enVision产品介绍.docx
《enVision产品介绍.docx》由会员分享,可在线阅读,更多相关《enVision产品介绍.docx(27页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、RSA enVision产品介绍目 录1RSA ENVISION产品介绍31.1RSA enVision产品结构31.1.1ENVISION功能组件31.1.2部署架构41.2RSA enVision功能特色51.2.1LogSmart Internet Protocol Database(IPDB)51.2.2基线61.2.3Reports71.2.4相互关联的警报81.2.5法律需要Forensics91.2.6事件浏览器Event Explorer101.2.7通用设备支持UenVisionversal Device Support112ENVISION产品特点122.1系统分析122.
2、1.1产品可以根据需要进行灵活架构122.1.2安全性122.1.3数据可靠性122.1.4易用性122.1.5可维护性132.1.6可扩展性132.2客户收益132.2.1产品竞争力分析132.3安全审计数据的存储建议152.3.1安全审计数据存储152.3.2安全审计数据符合性存储162.4安全运维的建议182.5本地服务与支持192.5.1RSA SecuCare 技术支持服务192.6案例分析202.6.1JPMorgan Chase202.6.2EDS212.6.3Fifth Third Bancorp223RSA简介233.1RSA信息安全公司简介233.2被EMC收购后的情况24
3、3.2.1产品253.2.2行业标准263.2.3战略性伙伴273.2.4全球支援服务273.2.5业务遍及全球271 RSA enVision产品介绍RSA enVision经市场证明,是SIEM产品的全球领跑厂商。公司的LogSmart Internet Protocol Database (IPDB)通过独特的架构设计,能够高效的收集和保护数据,无需任何代理或过滤器。RSA enVision通过简明实现,大大减低了客户成本,无需担心安全和遵规的复杂性。已经为全球数百个用户所采用。RSA enVision日志管理平台收集从网络设备、安全和企业应用,到主机、桌面和存储设备的所有数据,与遵规和
4、安全解决方案一起融入智能的ENVISION系统中。1.1 RSA enVision产品结构1.1.1 ENVISION功能组件enVision Appliance由三个功能模块组成:Application Server,Data Server和Data Collector。数据通过收集器Data Collector收集进DATA SERVER,管理员提交查询或分析请求时,Application Server访问Data Server的数据,并通过页面显示分析结果。1.1.2 部署架构RSA enVision包括ES和LS两种系列的产品。大规模部署时,LS系列通过分析服务器A-SRV、D-SRV
5、数据服务器、LC本地收集器和RC远程收集器四个模块组件,灵活部署。根据各个分支机构的实际业务量或日志数据处理能力,部署相匹配的产品模块。通过级联实现企业全球范围724的实时监控和管理。1.2 RSA enVision功能特色1.2.1 LogSmart Internet Protocol Database(IPDB)LogSmart IPDB超越了一些传统的Relational Data Base Management System(RDBMS)系统的理念。首先,LogSmart IPDB能够有效的和原始的非结构化数据作整合,而不需要预先定义或作数据的标准化。在事件日志方面,LogSmart
6、IPDB使用原始的的事件日志本身来形成数据库,而无其它额外的要求。其次,LogSmart IPDB在写入数据方面做了高度优化。即使读取的数字远远超过了写入,通过对写入的优化,任何后续的读取都会变得更加有效,并在主机系统上节约总体的I/O负荷。LogSmart IPDB对数据本身使用了Write Once Read Many (WORM)的方法,以确保一旦数据被写入数据库,它就无法被改变。其次,不像大多数基于RDBMS解决方案的数据模型,LogSmart IDPB被设计成储存基于IP的信息并且它总是会储存每一个信息来源(IP,MAC地址,主机名,等等)成为一个独立的信息单位。IPDB不会象RDM
