Rješavanje Svih Problema S Windows I Drugih Programa

Pregled upravljanja zapisima: ArcSight Logger

ArcSight je pionir u upravljanju sigurnosnim događajima od 2000. godine, a vodstvo tvrtke pokazuje bogatstvo, fleksibilnost i zrelost svoje ponude. Asortiman proizvoda vode ArcSight Enterprise Security Manager i Logger uređaji za upravljanje zapisnicima događaja, iako tvrtka ima manje uređaje i prateće module za praćenje identiteta i usklađenosti.

Za razliku od većine proizvoda u ovom pregledu (svi osim Splunk ), koje ubacuju neke SIEM funkcionalnost , Logger je isključivo za prikupljanje i izvješćivanje o zapisnicima događaja. Ne uključuje skupove pravila za obradu događaja niti donosi odluke o dolaznim informacijama i upozorava vas na sigurnosne događaje. Umjesto toga, jednostavno usisava sve zapisničke podatke koje želite analizirati i generira izvješća o njima.



[Koja rješenja za upravljanje zapisnicima imaju prave stvari? Vidi ' Pregled InfoWorlda: Udovoljavanje izazovu sigurnosti mreže i usklađenosti . ' ]



Za ovaj pregled, ArcSight mi je poslao uređaj Logger 4 serije 7200 (2U) sa šest 1TB RAID5 pogona, maksimalnu količinu interne memorije na raspolaganju. Koristeći zadanu kompresiju, ArcSight kaže da jedinica može pohraniti 42TB prostora za pohranu događaja prije nego što je treba arhivirati na vanjsku pohranu, iako to nisam provjerio.

napravio u & t kupiti verizon

Logger 4 radi na 64-bitnom Oracle Enterprise Linuxu s jednim ili dva Intel Xeon Quad Core 2.0GHz procesora, dva ili četiri mrežna sučelja i 12 GB ili 24 GB RAM-a. Početno postavljanje bilo je brzo i jednostavno - standard za današnje uređaje. Konfiguracija, upravljanje i operacije mogu se izvršiti pomoću sučelja naredbenog retka ili web grafičkog sučelja zaštićenog HTTPS-om.



ArcSight Logger: Podrška i upravljanje zapisnikom događaja Dvije od prednosti ArcSighta su broj klijentskih platformi koje podržava i mnogi načini na koje se poruke o događaju mogu slati Loggeru. Osim što ih domaćini izravno prosljeđuju Loggeru pomoću izvornih protokola (UDP, TCP, Syslog, FTP, SCP itd.), Poruke o događajima mogu se pokupiti različitim metodama (uključujući tekstualne datoteke) ili prikupiti i poslano pomoću softvera agenta pod nazivom Connectors. ArcSight nudi više od 100 različitih vrsta konektora, više od bilo kojeg drugog dobavljača. Ako sam se mogao sjetiti, imali su ga. Ako ga nemaju, vjerojatno ga možete izgraditi. ArcSight FlexConnectors dopuštaju administratorima stvaranje prilagođenih konektora za uređaje i aplikacije koji ne mogu koristiti postojeće konektore.

Konektori preuzimaju događaje u svom izvornom formatu, normaliziraju podatke i isporučuju strukturirane podatke u uređaj ArcSight. Konektori daju strukturu svim nestrukturiranim podacima dnevnika, što je važno jer ne možete pokrenuti ArcSight izvješća o nestrukturiranim podacima, iako na njima možete pokrenuti tekstualno pretraživanje. Konektori također mogu izvesti filtriranje događaja, predmemoriranje poruka o događajima i ograničavanje propusnosti mreže. Jedini nedostatak je to što su agenti konektora ArcSighta prilično veliki (njihov Windows konektor je 179 MB) u usporedbi s drugim agentima na klijentskoj strani i njihova instalacija može potrajati više od 10 minuta.

Događaje također može prikupljati jedan Logger i prosljeđivati ​​drugim Loggerima i ArcSight rješenjima, što je zgodna značajka za rukovanje udaljenim uredima. ArcSight tvrdi da se na jedan uređaj može poslati više od 100.000 događaja u sekundi. Nisam testirao stres ovu tvrdnju, ali u svojim ograničenim testovima, Logger je vrlo dobro rješavao složene upite prema gigabajtima podataka.



Događaji se prikupljaju u pojedinačne, prilagodljive grupe pohrane (do pet), koje se mogu postaviti za određene vrste uređaja, za različite mreže ili zadovoljiti različite potrebe prikupljanja. Grupe za pohranu mogu se konfigurirati za veličinu, maksimalnu dob događaja i prioritete izvješćivanja. Skupine za pohranu izvrsna su značajka za upravljanje resursima uređaja, a ArcSight -ovi su bili najprilagodljiviji među proizvodima u ovom pregledu.

