Security Information & Event Manager (SIEM) Plnění regulativ pomocí jednotného řízení bezpečnostních informací, log managementu a analýzy chování sítě Poskytuje rychlá, přesná data o bezpečnostních hrozbách:
-
Závažnost útoku Důležitost ovlivněného aktiva Identitu útočníka Důvěryhodnost datových zdrojů Identifikace anomálního chování
O produktu Enterasys SIEM je manažer bezpečnostních informací a událostí (Security Information and Event Manager - SIEM), jehož cílem je sběr, analýza a korelace událostí v síti. Řešení v sobě kombinuje to nejlepší z osvědčených metod detekce a analýzy anomálního chování sítě. SIEM poskytuje smysluplné a dále použitelné informace a pomáhá tak řídit sítě a bezpečnost i pro největší organizace. Výzvou, kterou vytváří většina dnešních systémů detekce hrozeb, je to, že generují tak mnoho informací, že je obtížné určit, které zranitelnosti si vyžadují okamžité a vysoce prioritní řešení. Řešení řízení bezpečnosti Enterasys SIEM bylo vyvinuto speciálně k tomu, aby řešilo tento úkol. SIEM poskytuje silné nástroje, které umožňují týmu zajišťujícím bezpečnost, aby aktivně řídil komplexní infrastruktury IT bezpečnosti. Klíčové vlastnosti • Jde dále než tradiční systémy řízení bezpečnostních informací a událostí a produkty pro analýzu chování sítě; poskytuje řízení bezpečnosti, správu logů, reporting v souladu se zákony, a zajišťuje tak zvýšenou provozní efektivnost; • Soustřeďuje a kombinuje údaje o činnosti sítě, bezpečnostních událostech, logy, data o zranitelnosti a externích hrozbách do silného nástroje řízení. Enterasys SIEM dokáže tak velmi inteligentně korelovat, standardizovat a stanovovat priority – podstatně tedy zlepšuje nápravu a čas odezvy a významně zvyšuje efektivnost pracovníků IT; • Kontroluje normální chování sítě tím, že soustřeďuje, analyzuje a agreguje datové toky sítě ze širokého spektra síťových a bezpečnostních aplikací; včetně záznamů JFlow, NetFlow a SFlow. Z těchto informací pak rozpoznává vzorce provozu sítě, které se odkloňují od této normy a označuje tak potenciální útoky nebo zranitelnosti. Nenormální chování je hlášeno na SIEM, aby bylo korelováno a napraveno. • Sleduje rozsáhlé logovací záznamy a informace o trendech, a generuje široké spektrum hlášení pro bezpečnost sítě, optimalizaci sítě a pro účely souladu se zákony. Jsou k dispozici šablony hlášení pro COBIT, GLB, HIPPA, PCI a Sarbanes Oxley.
Přínosy • Pracovníci NOC a SOC se nyní soustřeďují na použitelné informace — namísto toho, aby se museli snažit interpretovat milióny každodenních událostí generovaných aplikacemi bezpečnosti sítě, přepínači, směrovači, servery a aplikacemi • Používá pokročilý dohled a forenzní analýzu, aby poskytl přehled o výskytu jak externích, tak interních hrozeb: včetně neodpovídajícího obsahu, přenosů souborů IM, provoz z nežádoucích teritorií, odcizení dat a nakažení škodlivými červy. • Využívá stávající investice do sítě a bezpečnostní infrastruktury prostřednictvím své funkčnosti, rychlého nasazení a růstu efektivnosti pracovníků, přičemž navíc pozitivně zvyšuje poměr investovaného času vůči získané užitné hodnotě. • Integruje řešení detekce a prevence narušení Enterasys (IDS/IPS), kontroly přístupu k síti (NAC) a automatického řízení bezpečnosti (ASM) a poskytuje tak jednotný přehled o výskytu hrozeb v reálném čase a účinně detekuje, izoluje a automaticky opravuje hrozby.
Není nic důležitějšího než naši zákazníci
Portfolio řešení SIEM je zařízení postavené na rychlém a snadném nastavení. Jsou k dispozici následující hardwarové komponenty: • Zařízení SIEM • Procesor událostí (Event Processor) • Procesor anomálií toků (Flow Anomaly Processor) • Senzor toků chování sítě (Behavioral Flow Sensor)
Zařízení SIEM
podporovalo dodatečnou kapacitu monitorování toků a událostí podle potřeby.
