Adatlap
Cisco Security MARS 4.2 verziója A Cisco Security MARS nevű biztonsági megfigyelő, elemző és válaszadó rendszere egy készülék alapú, átfogó megoldás, amely egyedülálló módon átláthatóvá és irányíthatóvá teszi a meglévő biztonsági rendszerelemeket. A Cisco biztonságfelügyeleti életciklus-programjának részét képező Cisco Security MARS segítségével a biztonsági és hálózati szervezetek időben felismerhetik és kezelhetik a biztonsági kockázatokat, és meghozhatják velük szemben a szükséges ellenlépéseket. A meglévő hálózati és biztonsági rendszerrel együttműködve felismeri és elszigeteli a támadásokat, és javaslatot tesz azok precíz eltávolítására. Emellett segíti a belső szabályok betartását, valamint az átfogó szabálykövetési megoldás integrált részeként is működhet.
A biztonsági és a hálózati rendszergazdáknak többek között az alábbi kihívásokkal kell szembenézniük: •
Biztonsági és hálózati információtúlterhelés
•
A támadások és rendszerhibák alacsony hatékonyságú felismerése, rangsorolása és gyenge válaszlépések
•
Kifinomultabb és gyorsabb támadások, valamint magasabb elhárítási költségek
•
A törvényi és hatósági előírások, illetve a felülvizsgálatok követelményeinek való megfelelés
•
A biztonsági rendszer személyi állományára és költségvetésére érvényes korlátozások
A Cisco Security MARS a fenti kihívásokra a következő válaszokat adja: •
A hálózati anomáliák és a biztonsági események közötti korreláció modernizálását szolgáló integrált hálózati adatelemzés
•
Az ellenőrzött incidensek megjelenítése és a kivizsgálás automatizálása
•
A támadások elhárítása a meglévő hálózati és biztonsági infrastruktúra teljes körű támogatásával
•
A rendszer, a hálózati és a biztonsági műveletek figyelemmel kísérése az előírások betartásának elősegítésére
•
Jól méretezhető eszköz, amely könnyen telepíthető és a legalacsonyabb teljes élettartamköltség mellett üzemeltethető
A Cisco Security MARS a nyers hálózati és biztonsági információkat olyan intelligens adatokká alakítja át, amelyekkel kivédhetők a biztonsággal kapcsolatos események, és biztosítható az előírások betartása. Ezzel a felhasználóbarát veszélyelhárító eszközcsaláddal a hálózatüzemeltetők a hálózati infrastruktúra már meglévő hálózati és biztonsági eszközeit felhasználva központosíthatják, észlelhetik, elháríthatják és jelenthetik az elsődleges veszélyeket. A MÉLYSÉGI VÉDELEM DILEMMÁJA Az információbiztonsági gyakorlati módszerek a korábban alkalmazott internetes határvédelem helyett ma már mélységi védelem modellé értek, amelyekben a többszörös ellenintézkedések az infrastruktúra több pontján kezelik a sérülékenységi problémákat és a támadásokat. Erre a támadások növekvő gyakorisága, nagyobb kifinomultsága és sebessége miatt van szükség, mivel mára már egyre elmosódottabbá vált a hálózat és a peremterületek közötti határvonal. Naponta több ezer támadással próbálják kihasználni a hozzáférési pontok és a rendszerek sérülékenységeit. A modern kombinált támadások célja, hogy jogosulatlan hozzáférést szerezzenek a rendszerekhez, és azokat kívülről irányíthassák. A férgek elburjánzása, a még nem ismert (zero-day) támadások, vírusok, trójai programok, kémprogramok és egyéb támadások még a legerősebb infrastruktúrákat is próbára teszik, hosszabb válaszidőt, leállást és költséges hibaelhárítást eredményezve.
Az anyag teljes tartalma szerzői jogi védelem alatt áll. © 1992–2006 Cisco Systems, Inc. Minden jog fenntartva. A dokumentum a Cisco által közzétett nyilvános információkat tartalmaz.
