (Security Information and Event Management Magic Quadrant) на протяжении 7 лет решения ArcSight занимают лидирующие позиции среди участников мирового рынка данного сегмента ИБ, с каждым годом уверенно увеличивая «отрыв» от ближайших конкурентов.

За последние годы, продукты линейки HP ArcSight получили более 30 наград ведущих издательств, экспертов и аналитиков рынка ИТ и ИБ.

Продуктовая линейка HP Arcsight

Основой продуктовой линейки HP ArcSight является комплексное решение HP ArcSight Security Intelligence, ядром которого служит продукт HP ArcSight ESM (Enterprise Security Manager). Данный продукт обеспечивает сбор, обработку и хранение событий безопасности, которые могут поступать от различных источников. HP ArcSight ESM поддерживает интеграцию с большим количеством прикладных систем и устройств (более трех сотен) и поставляется с несколькими сотнями предустановленных правил корреляции. В состав поставки также может входить уникальный агент FlexConnector, позволяющий осуществлять интеграцию с любым типом приложения.

HP ArcSight ESM является лидером на рынке по техническим возможностям и возможностям интеграции с бизнес-приложениями. Архитектура HP ArcSight ESM позволяет развернуть решение даже в территориально-распределенной информационной системе с низкоскоростными каналами связи. HP ArcSight ESM поставляется как в программном, так и программно-аппаратном виде, что выгодно отличает его от других систем корреляции.

Для упрощения задачи по сбору, хранению и анализу журналов аудита может использоваться продукт HP ArcSight Logger – готовый программный или программно-аппаратный комплекс, которой может собирать и анализировать все данные журналов аудита организации, предоставляя сжатый и экономичный репозиторий для хранения логов.

Для более простого и эффективного сбора информации о событиях безопасности в составе HP ArcSight ESM и HP ArcSight Logger могут использоваться программные комплексы HP ArcSight Connectors. Необходимо отметить, что HP ArcSight Connectors также могут поставляться в виде программно-аппаратных комплексов (HP ArcSight Connector Appliance).

Решения HP ArcSight Security Intelligence включают в себя следующие продукты:

  • HP ArcSight Logger — обеспечивает сбор и фильтрацию событий;
  • HP ArcSight Threat Response — обеспечивает моментальную реакцию на инциденты путем анализа информации от HP ArcSight ESM, локализацию проблемы и применение ответных мер реагирования;
  • HP ArcSight Configuration Management — позволяет провести конфигурацию сетевого оборудования и настроек безопасности.
  • HP ArcSight Fraud Detection — уникальное решение для выявления и предотвращения мошенничества в области интернет-банкинга и банковских (пластиковых) карт.

Внедрение системы мониторинга на основе продуктов HP ArcSight дает возможность автоматизировать процесс принятия решений по реагированию на события, связанные с нарушением политик информационной безопасности Компании. При этом применение систем мониторинга также позволяет значительно повысить эффективность уже установленных в организации средств защиты.

На сегодняшний день решения HP ArcSight активно используют во всем мире крупнейшие операторы связи, финансовые организации и государственные структуры.

Архитектура HP Arcsight

Сием система HP Arcsight состоит из следующих компонент:

  • ArcSight Manager – основной серверный компонент, «ядро» системы, обеспечивающее корреляцию событий и их обработку;
  • ArcSight DB – база данных (на основе СУБД Oracle 11g), предназначенная для хранения информации;
  • ArcSight Console – консоль для управления и работы с системой, представляющая собой приложение, устанавливаемое на клиентское рабочее место администратора или пользователя системы;
  • ArcSight Web – серверный компонент web-консоли для мониторинга и получения отчетности. Для доступа к информации используется любой современный web-браузер;
  • ArcSight SmartConnectors – компоненты системы, обеспечивающие сбор событий с источников, их предварительную фильтрацию и агрегацию, а также передачу событий в ArcSight Manager.