Zařízení SIEM zajišťují soustřeďování a korelaci událostí přímo v akci, analýzu provozu sedmé vrsty OSI modelu, agregaci toku dat z různých připojených přístrojů na síti a bohaté manažerské rozhraní. Díky předinstalovanému softwaru a nastavení pomocí webového rozhraní lze SIEM zařízení jednoduše zavést a nakonfigurovat systém jednotného řízení bezpečnosti. Jsou k dispozici dva modely: zařízení SIEM pro malé podniky (model DSIMBA7-SE), které je ideální pro použití v centru menšího podniku nebo oddělení a pro rychlé a snadné použití. Zařízení SIEM pro velké podniky (model DSIMBA7-LU) je určeno pro velké a geograficky rozšířené organizace. Je ideální pro uživatele, kteří požadují rozšiřitelné řešení na úrovni podniku, které může být snadno oršířeno, aby
Obě platformy SIEM zachycují data o událostech a tocích ze širokého spektra síťových zařízení; včetně aplikačních serverů, webových serverů, pracovních stanic, směrovačů, přepínačů, firewallů, VPN tunel serverů a zařízení IDS/IPS. Aktualizovaný seznam podporovaných zařízení najdete na webových stránkách www.enterasys.com v části informací o produktech Enterasys SIEM.
Technické specifikace Technické specifikace pro produkt SIEM Large Enterprise (model DSIMBA7-LU) a SIEM Small Enterprise (model DSIMBA7-SE) jsou uvedeny v následující tabulce.
Model
DSIMBA7-LU
DSIBMA7-SE
Application
High-performance, scalable Security Information and Event Management
All-in-one Security Information and Event Management
Event Management, Vulnerability Management, and Directed Remediation
Yes
Yes
Expansion Options
Software License Upgrades
The DSIMBA7-SE appliance is designed specifically for smaller enterprise and departmental deployments
External Flow Anomaly Processors External Event Processors Behavioral Flow Sensor
Uses external Behavioral Flow Sensors
Integrated Behavioral Flow Sensor
Maximum # Flows Per Minute (FPM)
400,000 FPM (Unidirectional)
100,000 FPM (Unidirectional)
200,000 FPM (Bidirectional)
50,000 FPM (Bidirectional)
Maximum # Events Per Second (EPS)
5,000/sec
1,000/sec
Processor & Memory
2 x Quad Core Intel® Xeon® Processors at 2.33 GHz
2 x Quad Core Intel® Xeon® Processors at 2.33 GHz 8 GB
8 GB Hard Disk Drive
6 x 750 GB SATA
6 x 500 GB SATA
Network Interfaces
2 x 10/100/1000 Base-T
1 x 10/100/1000 Base-T for management
Power Supply
Dual redundant 110 V / 220 V auto-sensing
Dual redundant 110 V / 220 V auto-sensing
Form Factor
2U rack-mountable chassis
2U rack-mountable chassis
3 x 10/100/1000 Base-T for monitoring
Strana 2
Možnosti rozšíření systému SIEM Pro zvýšení výkonu řešení a zlepšení schopnosti detekce anomálií v síti, je možno systém SIEM rozšířit o tyto komponenty: • Procesor událostí • Procesor anomálií toků • Senzory toků chování sítě
jednotkou pro základní zařízení SIEM. Přebírá a zdokonaluje zpracování dat o událostech ze zařízení DSIMBA7-LU. Informace o událostech se soustřeďují ze širokého spektra síťových a bezpečnostních zařízení – včetně systémových záznamů směrovačů, událostí SNMP a událostí na firewallu. Každý procesor událostí SIEM může zpracovat až 10.000 událostí za vteřinu. K dosažení větší flexibility může být připojeno k jedinému zařízení DSIMBA7-LU více procesorů událostí.
Technické specifikace
Procesor událostí SIEM Event Processor (model DSIMBA7-EVP) je rozšiřující
Model
DSIMBA7-EVP
Rated Throughput
5,000 events / second base configuration
Technické specifikace pro produkt Procesor událostí SIEM (model DSIMBA7-EVP) jsou uvedeny v následující tabulce.