1/8
A szerverek és a hálózati eszközök magas száma mellett minden egyes biztonsági komponens is külön eseménynaplózást és riasztást kínál. Ez sajnos rengeteg zajjal, riasztással, naplófájllal és téves riasztással jár, amit a hálózatüzemeltetőknek észlelniük és hatékonyan hasznosítaniuk kell. Mindennek persze előfeltétele, hogy elegendő idő és személyzet álljon rendelkezésre az adatok kielemzéséhez és értelmezéséhez. Ráadásul a hatósági előírásoknak való megfelelés szigorú adatvédelmet, magas szintű üzembiztonságot és folyamatos auditálási eljárásokat követel. A BIZTONSÁGI ADATOK HATÉKONYABB FELÜGYELETE A biztonsági adatok és események felügyeletéért felelős termékek elvileg csillapíthatják ezeket a problémákat, pontosabban mérhetővé és ezáltal kezelhetővé teszik a különböző veszélyeket. Az ilyen termékekkel a hálózatüzemeltetők központilag felügyelhetik a biztonsági eseményeket és naplókat, korlátozott korrelációs és lekérdezési technikákkal kielemezhetik az adatokat, majd riasztásokat és riportokat készíthetnek az egymástól elszigetelt eseményekről. Sajnos azonban sok első és második generációs biztonsági információs és eseményfelügyeleti termék nem rendelkezik megfelelő hálózati intelligenciával és teljesítménnyel ahhoz, hogy megfelelő pontossággal azonosítsa és ellenőrizze az egymással kapcsolatban lévő eseményeket, hatékonyan lokalizálja a támadások útvonalát, célzottan eltávolítsa a veszélyforrásokat, és nagyszámú biztonsági eseményt legyen képes feldolgozni. A Cisco Systems® ezeket a biztonsági problémákat és felügyeleti hiányosságokat kiválóan méretezhető vállalati veszélyelhárító eszközök családjával kívánja megoldani. A Cisco Security MARS könnyen rendszerbe állítható és használható, valamint költséghatékony biztonsági vezérlőmegoldása nagyszerűen kiegészíti az eddigi hálózati és biztonsági infrastruktúrát. A nagy teljesítményű, jól méretezhető Cisco Security MARS veszélyelhárító eszközcsalád hatékonyabbá teszi a hálózati eszközöket és biztonsági ellenintézkedéseket. Ehhez a hálózati adatelemzés, a ContextCorrelation™ tartalomkorrelációs szolgáltatást, a Sure Vector™ vektorelemzést és az AutoMitigate™ megoldást használja fel, amelyekkel a vállalatok szinte azonnal felismerhetik, kezelhetik és megszüntethetik a hálózatot ért támadásokat, és biztosíthatják a különböző előírások betartását. A Cisco Security MARS szorosan együttműködik a Cisco Security Management biztonsági felügyeleti programcsomagjával. Az együttműködésnek köszönhetően a forgalomfüggő rendszernapló-üzenetek visszanyomozhatók azokhoz a Cisco Security Managerben meghatározott tűzfalszabályokhoz, amelyek az eseményeket kiváltották. A szabálykeresés gyors oda-vissza elemzést tesz lehetővé, mellyel elháríthatók a tűzfal-konfigurációval kapcsolatos hálózati problémák és a szabálykonfigurációs hibák, valamint elvégezhető a létrehozott szabályok finomhangolása.
JELLEMZŐK ÉS ELŐNYÖK Hálózati intelligens eseményösszegyűjtés és teljesítményfeldolgozás A Cisco Security MARS a hálózati adatelemzést az útválasztók, a kapcsolók és a tűzfalak topológiája és eszközbeállításával, valamint a hálózati forgalom profilozásával valósítja meg. A rendszer integrált hálózatfelismerési funkciója a topológiatérképre épül, amely tartalmazza a hálózaton átáramló csomagáramlás modellezéséhez szükséges eszközkonfigurációs és az aktuális biztonsági előírásokat. Mivel a készülék nem közvetlenül a forgalom útjába építve („inline”) üzemel, és csak minimálisan használja a meglévő ügynökszoftvereket, ezért alig vagy semennyire sem befolyásolja a hálózat vagy a rendszer működését. A készülék központilag összesíti egy sor hálózati eszköz (pl. útválasztók és kapcsolók), biztonsági eszköz és alkalmazás (pl. tűzfalak, behatolásvédelmi rendszerek, sérülékenységvizsgálók és vírusvédelmi alkalmazások), valamint hostgépek (pl. Windows, Solaris és Linux rendszernaplók), alkalmazások (pl. adatbázisok, webszerverek és hitelesítési kiszolgálók) és a hálózati forgalom (pl. Cisco NetFlow) naplóadatait és eseményeit. Cisco ContextCorrelation Az eseményeket és adatokat a beérkezést követően a rendszer a topológia, az észlelt eszközkonfigurációk, ugyanazon forrás- és célalkalmazások (NAT-határok) és hasonló támadási típusok szerint rendszerezi. A hasonló eseményeket valós időben munkamenetekbe csoportosítja.
