ArcSight 資安事件管理-Logger
ArcSight Logger : 簡化日誌的收集、儲存及分析
ArcSight Logger 是一個統包式(turnkey)硬體設備,它可以擷取和分析所有企業的日誌資料,並同時提供壓縮、具成本效益的自我管理式日誌資料庫。
特點
|
|---|
市場上對強大的日誌管理解決方法的需求
企業級日誌管理平台可以收集、保存和分析日誌資料,從而深入了解風險程度、實現法規遵循和稽核自動化管理、快速偵測威脅和改善服務水準協議(SLA)。IT 運作團隊逐漸意識到其合乎法規、安全其中的巨大價值和需求。要綜合實現這些使用案例,任何日誌管理投資必須能支援各種來源的事件收集,包括從網路和安全設備,到資料庫及自行開發的應用程式。
除了廣泛的設備支援及高性能的日誌整合功能外,也要合乎法規及爭議性的使用案例,特別是強制稽核品質標準、以及僅收集原始來源的日誌要能夠保證點對點的安全、收集事件的可靠性及可用性。這統包式、可延展的日誌管理解決方案可以在成千上百個地方輕鬆地擴展和管理,以確保完整地收集所有企業的事件資料。
完成收集後,需要長期保存日誌資料,通常是數年之久,SOX、PCI、FISMA、HIPAA 和GLBA 的法規或現存企業的保存政策都明確提了出這種要求。因此具有成本效益的日誌儲存政策極為重要。日誌收集基礎架構必須具備集中儲存和轉寄的功能,在這裡,資料經過壓縮並安全儲存,但仍可以存取以進行分析。除了整合及有效儲存日誌外,完整的日誌管理解決方法必須支援快速且靈活的分析日誌資料,以便進行爭議調查,法規遵循監控,以及網路和系統疑難排解。要綜合實現這些使用案例,必須可以透過直覺的介面存取整合的日誌資料,而這樣的介面能夠提供快速、邏輯的導覽路徑,透過強大的搜尋和報表引擎存取數千兆位元組(TB)的日誌資料。
ArcSight Logger:滿足日誌管理需求的解決方案
對整個企業的日誌資料進行收集、儲存和分析,為了滿足這個不斷增長的需求,ArcSight Logger 配備了一系列統包式、可堆疊的硬體設備,支援高效率地收集任何來源的日誌,並保存到經過高度壓縮卻仍可輕鬆搜尋的自我管理式日誌資料庫。使用功能強大的報表和告警引擎,ArcSight Logger 可用作獨立的設備進行日誌管理,也可以和ArcSight ESM 及其他ArcSight 平台互相整合運作。
完整的日誌整合
ArcSight Logger 支援從任何原始系統日誌或檔案日誌來源進行收集。ArcSight Logger亦支援ArcSight Connectors 的巨大資料庫,它可以對300 種以上的不同日誌產生來源進行最佳化收集。另外,ArcSight FlexConnector 的日誌收集能力高擴充性。
ArcSight Connectors 具有軟體式或硬體式設備部署的靈活性,提供可擴充的稽核品質日誌收集選項,適用於企業的遠端位置。除了可以安全可靠地連線至ArcSight Logger資料存放區外,ArcSight Connectors 還提供頻寬控制、依時間或重要性對日誌流量進行優先排序、本機快取、以及在ArcSight Logger 設備之間進行故障後移轉等功能。
高效能的日誌收集
一般日誌管理工具需要更多的硬體以提高收集數據速度和儲存的效率,從而達到高速的數據分析。ArcSight Logger的獨特設計可以持續地以每個設備每秒100,000個事件(EPS)的速率收集原始日誌,壓縮和儲存高達35TB的日誌,或處理搜索每秒3,000,000個事件。
具成本效益且靈活的儲存選項