ArcSight Logger: Pretraživanje zapisnika i izvješćivanje Početno prijavljivanje vodi vas na nadzornu ploču prilagođenu ulogama, koja se isprva fokusira na praćenje performansi sustava, uključujući mjerenje korištenja CPU-a i bilježenje događaja. Većina administratora će provesti većinu svog vremena na kartici Analiza, gdje se mogu definirati upiti za pretraživanje i upozorenja.

Upiti za pretraživanje mogu se sastojati od pretraživanja ključnih riječi (za pretraživanje neobrađenog teksta u strukturiranim i nestrukturiranim podacima), kao i logičke logike, a složena pretraživanja mogu se izgraditi pomoću alata za izgradnju pretraživača.

Izravno upisivanje upita za pretraživanje najbrža je metoda za iskusne administratore, ali veliki broj izbora izraza može zastrašiti nove korisnike. Osim razumijevanja logičke logike, napredni upiti zahtijevaju razumijevanje Loggerove sheme i podataka koje prikuplja. Evo primjera složenog upita:

neuspješno AND name = '*[Bad Logon]*' AND categoryBehavior SADRŽI Stop NOT ('192.168.4*' OR REGEX = ': d31')

Srećom, Search Builder grafički prikazuje različita dostupna strukturirana polja podataka i omogućuje korisniku da pokaže i klikne na njihov put do složenih upita. Upiti za pretraživanje mogu se spremiti, pa čak i analizirati prije pokretanja kako bi se pronašle slabosti.

Bez obzira na to kako konstruirali filtar upita, sam upit je vrlo brz. Većina upita, čak i kroz desetke milijuna događaja, trajala je samo nekoliko sekundi. Svaki rezultat upita uključuje koliko je vremena bilo potrebno da se upit izvrši i koliko je događaja u sekundi tražio da dođe do tih nalaza. Upiti se mogu izvršavati na više zapisničara odjednom. Rezultati se mogu spremiti i izvesti, a upit se može pretvoriti u upozorenje. Jedna napomena opreza: ArcSight je umjetno ograničio Logger na pet aktivnih upozorenja odjednom. Fleksibilnije upozorenje može se omogućiti u drugim proizvodima tvrtke ArcSight.

Izvješćivanje je još jedna jaka značajka. Logger dolazi s mnogim ugrađenim izvješćima; najdraži mi je bio skup izvješća SANS Top Five i mogućnost stvaranja prilagođenih izvješća. Logger ima najviše mogućnosti dizajna i uređivanja izvješća o bilo kojem proizvodu u ovom pregledu. Izvješća mogu biti ad hoc, pokrenuti se prema unaprijed utvrđenom rasporedu, pretvoriti u više formata (uključujući HTML, PDF i Microsoft Excel) ili dodati na nadzornu ploču.

Postoje četiri glavne vrste korisnika Loggera: Administratori sustava, Operatori zapisničara, Pretraživači zapisnika događaja i Izvještači, koji mogu samo manipulirati opcijama izvješćivanja. Svaka se uloga može konfigurirati s različitim razinama pristupa i dopuštenja. Druge manje značajke, poput granularnosti upita i pravila skladištenja, kontinuirani su dokaz Loggerove zrelosti. Gotovo svaka značajka omogućuje prilagođavanje, zakazivanje, izvoz i optimizaciju performansi. Većina tokova podataka prema zadanim je postavkama šifrirana, a Logger podržava šifriranje FIPS 140-2, certifikate i jednokratne lozinke za udaljenu tehničku podršku.

ArcSight je oduvijek bio lider kojeg konkurenti pokušavaju pobijediti, a njegov Logger proizvod jedan je od dva najsposobnija u ovom pregledu. Jedina poboljšanja koja bih voljela vidjeti su neograničena upozorenja i, u manjoj mjeri, mršaviji klijentski agenti. Ovo posljednje ne ubija dogovore, ali istjerivanje vrlo velikih klijenata preko mreže može biti problem za svako dobro poduzeće.

Pogledajte dodatne recenzije upravljanja dnevnicima:

downlode pogled

Usporedite značajke proizvoda za upravljanje zapisnicima

Pročitajte vodič za ocjenjivanje upravljanja zapisnikom

Ovaj članak, ' Pregled upravljanja zapisima: ArcSight Logger , 'izvorno je objavljeno na InfoWorld.com . Pratite najnovija zbivanja u upravljanje informacijama i sigurnost na InfoWorld.com.

Pročitajte više o eksploziji podataka u InfoWorldovom kanalu za eksploziju podataka.

Ovu je priču, 'Pregled upravljanja zapisnicima: ArcSight Logger' izvorno objavio izdavač InfoWorld .