7、S那样将多个信息单位混用成一行或一个表格,这样就提供了更高精度的访问控制。最后,由于LogSmart IPDB使用原始的非结构化数据,它仅仅对数据请求时输出的信息作解析,而不是对输入的数据作100的解析,这样就节约了原来计算机的资源,并保留了输入数据的原始结构。这样就提供了更好的安全性,验证性和压缩技术1.2.2 基线 当enVision被接入网络时,它就开始建立起网络行为的基线;同时,一旦这被执行,相互关联的的警告和报告就会变成企业日常业务中不断持续的一部分而不是只作一次,以后就不管了。基线的原理非常简单,其基本概念是从所有数据中创建基准,因此当一个偏离发生时,你能快速并有效的解决问题。同时
8、,由于每个网络都是唯一的,enVision使你能够将“点点滴滴串连起来”(connect the dots) 并进行分析或是当信息代码不正常时对你发出警告。 当基线被建立起来后,enVision允许你根据资产对业务的影响,功能,对企业的重要性和地理位置来进行定义。资产能够从网络或漏洞扫描系统中被导入,因此enVision不仅能提供基线信息,它也能提供详细的资产报告和相关警告信息。1.2.3 Reports enVision这种对所有数据的收集和浏览提供了对安全敏感数据的快速和容易的访问。通过超过700个报告,enVision可以对各种不同的问题提供相关信息,包括指定内建报告和自动生成特别报告。
9、什么是你的报告目标? 预定报告 特别报告 SOX, PCI, GLBA, FISMA, HIPAA, 和其它 对于特权用户监控的安全报告 对于非特权用户访问文件的安全报告 对配置控制改变的安全报告 对登陆失败的安全报告 针对用户行为的日常业务报告 1.2.4 相互关联的警报 一个关联预警是在某一个特定期间多个设备发生的预警的综合。每个关联预警被设置成correlation rule(关联规则)。该规则标识从定义的多台设备类型的系列事件与特定条件的符合。系统将生成一个关联预警。每个关联预警有它自己的消息ID和消息文本。例如,当入侵检测系统,漏洞评估系统和防火墙都正常运作时,收集并分析它们生成的大
10、量事件数据并将其整合将是一个巨大的挑战。enVision 保护你对现有安全设备和安全措施的投资,它通过对安全事件相互关联的分析提供了一种更精确和实时的安全解决方法。enVision收集并关联上千的数据以允许l 通过与其它的网络和安全设备的互相关联,减少单一设备的误报 l 对你的安全设备和威胁进行分级,使你能够关注到最关键的问题点对关键资产的相关威胁的关联可以立即引起你对问题的注意 l 在一个页面中显示所有区域的安全警报 l 同漏洞扫描产品中的数据作整合。使漏洞扫描数据极大地减少了误报 l 对峰值和低谷活动的检测能够检测到不寻常的行为 l 通过复杂的代码匹配功能,能够检测可疑行为和偏离基线的异常
11、行为 1.2.5 法律需要Forensics 如果合适的流程没有建立起来以重现过去的数据信息,那么收集这些网络上的信息,以供不断增长的法律诉讼要求就将会是一项非常庞大的工作。enVision的事件日志可以允许你进行非常详细的调查,帮助你的公司以非常明白的方式记录下网络的使用情况通过无代理的收集,enVision从源设备中收集日志数据,并以它原来的byte-for-byte格式储存这些日志。这提供了一个不可抵赖的数据仓库,这里面储存了压缩,加密,和验证的事件日志数据。最重要的是,它将允许你以一种初始的未作修改的方式找到任何事件enVision允许对实时和历史数据作分析,并能以各种不同的格式来展现
