产品展示

USM 商业版

AlienVault 统一安全管理平台(USM)介绍

<m met-id=6 met-table=product met-field=keywords></m>

 

AlienVault 统一安全管理平台(USM)介绍



优势

当前网络中面临着越来越多的的安全威胁:

l  网络层面的威胁

l  主机层面的威胁

l  外部网络攻击的威胁

l  内部网络攻击的威胁

网络安全的目标是检测并拦截这些威胁, 但是没有一个安全方案能够完全彻底的保护这些网络。 AlienVault 统一安全管理平台(USM: Unified Security Management 的作用是减少风险、发现漏洞, 检测威胁并对这些威胁和漏洞以最高优先级进行处理和防范并给予防御。AlienVault USM主要采取的防范措施包括:

l  确认这些可能威胁或者漏洞的事件模式

l  确认潜在的有害攻击或者威胁的风险

l  对已经确认并上报的漏洞进行控制

l  对已经确认的攻击采取措施并回应

l  对网络和主机层面的威胁活动进行持续的监控和上报

为了保护网络的安全, 对于一个安全的网络架构设计,首先第一步是对网络中的资产进行风险评估。风险评估帮助确定网络中这些资产的相对重要性,这些资产是否存在漏洞并且与之相关的特定漏洞利用威胁,还有针对这些资产所产生的安全事件。在完成这些分析之后,你可以设计相关安全策略来应对上述相关资产价值,漏洞利用风险以及各种威胁和漏洞。

严格的安全策略集中在怎么最好的保护最重要以及风险大的资产。 比如, 一个网络资源非常重要并且其所遭受的攻击可能性比较高, 那么就要集中力量创建相关安全策略来监控针对该资产的相关攻击, 并且要有针对相关攻击发生的反击及保护措施。

AlienVault作为唯一一家公司在 2012 - 2017 连续6年在 Gartner魔力象限 MQ  SIEM (Security Info & Event Management = 安全信息与事件管理) 被评为"有远见的公司(Visionaries)",采取整体和高度智能化的方法来简化如何检测和减轻 IT 及互联网威胁。

<m met-id=6 met-table=product met-field=keywords></m>

·             确认和识别可能的漏洞和威胁的事件模式

·             确定潜在的有害攻击与被感染的终端的威胁情况

·             对上述威胁实现控制和报告; 对确认的威胁采取相应的行动与反应

·             对安全事件快速反应并执行彻底的调查

·             针对安全法规(PCI, HIPAA, ISO等)的符合性进行评估、管理并提供报告

·             优化您的安全投资及减少安全风险

USM 让你能够确定出相关重要资产,并且针对这些资产设置策略, 当这些资产存在漏洞或者遭受攻击时给你提示和报警。 USM 根据所捕获安全事件相关的风险值产生报警。相关安全事件的重要性依赖于三个因素:

l  资产相关联事件的价值

l  事件所代表的威胁

l  事件将要发生的可能性

上述三个因素是传统意义上定义风险的基础;是对资产所产生威胁潜在影响的一种措施以及一种威胁可能被执行的可能性。

USM中产生的每一个事件都会进行与之相关的风险评估;换句话说,相对于存在风险的资产来说,事件所代表的威胁以及威胁的可能性是真实的。相应地, USM可以让你具有识别所有高风险事件的能力,其中一些事件会导致报警,然后允许你提供适当的优先级给与处理。

五大产品功能

USM是怎么帮助你检测威胁并且优先对威胁采取措施呢?这是由USM的五大功能帮助你在你自己网络环境中执行安全管理任务。


AlienVault 的统一安全管理(USM)平台在单一设备上提供五大安全功能:

资产发现(Asset Discovery

·         主动网络扫描

·         被动式网络监控

·         资产清单

·         软件/服务清单

执行资产发现任务是让你知道网络中有什么系统和设备的第一步,也是非常重要的一步。USM 三大核心发现和清单查询技术让你对你想监控的网络有什么资产有个清楚的了解。

漏洞评估(Vulnerability Assessment

在网络上识别容易出现漏洞的系统,确认资产和设备上没有打补丁的软件,不完整或者不安全的配置以及其他网络中的漏洞等:

·         持续的网络漏洞监控

·         持续脆弱性监测

·         授权/非授权的主动式扫描

·         漏洞修复确认

USM集成的内部漏洞扫描功能让你对网络中的漏洞时刻保持了解,持续的动态资产清单与漏洞库关联让你对网络中的漏洞有最新的了解,你可以据此进行补丁部署和修复。

威胁检测(Threat Detection

检测网络中的恶意流量

·         网络入侵检测系统(NIDS

·         主机入侵检测系统(HIDS

·         文件完整性监控(FIM

USM HIDS  Agent, 安装在服务器上,具有内置的文件完整性监控功能, 可以对非授权的系统文件、配置文件或者内容修改的访问进行告警。监控有线和无线网络的访问,使用基于主机的或者基于网络的检测系统来识别谁正在试图访问这些系统、文件和内容。

行为监控(Behavioral Monitoring

识别网络中的异常行为及新的、未知的威胁;也识别可疑的行为和授权用户和设备对规则的破坏行为,特性包括:

·         NetFlow分析

·         服务可用性监视

·         网络协议分析/数据包捕获

USM集成的行为监控功能收集流量数据来帮助你观测“正常的”系统和网络活动,在调查可疑的操作问题或者潜在的安全事件时可以简化事件反应时间。 完整的数据包捕获可以对网络流量进行完整的协议分析,当潜在的攻击发生时可以提供完整的事件回放。

安全信息和事件管理(SIEM

·         日志管理

·         集成的OTX Open Threat Exchange)威胁情报数据

·         事件回应

·         SIEM 事件关联

·         报告和警报

识别、保留和修复网络中存在的威胁并优先处理风险并给与回应。你可以对可执行的安全情报自动关联日志数据来判定是否有违规。也可以对数字化签名的原始数据执行取证分析, 原始数据也可以用于证据保留的合规要求上。

除了上面提到的五大功能外, USM还具有合规性验证的功能,包括:PCI DSS, GLBA, ISO/IEC 27001, FISMA, NERC CIP, FERPA 和 SOX,另外, USM还可以产生符合规定的HIPAA, PCI, GLBA, ISO 27001, FISMA, NERC CIP, GPG13, and SOX等相关报告。

AlienVault 威胁情报(Threat Intelligence)

集成在USM Appliance平台上的威胁情报功能,是和市场上区别于其他安全管理方案的一个独特优势, 该功能由AlienVault 实验室安全研究人员开发, 是关于网络所面临的威胁的可以采取措施的有效信息。会告诉您这些威胁是什么, 从哪里来,网络中那些资产处于威胁当中并且怎么去回应这些威胁。

 

工作原理及三大组成部分

AlienVault USM的三个组成部分可以以软件(虚拟机上运行)或者硬件呈现:

·         USM Sensor 传感器,部署在网络中用于收集日志信息,监视网络流量

·         USM Server 服务器,汇聚和关联从Sensor收集到的信息, 提供统一可视化的管理、报告等功能

·         USM Logger日志记录器,安全地保持原始事件(Event)的日志信息用于满足取证调查和满足企业安全标准

·         USM All-in-One - Server, Sensor Logger 在一起的系统(可以通过软件或者硬件提供)

AlienVault USM 的产品定位: 从部署统一安全管理平台USM的第一天起,USM为有限资源的IT 小组提供快速而又简单的威胁检测、事故反应和合规性管理。

<m met-id=6 met-table=product met-field=keywords></m>

USM 系统架构和构成

<m met-id=6 met-table=product met-field=keywords></m>

单一Sensor的架构

 