Az anyag teljes tartalma szerzői jogi védelem alatt áll. © 1992–2006 Cisco Systems, Inc. Minden jog fenntartva. A dokumentum a Cisco által közzétett nyilvános információkat tartalmaz.
2/8
A rendszer és a felhasználó által definiált korrelációs szabályokat ezután több munkamenetre alkalmazva beazonosítja az incidenseket. A Cisco Security MARS egy sor előre beállított szabállyal együtt kerül forgalomba, amelyet a Cisco rendszeresen frissít, és amelyek képesek felismerni a legtöbb támadási forgatókönyvet, a még nem ismert támadásokat és férgeket. Az egyes alkalmazásokra létrehozandó felhasználók által definiált egyedi szabályok elkészítését egy grafikus szabálykészítő keretrendszer segíti. A ContextCorrelation jelentősen csökkenti a nyers eseményadatok számát, elősegíti a válaszok rangsorolását, és a lehető legtöbbet valósítja meg az alkalmazott ellenintézkedésekből. Nagy teljesítményű adatgyűjtés és osztályozás A Cisco Security MARS több ezer nyers eseményt rögzít, páratlan adatredukcióval osztályozza az incidenseket, és mindezeket az információkat tömöríti az archiváláshoz. Ezen óriási mennyiségű biztonsági esemény kezeléséhez elengedhetetlen a biztonságos és stabil, központi naplózási platform. A Cisco Security MARS készülékek tökéletesen biztonságosak, és kimondottan nagy forgalomhoz tervezték őket. Ez másodpercenként 10 ezernél is több eseményt vagy 300 ezer Cisco NetFlow eseményt is jelenthet. Ezt a nagy teljesítményű korrelációt az „inline” adatfeldolgozó logika és a beágyazott Oracle rendszerek teszik lehetővé. A felhasználó számára valamennyi adatbázis-funkció és hangolás jól átlátható. A beépített tárolókapacitás és az előzményadatok archívumainak a hálózati fájlrendszer (NFS) másodlagos tárolóeszközeire történő folyamatos tömörítése révén a Cisco Security MARS nagyon megbízható biztonsági naplózási/eseményaggregálási megoldást kínál. Események ábrázolása és elhárítása A Cisco Security MARS jelentősen felgyorsítja és leegyszerűsíti a veszélyek beazonosítását, kivizsgálását, ellenőrzését és elhárítását. A biztonságért felelős személyzet gyakran olyan eszkalálódott eseményekkel szembesül, amelyeknél a megfelelő megoldás megtalálásához és a probléma orvoslásához időigényes elemző munkát kell végezniük. A Cisco Security MARS nagy teljesítményű, interaktív biztonsági felügyeleti műszerfalnézettel segíti a munkát. A hálózatüzemeltető grafikus felhasználói felületén lévő topológiatérképen valós időben láthatók a hotspotok, az események, a támadások útvonalai, illetve részletes adatgyűjtés végezhető az események teljes körű leírásával, ami a veszélyek azonnali ellenőrzését segíti elő. A Cisco Sure Vector elemzés a teljes támadási útvonalat egészen a végpont MAC-címéig követve feldolgozza a hasonló események munkamenetét, és eldönti, hogy valós veszélyről van-e szó, illetve hogy valamilyen ellenintézkedést foganatosítottak-e már ellene. Az automatizált folyamat részeként a rendszer elemzi az eszköznaplókat, így például a tűzfalak és a behatolásmegelőző alkalmazások naplófájljait, a külső sérülékenységértékelési adatokat, és a Cisco Security MARS végpontvizsgálatát követően törli a téves riasztásokat. A téves riasztások számát egyébként a felhasználók a rendszer finomhangolásával gyorsan tovább csökkenthetik. A biztonsági programok alapvető