McAfee Enterprise Security ismertető Felfedezni, reagálni, végrehajtani
Fontosabb jellemzők: - valósidejű és historikus adatok tárolása, kereshetősége, mellyel az összetett támadások is felderíthetők, és védekezhetünk ellenük - priorizált, összefoglaló információk a gyors válaszokhoz - teljes körű elemzések, kimutatások, akár adatbányászattal is a hatékonyabb védekezéshez - több mint 240 törvényi szabályozást támogat alapértelmezetten
A leghatékonyabb IT biztonság úgy kezdődik, hogy valósidejű adatokat nyerünk ki minden aktivitásról az összes rendszerből, legyen az hálózati, adatbázis, vagy alkalmazás kiszolgáló. A McAfee Enterprise Security Manager (ESM) mindennek az alapja, hiszen egy SIEM megoldásként (Security Information and Event Managent) skálázható, rugalmas, testre szabható keretet ad a valósidejű információk gyűjtésére, elemzésére, hogy az ügyfelek képesek legyenek azonosítani, megérteni és reagálni az egyre összetettebb támadások ellen. A McAfee ESM valósidejű analitikát biztosít, hogy megértsük milyen adatok, tevékenységek zajlanak a hálózaton belül, és kívül (Trusted Source, reputation feeds, CVE sérülékenységek). Igy az IT biztonsági osztály átfogó képet kaphat a saját hálózatáról, akár korrelációs szabályokkal is kereshetőek a szokatlan tevékenységek, (mind content, mind context alapon), így segítve a kockázatelemzést, és a hatékony munkavégzést. Ez a működési modell képes egyedül kiszűrni a low-and-slow típusú támadásokat, és hatékony
válaszlépéseket tudunk tenni a támadások ellen. A McAfee ESM e mellett beépített eszközökkel rendelkezik, melyek támogatják a: - change and configuration management-et - case management-et - policy management-et Ezen eszközökkel definiálhatók teljes munkafolyamatok a biztonsági csoportnak. Advanced Threat Intelligence Mindegy hogy hálózati forgalom, felhasználói aktivitás, vagy alkalmazás használat a szokásostól, átlagostól eltérő tevékenységek ellenőrzésére szükség van, hiszen ezek akár egy támadás jelei is lehetnek. Azaz az ügyfél digitális értékei veszélyben vannak. A McAfee ESM a működése során bizonyos baseline értékeket számol ki, melyektől való eltérés azonnali riasztást eredményez, ezzel segítve a támadás felfedezését, mielőtt még hozzáférne bármilyen értékes, belső adathoz a támadó. A külső integrációknak (pl.: sérülékenység menedzsment rendszerek, azonosító rendszerek, jogosultságkezelő rendszerek) köszönhetően ráadásul az adott támadás esetleges hatásait is lehet modellezni, azaz megbecsülni, hogy befolyásolja a kártevő a belső védelmi rendszereket. Ez az intelligencia a megfelelő adatokkal segíti a megfelelő személyt/felelőst, hogy a megfelelő és gyors döntést tudja meghozni. Kritikus adatok percek alatt A McAfee finomhangolt appliance megoldása képes az események összegyűjtésére, feldolgozására, legyen szó akár több millió eseményről, valamint képes ezen adatok tárolására, akár évekre visszamenőleg, mindezt gyorsan és hatékonyan. Ezen adatok bármikor rendelkezésre állnak, akár összetett keresések is futtathatók több éves ciklusra. Skálázható megoldás Lehetséges fizikai és virtuális változatban is megvásárolni a McAfee ESM megoldását. Sőt hibrid kiépítés is lehetséges, ahol fizikai és virtuális appliance-k is vannak egy vállalaton belül. Igy elérhető a magas rendelkezésre állás, az elosztott architektúrájú kiépítés és a rugalmas telepíthetőség is.
