北京八里科技有限公司 - 威胁情报|信息安全云服务|性能测试仪 - 您可靠的合作伙伴

    北京八里科技有限公司

    示例图片三
    网站首页 > 产品方案 > 安全信息和事件管理(SIEM)

      安全信息与事件管理(SIEM)

       AlienVault 统一安全管理平台(USM)介绍目录优势... 2工作原理及三大组成部分... 3五大产品功能... 4典型部署场景... 5产品配置... 9如果以软件方式提供,对客户虚拟机的性能要求... 12插件管理介绍... 12资产管理介绍... 14USM Sensor 传感器介绍... 15USM Server 服务器介绍... 16USM Logger 介绍...

      1. 详细信息

       AlienVault 统一安全管理平台(USM)介绍

      目录

      优势... 2

      工作原理及三大组成部分... 3

      五大产品功能... 4

      典型部署场景... 5

      产品配置... 9

      如果以软件方式提供,对客户虚拟机的性能要求... 12

      插件管理介绍... 12

      资产管理介绍... 14

      USM Sensor 传感器介绍... 15

      USM Server 服务器介绍... 16

      USM Logger ... 16

      威胁情报交换站(OTX)介绍... 17

      试用、评估和部署之前准备列表... 17

      联络八里科技... 20

       

       

      优势

      AlienVault作为唯一一家公司在 2013 - 2017 年被在 Gartner魔力象限 MQ  SIEM (Security Info & Event Management = 安全信息与事件管理) 命名为"有远见的公司",采取整体和高度智能化的方法来简化如何检测和减轻 IT 及互联网威胁。

      无标题.png 


      • 检测环境中刚出现的威胁

      • 对安全事件快速反应并执行彻底的调查

      • 针对安全法规(PCI, HIPAA, ISO等)的符合性进行评估、管理并提供报告

      • 优化您的安全投资及减少安全风险

      工作原理及三大组成部分

      AlienVault USM的三个组成部分可以以软件(虚拟机上运行)或者硬件呈现:

      • USM Sensor 传感器,部署在网络中用于收集日志信息,监视网络流量

      • USM Server 服务器,汇聚和关联从Sensor收集到的信息, 提供统一可视化的管理、报告等功能

      • USM Logger日志记录器,安全地保持原始事件(Event)的日志信息用于满足取证调查和满足企业安全标准

      • USM All-in-One - Server, Sensor Logger 在一起的系统(可以通过软件或者硬件提供)

      无标题.png

      五大产品功能

      无标题.png

      AlienVault 的统一安全管理(USM)平台在单一设备上提供五大安全功能:

      资产发现(Asset Discovery

      • 主动网络扫描

      • 被动式网络监控

      • 资产清单

      • 软件清单

      行为监控(Behavioral Monitoring

      识别可疑行为及可能受影响的系统

      • Netflow分析

      • 服务可用性监视

      • 完整的数据包捕获

      漏洞评估(Vulnerability Assessment

      在网络上识别容易出现漏洞的系统

      • 网络漏洞测试

      • 持续脆弱性监测

      威胁检测(Threat Detection

      检测网络中的恶意流量

      • 网络入侵检测系统

      • 主机入侵检测系统

      • 文件完整性监控(FIM

      安全信息和事件管理(SIEM

      • 日志管理

      • 事件回应

      • 事件关联

      • 报告和警报

      典型部署场景


      USM All-in-One

      USM 标准版

      USM 企业版

      用户类型

      小型企业

      中型企业

      大型企业

      环境

      单一/简单部署

      多层 & 分布式环境

      多层 & 分布式环境

      虚拟环境

      X

      X


      专门硬件平台

      X

      X

      X

       

      简单部署环境, USM AIO

      USM AIO部署在防火墙之后,Sensor收集从办公网络, 无线网络,DMZ网络和防火墙的Log, 并且也监控相连路由器的网络流量,该路由器需要有端口镜像到USM上。

      无标题.png

      简单部署环境例子示意, USM AIO

      简单部署环境, USM AIO + Remote Sensor

      无标题.png

      复杂部署环境, 多个独立的USM 组成部件

      无标题.png

      产品配置


      USM ALL-IN-ONE

      USM STANDARD

      USM ENTERPRISE


      AIO 25A

      AIO 75A

      AIO 150A

      AIO UA (Sensor Disabled)

      AIO UA (Sensor Enabled)

