Security Information & Event Manager (SIEM) Plnění regulativ pomocí jednotného řízení bezpečnostních informací, log managementu a analýzy chování sítě
Přínosy Pracovníci NOC a SOC se nyní soustřeďují na použitelné informace - namísto toho, aby se museli snažit interpretovat milióny každodenních událostí generovaných aplikacemi bezpečnosti sítě, přepínači, směrovači, servery a aplikacemi • Používá pokročilý dohled a forenzní analýzu, aby poskytl přehled o výskytu jak externích, tak interních hrozeb: včetně neodpovídajícího obsahu, přenosů souborů IM, provoz z nežádoucích teritorií, odcizení dat a nakažení škodlivými červy. • Využívá stávající investice do sítě prostřednictvím své funkčnosti, rychlého nasazení a růstu efektivnosti pracovníků, přičemž navíc pozitivně zvyšuje poměr investovaného času vůči získané užitné hodnotě. • Integruje řešení detekce a prevence narušení Extreme Networks (IDS/IPS), kontroly přístupu k síti (NAC) a automatického řízení bezpečnosti (ASM) a poskytuje tak jednotný přehled o výskytu hrozeb reálném časea účinně detekuje, izoluje a automaticky opravuje hrozby.
Poskytuje rychlá, přesná data o bezpečnostních hrozbách: -Závažnost útoku -Důležitost ovlivněného aktiva -Identitu útočníka -Důvěryhodnost datových zdrojů -Identifikace anomálního chování
O produktu Extreme Networks SIEM je manažer bezpečnostních informací a událostí (Security Information and Event Manager - SIEM), jehož cílem je sběr, analýza a korelace událostí v síti. Řešení v sobě kombinuje to nejlepší z osvědčených metod detekce a analýzy anomálního chování sítě. SIEM poskytuje smysluplné a dále použitelné informace a pomáhá tak řídit sítě a bezpečnost i pro největší organizace. Výzvou, kterou vytváří většina dnešních systémů detekce hrozeb, je to, že generují tak mnoho informací, že je obtížné určit, které zranitelnosti si vyžadují okamžité a vysoce prioritní řešení. Řešení řízení bezpečnosti Extreme Networks SIEMbylo vyvinuto speciálně ktomu, aby řešilo tento úkol. SIEM poskytuje silné nástroje, které umožňují týmu zajišťujícím bezpečnost, aby aktivně řídil komplexní infrastruktury IT bezpečnosti. Klíčové vlastnosti • Jde dále než tradiční systémy řízení bezpečnostních informací a událostí a produkty pro analýzu chování sítě; poskytuje řízení bezpečnosti, správu logů, reporting v souladu se zákony a zajišťuje tak zvýšenou provozní efektivnost; • Soustřeďuje a kombinuje údaje o činnosti sítě, bezpečnostních událostech, logy, data o zranitelnosti a externích hrozbách do silného nástroje řízení. Extreme Networks SIEM dokáže tak velmi inteligentně korelovat, standard izovat a stanovovat priority – podstatně tedy zlepšuje nápravu a čas odezvy a významně zvyšuje efektivnost pracovníků IT; • Kontroluje normální chování sítě tím, že soustřeďuje, analyzuje a agreguje datové toky sítě ze širokého spektra síťových a bezpečnostních aplikací; včetně záznamů JFlow, NetFlow a SFlow. Ztěchto informací pak rozpoznává vzorce provozu sítě, které se odkloňují od této normy a označuje tak potenciální útoky nebo zranitelnosti. Nenormální chování je hlášeno na SIEM, aby bylo korelováno a napraveno. • Sleduje rozsáhlé logovacízáznamy a informace o trendech,a generuje široké spektrum hlášení pro bezpečnost sítě, optimalizaci sítě a pro účely souladu se zákony. Jsou kdispozici šablony hlášení pro COBIT, GLB, HIPPA, PCI a Sarbanes Oxley.
