• Řešení infrastruktury
• Bezpečnost
• Řešení bezpečnosti informací a správy událostí
• Efektivní log management

Efektivní log management

Bojujte s počítačovou kriminalitou, hlídejte dodržování pravidel a zmodernizujte provoz IT

• Chybí Vám ucelený pohled na stav bezpečnosti informací?
• Jste zahlceni bezpečnostními incidenty?
• Potřebujete kontrolovat a vynucovat dodržení bezpečnostních politik a jiných směrnic?
• Hledáte efektivní nástroj pro auditing, comliance management nebo trouble shooting?

Potřeba komplexního řešení správy počítačových záznamů (Log Management)

Stále více dat, transakcí a uživatelů online znamená, že podniky a státní instituce na celém světě jsou pořád zranitelnější vůči podvodům, krádežím a narušením ze strany různých hackerů, malwaru i neloajálních vlastních zaměstnanců. Během jediného roku způsobily krádeže dat a narušení způsobená počítačovou kriminalitou celkové ztráty ve výši biliónu dolarů, vyjádřeno v hodnotě intelektuálního vlastnictví a souvisejících výdajů. Toto trvale narůstající riziko počítačové kriminality následně vyvolalo vlnu regulačních opatření. Dnes i středně velké organizace bývají nuceny vynakládat peníze a úsilí na to, aby vyhověly různým nařízením, jako jsou Sarbanes-Oxley, HIPAA, FISMA, GLBA, PCI, BASEL II, NERC, mezinárodní zákony o ochraně osobních dat a mnoho dalšího.

Automaticky shromažďované údaje mohou posloužit jako auditní záznamy, jejichž analýza může pomoci při odhalování a vyšetřování počítačové kriminality, usnadnit pravidelné audity a zlepšit provoz IT. Mají-li ovšem komerční řešení pro správu počítačových záznamů obstát i proti dnešním sofistikovaným a neustále se zdokonalujícím hrozbám, musí umožnit sběr kompletních údajů, jejich efektivní skladování a rychlou a intuitivní analýzu všech strukturovaných i nestrukturovaných dat o zaznamenaných událostech.

ArcSight Logger: řešení pro správu počítačových záznamů na světové úrovni

Tradiční Log Management řešení selhávají, když mají současně vyhovět potřebám bezpečnosti, regulačním nařízením a požadavkům IT týmů. Buď se soustředí jen na strukturovaná data pro bezpečnostní analýzy nebo pouze na nestrukturovaná data pro IT provoz. ArcSight Logger sjednocuje reporting, systém varování, prohledávání a analýzy pro všechny typy celopodnikových informací. Je jedinečný svou schopností shromažďovat a analyzovat ohromná množství dat, která moderní sítě generují.

ArcSight Logger se zaměřuje na:

• boj s počítačovou kriminalitou pomocí jednotné analýzy všech typů dat, umožňující jednodušší a rychlejší forenzní vyšetřování;
• prokazování shody s regulačními nařízeními pomocí shromažďování a uchovávání auditních dat, předpřipraveného reportingu a efektivního mnohaletého udržování všech údajů podléhajících regulaci; a
• modernizování IT provozu pomocí rychlejšího, lepšího a jednoduššího prověřování všech typů provozních dat potřebných pro řízení změn, správu sítí a správu aplikací.

Kompletní sběr

ArcSight Logger podporuje sběr syrových nebo nestrukturovaných záznamů z libovolných systémových nebo souborových protokolů (syslog ap.) a disponuje také obrovskou knihovnou konektorů (ArcSight Connectors), které dokáží sbírat údaje z více než 275 různých zdrojů generujících vlastní protokoly. Kromě toho zahrnuje i nástroj ArcSight FlexConnector, který možnosti sběru dat dále rozšiřuje i na libovolné zákaznické zdroje a firemní aplikace potřebné kvůli regulačním nařízením a forenznímu zkoumání. ArcSight Connectors se dají nasazovat jako software nebo jako speciální zařízení do datových center a do regionálních poboček, aby tam zajistily bezpečný a spolehlivý sběr údajů. Tyto konektory také nabízejí kontrolu šířky pásma, určování priorit pro posílání záznamů, lokální kešování a další opatření za účelem minimalizace ztráty dat resp. nežádoucího ovlivňování kritických podnikových procesů.