12、数据,以满足企业中各种不同的人群从IT部门到管理部门等等1.2.6 事件浏览器Event Explorer 事件浏览器是一种高级的分析模块,它提供给你一种全新的研究分析方式。现在,你不仅仅能抓取所有数据,而且你能动态地浏览它。通过调整所选的观察点,事件浏览器动态地扩展在同一时间被调查事件的范围。1.2.7 通用设备支持UenVisionversal Device Support 除了内建有对数百台设备的支持,enVision 开放自身架构并提供各种工具以增加不常用的新增设备。UDS(通用设备支持)使用户能够容易的使用这个平台来收集,分析和管理日志数据,并提供对来自不同制造商生产设备的数据比较。
13、UDS特性:l 增添新信息的用户接口 l 控制设备和信息的分类 l message IDS 和负载数据的简单定义 l 支持在同一计算机上运行多个运用 enVision也提供你对整个组织架构中所有节点的安全意识包括网络,安全,主机,设备和存储。支持的设备有Cisco, Microsoft, EMC, JuenVisionper, Check Point, IBM, Oracle, RSA, Symantec和许多其它产品。2 enVision产品特点2.1 系统分析2.1.1 产品可以根据需要进行灵活架构enVision产品有EX、HA和LS三个产品系列。例如可通过LS系列(单台设备支持高达30
14、0,000+EPS的处理能力)的级联满足超大型网络的应用需要。在实际部署中,可以根据需要在企业整体网络中进行各种组合。可以按照要求部署各个功能模块,如总部部署A-SERVER、D-SERVER和Local Collector,省级单位部署D-SERVER和Local Collector用于数据收集和存储,各地市级单位可以根据实际情况部署Remote Collector,用于远程数据收集等。2.1.2 安全性enVision独有的IPDB数据库,底层自动对数据进行压缩、加密和分析。所有数据均加密存储在IPDB中,LS分布式部署时,数据传输由IPDB进行管理,网络传输时所有数据内容也为加密数据。2
15、.1.3 数据可靠性见4.3节。2.1.4 易用性enVision设备为硬件产品(Appliance),部署简易,上电即用。管理员可通过直联CONSOLE口、远程桌面和WEB浏览器等多种方式进行管理和维护。内置大量的标准报表和预警模板,用户可直接根据菜单操作即可获得所需的报表。根据国际领先的产品部署应用经验,预设了大量的关联分析功能类,管理员可根据相关类设置关联规则,并直接运行生成即时预警监控。丰富、强大的权限分配和控制管理,与分组策略结合,可定义不同层次用户的访问权限。如最高管理层、中层经理和操作员,均可看到系统设定的自己感兴趣的报表内容。2.1.5 可维护性enVison设备为硬件产品(A
16、ppliance),且无需任何代理(Agentless)。与其它SIEM产品相比,极大的降低了系统的复杂度和维护工作量。 enVision可通过AIM(AOL Instant Messenger)、运行命令、SMTP、SNMP 、Syslog和Text File等多种协议和工具,将事件预警实时通知管理员。enVision数据库为IPDB,是新一代的智能数据库。数据库每天自动进行三次备份,管理员也可直接运行备份命令,即时备份数据库,且ENVISION所有服务无需停止。2.1.6 可扩展性enVision作为国际领先的专业厂商,为大企业高端用户提供了LS系列解决方案产品。EDS、JPMC、HSBC
17、和AXA等国际大企业均采用enVisionLS系列进行全球部署和管理。enVision LS通过级联部署,可扩展性良好。 目前支持超过100多种设备,包括各主流的主机系统、网络设备、安全设备和存储设备等,并对旧设备或其它设备提供UDS(UenVisionversal Device Support)接口支持接入。2.2 客户收益2.2.1 产品竞争力分析Appliance: enVision多年来专注致力于基于硬件(Appliance)平台的SIEM产品。我们正在提供的第三代系列产品,为客户提供一揽子解决方案,强大的高可用性和企业级性能特色。 提供基于解决方案的硬件设备(Appliance),我