<m met-id=6 met-table=product met-field=keywords></m>

Sensor 架构

USM 基本工作流程

USM有一个稳定连续的工作流程从网络设备上进行原始数据收集,然后对这些数据进行解析和标准化成为事件流并进行保存,过滤和关联分析,以确定相关威胁和漏洞。

1.       USM Sensor 被动收集日志和镜像过来的流量,主动探测网络中的资产,获取当前环境中的网络活动。

2.       USM Sensor 对各个来源收集的原始数据进行解析,并转化这些数据为一串事件,每个事件都有共同的数据字段。 然后讲这些事件送给Server

3.       Server 对这些事件进行关联并评估其风险。

4.       Sever讲这些事件送给Logger, 对这些数据进行数字化签名,保存以用于取证分析和合规性等。


USM部署方式

USM有两种部署方式:

简单部署模式: 所有的USM组件(Sensor, Sever, Logger)都安装在一起。 这种情况通常应用于较小的网络环境。

多层、分散式部署模式: USM各组件分别单独以虚拟机或者硬件服务器方式部署在一个分布式的系统拓扑上。这种情况有两个版本: USM 标准版和USM企业版。

部署规模建议

有非常多的因素都会影响到USM部署的配置以及部署的架构, 但最主要的因素是网络中预期产生的每秒事件的数量(Event Per Second)。为了估算这个数量, 需要计算网络中所有设备的数量(包括防火墙,路由器, 服务器以及安装在上面的应用软件)以及这些设备总共产生的事件数量。

另外, 你也需要考虑你自己特定的安全管理应用场景, 比如: 是否需要考虑合规性? 需要监控的设备的数量和类型?系统的用户数, 其他可能的事件关联、数据存储等特殊需求等。

联络北京八里科技有限公司的业务代表, 他们可以帮助你分析你的应用场景和系统需求, 帮助你选择正确的系统配置。

USM 安装和配置步骤

下面是一些大概的安装步骤:

1.       安装USM 软件

2.       打开需要USM各个组件通信的防火墙端口(Option

3.       改变Root 密码

4.       License 注册

5.       Time Zone NTP 服务器同步

6.       Sever 配置

7.       Sensor 配置

8.       Logger 配置

9.       连接到公司Email 服务器准备进行Email 通知(可选)

10.   其他可能的配置,比如HA, VPN, 插件安装和定制化。

推荐使用快速开始向导(Getting Started Wizard)进行配置, 向导提供了非常简单的,一步一步指导的配置过程:

<m met-id=6 met-table=product met-field=keywords></m>

1.       配置接口开始监测网络流量以便发现可能的威胁

2.       运行资产发现功能检测网络中的相关资产和系统

3.       批量部署HIDS Agent

4.       开启Log 管理

5.       连接USM OTX

6.       开始监控资产的日志

7.       对基于可疑活动的流量产生的告警如何处理进行规划

AlienVault USM 对硬件的要求

Name

Value

CPUType

Intel®XeonE5620

RAM Type

DDR31333MHz

Disk Type

SAS 10000RPM (204MB/s)

MemoryPerformance (MEMCPY)

3310.32 MiB/s

Disk Performance (random read/write)

15.97 Mb/s

 

AlienVault USM运行在虚拟机环境下的要求:


 

 

特别说明

USM的各个组成部分需要能够访问到特定的URLs 和端口号以保证正常工作,您需要在您公司的防火墙上面打开相应的许可来保证USM正常运行,下表总结了USM 需要访问到的URLs和端口号。

服务器URL

端口号

AlienVault 应用的功能

USM 版本

data.alienvault.com

80

AlienVault 产品和Feed 更新

4.x 和 5.x

feed.openvas.org; openvas.org

80, 873

漏洞扫描

4.x

maps-api-ssl.google.com

443

资产位置

4.x 和 5.x

messages.alienvault.com

443

消息中心

5.x

otx.alienvault.com

443

OTX

5.1 及以上

reputation.alienvault.com

443

OTX

4.x 和 5.x

support.alienvault.com

20, 21

AlienVault Doctor

4.x 和 5.x

telemetry.alienvault.com

443

远程数据收集

5.x

tractorbeam.alienvault.com

22, 443

远程支持

5.x

www.google.com*

80

AlienVault API

4.x 和 5.x

* AlienVault API 每5分钟访问www.google.com 一次以确保系统访问Internet 正常




 

