Symantec Intruder Alert™ 3.6
A termék pozícionálása........................................................................................................................................... 2 Kulcspontok........................................................................................................................................................... 2 Újdonságok és fejlesztések a 3.6-os változatban .................................................................................................... 2 További kulcsfontosságú elemek ............................................................................................................................ 3 Rendszerkövetelmények ........................................................................................................................................ 7
Termékismertető: Symantec Intruder Alert™ 3.6
A termék pozícionálása A Symantec Intruder Alert™ érzékeli az engedély nélküli vagy rosszindulatú aktivitást, ilyen módon óvja a rendszereket, alkalmazásokat és adatokat az illetéktelen felhasználástól. Ha a rendszert veszélyben látja, a Symantec Intruder Alert értesítheti Önt, és még óvintézkedéseket is tehet az információ ellopásának vagy elveszítésének megelőzése érdekében. A Symantec Intruder Alert előnyei a következők: •
Példa nélkül álló nagyvállalati szintű méretezhetőség
•
Széleskörű platformtámogatás
•
Könnyen készíthető személyre szabott cégpolitika az egyedi igényeknek megfelelően
•
Gyors és könnyű politikaterítés és adminisztráció
•
Könnyen használható és hatékony menedzsmentszolgáltatások (magas menedzser-konzol arány, logikai körzetek, LiveUpdate™ képességek)
•
A rendszereket valós időben ellenőrzi a nem jogosult felhasználás észlelése és jelentése érdekében.
•
Hatékony és személyre szabható behatolásérzékelési cégpolitika és válaszlépések hozhatók létre vele.
•
Hatékony menedzsmenteszközöket tartalmaz, melyekkel könnyen betarttathatja a biztonsági cégpolitikát.
•
A központi menedzsment konzolról konfigurálhatóak és végrehajthatóak az ú.n. Symantec Intruder Alert „akciók”, melyekkel a teljes hálózat szintjén foganatosíthat megelőző intézkedéseket.
•
Auditálási adatokat szolgáltat a megtörtént incidensekről elemzés és nyomozás céljára, valamint grafikus jelentéseket készít az egyes gépek és a hálózat behatolási aktivitásairól.
•
Kiegészíti a tűzfalakat és más hozzáférésvezérlő eszközöket anélkül, hogy észrevehető teljesítménycsökkenést okozna.
Kulcspontok
Újdonságok és fejlesztések a 3.6-os változatban Windows® rendszerleíró adatbázis monitorozás Ez a szolgáltatás egy újfajta, igen hatékony behatolásfigyelést tesz lehetővé, mellyel szigorú ellenőrzés alatt tartható a Windows rendszerleíró adatbázisa (a Windows NT® és a Windows 2000 operációs rendszerek konfigurációs információinak központja) – 9/12/01
Intruder Alert 3.6 QuickStart - 2
Symantec Corporation
anélkül, hogy ezt külön be kellene állítani. Precíz és aprólékos nyomkövetést tesz lehetővé a: •
Rendszerleíró adatbázis váratlan változásain
•
Érvénytelen adatok tárolásán a rendszerleíró adatbázisban
LiveUpdate Integráció A Symantec Intruder Alert képes frissíteni önmaga kritikus elemeit, beleértve... •
Az ügynök és a menedzsment szoftvert
•
A legutóbbi biztonsági politika frissítést
…hogy mindig naprakész védelmet nyújtson.
Bővített platformtámogatás A Symantec Intruder Alert szoftvercsomag minden észlelési képességével rendelkezésre áll a következő platformokon: •
Windows 2000 (ügynök, menedzser és adminisztrátor)
•
Solaris® 8 (32 és 64 bites)
•
RedHat® Linux® 7.1
•
HP-UX® 11 (64-bit)
További kulcsfontosságú elemek Politika-alapú valós idejű felügyelet •
A kiszolgálókat valós időben felügyeli az engedély nélküli és a rosszindulatú aktivitás észlelése érdekében – védi rendszereit, alkalmazásait és adatait a visszaélésektől és illetéktelen felhasználástól.
•
Teljes körű ellenőrzésre ad lehetőséget, mely segítségével definiálhatja:
•
•
9/12/01
Melyik rendszereket és milyen tevékenységeket kíván felügyelni
Mi a teendő és milyen ellenlépéseket kell tenni
Lehetővé teszi logikai biztonsági körzetek kialakítását, melyekkel:
Hasonló rendszereket csoportba foghat, és egy objektumként kezelheti őket – időt takaríthat meg és csökkentheti az adminisztratív feladatokat
Előre elkészített biztonsági politika készleteket alkalmazhat a körzetekben – így könnyen összhangba hozhatja az egyes rendszereket és alkalmazásokat a megfelelő biztonsági szinttel
400-nál több előre definiált szignatúrát („szabályt”) tartalmaz, melyek csoportba foglalva a biztonsági politikákat adják, ilyen módon nyújtva széleskörű észlelési képességeket minden ismertebb operációs rendszerben. Az egyes politikák tetszőleges számú behatolást képesek észlelni, beleértve: Intruder Alert 3.6 QuickStart - 3
Symantec Corporation
•
Jogosulatlan hozzáférést a rendszerbeállításokhoz
Az adminisztratív jogok jogosulatlan módosításait vagy visszaéléseket az adminisztratív jogokkal
Sikertelen bejelentkezési kísérleteket
Kritikus állományok jogosulatlan hozzáférési kísérleteit vagy azok jogosulatlan módosításait
Az új/személyre szabott biztonsági politikák készítéséhez és alkalmazásához hiánytalan eszközkészletet nyújt, mellyel megóvhatja saját egyedi környezetét.
