ArcSight

Интересной особенностью является применение технологии, популярной у производителей антивирусов. SymantecGlobalIntelligenceNetwork — это глобальная сеть, анализирующая актуальные на данный момент угрозы и генерирующая соответствующие правила обработки событий для SIEM-системы. Такой метод позволяет реагировать на новые атаки и аномалии куда быстрее, чем классический подход с регулярными обновлениями системы с сайта производителя. Symantec имеет специальный инструментарий для разработки коннекторов для неподдерживаемых систем, но он не распространяется свободно и доступен только партнерам.Рис.9Рис.10Рис.11Достоинства и недостатки

ДостоинстваНачиная с 2004 г. семейство продуктов HP ArcSight завоевало лидирующие позиции на мировом рынке систем мониторинга информационной безопасности, в частности в знаменитом квадранте компании Gartner (SecurityInformationandEventManagementMagicQuadrant) на протяжении 7 лет решения ArcSight занимают лидирующие позиции среди участников мирового рынка данного сегмента ИБ, с каждым годом уверенно увеличивая «отрыв» от ближайших конкурентов. 4]Рис.12Внедрение системы управления событиями информационной безопасности HP ArcSight позволит обеспечить:

Достижение соответствия требованиям стандартов и лучших практик, а также повышение уровня информационной безопасности за счет:

Централизованного сбора и анализа событий информационной безопасности с объектов, входящих в состав корпоративной информационной системы. Обеспечения компактного хранения событий с возможностью их анализа и корреляции. Мониторинга и анализа событий ИБ на различных уровнях модели OSI в режиме реального времени. Наличия пакетов правил обработки событий и отчетов, разработанных для выполнения и контроля требований международных и российских стандартов. Снижение рисков информационной безопасности за счет своевременного обнаружения и обработки инцидентов информационной безопасности. Снижение времени реагирования на инциденты информационной безопасности за счет использования автоматизированных средств обработки инцидентов и управления конфигурациями объектами информационной системы. Снижение времени расследования инцидентов информационной безопасности за счет:

Использования средств визуализации и инструментария поиска связанных событий информационной безопасности. Анализа и корреляции событий с разнородных объектов корпоративной информационной системы. Возможности анализа событий за большой период времени. Важным показателем для оценки SIEM-систем является поддержка большого количества различных устройств и приложений. Отдельно стоит отметить наличие большого количества различных дополнительных пакетов, которые позволят контролировать выполнение международных стандартов, таких как PCI DSS, SOX, NIST, ISO 27 002:

2005, HIPAA и др. Решения, построенные на базе продуктов ArcSight, обладают свойствами масшатбируемости, надежности, расширяемости и отказоустойчивости. Они обеспечивают возможность ежеминутной обработки нескольких сотен тысяч событий безопасности. Программные комплексы ArcSight являются многомодульными и могут внедряться поэтапно. Они дают возможность собирать и обрабатывать данные о событиях, поступающих от средств защиты информации, операционных систем, телекоммуникационного оборудования, аппаратного обеспечения, прикладных сервисов и других источников. Недостатки

За все приходится платить, и ArcSight не исключение. Пользователи зачастую жалуются на сложность в освоении системы и необходимость долгой наладки многочисленных параметров перед тем, как продукт заработает на полную мощность. К минусам следует отнести и дороговизну продукта. Достаточно сказать, что в состав ArcSight ESM входит СУБД Oracle, но даже ее стоимость оказывается незначительной, по сравнению с общей ценой решения. ArcSight ориентируется на крупные корпорации, и далеко не каждая компания может себе ее позволить. Заключение

Рынок SIEM-систем растет стремительно. В России, куда новинки приходят с задержкой, это особенно заметно. Все больше компаний приходят к пониманию, что корпоративная система ИБ без продуктов класса SIEM и LogManagement, не будет эффективной. В процессе подготовки работы удалось убедиться в том, что производители не отстают от потребностей клиентов и готовы предложить продукты высокого уровня на любой вкус и финансовые возможности. По соотношению цена/качество и по уровню поддержки отечественных продуктов на первое место выходит система SecurityVision. Крупным корпорациям также следует обратить внимание на ArcSight, а небольшим компаниям будет достаточно решения класса LogManagement, например Splunk.

Список литературы

Горотов Семен Управляемая безопасность. //Специальный проект № 205, июль 2012 с. 48−51

http://arcsight-russia.ru

http://itsec.by/produktyi-siem-sistemyi-upravleniya-infor-2/

http://co-inform.ru/solutions/SIEM/arcsight-the-best.php

http://www.sysonline.ru/products/events/arcsight-esm.html