Forenzní detaily za provozu

ArcSight Logger má pro konkrétní role různé personalizované ovládací pulty, kterými jsou potřebné výstupy sdruženy do jediné konzole. Z těchto souhrnných ovládacích pultů se pak uživatel snadno dostane i na specifické reporty a simulované auditní postupy. Výkazy (reporty) v ArcSight Loggeru dodržují obecný formát pro události a nevyžadují žádnou znalost podoby protokolů pocházejících z jednotlivých zdrojů. Není proto nutné analyzovat záznamy ze specifických zařízení konkrétních výrobců. Zajímavé výsledky obsažené ve výkazech lze dále analyzovat pomocí jednoduchého vyhledávání ve stylu Google a tak zkoumat libovolná strukturovaná i nestrukturovaná zaznamenaná data. Také je možné definovat vyhledávací šablony, které se v případě shody použijí k okamžitému varování na konzoli ArcSight Loggeru nebo přes SMTP, SMNP ev. syslog.
Uživatelé se navíc z obdrženého varování mohou dostat přímo do podložní databáze událostí, které toto varování vyvolaly, a analyzovat původní příčinu. Tady právě má klíčový význam nestrukturované vyhledávání plus rychlost a výkonnost, protože analýza může vést na data, která jsou buď hodně stará nebo jsou v jiném formátu. Tento logický průchod různými formami analýzy eliminuje nutnost připravovat si v každé fázi zkoumání nový obsah.

Výkonnost bez kompromisů

Většina nástrojů na správu záznamů dosahuje potřebné rychlosti při analýze jen za cenu kompromisů v rychlosti sběru dat a v efektivnosti jejich ukládání anebo klade požadavky na rozšiřování hardwaru. ArcSight Logger má jedinečnou architekturu, která takové kompromisy minimalizuje a umožňuje, aby jeho jediné speciální zařízení sbíralo syrové záznamy rychlostí až 100 tisíc událostí za vteřinu, komprimovalo je a uchovávalo až 42 TB záznamů, nebo prohledávalo milióny událostí za vteřinu, strukturovaných i nestrukturovaných.

Flexibilní úložiště

Vedle zabudovaného úložiště umožňujícího práci v uspořádání RAID umí ArcSight Logger k ukládání záznamů využít i existující investice do zařízení typu SAN (Storage Area Network). Ať už je úložiště zabudované nebo externí, zaznamenávaná data se efektivně komprimují v poměru 10:1. Kontrola přístupu je postavena na rolích a chrání jak systém tak záznamy o událostech. Pro dobu uchovávání lze definovat více způsobů, v závislosti na regulačních pravidlech, typech zdrojů nebo IP adresách. Jakmile jsou zásady uchovávání (retention policy) definovány, systém je vynucuje zcela automaticky a žádné ruční mazání nebo čištění dat není nutné.

Přednastavený obsah

ArcSight Logger se dodává se systémem obsahujícím vše potřebné k využití pro počítačovou bezpečnost, dodržování základních pravidel a monitorováni IT provozu. Pro regulační nařízení jako např. PCI a SOX jsou k dispozici doplňková řešení, odpovídající dobře známým normám, např. NIST 800-53, ISO-17799 a SANS.


Pro malé i velké organizace

Přidávání dalších zařízení ArcSight Logger k již nasazeným zařízením lineárně rozšiřuje výkonnost při sběru a analýze dat, jakož i zabudovanou úložnou kapacitu. Proto velké organizace s mnoha administrativními doménami nebo smluvními poskytovateli bezpečnostních služeb (MSSPs) mohou nasazovat více zařízení ArcSight Logger uspořádaných hierarchicky nebo způsobem peer-to-peer a tak rozšiřovat kapacitu a výkonnost podle potřeby. Jelikož se znásobená zařízení ArcSight Logger provozují jako pole, je kdykoli možné získat celofiremní pohled na veškeré záznamy o událostech.