célja, hogy a rendszerek online állapotban maradjanak, és megfelelően ellássák funkciójukat. Ez alapvető fontosságú a biztonsági veszélyhelyzetek elkerülése, az események megakadályozása, illetve a helyreállítás elősegítése szempontjából. A Cisco Security MARS rendszerrel a hálózatüzemeltetők gyorsan felmérhetik a támadásban érintett rendszerkomponensek körét, egészen a támadó és veszélyeztetett rendszer MAC-címéig. A Cisco AutoMitigate kínálta lehetőségekkel könnyedén beazonosíthatók a támadás útvonalában a szűk kapcsolódási pontok, és a rendszer a veszélyek elhárításához szükséges eszközparancsokat is automatikusan a felhasználó rendelkezésére bocsátja. Mindennek eredményeként a támadások gyorsan és pontosan megelőzhetők, illetve feltartóztathatók. Valós idejű adatgyűjtés és jelentéskészítés az előírások betartásáról A Cisco Security MARS egyszerűen használható elemzési keretrendszerével racionalizálhatók a hagyományos biztonsági munkafolyamatok, így a napi műveletekhez és az eseti felülvizsgálatokhoz automatikus esetkiutalás, adatgyűjtés, eszkaláció, értesítés és annotálás áll rendelkezésre. A korábbi események elemzéséhez a rendszer grafikusan visszajátssza a támadásokat, és visszakeresi az eltárolt eseményadatokat. A rendszer teljes mértékben támogatja a valós idejű és a további adatbányászati feladatokhoz szükséges eseti lekérdezéseket. A működési feltételek kielégítéséhez és az előírások betartásához a Cisco Security MARS számos előre gyártott riportot kínál, így például az Egyesült Államokban kötelező előírásokra (Sarbanes–Oxley-féle, GLBA, HIPAA és a FISMA törvény), illetve az Európai Unióban érvényes ún. Basel II előírásokra vonatkozólag. Az emberközeli riportkészítő programmal egyszerűen módosítható a mintegy nyolcvan különféle szabványos riport, illetve új riportok hozhatók létre korlátlan eszközre vonatkozó akció- és helyreállítási tervhez, esemény- és hálózati tevé-
Az anyag teljes tartalma szerzői jogi védelem alatt áll. © 1992–2006 Cisco Systems, Inc. Minden jog fenntartva. A dokumentum a Cisco által közzétett nyilvános információkat tartalmaz.
3/8
kenységek, biztonsági feltételek és felülvizsgálatok, illetve az egyes részlegek riportjaihoz (adat, trend vagy táblázat alapú formában). A rendszer emellett támogatja a kötegelt és az e-mailben küldött riportkészítést. Hálózati hozzáférés-szabályozás támogatása A Cisco Security MARS a 2. rétegbeli kapcsolóknál és a Cisco Secure Access Control Server (ACS) kiszolgálóknál jelentkező 802.1x típusú hitelesítési eseményeket kielemzi, normalizálja, korrelálja, és riportot készít azokról. A Cisco Security MARS az EAP protokoll segítségével ugyanezt teszi a 3. rétegbeli útválasztók és a Cisco VPN 3000 sorozatú koncentrátorok esetében. Ennek eredményeként az ügyfelek az eszközhitelesítési módszerek hibakeresése során meghatározhatják a kapcsoló, a Cisco Secure ACS, az ellenőrzött végpont és a külső hitelesítő forrás, pl. Active Directory vagy hálózati adatszolgálat (NIS) közötti kapcsolatrendszert. A Cisco Security MARS központi riportkészítést végez a hálózat hozzáférés-szabályozás (NAC) 1. és 2. fázis paramétereire, amelyek az eszköz- és a posture-hitelesítés sikertelenségének okára hívják fel a figyelmet. Ilyen riportok lehetnek például:
•
Felhasználói riport
•
Felhasználó részletes adatai