      Remote Sensor

      Server

      Logger

      Sensor

      Server

      Logger

      Sensor


      Device Performance



      Max Assets

      25

      75

      150

      Max Data Collection (eps)

      1,000

      2,500

      1,000

      500

      15,000

      2,500

      15,000


      Max Data Correlation (eps)

      1,000

      2,500

      1,000

      5,000

      10,000


      IDS Throughput (Mbps)

      100

      100

      100

      1,000

      5,000


      Hardware Specifications



      Form Factor

      1U

      1U

      2 x 1U

      1U

      Length x Width x Height (In)

      26.6 x 17.2 x 1.7

      11.3 x 17.2 x 1.7

      26.6 x 17.2 x 1.7

      26.6 x 17.2 x 1.7

      Weight (lb)

      42

      11

      42

      42

      Power Supply

      2 x 700 / 750W

      1 x 700/750W

      2 x 700 / 750W

      2 x 700 / 750W

      Network Interfaces

      6 x 1GbE

      2 x 1GbE

      6 x 1GbE

      6 x 1GbE

      2 x 1GbE2 x 10GbE

      2 x 1GbE2 x 10GbE

      (option)

      (option)

      CPU

      2 x Intel Xeon

      1x Intel Xeon

      2 x Intel Xeon

      1 x Intel Xeon

      2 x Intel Xeon

      1 x Intel Xeon


      E5620 2.4GHz

      E3-1220, 3.1 MHz

      E5620 2.4GHz

      E5620 2.4 GHz

      E5620 2.4GHz

      E5620 2.4 GHz


      8 Cores

       4 Cores

      8 Cores

      4 Cores

      8 Cores

      4 Cores


      Storage Capacity (TB) 4/

      9.0 /1.8

      5.0 / 1.0

      6.0 / 1.2

      9.0 / 1.8

      6.0 / 1.2

      11.0 / 2.2


      Compressed

      6.0 /1.2

      6.0 / 1.2


      Uncompressed




      Disk Array Configuration

      RAID 10

      No

      RAID 10

      RAID 10

      Memory (GB)

      24

      8

      24

      24

      48

      24


      Redundant Power Supply

      Yes

      No

      Yes

      Yes

      IPMI Interface

      Yes

      Yes

      Yes

      Max Heat Dissipation (BTU/hr)

      439.55

      27.3

      846.18

      815.47

      667.05

      846.18

      819.93

      667.05


      (6x1 option)

      (6x1 option)


      684.11

      684.11


      (2x10 option)

      (2x10 option)


      Max Power Consumption (kVA)

      0.1288

      0.1052

      0.248

      0.239

      0.1955

      0.248

      0.211

      0.1955


      (6x1 option)

      (6x1 option)


      0.2005

      0.2005


      (2x10 option)

      (2x10 option)


       

      如果以软件方式提供,对客户虚拟机的性能要求

      无标题.png

       

      插件管理介绍

      插件(Plugin)是一个专门对外部应用程序或者第三方设备产生的Log进行处理和分析的软件组件。插件对所收集的Log进行解压处理,优化针对安全方面的元数据(Metadata)进行分析并产生事件(Event)。下图是传感器Log处理示意图。

      无标题.png

       

      插件被用于解压和标准化从各个不同数据源收集过来的数据,在数据标准化过程中,插件会评估每个Log文件并将其翻译为事件,确定该事件在AlienVault分类中的事件类型和子类型。

      USM已经支持了常见数据源的插件,如果需要支持特定设备,那就需要创建一个自定义的插件,或者至少定制现在已经存在的插件。

      USM传感器从远端主机上通过Syslog, WMI或者其他协议接收事件,传感器使用的是收集插件(Collection Plugins)。

      插件包括两个文件:

      .cfg.该文件存在于USM传感器中/etc/ossim/agent/plugins目录下

      .sql 该文件存在于USM服务器中/usr/share/doc/ossim-mysql/contrib/plugins目录下。

      插件类型

      • 检测器插件(Detector Plugins)

