مدیریت حوادث و امنیت اطلاعات ArcSight


۱۳۹۸/۰۸/۲۷ Study time ۸ دقیقه

SOC برای اینکه خدمات و قابلیت‌هایی که از آن انتظار می‌رود را به مخاطبین خود ارائه کند، فناوری‌های مختلفی را به‌کار می‌گیرد. برای آن‌که خدمات و قابلیت‌های مورد انتظار برآورده شوند، نیاز است تا بین فناوری‌های مورد استفاده در مرکز SOC، همکاری و ارتباط برقرار شود. این ارتباط نیز می‌تواند به ساده‌ترین شکل، یعنی ارسال پیغام یا درک کامل پیغام و استفاده از آن، انجام شود. به همین دلیل است که باید یک فناوری به میان آمده و نقطه اتصالی برای ارتباط میان فناوری‌های دیگر باشد. این فناوریِ برقراری ارتباط، به‌عنوان نقطه تمرکز کانون مرکز SOC عمل می‌کند. این فناوری همان قلب مرکز SOC که همان SIEM یا سامانه مدیریت رویداد و اطلاعات امنیتی است. ArcSight محصول SIEM خود را با عنوان ESM معرفی کرده است.
یکی از معتبرترین شرکت‌های فعال در زمینه امنیت سایبری، ArcSight است که با تاسیس در سال 2000 و در کالیفرنیا، فعالیت خود را شروع کرد. تولید نرم‌افزارهای آنالیز امنیت مراکز داده بزرگ، به‌منظور ایجاد امنیت اطلاعات قوی و مدیریت رویدادها از جمله اهداف این شرکت عنوان شده است. کیفیت و عملکرد عالی این شرکت در حوزه امنیت سایبری، با صدرنشینی آرک‌سایت در لیست ارائه شده توسط گارتنر، به مدت 11 سال، تایید می‌شود. با خریداری شرکت ArcSight توسط HP در سال 2010، طرح اولیه‌ای ایجاد شد. ابتدا ساخت راه‌حل‌های Cache و افزایش سرعت در دستور کار قرار گرفت اما بعد از یک سال، به حوزه آنالیز رخدادهای امنیتی و همبستگی (correlation) لاگ‌ها روی آوردند که موفقیت‌های بزرگی را در پی داشت.

گسترش امنیت سایبری و همچنین سرعت سریع‌تر در کشف تهدیدات امنیتی برای مراکز SOC بسیار اهمیت دارد. با استفاده از ArcSight ESM 7.0 در مراکز SOC می‌توانید ویژگی‌های مدنظر خود را به‌دست آورید تا امکان جمع‌آوری 100000 لاگ در ثانیه را داشته باشید. یکی دیگر از ویژگی‌های بارز این محصول، ارائه visibility کامل از همه فعالیت‌های انجام گرفته در زیرساخت IT سازمان‌ها است. که این امر باعث می‌شود تا سازمان موردنظر، قادر به کشف و جلوگیری از مشکلات امنیتی خارجی و داخلی باشد. مشکلات خارجی همانند هکرها و بدافزارها و مشکلات داخلی همانند نشت اطلاعات و کلاهبرداری‌ها.
درحقیقت این راه‌حل به‌صورت چندسطحی عمل کرده و ابزارهایی را برای تحلیل‌گران امنیت شبکه، مدیران سیستم‌ها و کاربران تجاری فراهم‌آورده است. همان‌طور که اشاره شد، این محصول به‌عنوان قلب مرکز SOC عمل کرده و فناوری‌های زیر را درقالب تشخیص و پایش شبکه سازمان مورد استفاده قرار می‌دهد:
  • سیستم‌های تشخیص نفوذ شبکه و میزبان
  • دیوار آتش
  • دیوار آتش برنامه‌های کاربردی وب
  • بررسی‌کننده صحت فایل
  • سیستم‌های جلوگیری از نشت اطلاعات
  • ضدبدافزارها
  • ابزارهای تشخیص کلاه‌برداری
  • ابزارهای تولید رویداد سیستم‌عامل ویندوز و لینوکس
  • پویش‌گران آسیب‌پذیری
  • ArcSight ESM به‌عنوان یک نرم‌افزار، راه‌حلی جامع به‌شمار می‌رود. راه‌حلی که می‌تواند برای ترکیب پایش رویدادهای امنیتی سنتی با موارد زیر به‌کار رود:
  • هوش شبکه‌ای
  • همبسته‌سازی زمینه‌ای
  • تشخیص ناهنجاری‌ها
  • ابزارهای تحلیل تاریخچه‌ای و
  • اصلاح خودکار
  • علاوه‌بر این فناوری‌ها، رویدادها و داده‌های متنی را نیز دریافت کرده و پردازش‌های زیر را نیز روی آن‌ها انجام می‌دهد:
  • بررسی و تایید رویدادها
  • همبسته‌سازی
  • پایش و تحلیل
  • پس از انجام تمام این بررسی‌ها، درصورتی که برای ارائه خدمات مرکز SOC موردنیاز باشد، نتایج و تحلیل‌های به‌دست‌آمده به سایر فناوری‌ها همانند سیستم‌واکنش و پاسخ، ارسال خواهند شد.