下表总结了USM各个组成部分之间进行通信所使用到的端口号。

USM部件

软件包名称

监听端口

描述

Server, Sensor

Alienvault-firewall

22



alienvault-snmpd

161, 162



alienvault-vpn

当VPN 功能打开时, Alienvault-vpn 软件包会增加一条规则打开特定端口, 缺省端口为33800.


alienvault-ha

873, 694, 3306, 4949, 9390, 3000

当HA功能生效时, alienvault-ha 会增加一条规则并在两个节点之间的虚拟IP上打开这些端口

Server

alienvault-mysql

3306



ossim-server

40001, 40002, 40004, 40005



alienvault-apache2

80, 443



ossim-framework

40003, 40011, 3128, 555(UDP)



alienvault-ntop

3000


 


联络八里科技

联络八里科技以获得更多关于AlienVault在中国的技术支持及销售等信息。

北京八里科技有限公司

电话:010 5360 7998

Email: info@8milestec.com

www.8milestec.com





USM ALL-IN-ONE

USM 标准版

USM 企业版



AIO 75A

AIO 150A

AIO UA (Sensor Disabled)

AIO UA (Sensor Enabled)

Remote Sensor

Server

Logger

Sensor

Server

Logger

Sensor


Device Performance



Max Assets


75

150

Max Data Collection (eps)

1,000

2,500

1,000

500

15,000

2,500

15,000


Max Data Correlation (eps)

1,000

2,500

1,000

5,000

10,000


IDS Throughput (Mbps)

100

100

100

1,000

5,000


Hardware Specifications



Form Factor

1U

1U

2 x 1U

1U

Length x Width x Height (In)

26.6 x 17.2 x 1.7

11.3 x 17.2 x 1.7

26.6 x 17.2 x 1.7

26.6 x 17.2 x 1.7

Weight (lb)

42

11

42

42

Power Supply

2 x 700 / 750W

1 x 700/750W

2 x 700 / 750W

2 x 700 / 750W

Network Interfaces

6 x 1GbE

2 x 1GbE

6 x 1GbE

6 x 1GbE

2 x 1GbE2 x 10GbE

2 x 1GbE2 x 10GbE

(option)

(option)

CPU

2 x Intel Xeon

1x Intel Xeon

2 x Intel Xeon

1 x Intel Xeon

2 x Intel Xeon

1 x Intel Xeon


E5620 2.4GHz

E3-1220, 3.1 MHz

E5620 2.4GHz

E5620 2.4 GHz

E5620 2.4GHz

E5620 2.4 GHz


8 Cores

 4 Cores

8 Cores

4 Cores

8 Cores

4 Cores


Storage Capacity (TB) 4/

9.0 /1.8

5.0 / 1.0

6.0 / 1.2

9.0 / 1.8

6.0 / 1.2

11.0 / 2.2


Compressed

6.0 /1.2

6.0 / 1.2


Uncompressed




Disk Array Configuration

RAID 10

No

RAID 10

RAID 10

Memory (GB)

24

8

24

24

48

24


Redundant Power Supply

Yes

No

Yes

Yes

IPMI Interface

Yes

Yes

Yes

Max Heat Dissipation (BTU/hr)

439.55

27.3

846.18

815.47

667.05

846.18

819.93

667.05


(6x1 option)

(6x1 option)


684.11

684.11


(2x10 option)

(2x10 option)


Max Power Consumption (kVA)

0.1288

0.1052

0.248

0.239

<span style="font-size: 9px;font-family:'Arial',sans-serif

  • 手机(含内置电池) x 1

  • 快速指南 x 1

  • 三包凭证 x 1

  • 取卡针 x 1