Snadné nasazování a správa

Správa počítačových záznamů je s hardwarovým a energeticky úsporným zařízením ArcSight Logger a jeho unikátní architekturou dokonale integrována. Nevyžaduje se žádná databázová kvalifikace a jelikož se veškerá administrace uskutečňuje přes webové GUI, je nasazování i následná správa jednoduchá a bez nutnosti instalovat nějaký klientský software.

Záznamová data pro audity kvality

Využití záznamů při auditech dodržování regulačních pravidel a při případných sporech vyžaduje, aby organizace prokázala integritu a dostupnost záznamových dat v pohybu i v klidu. Několik kontrolních prvků pro audity je do ArcSight Loggeru přímo zabudováno. Konektory ArcSight zařizují lokální kešování ve vzdálených lokalitách a tím zmírňují dopady ztráty spojení s datovým centrem. ArcSight Logger také podporuje automatické přepojení z chybného konektoru ve vzdálené lokalitě na sekundární, centrální ArcSight Logger.

Záznamy se přenášejí spolehlivě a ukládají se, aby se zajistilo, že se kritické události neztratí vlivem zahlcených přenosových spojů, nedostatku bufferů ve zdroji nebo nespolehlivého přenosového protokolu. Testy integrity se provádějí v souladu s normou NIST 800-92 Log Management. Většina státních institucí vyžaduje velice specifické normy pro bezpečnost a interoperabilitu. ArcSight Logger těmto požadavkům vyhovuje, neboť podporuje FIPS i CAC.

Doplňte svou SIEM investici

Řešení pro správu počítačových záznamů (Log Management) a pro bezpečnost informací a správu událostí (Security Information and Event Management, SIEM) vyhodnocují táž výchozí data. Organizace proto z obou těchto investic očekávají synergii. ArcSight Logger může doplnit každou SIEM investici tím, že jí dodá nákladově efektivní dlouhodobé skladiště záznamů. A zcela konkrétně řečeno, je to řešení oboustranně integrované se špičkovou nabídkou z oblasti SIEM – produktem ArcSight ESM, a dodává se spolu s ArcSight Express.

Tato integrace umožňuje, aby ArcSight Logger flexibilně předával bezpečnostní události do ArcSight ESM k okamžité korelaci s dalšími zařízeními, k vizualizaci a k detekci ohrožení. Následně mohou ArcSight ESM a ArcSight Express odesílat korelovaná varování zpět do ArcSight Loggeru k dohledání a archivaci pomocí jediného klepnutí myši. ArcSight je jedinečný tím, že nabízí těsně integrovanou platformu pro obě oblasti, Log Management a SIEM, s výhodou společné sběrné infrastruktury zajišťující nízké provozní náklady (TCO) a vysokou návratnost (ROI).

Výhody spojení S&T a ArcSight:

ArcSight (NASDAQ: ARST) je předním globálním poskytovatelem řešení z oblasti řízení bezpečnosti a dodržování regulací, která jsou určena k ochraně podniků a státních organizací. ArcSight pomáhá zákazníkům vyhovět firemní a regulační politice, ochránit jejich majetek a procesy, a kontrolovat rizika. Kvalitu jejich řešení oceňují jak spokojení zákazníci, tak i mnohá oborová ocenění nebo například analytické studie Gatner Magic Quadrant, které je hodnotí již 7 let po sobě jako market leadra v oblasti SIEM.

Společnost S&T je uznávána analytiky a hodnotiteli v tomto odvětví, jako je například Gartner, IDC a Outsourcing Journal, jako jeden z lídrů trhu v oblasti strategických konzultací a komplexních implementací. S&T úspěšně spolupracuje se společností ArcSight několik let v celém regionu střední a východní Evropy. Získané zkušenosti z mnoha různých projektů koncetruje do vlastního kompetenčného centra, z něhož zákazníci mohou získat rychlejší odezvu, kvalitnější a efektivnější řešení a zkušené konzultační a implementační služby.