•
Végpont részletes adatai
•
Visszautasított végponti riport
•
Végponti állapotlekérdezés sikertelenségére vonatkozó riport
•
Alkalmazás szintű posture token disztribúciós riport
•
A tíz legfontosabb végponti és felhasználói szabályszegési riport
•
Helyreállítási idő végponti riportonként
Megosztott veszélyelhárítás A Cisco Security MARS megosztott veszélyelhárítási (Distributed Threat Mitigation) szolgáltatása a Cisco behatolásmegelőző rendszerű (IPS) eszközeivel együttműködve azonosítja a hálózaton észlelt leginkább aktív támadásokat, majd frissített vírusleíró fájlokat (SDF) hoz létre és tesz közzé a hálózathoz kapcsolódó bármely Cisco IOS® IPS eszközön. Ezzel a funkcióval garantálható, hogy az erőforrásokban korlátozott Cisco IOS IPS eszközök a hálózat kevésbé korlátozott hozzáférésű IPS eszközeit támadó vírusleírókra összpontosítják figyelmüket. Gyors telepíthetőség és jól méretezhető felügyelet A Cisco Security MARS a TCP/IP-hálózat részeként syslog üzeneteket és SNMP-trapeket küldhet és fogadhat, valamint szabványos biztonságos és gyártóspecifikus protokollok segítségével biztonságos kapcsolatot létesíthet a biztonsági és rendszereszközökkel. A Cisco Security MARS telepítése és rendszerbe állítása semmilyen további hardvereszközt, operációsrendszer-hibajavítást, licencet vagy hosszadalmas szakmai szolgáltatási kötelmet nem igényel. A naplózási forrásoknak egyszerűen csak a készüléket kell megadni, majd a hálózatot és a forrást a webes GUI-n keresztül. A Cisco Security MARS gyorsan rendszerbe állítható a meglévő syslog-ng vagy Kiwi syslog kiszolgálókról érkező üzenetek továbbításával. Ezzel a szolgáltatással sok olyan hálózati és eszközmódosítás elkerülhető, amely a Cisco Security MARS működő hálózatba történő telepítéséhez szükséges. A készülék központilag, egy biztonságos webes felületről felügyelhető, amely támogatja a szerepkör alapú hálózati adminisztrációt. A külön rendelhető Global Controller készülékkel a biztonsági műveletek széles köre irányítható központilag, a teljes vállalat egyetlen nézetben jeleníthető meg, a hozzáférési jogosultságok, konfigurációs beállítások, frissítések, egyedi szabályok és jelentéssablonok könnyedén terjeszthetők, a gyorsabb lekérdezések és a helyileg feldolgozott jelentések révén pedig összetett információgyűjtés végezhető. Miután a helyi Cisco Security MARS készülékek az egész szervezetben lefuttatják a lekérdezéseket, és érvényesítik a vonatkozó szabályokat, az így kapott eredményeket hatékonyan összevonva gyors és központosított elemzésre küldik a rendszer Global Controller vezérlőjéhez. Ez a
Az anyag teljes tartalma szerzői jogi védelem alatt áll. © 1992–2006 Cisco Systems, Inc. Minden jog fenntartva. A dokumentum a Cisco által közzétett nyilvános információkat tartalmaz.
4/8
jól méretezhető architektúra az elosztott adatfeldolgozás és tárolás újabb szintjét eredményezi. A végeredmény: költséghatékonyabb telepítés és jobb felügyelhetőség, ami különösen a nagy és földrajzilag elszórt elhelyezkedésű szervezetek esetében jelent óriási előnyt. A Cisco Security MARS műszaki specifikációi A Cisco Security MARS termékcsalád a különböző szervezeti igényekhez és telepítési forgatókönyvekhez illeszkedve különböző teljesítményszintekkel és ezeknek megfelelő árszinteken kapható (l. 1. táblázat).