Security Information & Event Manager (SIEM)
Portfolio řešení SIEM je zařízení postavené na rychlém a snadném nastavení. Jsou k dispozici následující hardwarové komponenty: • Zařízení SIEM • Procesor událostí (Event Processor) • Procesor anomálií toků (Flow Anomaly Processor) • Senzor toků chování sítě (Behavioral Flow Sensor)
Zařízení SIEM zajišťují soustřeďování a korelaci událostí přímo v akci, analýzu provozu sedmé vrstvy OSI modelu, agregaci toku dat z různých připojených přístrojů na síti a bohaté manažerské rozhraní. Díky před instalované mu softwaru a nastavení pomocí webového rozhraní lze SIEM zařízení jednoduše zavést a nakonfigurovat systém jednotného řízení bezpečnosti. Jsou k dispozici dva modely: zařízení SIEM pro malé podniky (model DSIMBA7-SE), které je ideální pro použití v centru menšího podniku nebo oddělení a pro rychlé a snadné použití. Zařízení SIEM pro velké podniky (model DSIMBA7-LU) je určen o pro velké a geograficky rozšířené organizace. Je ideální pro uživatele, kteří požadují rozšiřitelné řešení na úrovni podniku, které může být snadno o rozšířeno, aby podporovalo dodatečnou kapacitu monitorování toků a událostí podle potřeby. Obě platformy SIEM zachycují data o událostech a tocích ze širokého spektra síťových zařízení; včetně aplikačních serverů, webových serverů, pracovních stanic, směrovačů, přepínačů, firewallů, VPN tunel serverů a zařízení IDS/IPS. Aktualizovaný seznam podporovaných zařízení najdete na webových stránkách www.Extreme Networks.com v části informací o produktech Extreme Networks SIEM.
Technické specifikace Technické specifikace pro produkt SIEM Large Enterprise (model DSIMBA7-LU) a SIEM Small Enterprise (model DSIMBA7-SE) jsou uvedeny v následující tabulce:
Model
DSIMBA7-LU High-performance, scalable Security Information and Event Managemen
DSIBMA7-SE
Yes
Yes
Software License Upgrades External Flow Anomaly Processors External Event Processors Uses external Behavioral Flow Sensor
The DSIMBA7-SE appliance is designed specifically for smaller enterprise and departmental deploymen Integrated Behavioral Flow Senso
400,000 FPM (Unidirectional) 200,000 FPM (Bidirectiona
100,000 FPM (Unidirectional) 50,000 FPM (Bidirectional)
Maximum # Events Per Second (EPS)
5,000/sec
1,000/sec
Processor & Memory
2 x Quad Core Intel® Xeon ® Processors at 2.33 GHz 8 GB
2 x Quad Core Intel® Xeon® Processors at 2.33 GHz 8 GB
Hard Disk Drive
6 x 750 GB SATA
6 x 500 GB SATA
2 x 10/100/1000 Base-T
1 x 10/100/1000 Base-T for management 3 x 10/100/1000 Base-T for monitoring
Application Event Management, Vulnerability Management, and Directed Remediation Expansion Options Behavioral Flow Sensor Maximum # Minute (FPM)
Flows
Network Interfaces
Per
All-in-one Security Information and Event Managemen
Power Supply
Dual redundant 110 V / 220 V autosensing
Dual redundant 110 V / 220 V auto-sensing
Form Factor
2U rack-mountable chassis
2U rack-mountable chassis
Security Information & Event Manager (SIEM)
Možnosti rozšíření systému SIEM Pro zvýšení výkonu řešení a zlepšení schopnosti detekce anomálií vsíti, je možno systém SIEM rozšířit o tyto komponenty: • Procesor událostí • Procesor anomálií toků • Senzory toků chování sítě
Procesor událostí SIEM Event Processor (model DSIMBA7-EVP) je rozšiřujíc jednotkou pro základní zařízení SIEM. Přebírá a zdokonaluje zpracování dat o událostech ze zařízení DSIMBA7-LU.Informace o událostech se soustřeďují ze širokého spektra síťových a bezpečnostních zařízení – včetně systémových záznamů směrovačů, událostí SNMP a událostí na firewallu. Každý procesor událostí SIEM může zpracovat až 10.000 událostí za vteřinu. K dosažení větší flexibility může být připojeno k jedinému zařízení DSIMBA7-LUvíce procesorů událostí.