除了啟用RAID 的內建儲存裝置外,所有ArcSight Logger 設備均支援外部儲存機制(NAS 或SAN),作為主要資料儲存區及保存目地。無論是內建儲存裝置還是外部儲存裝置,日誌資料始終經過高效率地壓縮,其比例最高可達10:1。
可延展性
增加至任何部署的ArcSight Logger 設備可以直線提昇收集與分析效能。因此,具有多個管理網域的大型組織或資訊安全委外服務提供商(MSSP)可根據需要,依階層架構或對等方式部署多個ArcSight Logger 設備,以擴展其功能及效能。多個ArcSight Logger 設備以陣列方式運行,因此仍然可以全面檢視整個企業的日誌資料。
個人化的分析入口
使用者可以看到互動式的個人化儀表板,它將相關報表結合到使用者以角色為主的視窗中。從這些整合的儀表板視窗中,使用者可以深入分析報表,以模擬稽核工作流程,並調查違反政策或異常的情況。使用Web 搜尋介面進一步分析報表中的相關結果,以迅速執行特定的稽核調查,進行分析。換言之,搜尋模式可以轉化為即時告警,以確保後續相符結果在即時預警檢視器內或經由SMTP、SNMP 或系統日誌發出的即時通告。最後,使用者可以直接從預警連結至觸發預警的潛在基本事件,以進行根本原因分析。總體上,這個自儀表板至基本事件的檢視路徑可立即討論與調整,無需在調查的每個階段建立新的內容。
使用與設備無關的獨特分類法建立所有的內容,可讓一般使用者輕鬆直覺地檢視日誌資料,無需熟悉特定來源的日誌語法。這個簡單而又直覺的分類法還可以避免內容迅速增長,而不需要針對設備或供應商進行分析。
易於部署和管理
日誌管理與ArcSight Logger 的硬體式設備大小與檔案的最佳化資料儲存有密切的相關。無需資料庫管理專業經驗,完全使用Web 的圖形化使用者介面(GUI),管理也不需要在用戶端安裝任何程式,進一步簡化了部署及後續的管理。如ArcSight PCI Logger,提供一體化的統包式硬體設備,適用於小型企業收集、儲存和預裝稽核內容,以最小的投資來推動PCI 措施。
稽核品質日誌資料
ArcSight Logger 中預設了許多稽核和訴訟的最佳實務。自企業收集的原始日誌資料,需要採用NIST 800-92 (日誌管理標準) 核准的SHA-1 雜湊演算法執行完整性檢查。使用完整的角色存取控制可以保護系統和事件資料。
自動化保存政策
組織可依照所遵循的法規或內部標準定義多個保存策略。您可以依據來源類型、IP 位址等將日誌資料彈性地指派給這些策略。保存策略可自動實施,不必進行手動資料處理或清理工作。
預設安裝內容
ArcSight Logger 提供系統內容,可用於最初啟動安全及合乎法規的監控。針對諸如PCI 及SOX 之類法規的額外內容,會以附加內容套件的形式提供,這些套件建立在授權來源的基礎之上,如NIST 800-53,ISO-17799 及SANS。
ArcSight 平臺整合
日誌管理及安全資訊與事件管理(SIEM) 解決方案是充分利用日誌價值之連貫性的一部分,以便進行報表、即時監控及矯正。因此,組織希望這些投資發揮協同的作用。然而,目前唯有ArcSight 能夠提供緊密整合的平台進行日誌管理及安全資訊與事件管理(SIEM)。
ArcSight Logger 可與ArcSight 在市場上領先的SIEM 產品,ArcSight ESM,做雙向的整合,使得ArcSight Logger 可以靈活地轉寄安全事件至ArcSight ESM,以便進行即時、跨設備關聯,可視化處理和威脅偵測。換言之,ArcSight ESM 可以將關聯的告警寄回至ArcSight Logger,以便進行搜尋和保存。兩項投資均可以利用ArcSight Connector 收集的企業組織資料上。