10,000 event / second maximum Connects to
SIEM Appliance DSIMBA7-LU
Processor & Memory
2 x Quad Core Intel® Xeon® Processors at 2.33 GHz 8 GB
Hard Disk Drive
6 x 750 GB SATA
Network Interface
2 x 10/100/1000 Base-T
Power Supply
Dual redundant 110 V / 220 V auto-sensing
Form Factor
2U rack-mountable chassis
Procesor anomálií toků Procesor anomálií toků (model DSIMBA7-FAP) je rozšiřující jednotkou pro produkt Enterasys SIEM. Přebírá a zdokonaluje zpracování dat o tocích ze zařízení DSIMBA7-LU a má rozhraní se senzory toků chování sítě k soustřeďování toku informací o provozu IP ze širokého spektra zařízení. Každý procesor anomálií toku SIEM může zpracovat až 600.000 toků za minutu a jediné
Model
DSIMBA7-FAP
Rated Throughput
1,200,000 Max FPM (Unidirectional)
zařízení DSIMBA7-LU podporuje jeden nebo dva procesory anomálií toků.
Technické specifikace Technické specifikace pro produkt procesor anomálií toků SIEM(model DSIMBA7-FAP) jsou uvedeny v následující tabulce.
600,000 Max FPM (Bidirectional) Connects to
SIEM Appliance DSIMBA7-LU SIEM Behavioral Flow Sensors DSNBA7-xxx-xx
Processor & Memory
2 x Quad Core Intel® Xeon® Processors at 2.33 GHz 8 GB
Hard Disk Drive
6 x 750 GB SATA
Network Interface
2 x 10/100/1000 Base-T
Power Supply
Dual redundant 110 V / 220 V auto-sensing
Form Factor
2U rack-mountable chassis
Senzory toků chování sítě Tok síťového provozu je sekvencí paketů, které sdílejí společné charakteristiky – takové jako zdrojová/cílová IP adresa, zdrojový/cílový TCP/UDP port a použitý IP protokol. Senzory toků chování sítě SIEM jsou nasazeny ve strategických bodech sítě, aby sbíraly informace o toku provozu ze širokého spektra síťových zařízení – včetně přepínačů, směrovačů, bezpečnostních zařízení, serverů a aplikací. Senzory toků chování sítě SIEM jdou dále než
tradiční zdroje dat o tocích, aby umožnily analýzu toků vrstvy aplikací a detekci anomálií. Možnosti hloubkového zkoumání paketů a obsahu identifikují hrozby procházející standardními protokoly a porty. Jsou k dispozici rozhraní senzorů toků chování sítě se zařízeními SIEM nebo procesorem anomálií toků SIEM.
Technická specifikace Technická specifikace pro produkt senzory toků chování sítě jsou uvedeny v následující tabulce.
Strana 3
Model
DSNBA7-50-TX
DSNBA7-250-TX
DSNBA7-250-SX
DSNBA7-1G-TX
DSNBA7-1G-SX
Rated Throughput
50 Mbps
200 Mbps
200 Mbps
1 Gbps
1 Gbps
Connects to
SIEM Appliance DSIMBA7-LU SIEM Flow Anomaly Processor DSIMBA7-FAP
Processor
Xeon 3065 Processor at 2.33 GHz
2 x Quad Core Intel® Xeon® Processors at 2.33 GHz
Memory
1 GB
2 GB
Hard Disk Drive
160 GB SATA
2 x 80GB SATA
Network Interface
2 x 10/100/1000 Base-T (on-board) available in TX only
2 GB
4 GB
4 GB
1 x 10/100/1000 BaseT for management
1 x 10/100/1000 BaseT for management
3 x 10/100/1000 BaseT for monitoring
2 x 1000 Base-SX for monitoring
1 x 10/100/1000 Base-T for management
1 x 10/100/1000 Base-T for management
2 x 10/100/1000 Base-T for monitoring
2 x 1000 Base-SX for monitoring
Power Supply
Dual redundant 110 V / 220 V auto-sensing
Form Factor
1U rack-mountable chassis
Specifikace Environmentální a regulační specifikace pro Enterasys SIEM:
Environmentální specifikace
Regulativní specifikace