Technické specifikace Technické specifikace pro produkt Procesor událostí SIEM(model DSIMBA7-EVP) jsou uvedeny v následující tabulce: Model Rated Throughput Connects to Processor & Memory Hard Disk Drive Network Interface Power Supply Form Factor
DSIMBA7-EVP 5,000 events / second base configuration 10,000 event / second maximum SIEM Appliance DSIMBA7-LU 2 x Quad Core Intel® Processors at 2.33 GHz 8 GB 6 x 750 GB SATA 2 x 10/100/1000 Base-T Dual redundant 110 V / 220 v auto - sensing 2U rack-mountable chassis
Procesor anomálií toků Procesor anomálií toků (model DSIMBA7-FAP) je rozšiřující jednotkou pro produkt Extreme Networks SIEM. Přebírá a zdokonaluje zpracování dat o tocích ze zařízení DSIMBA7-LU a má rozhraní se senzory toků chování sítě k soustřeďování toku informací o provozu IP ze širokého spektra zařízení. Každý procesor anomálií toku SIEM může zpracovat až 600.000 toků za minutu a jediné zařízení DSIMBA7-LU podporuje jeden nebo dva procesory anomálií toků. Technické specifikace Technické specifikace pro produkt procesor anomálií toků SIEM(model DSIMBA7-FAP) jsou uvedeny v následující tabulce: Model
Rated Throughput Connects to Processor & Memory Hard Disk Drive Network Interface Power Supply Form Factor
DSIMBA7-FAP 1,200,000 Max FPM (Unidirectional) 600,000 Max FPM (Bidirectional SIEM Appliance DSIMBA7-LU SIEM Behavioral Flow Sensors DSNBA7-xxx-xx 2 x Quad Core Intel® Processors at 2.33 GHz 8 GB 6 x 750 GB SATA 2 x 10/100/1000 Base-T Dual redundant 110 V / 220 v auto - sensing 2U rack-mountable chassis
Senzory toků chování sítě Tok síťového provozu je sekvencí paketů, které sdílejí společné charakteristiky – takové jako zdrojová/cílová IP adresa, zdrojový/cílový TCP/UDP port a použitý IP protokol. Senzory toků chování sítě SIEM jsou nasazeny ve strategických bodech sítě, aby sbíraly informace o toku provozu ze širokého spektra síťových zařízení – včetně přepínačů, směrovačů, bezpečnostních zařízení, serverů a aplikací. Senzory toků chování sítě SIEM jdou dále než tradiční zdroje dat o tocích, aby umožnily analýzu toků vrstvy aplikací a detekci anomálií. Možnosti hloubkového zkoumání paketů a obsahu identifikují hrozby procházející standardními protokoly a porty. Jsou k dispozici rozhraní senzorů toků chování sítě se zařízeními SIEM nebo procesorem anomálií toků SIEM. Security Information & Event Manager (SIEM)
Technická specifikace Technická specifikace pro produkt senzory toků chování sítě jsou uvedeny v následující tabulce. Model
DSNBA7-50-TX
Rated Throughput
50 Mbps
DSNBA7-250-TX
DSNBA7-250-SX
DSNBA7-1G-TX
200 Mbps
200 Mbps
1 Gbps
Connects to
SIEM Appliance DSIMBA7-LU SIEM Flow Anomaly Processor DSIMBA7-FAP
Processor Memory Hard Disk Drive
1 GB
Network Interface
2 x 10/100/1000 Base-T (onboard)-available in TX only
Power Supply Form Factor
2 GB 160 GB SATA 1 x 10/100/1000 Base -T for management 3 x 10/100/1000 Base-T for monitoring
DSNBA7-1G-SX 1 Gbps
2 GB