      接收Log并从其中解压事件的插件。文件包括“Source”域标示了该插件的类型,下表是检测插件的插件类型。

      无标题.png

        • 数据库插件(Database Plugin- 从数据库中解压信息并将其转换成事件的插件

        • Log插件 - 根据Log文件的信息解析该Log文件并产生事件的插件

        • Remote Logs 插件 - 通过ssh 监控远程设备Log 文件的插件

        • SDEE插件 - Security Device Event Exchange 主要用于Cisco IPS Sensor 5.0设备上。

        • WMI 插件- Windows Management Instrumentation 插件主要收集Microsoft Windows 事件。

      • 监视插件(Monitor Plugins- 执行USM的命令去检查目标对象状态的插件。

      目前AlienVault已经支持超过200种不同类型的插件, 如果需要AlienVault USM可以管理您的品牌的设备,比如防火墙,交换机,路由器等, 请联络八里科技获得相关信息或者支持。

      资产管理介绍

      • 资产的定义; 资产是有一个独立IP地址的设备,可以是服务器,路由器,防火墙,打印机或者电脑等。资产至少被一个USM传感器来监控。

      • 资产的价值; USM中,每个资产都有一个价值,从05是不重要到最重要。系统首先看是否该资产被手动设置了一个价值,如果没有, 系统检查该资产属于哪个网络,用该网络的价值标示该资产的价格,如果网络也没有标示价值,那么该资产缺省设置价值为2

        资产价值用于计算事件的风险,风险值根据每个到达USM 服务器的事件来计算,计算公式如下:

      Risk of the event= (asset value event priority event reliability) / 25

      资产价值:0 – 5

      事件优先级: 0 – 5

      事件可靠性: 0 – 10

      所以风险值是从0 10 并且小数点为四舍五入。 当风险值大于或者等于1时,系统就会告警。

      • 资产管理包括哪些方面

        • 资产发现

        • 资产脆弱性扫描

        • HIDS (Host-based Intrusion Detection System) 基于主机型入侵检测系统代理部署

        • 资产分类

        • 资产优先级设置

        • 资产监视,包括主机监视和服务监视,主机监视包括该资产是否正常开机或者关机; 服务监视主要监视该服务的可用性。

        • 增加/删除某资产的管理

        • 资产分析,包括分析检测到的告警,该资产上安装的软件,存在的漏洞,访问的用户,该资产产生的流量等。

      USM Sensor 传感器介绍

       USM 传感器部署在整个网络中,包括您需要管理的任何远端站点,是USM平台位于第一线的安全模块,主要实现下面功能:

      • 从网络设备和主机上收集Log

      • 收集从镜像端口转发过来网络流量的数据

      • 执行资产发现

      • 实施漏洞扫描

      • 实施入侵检测数据

      • 产生NetFlows

      接下来USM Sensor 会利用各个插件,翻译(标准化)所收集到的数据并转化成事件,最后送给USM server,用于数据关联分析和风险评估。下面是USM Sensor的工作流程。

      无标题.png

      USM Server 服务器介绍

      工作流程如下:

      无标题.png

      USM Logger 介绍

      USM Logger工作流程

      无标题.png

      威胁情报交换站(OTX)介绍

      ”Pulse”的方式提供威胁情报信息,每个Pulse可能包括一个或者多个IOCIndicator of Compromise), 下面是IOC的类型:

      • IPv4

      • IPv6

      • Domain

      • Hostname

      • Email

      • URI

      • URL

      • Filepath

      • Filehash-MD5

      • FileHash-SHA1

      • FileHash-SHA256

      • Imphash (Import Hash)

      • PEhash

      • CIDR (Classless inter-domain routing)

      • Mutex

      • CVE

      试用、评估和部署之前准备列表

      • c Email address used to register for free trial

      • c List of zones, ranges, subnets to monitor

      • c Static IP address for your USM instance*

      • c Firewall access info to enable log management*

      • c Access to a span port or tap to monitor your network*

      • c Domain account info to install the HIDS agent*

      • *optional items

      1. 部署USM – VmWare ESXi 上安装USM

      无标题.png

      1.  

      2. 监控网络流量配置接口和监控网络中的威胁流量

        无标题.png

      3. 资产发现 – USM扫描监测需要监控的资产

        无标题.png

      4. 收集Logs和资产监控

        无标题.png

      5. 调查分析和处理

        无标题.png

         

       

       

      联络八里科技

      联络八里科技以获得更多关于AlienVault在中国的技术支持及销售等信息。

      北京八里科技有限公司

      电话:010 5360 7998

      Email: info@8milestec.com

      www.8milestec.com


      更新日期: 20176



      Powered by MetInfo 5.3.18 ©2008-2017 www.metinfo.cn