18、们多年的优势包括: - 固化的操作系统(Hardened OS) - 经过认证的盒内应用(run on box)连续性和稳定性,包括电源和备份切换 - RAID - 审计 ENVISION针对特定的用户需求提供了可扩展的硬件设备,而不是为所有模型提供单一的产品 实施简单,Appliance上电即用,功能模块化,不像软件SIEM产品需要专门开发 高性价比日志特色: 日志收集使用独有的、世界领先的IPDB智能数据库,实现数据的高效分析和存储,效率和性能遥遥领先传统关系数据库(RDBMS)。其它的SIEM产品无法提供如此强劲的日志收集平台。 enVision高效压缩数据,无需大容量的在线存储。而相关
19、的SIEM产品可能需要至少15TB的在线存储。 可选存储集成- enVision支持EMC和NTAP的存储系统和产品。并且作为EMC的成员,enVision将得到EMC的全力支持。 EnVision事件探测是下一代的日志浏览技术,提供更加丰富的功能,允许实时查看原数据(RAW DATA) LS系列中,enVision的分析服务器(A-SRV)、数据服务器(D-SRV)和收集器(Collector)的产品模块均为硬件设备(Appliance)。而相关厂家为软件产品,或仅有收集器模块为硬件。在产品性能和稳定性方面不如专业的enVison Appliance。这也是国际众多客户包括JP Morgan
20、 Chase、AXA和HSBC等选择enVision的原因之一。由于传统数据库的信息插入(insertion)瓶颈* ,所以,尽管号称可以收集所有的数据,可是在实时分析和数据响应方面,其它的SIEM产品无法与enVision媲美。2.3 安全审计数据的存储建议 安全审计数据具有数据量大,增长速度快,同时又面临着内控和外审的符合性和安全性要求的特点,因此建议在建设过程中考虑系统的数据采集、关联、分析以及报告等功能的同时充分考虑审计数据的存储和法规符合性管理。2.3.1 安全审计数据存储RSA enVision采集的数据以IPDB的形式存放在enVision的Appliance上,数据容量的计算可
21、参照如下公式: 安全审计数据量Avg. EPS x Avg. Event Size x Avg. Reduction Ratio x TimeAvg. EPS:平均每秒采集数据条数Avg. Event Size: 平均每条事件的平均大小,ENVISION为256 byteAvg. Reduction Ratio: 平均压缩率,ENVISION为29Time: 存储时间安全审计数据存储容量的估算如下例表所示:作为整体的EMC安全解决方案,在存储架构上从近期和长远目标考虑,采用分级存储的架构,在近期主要考虑数据的归档存储,在远期可考虑将日志的存储统一纳入到的机构的整体存储架构。例如,根据内审、外审
22、及相关政策的规定,可将审计期内的数据存放在enVision的Appliance上,审计期外的历史数据、报表等可通过EMC Legato File Extender自动的定期归档至EMC Celerra NAS设备上,当需要时可自动从Celerra上重新获取,同时,通过备份软件在Celerra上进行备份。从长远规划上,可将Cellera上的存储数据直接通过底层存储直接转储到磁盘阵列等存储设备上。整体架构如下图所示:2.3.2 安全审计数据符合性存储随着市场和社会的要求,安全问题已不仅仅是企业内部的管理和控制问题,市场和政府从法规和标准的角度对企业和组织提出了更高的安全性要求,特别是对相关数据的完
23、整性,准确性和有效性,与当前我国银行业相关的法规及数据的存储要求如下表所示:相关法规对数据保存的要求违规的惩罚Sarbanes-Oxley5 年最高罚款 $5M美元10年刑罚PCICorporate Policy罚款被禁止信用卡的业务及使用GLBA6 年罚款Basel II7 年罚款信息安全审计工具一方面要获取和存储相关安全数据为企业内控和外审提供审计依据,另一方面其自身也属于信息系统的一部分,属于被审查和控制的对象,因此安全审计工具数据自身的符合性问题也应是安全审计系统建设的内容。 EMC的内容寻址存储解决方案Centera通过一种叫做“内容寻址”的用于存取固定内容的新方法,使应用程序通过独
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- enVision 产品 介绍
限制150内