4 GB 4 GB 2 x 80GB SATA 1 x 10/100/1000 1 x 10/100/1000 1 x 10/100/1000 Base-T for Base-T for Base-T for management management management 2 x 10/100/1000 2 x 1000 Base-SX 2 x 1000 Base Base-T for for monitoring -SX for monitoring monitoring Dual redundant 110 V / 220 V auto - sensing 1U rack-mountable chassis
Specifikace Environmentální a regulační specifikace pro Extreme Networks SIEM Environmentální specifikace • Operační teplota: 10º C do 35º C (50º F do 95º F) • Teplota úložiště dat: -40º C do 65º C (-40º F do 149º F) • Operační relativní vlhkost: 20% do 80% neuvažuje se • Relativní vlhkost úložiště dat: 5% to 95% non-condensing • Maximální gradient vlhkosti: 10% za hodinu, operační i neoperační • Operační vibrace: 0.26 G na 5 Hz do 350 Hz po dobu 2 min • Vibrace úložiště dat: 1.54 Grms Náhodné vibrace na 10 Hz do 250 Hz po dobu 15 min • Operační úder: 1 shock pulz o 41 G po dobu do 2 ms • Úder úložiště dat: 6 shock pulzů o 71 G po dobu do 2 ms • Operativní nadmořská výška: -16 m do 3,048 m (-50 ft do 10,000 ft) • Nadmořská výška úložiště dat: -16 m do 10,600 m (-50 ft do 35,000 f
Regulativní specifikace • CC (U.S. only) Třída A
• ICES (Canada) Třída A • CE Mark (EN 55022 Třída A, EN55024, EN61000-3-2, EN61000-3-3) • VCCI (Japan) Třída A • BSMI (Taiwan) Třída A • CTick (Australia/New Zealand) Třída A • SABS (South Africa) Třída A • CCC (China) Třída A • MIC (Korea) Třída A • UL 60950-1, EN 60950-1,IEC 60950-1 • CAN/CSA C22.2 No. 60950-1
Security Information & Event Manager (SIEM)
Informace pro objednání Part number DSIMBA7-LU DSIMBA7-SE DSIMBA7-EVP DSIMBA7-FAP DSNBA7-50-TX DSNBA7-250-TX DSNBA7-250-SX DSNBA7-1G-TX DSNBA7-1G-SX
Popis SIEM Appliance for large enterprise deployments SIEM for small enterprise deployments, with integrated Behavioral Flow Sensor Event Processor Flow Anomaly Processor Behavioral Flow Sensor with 200 Mbps rated throughput Behavioral Flow Sensor with 200 Mbps rated throughput Behavioral Flow Sensor with 200 Mbps rated throughput and optical interfaces Behavioral Flow Sensor Appliance with 1 Gbps rated throughp Behavioral Flow Sensor with 1 Gbps rated throughput and optical interface
Záruka Jako společnost, pro kterou je zákazník v centru jejího zájmu, dodává společnost Extreme Networks co nejlepší možné provedení a design ve spektru svých produktů. Pro případ, že některý z našich produktů bude mít závadu z důvodů poruchy jednoho z těchto faktorů, jsme vyvinuli komplexní záruku, která vás chrání a poskytuje vám jednoduchý způsob, jak si necháte svůj produkt co nejrychleji opravit.
Servis a podpora Extreme Networks poskytuje kvalitní nabídku služeb od profesionálních služeb, design, nasazení a optimalizaci zákaznických sítí, specializovaný technická školení, až po podporu šitou na míru pro individuální zákazníky. Pro více informací ohledně Extreme Networks servisu a podpory, prosím kontaktujte svého zástupce Extreme Networks.
Security Information & Event Manager (SIEM)