1. táblázat Cisco Security MARS termékek Cisco cikkszám (Local Controller modellek)
Esemény/mp*
NetFlow folyamat/mp
Tárolókapacitás
Rack-méret
Teljesítmény
Cisco Security MARS 20R (CS-MARS-20R-K9)
50
1500
120 GB (nem RAID)
1 U x 16”
300 W, 120/240 V automatikus váltás
Cisco Security MARS 20 (CS-MARS-20-K9)
500
15 000
120 GB (nem RAID)
1 U x 16”
300 W, 120/240 V automatikus váltás
Cisco Security MARS 50 (CS-MARS-50-K9)
1000
30 000
240 GB RAID 0
1 U x 25,6”
300 W, 120/240 V automatikus váltás
Cisco Security MARS 100e (CS-MARS-100E-K9)
3000
75 000
750 GB RAID 10 üzem közben cserélhető
3 U x 25,6”
500 W megkettőzött, 120/240 V automatikus váltás
Cisco Security MARS 100 (CS-MARS-100-K9)
5000
150 000
750 GB RAID 10 üzem közben cserélhető
3 U x 25,6”
500 W megkettőzött, 120/240 V automatikus váltás
Cisco Security MARS 200 (CS-MARS-200-K9)
10 000
300 000
1 TB RAID 10 üzem közben cserélhető
4 U x 25,6”
500 W megkettőzött, 120/240 V automatikus váltás
Cisco Security MARS 20R (CS-MARS-20R-K9)
50
1500
120 GB (nem RAID)
1 U x 16”
300 W, 120/240 V automatikus váltás
Cisco Security MARS 20 (CS-MARS-20-K9)
500
15 000
120 GB (nem RAID)
1 U x 16”
300 W, 120/240 V automatikus váltás
Cisco Security MARS 50 (CS-MARS-50-K9)
1000
30 000
240 GB RAID 0
1 U x 25,6”
300 W, 120/240 V automatikus váltás
Cisco Security MARS 100e (CS-MARS-100E-K9)
3000
75 000
750 GB RAID 10 üzem közben cserélhető
3 U x 25,6”
500 W megkettőzött, 120/240 V automatikus váltás
Cisco Security MARS 100 (CS-MARS-100-K9)
5000
150 000
750 GB RAID 10 üzem közben cserélhető
3 U x 25,6”
500 W megkettőzött, 120/240 V automatikus váltás
Cisco Security MARS 200 (CS-MARS-200-K9)
10 000
300 000
1 TB RAID 10 üzem közben cserélhető
4 U x 25,6”
500 W megkettőzött, 120/240 V automatikus váltás
Cisco Security MARS 20R (CS-MARS-20R-K9)
50
1500
120 GB (nem RAID)
1 U x 16”
300 W, 120/240 V automatikus váltás
Cisco Security MARS 20 (CS-MARS-20-K9)
500
15 000
120 GB (nem RAID)
1 U x 16”
300 W, 120/240 V automatikus váltás
Cisco Security MARS 50 (CS-MARS-50-K9)
1000
30 000
240 GB RAID 0
1 U x 25,6”
300 W, 120/240 V automatikus váltás
Cisco cikkszám (Global Controller modellek)
Elosztott felügyelet Támogatott modellek
Max. létesíthető kapcsolat
Tárolókapacitás
Rack-méret
Teljesítmény
Cisco Security MARS GCm (CS-MARS-GCM-K9)
Csak Cisco Security MARS 20/50
5
1 TB RAID 10 üzem közben cserélhető
4 U x 25,6”
500 W megkettőzött, 120/240 V automatikus váltás
Cisco Security MARS GC (CS-MARS-GC-K9)
Összes
Jelenleg nem korlátozott
1 TB RAID 10 üzem közben cserélhető
4 U x 25,6”
500 W megkettőzött, 120/240 V automatikus váltás
*
Esemény/másodperc: Dinamikus korrelációt mutató események másodpercenkénti maximális száma, miközben az összes funkció aktív.
Az anyag teljes tartalma szerzői jogi védelem alatt áll. © 1992–2006 Cisco Systems, Inc. Minden jog fenntartva. A dokumentum a Cisco által közzétett nyilvános információkat tartalmaz.