Háromszintű architektúra Egy egyedi, háromszintű architektúrát használ a program, mely a méretezhetőséget növeli: •
Az ügynökök, melyek a kritikus kiszolgálókon és munkaállomásokon futnak, felügyelik a felhasználói aktivitást, jelentik az eseményeket és a gyanús viselkedést a menedzsereknek.
•
A menedzserek, melyek a kiszolgálókon futnak szerte a hálózatban, összegyűjtik a jelentéseket és eseményeket az ügynököktől, feldolgozzák és jelentik a Symantec Intruder Alert Event Viewer alkalmazásnak.
•
Az adminisztrátori konzol, mely egy munkaállomáson fut, vagy a Hálózati operációs központban található, központi menedzsment funkciókat tesz lehetővé a teljes nagyvállalati hálózatban.
MEGJEGYZÉS: Noha nincs valódi korlátja annak, hány ügynök jelenthet egy menedzsernek, a Symantec nem javasolja a 100 ügynök/menedzser érték túllépését.
Központi adminisztrációs konzol Központosított telepítés Az új és frissített Symantec Intruder Alert szoftvert csendesen eljuttatja az ügynökökhöz a központi konzolról, amely így: •
Időt és a gépek közötti utazás költségét takarítja meg.
•
Könnyű menedzser és ügynökprogram karbantartást tesz lehetővé, miközben biztosítja, hogy a rendszerek mindig naprakész védelemmel rendelkeznek.
A biztonsági feladatok delegálása a felhasználó-alapú adminisztrációval •
Lehetővé teszi, hogy különválasszon és delegáljon egyes biztonsági adminisztrációs feladatokat a megfelelő személyeknek – elosztva, és ilyen módon csökkentve az adminisztratív terhelést.
•
Valósidejű felügyeletet tesz lehetővé, mely függetlenül fut az adminisztrációs konzoltól, így az egyes személyek, akiket a biztonsági politikák figyelésével bíztak meg, nem lesznek képesek azokat módosítani – a biztonság tovább javul.
Varázslók Az adminisztrációs feladatok elvégzését megkönnyítő varázslók állnak rendelkezésre. 9/12/01
Intruder Alert 3.6 QuickStart - 4
Symantec Corporation
Integrációs modulok és eszközök •
A Symantec Intruder Alert menedzselhető a Tivoli®, BMC® Patrol és a HP OpenView® menedzsment rendszerekből is – így a létező infrastruktúrába illesztve használható.
•
Általános integrációs eszközöket kínál, melyekkel a Symantec Intruder Alertből számos felhasználóbarát formátumban egyszerűen kinyerhetők az adatok, melyeket más rendszerekbe és alkalmazásokba is elküldhet biztonságos SNMP csatornán keresztül.
Teljes eseményintegráció a NetProwler™-rel A NetProwler hálózat-alapú biztonsági eseményeit integrálja (melyek a tűzfal mögül indultak) a Symantec Intruder Alert konzolba, lehetővé téve: •
A behatolási aktivitás megfigyelését (gép- és hálózat-alapú) egy koznolról
•
Még kifinomultabb behatolásérzékelési szignatúrák kiépítését
A biztonsági megfigyelést könnyebbé és szélesebb körűvé teszi.
Valósidejű biztonsági frissítések Egy folyamatosan frissített biztonsági könyvtárat tesz elérhetővé, mely tartalmazza... •
Az új ellenintézkedéseket
•
Az új biztonsági politikát
•
Az egyéb technikai biztonsági erőforrásokat
...így az új fenyegetésekkel szemben gyorsabban felléphet és megerősítheti védelmi intézkedéseit.