ArcSight Manager

Компонент ArcSight Manager является центральным компонентом, ядром системы. Manager представляет собой сервер приложений, написанный на языке Java и управляющий всеми процессами обработки данных в ESM – корреляцией, анализом, документооборотом и прочими внутренними сервисами. Компонент Manager записывает обработанные события в СУБД, одновременно пропуская все события через механизм корреляции, который сопоставляет события с данными о сетевой модели и данными об уязвимостях, тем самым, выявляя потенциал угрозы, представляемой событием, и проставляя приоритет событий и угроз.

ArcSight DB

Все события, поступающие от коннекторов SmartConnectors в компонент ArcSight Manager, записываются в базу данных с использованием нормализованной схемы события для дальнейшего анализа и обработки, а также отчетности.

База данных ArcSight DB основана на СУБД Oracle 11g (11.2.0.2). В состав компонента ArcSight DB входит набор программного обеспечения (скриптов), позволяющего эффективно управлять данными, архивировать события и получать статус обработки данных и работы СУБД Oracle для самодиагностики системы.

ArcSight Console

Компонент ArcSight Console представляет собой отдельное приложение, устанавливаемое на АРМ Администратора или оператора системы, и предназначенное для выполнения всех операций по взаимодействию пользователя с системой – от мониторинга событий до построения сложных правил корреляции и администрирования всех компонентов системы. В зависимости от имеющихся привилегий пользователя, при запуске консоли ему доступны те или иные возможности по взаимодействию с системой.

ArcSight Web

Компонент ArcSight Web является независимым и имеющим возможность отдельной установки на web-сервер, предоставляющим собой защищенный графический интерфейс для взаимодействия с системой посредством web-браузера.

ArcSight Web предназначен для использования в качестве основного интерфейса мониторинга для операторов системы и бизнес-пользователей системы. ArcSight Web позволяет производить мониторинг событий и работы компонентов, расследование и анализ инцидентов, а также просмотр отчетов.

ArcSight SmartConnectors

SmartConnectors (коннекторы) – это программные компоненты СУСИБ, обеспечивающие взаимодействие системы с источниками событий. Они получают информацию от источников событий в информационной системе, а затем производят нормализацию и категоризацию данных следующим образом:

  • нормализация значений, таких как критичность события, приоритет и временная зона;
  • нормализация структуры данных – приведение данных к единому формату.

После нормализации коннекторы производят фильтрацию и агрегацию событий с целью уменьшения объема передаваемых для дальнейшей обработки событий в ArcSightManager, тем самым, увеличивая производительность и эффективность системы мониторинга, а также уменьшая время обработки событий.

Основными функциями, выполняемыми компонентами SmartConnectors, являются:

  • сбор всех необходимых событий с источников событий;
  • фильтрация ненужных для анализа событий («информационного шума») для  минимизации объемов сетевого трафика и нагрузки на подсистему хранения событий;
  • обработка событий и приведение их к единой схеме события, используемой в ESM;
  • агрегация повторяющихся событий для минимизации количества событий, отправляемых в ArcSight Manager для обработки;
  • категоризация событий, используемая для облегчения восприятия событий оператором системы и упрощения построения фильтров, правил и отчетов при дальнейшей обработке событий;
  • кэширование событий, полученных от источника событий в период недоступности основного компонента ArcSight Manager, при этом потери событий не происходит: события сохраняются и пересылаются в ArcSight Manager после восстановления связи с ним;
  • пересылка событий в ArcSight Manager для дальнейшей обработки, используя защищенное соединение.
заказать обратный звонок



НАШИ КОНТАКТЫ

Мы в Белгородег. Белгород, пр. Славы, д. 44а оф. 25

Мы в Москвег. Москва, ул Дмитровка Б, 32 стр 1

телефон8-800-77-55-929

время работыпн-пт, с 9:00 до 18:00

электронная почтаib@radiuscompany.ru

Оставьте заявку



НАШИ КОНТАКТЫ

Мы в Белгородег. Белгород, пр. Славы, д. 44а оф. 25

Мы в Москвег. Москва, ул Дмитровка Б, 32 стр 1

телефон8-800-77-55-929

время работыпн-пт, с 9:00 до 18:00

электронная почтаib@radiuscompany.ru

Ваше сообщение успешно отправлено.

Мы с Вами свяжемся в ближайшее время!