5/8
Az adatok dinamikus kapcsolat alapú korrelációja •
Anomáliák észlelése (a Cisco NetFlowra is kiterjedően)
•
Az események viselkedés és szabály alapú egybevetése
•
Átfogó beépített és felhasználó által definiált szabályok
•
Automatikus NAT-normalizáció
Topológiai feltérképezés •
3. és 2. rétegbeli útválasztók, kapcsolók és tűzfalak
•
Hálózati IDS blade szerverek és készülékek
•
Manuális és időzített hálózatfelismerés
•
SSH, SNMP, Telnet és készülékspecifikus kommunikációs csatornák
Sérülékenységfelmérés •
Eseményvezérelt, célzott, hálózati és hostgép alapú azonosítás
•
Kapcsoló, útválasztó, tűzfal és NAT-konfiguráció elemzése
•
Sérülékenységi vizsgálat adatainak automatikus rögzítése
•
Téves riasztások automatikus és felhasználó által beállított elemzése
Incidenselemzés és esemény alapú reagálás •
A biztonsági eseményeket megjelenítő, személyre szabott műszerfalnézet
•
Kapcsolat alapú eseménykonszolidáció teljes szabálykörnyezettel
•
A támadás útvonalának és részleteinek grafikus megjelenítése
•
Támadási útvonalban érintett eszközök profiljai végponti MAC-címek azonosításával
•
Az egymást követő támadások mintájának grafikus és részletes megjelenítése
•
Az esemény részletes adatainak, így a szabályoknak, a nyers eseményeknek, a gyakori sérülékenységi és veszélyforrásoknak, valamint azok elhárításának lehetőségei
•
Az események azonnali kivizsgálása és a hibás riasztások beazonosítása
•
Egyedi szabályok és kulcsszavak elemzését támogató GUI szabálymeghatározás
•
Incidensek továbbutalása felhasználói alapú teendőlistával
•
Értesítések, pl. e-mail, személyhívó, syslog és SNMP
•
Együttműködés a meglévő jegykezelési és munkafolyamati rendszerrel XML-eseményértesítésen keresztül
Lekérdezések és jelentések •
Alacsony látenciájú, valós idejű eseménylekérdezés
•
Többfajta alapértelmezett és testreszabott lekérdezést támogató grafikus felhasználói felület
Az anyag teljes tartalma szerzői jogi védelem alatt áll. © 1992–2006 Cisco Systems, Inc. Minden jog fenntartva. A dokumentum a Cisco által közzétett nyilvános információkat tartalmaz.
6/8
•
Több mint 150 gyakran használt, például felügyeleti, üzemeltetési és szabálykövetési jelentés
•
Az emberközeli jelentéskészítésnek köszönhetően korlátlan számú testreszabott jelentés készíthető
•
HTML- és CSV-exportot támogató adat-, grafikon- és trendformátumok
•
Élő, kötegelt, sablon- és az e-mail továbbítására alkalmas riportkészítő rendszer
•
Központi jelentések a NAC 2. fázisú paramétereihez
Hálózati adminisztráció •
Webes kezelői felület (HTTPS); szerepkör alapú adminisztráció konkrét jogosultságokkal
•
Global Controller hierarchikus felügyelete több Cisco Security MARS rendszer felett
•
Automatikus, ellenőrzött frissítések, beleértve az eszköztámogatást, az új szabályokat és funkciókat
•
Folyamatosan tömörített nyersadatok és eseményarchívum az offline NFS tárolóhelyre
Eszköztámogatás •
Hálózat: Cisco IOS szoftver; Cisco Catalyst® operációs rendszer; Cisco NetFlow és Extreme Extremeware
•
Tűzfal/VPN: Cisco ASA szoftver; Cisco PIX® biztonsági készülék; Cisco IOS tűzfal; Cisco tűzfal-szolgáltatásmodul (FWSM); Cisco VPN 3000 koncentrátor; Checkpoint Firewall-1 NG és VPN-1 verziók; NetScreen tűzfal és Nokia tűzfal Behatolásészlelés: Cisco IDS; Cisco IDS-modul; Cisco IOS IPS; Enterasys Dragon NIDS; ISS RealSecure hálózati érzékelő; Snort NIDS; McAfee Intrushield NIDS; NetScreen IDP; OS és Symantec ManHunt
•
Sérülékenységfelmérés: eEye REM, Qualys QualysGuard és FoundStone FoundScan