Automatikus válasz az incidensekre •
• 9/12/01
A beállított kiszolgáló érzékelési politikának megfelelően az eseményekre automatikusan többszintű válaszlépéseket foganatosít, beleértve az alábbiakat:
Figyelmeztető üzenet a konzolon
E-mail küldése a megadott felhasználóknak
Személyhívó üzenet küldése
SNMP trap küldése
Felhasználói kapcsolat megszakítása
Felhasználói bejelentkezés letiltása
Parancseljárások végrehajtása (scripting)
Az eseménye naplózása a biztonsági kiszolgálóra
Valósidejű grafika és aktivitás megjelenítés a Symantec Intruder Alert konzolon
Támogatja az eseménytartalom továbbítást, mely figyelmezteti a nagyvállalat rendszereit a potenciális veszélyforrásra. Például: Intruder Alert 3.6 QuickStart - 5
Symantec Corporation
•
Az egyik kiszolgálót DoS támadás éri. A többi kiszolgáló megszigorítja a hozzáférés feltételeit, amíg egy speciális Symantec Intruder Alert jelszót nem küldenek nekik.
Hozzárendelhet egy adott biztonsági eseményt egy Symantec Intruder Alert jelzőhöz, és ha ez az esemény adott mennyiségben előfordul, további intézkedéseket tehet.
Egyes, zárt környezetben mindössze „gyanús” minősítésű tevékenységeket támadásnak minősíthet, ha azok szélesebb körben fordulnak elő.
Azonnali on-line választ tesz lehetővé az incidensekre, mely:
Dokumentálja a kockázatot, melyet az egyes rögzített eseményekhez rendeltek
Értékes javaslatokkal segít a sebezhető pont megszüntetésében és az ismételt előfordulás megakadályozásában
Valósidejű jelentéskészítés Egyedi jelentéseket készít, melyek segítenek a biztonsági irányvonalak és gyakori támadók azonosításában. A támadásokat dokumentálja: •
Rendszer
•
Felhasználó
•
Idő
•
Biztonsági prioritás vagy besorolás alapján.
Hasznos információvá rendszerezi ezeket az adatokat a vezetők, menedzserek és biztonsági technikusok számára, az adatokat megjeleníti: •
Tablókon és grafikonokban, melyekkel gyorsan és könnyen azonosíthatóak az irányvonalak és a „forró pontok”
•
Táblázatokban, melyekkel gyorsan el lehet jutni a részletekig
Szűrőfeltételekkel és lekérdezésekkel segít a történtek adatainak gyors elemzésében.
Multiplatform és alkalmazástámogatás •
•
9/12/01
Rendelkezik ügynökökkel, melyek a legtöbb használatos operációs rendszer védelmét képesek ellátni:
Windows NT és 2000
A legtöbb kereskedelmi UNIX® változat (pl. Solaris, HP-UX, AIX®, Tru64®, NCR® stb.)
Linux (RedHat)
Novell® NetWare
Védi a webet, az adatbázisokat és a többi fontos alkalmazást, melyek a kiszolgálókon futnak.
Intruder Alert 3.6 QuickStart - 6
Symantec Corporation
•
Hatékony adminisztrációs konzollal rendelkezik, mely futhat mind Windows NT és Windows 2000 munkaállomásokon.
Erős biztonsági architektúra Erős biztonsági architektúrával rendelkezik, mely az erős titkosítási kulcsok használatával magát a Symantec Intruder Alertet is ellenállóvá teszi a támadásokkal szemben: •
Biztonságos hitelesítés
•
Véletlenszerűen cserélődik rövid időnként
Rendszerkövetelmények Adminisztrátori konzol Operációs rendszerek Windows NT 4.0 Windows 2000 HP-UX 10.20 - 11.0+ Solaris 2.51 - 2.7, 8 Memória
32MB RAM
Merevlemez kapacitás 2MB az Adminisztrátori konzolnak 2MB a Symantec Intruder Alert View számára
Ügynökök Operációs rendszerek AIX 4.21-4.33+ HP-UX10.20-11.0 (32 és 64 bit) Solaris 2.51 - 2.7, 8 Windows NT4.0 Windows 2000 Redhat Linux 6.2, 7.1 IRIX 6.2+ NetWare 4.11 - 5.0+ Sequent® 4.42+ Digital® UNIX/Tru64 4.0D+ AT&T® 3.0.2+ Memória
32MB RAM
Merevlemez kapacitás 64MB
Menedzser Operációs rendszerek AIX 4.21- 4.33+ HP-UX 10.20 - 11.0 (32 és 64 bit) Solaris 2.51 - 2.7, 8 Windows NT 4.0 Windows 2000 Memória 9/12/01
64MB RAM Intruder Alert 3.6 QuickStart - 7
Symantec Corporation
Merevlemez kapacitás 63MB 50-100 MB további kapacitás szükséges a Symantec Intruder Alert View eseményei számára
A Symantec, a Symantec logo és a LiveUpdate bejegyzett U.S. márkanevek, a Symantec Corporation tulajdonai. A Symantec Intruder Alert a Symantec Corporation márkavédjegye. A Windows és a Windows NT a Microsoft Corporation bejegyzett márkaneve az Egyesült Államokban és más országokban. Minden más márkanév vagy termék a bejegyeztetője tulajdonát képezi. Copyright © 2001 Symantec Corporation. Minden jog fentartva.
9/12/01
Intruder Alert 3.6 QuickStart - 8
Symantec Corporation
