Продукты

HPE ArcSight ESM

Снимок экрана ArcSight ESM

HPE ArcSight ESM — мощная гибкая платформа для мониторинга корпоративных угроз и рисков безопасности. Она обеспечивает взаимосвязанную инфраструктуру, способную определить каждое событие, поместив его в рамки контекста того, кем или чем оно вызвано, где, когда и почему произошло, а также каково его влияние на бизнес-риски.

Дополнительно к ресурсной модели HPE ArcSight ESM, новейшая версия продукта включает в себя особую пользовательскую модель, работа которой основана на учете и контроле всех идентификаторов, ролей и групп пользователей, а также всех используемых в организации учетных записей.

Данная пользовательская модель позволяет администратору соотнести такие общие идентификаторы, как адреса электронной почты, логины и учетные записи и составить отчеты обо всех действиях, произведенных пользователем в рамках системы, с помощью приложений, учетных записей и IP-адресов.

Подобно группам, позволяющим группировать внутренние ИТ-ресурсы, пользовательская модель также включает категории, позволяющие представить структуру организации в требуемом виде, вести контроль пользовательских групп, создавая отчеты по структуре, географии и роли сотрудников.

Библиотека событий HPE ArcSight ESM

Инфраструктура сбора данных HPE ArcSight ESM представляет огромные возможности для создания библиотеки событий. Она собирает записи с устройств и других источников событий, включая ОС, сетевые устройства (маршрутизаторы, коммутаторы), анализаторы сетевой активности (анализаторы данных сети, трафика, сетевых адаптеров, NBA), решения безопасности (системы обнаружения и предотвращения атак, брандмауэры, VPN, сканеры уязвимостей), а также данные журналов приложений, баз данных, систем управления идентификаторами, серверов и сетевых приложений.

В платформу HPE ArcSight ESM входят:

  • Среда разработки приложений HPE ArcSight FlexConnector
    Получение данных с любого устройства, системы или приложения с помощью среды разработки (SDK) с функцией простого перетаскивания мышкой.
  • Наличие API для WEB-сервисов
    Интерфейс, встраиваемый в другие ИТ-системы для сбора и передачи аналитикам, аудиторам и менеджерам.
  • Среда управления журналами событий
    Безопасное и эффективное сохранение любого события, произошедшего в рабочей среде.
  • Общие параметры
    Собственные параметры, определяемые из центрального узла и использующиеся в других ресурсах для упрощения работы приложения.
  • Настройка в соответствии с требованиями бизнеса
    Расширение функциональности платформы HPE ArcSight ESM за счет обработки специализированных данных для контроля над узкими областями бизнеса.
  • Механизм выявления шаблонов
    Выполнение эвристического анализа журнала событий с помощью приложения HPE ArcSight Threat Detector, позволяет обнаружить шаблоны, указывающие на проведение атак и наличие угроз.
  • Интеграция с каталогами
    Синхронизация информации об имени пользователя, его роли и должности с информацией корпоративных каталогов (например, Active Directory) для контроля над несанкционированными действиями, использованием общих учетных записей и превышением должностных полномочий.

Корреляция событий в режиме реального времени
Производите корреляцию данных из любых источников в режиме реального времени, чтобы обнаруживать угрозы прежде, чем они смогут нанести вред.

Подробная информация о среде
Решайте проблемы оперативно: получайте надежную информацию о времени, сути и участниках событий безопасности. Автоматически собирайте с устройств и приложений данные, учитывающие контекст пользователей и окружения.

Автоматизация процессов обеспечения соответствия требованиям
Собирайте, храните и анализируйте данные журналов или событий из любых систем. Дополнительные пакеты для проверки соответствия требованиям позволяют отслеживать соблюдение стандартов индустрии платежных карт (PCI), положений закона Сарбейнса – Оксли (SOX), а также норм корпоративного управления в сфере ИТ с помощью 500 встроенных отчетов.

Центр безопасности операций
Создайте решение для обеспечения безопасности и обработки больших данных с помощью SOC (центра операций безопасности). Вы сможете пользоваться инструментами и механизмами эксплуатации ИТ, службой поддержки, базой данных управления конфигурацией, бизнес-анализом и системами для работы с большими данными, в частности Hadoop и Haven.

Безопасное и эффективное хранение данных
Воспользуйтесь возможностями анализа безопасности сгруппированных больших объемов данных, которые можно применять к более чем 100 ТБ сжатых данных на узел.

Мгновенное обнаружение
Собирайте и обрабатывайте до 100 000 событий в секунду, чтобы оперативно выявлять действия, влияющую на работу сети, в том числе атаки нулевого дня и внутрисистемные атаки.

Спецификации программного комплекта HPE ArcSight ESM на базе технологии CORR-Engine

Модель программного обеспечения ESM 20 Гбайт/день ESM 50 Гбайт/день ESM 100 Гбайт/день ESM 150 Гбайт/день ESM 250 Гбайт/день
Всего гигабайт в день (Гбайт/день) 20 50 100 150 2501
Среднее кол-во событий в сек.2 1000 2500 5000 7500 12500
Сетевые устройства 100 250 500 500 500
Именованные пользователи веб-интерфейса 10 25 25 25 25
Именованные пользователи консоли 2 3 3 3 3
Ресурсы с уязвимостями 10 000 10 000 10 000 10 000 10 000
Агенты IdentityView 50 50 50 50 50
Включенные лицензии для Connector Management 4 4 4 4 4
Системные рекомендации Низкие Средние Высокие
Процессоры 8 ядер 16 ядер 32 ядра
Память 36 Гбайт ОЗУ 64 Гбайта ОЗУ 128 Гбайт ОЗУ
Хранение данных 250 Гбайт дискового
пространства RAID 10
15 000 об/мин
1,5 Тбайта дискового
пространства RAID 10
15 000 об/мин
<= 8 Tбайт RAID 10
15 000 об/мин
Поддерживаемые операционные системы
Система Red Hat Enterprise Linux, версии 6.4 и 6.5 (64-разрядные)
SUSE 11 SP3 (64-разрядная)
Консоль Red Hat Enterprise Linux, версии 6.4 и 6.5 (64-разрядные)
SUSE 11 SP3 (64-разрядная)
Windows 7 SP1, 8, 8.1, Server 2008 R2
MacOS 10.7
Веб-браузеры Internet Explorer, Firefox, Chrome (Windows), Safari (MacOS)

1 – ESM можно расширить сверх 250 Гбайт/день путем обновления лицензии. Показатель Гбайт/день ограничивается только возможностями оборудования.
2 – показатель количества событий в секунду (EPS) используется исключительно для наглядности. ESM не лицензируется на основе EPS.