•
Hostbiztonság: Cisco Security Agent; McAfee Entercept és ISS RealSecure hostgép-érzékelő
•
Vírusvédelem: Symantec Antivirus, Cisco Incident Control System (Cisco ICS), Trend Micro Outbreak Prevention Service (OPS), Network Associates VirusScan és McAfee ePO
•
Hitelesítési szerverek: Cisco Secure ACS
•
Hostgép naplózása: Windows NT, 2000 és 2003 (ügynökszoftverrel vagy a nélkül); Solaris és Linux
•
Alkalmazás: Webszerverek (Internet Information Server, iPlanet és Apache); Oracle auditnaplók és Network Appliance NetCache
•
Univerzális eszköztámogatás az alkalmazások syslog bejegyzéseinek aggregálásához és figyeléséhez
•
További szabványos és testreszabott eszközök támogatása az egyedi naplóelemző szolgáltatással
A Cisco Security MARS tovább folytatja az eszköztámogatás bővítését. A támogatott verziók átfogó, naprakész listája a következő oldalon található: http://www.cisco.com/en/US/products/ps6241/products device support tables list.html További hardverspecifikációk •
Az adott célra épített 19 hüvelykes, rackbe szerelhető eszközök UL-tanúsítvánnyal
•
Szilárd biztonságú operációs rendszer szolgáltatások korlátozására képes tűzfallal
•
Két 10/100/1000-MB Ethernet interfész
•
DVD-ROM rendszerbetöltő lemezzel
Az anyag teljes tartalma szerzői jogi védelem alatt áll. © 1992–2006 Cisco Systems, Inc. Minden jog fenntartva. A dokumentum a Cisco által közzétett nyilvános információkat tartalmaz.
7/8
RENDELÉSI ADATOK Rendelés leadásához látogasson el a Cisco rendelési honlapjára. A Cisco Security MARS rendelési adatai a 2. táblázatban találhatók. 2. táblázat A Cisco Security MARS készülékek rendelési adatai Terméknév
Cikkszám
Cisco Security MARS 20R max. 50 esemény/mp és 1500 NetFlow folyamat/mp teljesítménnyel
CS-MARS-20R-K9
Cisco Security MARS 20 max. 500 esemény/mp és 15 000 NetFlow folyamat/mp teljesítménnyel
CS-MARS-20-K9
Cisco Security MARS 50 max. 1000 esemény/mp és 30 000 NetFlow folyamat/mp teljesítménnyel
CS-MARS-50-K9
Cisco Security MARS 100e max. 3000 esemény/mp és 75 000 NetFlow folyamat/mp teljesítménnyel
CS-MARS-100E-K9
Cisco Security MARS 100 max. 5000 esemény/mp és 150 000 NetFlow folyamat/mp teljesítménnyel
CS-MARS-100-K9
Cisco Security MARS 200 max. 10 000 esemény/mp és 300 000 NetFlow folyamat/mp teljesítménnyel
CS-MARS-200-K9
Cisco Security MARS GCm max. 5 db 20-as vagy 50-es Local Controller modell elosztott felügyeletéhez
CS-MARS-GCM-K9
Cisco Security MARS GC tetszőleges számú és minden Local Controller modell elosztott felügyeletéhez
CS-MARS-GC-K9
*
A további termékspecifikációkat lásd az 1. táblázatban
SZERVIZ ÉS TÁMOGATÁS A Cisco a szervizprogramok széles skálájával segíti elő a sikeres üzemeltetést. Ezeket az innovatív szervizprogramokat munkatársak, folyamatok, eszközök és partnerek különleges kombinációja biztosítja, amely nagyfokú elégedettséget eredményez az ügyfelek körében. A Cisco szolgáltatásaival biztosítható a hálózati beruházások értékállósága, optimalizálható a hálózat üzemeltetése, és új alkalmazások rendszerbe állítására készíthető fel a hálózat, amelyek révén nemcsak a hálózati adatelemzés, hanem a vállalata teljesítménye is jelentősen növelhető. A Cisco szolgáltatásairól részletesebben lásd a Cisco Technical Support Services vagy a Cisco Advanced Services témaköröket.
Az anyag teljes tartalma szerzői jogi védelem alatt áll. © 1992–2006 Cisco Systems, Inc. Minden jog fenntartva. A dokumentum a Cisco által közzétett nyilvános információkat tartalmaz.
8/8