极进网络的SIEM解决方案提供了强大的工具,使安全运营团队能够前瞻性地管理复杂的IT安全基础设施。
大多数威胁检测系统所带来的挑战是它们所产生的信息量,因此难以确定哪些漏洞需要立即的、高优先级的响应。极进网络的安全信息和事件管理(SIEM)产品结合了最佳的的检测方法与第三方漏洞评估工具所提供的行为分析和信息,以提供业界最智能的安全管理解决方案。SIEM为各种规模的组织提供可操作的信息来有效地管理安全状态。
安全信息与事件管理器:
- 超越了传统的安全信息及事件管理工具和网络行为分析产品,提供威胁管理、日志管理、合规报告,并提高运营效率。
- 将网络活动数据、安全事件、日志、漏洞数据和外部威胁数据收集并结合到一个强大的管理仪表板中,该仪表盘提供智能的关联、标准化和优先级,大大提高了修复和响应时间,并极大地提高了IT人员的效率。
- 通过从包括JFlow、NetFlow、SFlow记录在内的许多网络和安全设备收集、分析和汇集网络流量来为正常网络行为定一个基准。之后分辨出偏离该基准的网络流量模式,标记潜在的攻击或者漏洞。异常行为被捕获并报告以做关联和修复。
- 跟踪大量日志和趋势的信息,并为网络安全、网络优化和法律合规性目的产生一系列的报告;提供了COBIT,GLB,HIPAA,PCI和Sarbanes Oxley的报告模板。
所有的SIEM设备提供高可用性(HA)功能,确保在出现硬件或网络故障时的SIEM数据的可用性。HA提供主要和辅助主机之间的自动故障切换和全磁盘复制。辅助主机通过复制主要主机之上的数据或者访问共享外部存储来保持相同的数据。辅助主机定期发送一个心跳检测信号ping到主要主机来检测硬件或网络故障。如果辅助主机检测到故障,辅助主机会自动承担主要主机的所有任务。SIEM的HA功能部署起来简易、性价比高,仅需通过设备和向导即可完成部署,而无需额外的故障管理解决方案和存储选项。
极进网络的SIEM解决方案以设备安装快速、简易为特点。SIEM解决方案用虚拟流(VFlow)收集器作为设备的补充。虚拟流收集器确保在虚拟基础架构中提供应用层流量监控和安全智能。
可用的SIEM解决方案的组件包括:
- SIEM基础设备
- 流量异常处理器
- 事件处理器
- 网络行为流量传感器
- 虚拟流收集器
- SIEM控制台管理器
- 高可用性选项
来自我们的博客
SIEM 一体化和企业基础设备
灵活的部署选项提供登录事件收集和关联、第7层流量分析以及来自多个网络连接设备的数据流的聚集和一个功能丰富的管理界面。SIEM的企业基础设备型号(DSIMBA7-LX和DSIMBA7-LU)为大型企业和地理位置分散的企业提供了一系列的选项。
所有的SIEM平台从广泛的网络设备捕获时间和流量数据,包括应用服务器、Web服务器、工作站、路由器、交换机、防火墙、VPN隧道服务器和IDS / IPS设备。
SIEM 流量异常处理器
SIEM的流量异常处理器(型号DSIMBA7-FAP)是极进SIEM的一个扩展单元。它分流并增强来自基础设备的流数据的处理,与行为流量传感器对接以收集来自许多设备的流量信息。每个SIEM流量异常处理器可以处理高达每分钟(单向)1,200,000流的流量。
SIEM 事件处理器
SIEM的事件处理器(型号DSIMBA7-EVP)是极进SIEM的一个扩展单元。它分流并增强来自基础设备的事件数据的处理。状态事件从一系列的网络和安全设备采集而来,包括路由器系统日志、SNMP事件以及防火墙事件等。每个SIEM事件处理器可以处理高达每秒10,000个事件,并且为增加灵活性,多个事件处理器可以连接到同一个基础设备。
SIEM 合并的事件/流量异常处理器
SIEM合并的事件/流量异常处理器(型号DSIMBA7 EVP-FAP)是极进SIEM的一个扩展单元。它处理流数据和事件数据。在许可完整的情况下,合并的处理器能够支持处理每秒1000事件和每分钟50000流。
SIEM 网络行为流量传感器
SIEM的网络行为流量传感器启用应用程序层(L1-L7)流量分析和异常检测。深度数据包和内容检测功能,能够识别出隧道自标准协议和端口的威胁。网络行为流量传感器与极进的SIEM基础设备或SIEM流量异常处理器对接。
SIEM 虚拟流量收集器
SIEM虚拟流量收集器是虚拟设备,确保在企业虚拟基础架构中提供网络行为分析和第七层可视性。SIEM虚拟流收集器支持高达每分钟10000的流量,并且通过将一台额外的交换机指定为管理接口支持检测3个虚拟接口。
SIEM 控制台管理器
SIEM的控制台管理器分配流量和日志的收集和处理,同时维持整个网络的全局视图。
极进网络的安全信息和事件管理(SIEM)产品结合了最佳的的检测方法与第三方漏洞评估工具所提供的行为分析和信息,以提供业界最智能的安全管理解决方案。
优点
- 让NOC和SOC的工作人员把重点放在可操作的信息,而不是挣扎在解释由数以百万计的网络安全设备、交换机、路由器、服务器和应用程序生成的日常事件。
- 采用先进的监视和取证分析,以提供外部和内部威胁态势感知能力,包括不适当的内容、即时通讯、文件传输、来自不良地区的流量、数据窃取、恶意蠕虫感染等。
- 充分利用网络和安全基础设施的现有投资,同时通过创新的功能、快速的部署和员工效率的提升加速将时间转化为价值。
- 与极进的入侵防御系统(IPS),网络访问控制(NAC)和网管系统自动化安全管理解决方案相集成,提供统一的、实时的威胁视图,并且有效的检测、隔离和自动修复威胁。
- 可以与许多第三方的安全和网络产品相集成,包括防火墙和路由器,已提供最高级的可见性和保护。
- 虚拟流量收集器允许在虚拟基础架构内的网络行为分析和第七层可视性。
- 通过模块化组件选项和易于部署的高可用性功能满足最大型企业的部署要求。
技术规范所有SIEM设备示于下表中。所有设备支持的RAID10,高可用性和操作系统和存储冗余。 SIEM设备支持外部存储选项,包括iSCSI的SAN和NAS。
** 最大的事件和流控制也许需要序列号升级。
** 最大的事件和流控制也许需要序列号升级。
** 最大的事件和流控制也许需要序列号升级。
** 最大的事件和流控制也许需要序列号升级。
**Revision 5x appliances