Big Data A Big Data Security (óriási mennyiségű adaton végzett összetett keresés, hogy eltéréseket keressünk a rendszerben) nagy segítséget nyújt, hiszen logokat,
eseményeket, sérülékenységeket, erőforrás prioritásokat, scan-elési eredményeket kell összevetni, mely a humán erőforrás számára lehetetlen lenne. Itt lép a képbe a McAfee data management modulja, mely még a Gartner szerint is az egyik legjobb a piacon, és amely pontosan ilyen igényekre lett kifejlesztve, hiszen akár milliárdnyi record-on is lehet műveletet végezni. Ezt természetesen segíti a normalizált tárolás, a megfelelő indexelés is. Az indexelés miatt többévnyi adaton is lehet összetett, – korreláción alapuló – keresést futtatni, és az eredmény percek alatt megérkezik. Ez pedig az egyik kulcsa a jó SIEM megoldásnak. Context and Content Awareness Ha nem csak tartalom (content), de a megjelenés környezete (context) alapján is szeretnénk vizsgálódni (mert egy sérülékenység menedzsment megoldás, autentikációs megoldás is segíti a munkánkat), akkor nem csak azt tudjuk megvizsgálni, hogy milyen esemény érkezett be, de azt is, hogy ezt milyen más logok követték, mely felhasználó tevékenysége volt, ez milyen hatással van a végpontra, milyen alkalmazásból érkezett a log bejegyzés. Igy jobban megérthetjük a belső unkafolyamatokat, és ezekre pontosabb riasztásokat definiálhatunk. A McAfee ESM megoldása pedig sok külső megoldással integrálható, képes értelmezni több mint ezer log forrást alapértelmezetten (ez akár tovább bővíthető), ezért teljes képet kaphatunk a belső folyamatokról, végrehajtott feladatokról. Optimalizált működés A McAfee Enterprise Security Manager segíti az egyszerűbb működést, hiszen egy központi konzolon átfogó képet nyújt az aktuális helyzetről, a vállalat biztonsági állapotáról, és a compliance státuszról is. E mellett kiemeli azon eseményeket, melyek további tennivalót igényelnek. Az ESM több száz előre gyártott riporttal, nézettel, szabálykészlettel, és riasztásokkal érkezik, melyeket csak testre kell szabni, hiszen az alapbeállítások már konfigurálva vannak. Legyen szó akár baseline szabályok beállításáról, vagy átfogó biztonsági állapotról, vagy hálózati forgalomról, az ESM konzolja mindezen adatokat egyetlen helyen elérhetővé teszi. A konzolon beállíthatók, hogy mely riportokra, analízisekre, riasztásokra kívánunk fókuszálni, és csak a releváns adatokat jeleníti meg.
Compliance Egyes vállalatoknál compliance (törvényi előírásoknak történő megfelelés) elvárások vannak. Az ESM központi, automatizált monitorozó és riport modulja sok-sok manuális feladatot helyettesíthet, így spórolva az erőforrásokkal. További előnyt jelent, hogy integrálható az UCF (Unified compliance framework) keretrendszerrel, így a begyűjtött adatok, indexek többször is felhasználhatók, az elkészített riportokra a későbbiekben könnyebb hivatkozni. Az UCF segít az egyes előírások, és a releváns események összerendelésében, ezzel is megkönnyítve a compliance folyamatokat. Több száz dashboard, compliance riport, és 240 compliance keretrendszer érhető el beépítve az ESM-ben (PCIDSS, HIPAA, NERCCIP, FISMA, GLBA, GPG13, JSOX, SOX). Természetesen mindegyik felület, keretrendszer testre szabható, illetve manuálisan bővíthető. Integráció Az egyes biztonsági és compliance termékek illesztése sokkal több, mint adatok importálása, illetve exportálása. A beépített intelligencia mindegyik termékben plusz információval segíti a munkatársakat, így hozhatnak valós időben megalapozott döntéseket. Mivel az ESM ezer forrás eszközből képes logok fogadására, így illesztése más rendszerekhez alapvető feladat. Az ESM más McAfee termékekkel is integrálható (McAfee ePo – végpontvédelmi megoldás, Network Security Manager – hálózati IPS megoldás, Vulnerability Manager – sérülékenység menedzsment platform). A McAfee Threat Intelligence Exchange rendszerével is kompatibilis, így más alkalmazások is lekérdezhetik az ESM-et a TIE adatbuszon keresztül (pl.: Advanced Threat Detection). Ezen alkalmazások plusz információval látják el a biztonsági szakembereket, a végponti, hálózati, sérülékenységi állapotról, mely adatok elengedhetetlenek a pontos döntésekhez (context-awareness).
Ezen integrációk egy új szintre emelik a SIEM megoldások közül a McAfee ESM megoldását, hiszen így biztosan minden adat rendelkezésre áll a döntéshez, ami elérhető. Ráadásul az ESM közvetlen akciókra is képes lehet, módosíthatja a szabályrendszert egy adott végponton, vagy karanténba zárhat bizonyos hostokat, vagy külön sérülékenységi ellenőrzést futtathat az érintett gépeken. A McAfee Global Threat Intelligence (GTI) pedig világszerte több száz millió végpontról gyűjt adatokat, melyekkel folyamatosan frissítik az ESM-et, (káros tartományok, IP címek, URL-ek). Ezen adatok pillanatok alatt eljutnak mindegyik ESM-hez, így szinte azonnal képet kaphatunk egy új támadásról A Security Connected kezdeményezése a McAfee-nak bármely külső gyártó számára elérhetővé teszi az integrációt, így ezres nagyságrendű termék, platform modul illeszthető a McAfee rendszereihez. További információk Amennyiben további információt szeretne kapni a termékről, keresse munkatársainkat a
[email protected] mail címen, vagy látogassa meg a www.mcafee.com/siem oldalt.