• Operační teplota: 10º C do 35º C (50º F do 95º F)
• FCC (U.S. only) Třída A
• Teplota úložiště dat: -40º C do 65º C (-40º F do 149º F)
• ICES (Canada) Třída A
• Operační relativní vlhkost: 20% do 80% neuvažuje se
• CE Mark (EN 55022 Třída A, EN55024, EN61000-3-2,
• Relativní vlhkost úložiště dat: 5% to 95% non-condensing
EN61000-3-3)
• Maximální gradient vlhkosti: 10% za hodinu, operační i neoperační
• VCCI (Japan) Třída A
• Operační vibrace: 0.26 G na 5 Hz do 350 Hz po dobu 2 min
• BSMI (Taiwan) Třída A
• Vibrace úložiště dat: 1.54 Grms Náhodné vibrace na 10 Hz do 250 Hz po
• C-Tick (Australia/New Zealand) Třída A
dobu 15 min
• SABS (South Africa) Třída A
• Operační úder: 1 shock pulz o 41 G po dobu do 2 ms
• CCC (China) Třída A
• Úder úložiště dat: 6 shock pulzů o 71 G po dobu do 2 ms
• MIC (Korea) Třída A
• Operativní nadmořská výška: -16 m do 3,048 m (-50 ft do 10,000 ft)
• UL 60950-1, EN 60950-1, IEC 60950-1
• Nadmořská výška úložiště dat: -16 m do 10,600 m (-50 ft do 35,000 ft)
• CAN/CSA C22.2 No. 60950-1
Informace pro objednání Part number
Popis
DSIMBA7-LU
SIEM Appliance for large enterprise deployments
DSIMBA7-SE
SIEM for small enterprise deployments, with integrated Behavioral Flow Sensor
DSIMBA7-EVP
Event Processor
DSIMBA7-FAP
Flow Anomaly Processor
DSNBA7-50-TX
Behavioral Flow Sensor with 50 Mbps rated throughput
DSNBA7-250-TX
Behavioral Flow Sensor with 200 Mbps rated throughput
DSNBA7-250-SX
Behavioral Flow Sensor with 200 Mbps rated throughput and optical interfaces
DSNBA7-1G-TX
Behavioral Flow Sensor Appliance with 1 Gbps rated throughput
DSNBA7-1G-SX
Behavioral Flow Sensor with 1 Gbps rated throughput and optical interfaces
Strana 4
Záruka Jako společnost, pro kterou je zákazník v centru jejího zájmu, dodává společnost Enterasys co nejlepší možné provedení a design ve spektru svých produktů. Pro případ, že některý z našich produktů bude mít závadu z důvodů poruchy jednoho z těchto faktorů, jsme vyvinuli komplexní záruku, která vás chrání a poskytuje vám jednoduchý způsob, jak si necháte svůj produkt co nejrychleji opravit.
Servis a podpora Enterasys Networks poskytuje kvalitní nabídku služeb od profesionálních služeb, design, nasazení a optimalizaci zákaznických sítí, specializovaný technická školení, až po podporu šitou na míru pro individuální zákazníky. Pro více informací ohledně Enterasys servisu a podpory, prosím kontaktujte svého zástupce Enterasys.
Enterasys SIEM přichází s jednoletou zárukou proti výrobním chybám. Podmínky plné záruky najdete zde:
http://www.enterasys.com/support/warranty.aspx
Kontaktujte nás Pro více informací volejte +420 222 191 901, nebo nás navštivte na webových stránkách www.enterasys.com
© 2007 Enterasys Networks, Inc. Všechna práva rezervována. Enterasys je registrovanou obchodní značkou. Secure Networks je obchodní značka Enterasys Networks. Všechny ostatní produkty nebo služby zde odkazované jsou identifikovatelné obchodními značkami či servisními značkami příslušných společností či organizací. Upozornění: Enterasys Networks si vyhrazuje právo měnit specifikace bez předchozího upozornění. Prosím kontaktujte obchodního zástupce či partnera pro potvrzení aktuálního stavu.
05/09
Strana 5