    قابلیت‌های کلیدی ArcSight


    Community

    وجود مزایایی ازقبیل بهره‌مندی از قوانین امنیتی، داشبوردها و گزارش‌هایی که توسط متخصصان SOC ازطریق Micro Focus و ArcSight Community تهیه شده است. ArcSight Activate صدها راه‌حل موردنیاز را برای حل نیازهای امنیتی مدیریت رویداد، فراهم کرده است.


    Workflow Automation

    مراکز مانیتورینگ SOC می‌توانند با استفاده‌از تریاژ و شناسایی هشدارهای امنیتی توسط ArcSight ESM قدرتمندتر شوند. علاوه‌برآن قابلیتی برای ادغام، با استفاده‌از اجرای دستورات بر روی دستگاه‌های خارجی (به وسیله ArcSight Action Connectors) نیز فراهم شده است. این کار به ترسیم حملاتی که بر روی بستر شبکه اتفاق می‌افتند، کمک بزرگی خواهد کرد.


    Real-Time Data Correlation

    برای آن‌که از افزایش تهدیدات سایبری که قوانین داخلی را نقض می‌کنند و بستر شبکه را به‌خطر می‌اندازند جلوگیری شود، راه‌حلی توسط ArcSight ارائه شده است. این راه‌حل، جمع‌آوری داده‌ها و اطلاعات و Correlateکردن (مرتبط ساختن) رویدادها و ایونت‌ها در کمترین زمان است. این قابلیت با موتور منعطف و منحصربه‌فرد خود، به‌راحتی گره‌های Correlate را به SIEM اضافه خواهد کرد تا آن را مقیاس‌پذیر کند.


    ArcSight Investigate Integration

    برای اینکه درک بسیار بالایی از وضعیت شبکه داشته باشید، ArcSight این ویژگی منحصربه‌فرد را بر روی محصول خود ارائه کرده است. با استفاده‌از ArcSight Investigate، به‌عنوان نسل بعدی قابلیت جست‌وجو و تحقیق راه‌حل‌های کاربردی، یکپارچه‌سازی SIEM فراهم می‌شود. جست‌وجوها و تجسم داده‌ها در محیط عملیات امنیتی نیز بسیار سریع و به‌طور بصری انجام خواهند شد.


    ArcSight Data Platform

    یکی از راه‌کارهای تحویل و جذب هوشمندانه داده برای مراکز SOC مدرن، ADP Event Broker است. این راه‌کار بیش از 400 محصول را پشتیبانی می‌کند. از آنجا که ArcSight ESM برای مقیاس‌های بسیار بزرگ و سرعت بالا طراحی شده است، به‌طور کامل با این راه‌کار یکپارچه می‌شود.


    Multi-Tenancy And Unified Permissions Matrix

    ازجمله توانمندی‌های مدیریتی متمرکز می‌توان به آستانه‌های نقش‌محور و قوانین دسترسی یکپارچه، ماتریس اجازه‌ها و مسئولیت‌های توزیع و انتشار تمام داده‌ها و هشدارها درسطح مشتری اشاره کرد. ArcSight این توانمندی‌های مدیریتی را تقویت می‌کند.

    ویژگی‌های اصلی و مزایای ArcSight

  • جمع آوری و تجمیع log ها از تمامی منابع IT سازمان (شبکه، امنیت و سرورها)
  • مدیریت میلیون‌ها رویداد و اطلاعات امنیتی به منظور کسب درکی جامع و عمیق از فعالیت‌های مخاطره‌آمیز
  • نظارت‌بر کاربران به‌منظور شناسایی و جلوگیری از فعالیت‌های غیرمعمول و مخاطره‌آمیز
  • مدیریت پیکربندی شبکه و اصلاح معایب آن
  • شناسایی و رفع سریع آسیب پذیری‌های امنیتی مهم و پرخطر در سرویس‌ها و وب‌اپلیکیشن‌های سازمان
  • ایجاد گزارشات دقیق، انعطاف‌پذیر و در فرمت‌های مختلف مدنظر سازمان
  • اعمال سیاست‌های IT جهت تخصیص منابع شبکه و پهنای باند
  • بروزرسانی و پشتیبانی توسط ماهرترین متخصصین در تیم‌های DVLabs ،ArcSight ، Fortify و HP Labs
  • دارای مدل‌های Logger ،Express و ESM
  • ArchSight بهترین راهکار SIEM

    ArcSight به عنوان یک رهبر در جمع آوری و مدیریت رویداد امنیتی، قادر به ارائه راه حل‌های بهترین در کلاس برای مشتریان خود است. Obrela با استفاده از ArcSight به دنبال ارتقای امنیت سایبری و قابلیت‌ها و پیشنهادات SecOps می‌باشد. پلت فرم ArcSight با مقیاس پذیری و موثر بودن، به Obrela اجازه می‌دهد تا SecOps های سطح بالا را به مشتریان خود برای نیازهای امنیتی سایبری ارائه دهد. ArcSight چگونه می‌تواند SOC شما را بهبود بخشد و نیازهای امنیتی شما را برآورده کند؟
    شرکت ArcSight محصول خود را به دو صورت ارائه می‌دهد
  • سخت‌افزار از پیش آماده شده - Appliance
  • بسته نرم‌افزاری
  • به نوع نرم افزاری محصول ESM و به نوع Appliance آن ESM Express یا ESM Appliance گفته می‌شود. نسخه ESM Express به‌صورت پیش‌فرض دارای قابلیت‌های بیشتری نسبت به ESM است. البته این قابلیت‌های بیشتر روی ESM قابل اضافه‌شدن نیز هستند.