MONITOROWANIE I ZARZĄDZANIE BEZPIECZEŃSTWEM

Zbieranie i analiza logów z kluczowych elementów sieci wspomaga rozwiązywanie problemów dotyczących bezpieczeństwa informacji, zarządzania operacjami, monitorowania aplikacji i lokalizacji problemów.

Zbieranie wszystkich logów w pojedynczym centralnym punkcie, normalizacja zebranych danych i ich indeksacja, pozwala w łatwy sposób przeszukiwać zgromadzone dane oraz korelować pojedyncze zdarzenia. Dzięki takiej funkcjonalności można szybciej reagować na incydenty i łatwiej zarządzać bezpieczeństwem przedsiębiorstwa.

McAfee SIEM wykorzystuje opatentowaną, wyjątkową na rynku architekturę szybkiego przetwarzania i zarządzania danymi. Architektura ta umożliwia efektywne połączenie wielu funkcjonalności w jednym rozwiązaniu i kontrolowanie całości z jednej konsoli.

Charakteryzuje się zaawansowanymi mechanizmami logiki zarządzania bezpieczeństwem, szybkim czasem reakcji na incydenty, bezproblemowym zarzą¬dzaniem logami oraz rozbudowanymi raportami dotyczącymi zgodności z regulacjami

Zarządzanie podatnościami w środowisku wirtualnym

  • McAfee ESM. Enterprise Security Management jest podstawowym komponentem McAfee SIEM. ESM gromadzi znormalizowane i zagregowane zdarzenia przekazane przez kolektory zdarzeń, przechowuje je, obsługuje interfejs użytkownika i umożliwia zarządzanie innymi modułami SIEM. Jest również odpowiedzialny za generowanie alertów, raportowanie i obsługę zdarzeń wykrytych na podstawie przetwarzanych danych. Za jego pośrednictwem odbywa się również administracja całym systemem SIEM, w tym aktualizacje zarówno reguł jak i wersji oprogramowania.
  • ESM umożliwia ponadto integrację z systemami obsługi zdarzeń, z systemami badania podatności i systemem reputacji McAfee GTI.
  • McAfee ERC. Event Receiver to drugi w hierarchii ważności komponent McAfee SIEM, który umożliwia przekazywanie do systemu informacji ze źródeł danych (np. systemów logowania, systemów operacyjnych, aplikacji, urządzeń sieciowych, systemów bezpieczeństwa, itp.). Producent dostarcza system z bazą około 300 predefiniowanych źródeł danych, które są na bieżąco aktualizowane i uzupełniane.
  • McAfee ELM. Enterprise Log Manager ELM jest komponentem systemu SIEM umożliwiającym gromadzenie logów i zdarzeń w ich oryginalnej postaci i przekazywanie ich systemu , jeszcze przed rozpoczęciem przetwarzania przez Receivery. Oryginalne logi są zapisywane na wewnętrznych dyskach urządzeń ELM lub na zewnętrznych zasobach dyskowych (macierze dyskowe, SAN, udziały sieciowe CIFS/NFS). Czas przechowywania danych może być dostosowany do potrzeb i zależy tylko od ilości dostępnego miejsca na zasobach dyskowych.
  • McAfee ACE. Advanced Correlation Engine pozwala na zaawansowaną korelację danych gromadzonych w bazie ESM. Komponent McAfee ACE może działać w jednym z dwóch trybów – korelacji napływających zdarzeń lub korelacji danych historycznych. , zapewniając jednocześnie korelację danych bazującą w oparciu o reguły, odchylenia od linii bazowych oraz ryzyko.
  • McAfee ADM. Application Data Monitor to komponent architektury systemu McAfee SIEM, umożliwiający uzyskanie wyjątkowej funkcjonalności rozpoznawania i analizy aplikacji i protokołów sieciowych. Urządzenia ADM są podłączane do sieci poprzez porty SPAN przełączników lub urządzenia TAP, dzięki czemu mają wgląd w ruch sieciowy i mogą go analizować. ADM potrafi rozpoznawać i analizować ponad 100 różnych aplikacji i ponad 500 różnych typów plików.
  • McAfee DEM. Database Event Monitor zapewniający w sposób podobny do McAfee ADM analizowanie kopii ruchu sieciowego, zapewniając generowanie zdarzeń dotyczących działań wykonywanych przez użytkowników w bazach danych, takich jak logowanie do bazy, wykonywanie zapytań i ich rezultatów, anomalie w ruchu bazodanowym, itp. Rozwiązanie to szczególnie można polecić do wykorzystywania w przypadku konieczności monitorowania baz danych, w których
    z określonych powodów nie można włączyć natywnych mechanizmów audytowania.

Główne cechy

  • Łatwość administracji. Administrowanie całym systemem jest proste i nie wymaga dodatkowych szkoleń w zakresie bazy danych, czy systemu operacyjnego.

Intuicyjny interfejs centralnego zarządzania umożliwia łatwe przechodzenie od ogólnych danych do szczegółów, aż do widoku poszczególnych pakietów otrzymanych przez system SIEM.

McAfee SIEM posiada wbudowany, intuicyjny edytor do tworzenia reguł korelacyjnych. Edytor ten znacznie upraszcza i przyśpiesza proces tworzenia korelacji, nawet dla osób, które nie posiadają specjalistycznej wiedzy o zdarzeniach i o samym systemie SIEM.

  • Dostęp do informacji w czasie bieżącym. McAfee SIEM umożliwia uzyskiwanie wyników z analizy terabajtów danych bez zbędnych opóźnień. Możliwa jest nie tylko statystyczna analiza danych, ale także korelacja informacji zgodnie ze zdefiniowanymi regułami wyszukiwania incydentów.
  • Dostęp do szczegółów zdarzenia w czasie rzeczywistym. McAfee SIEM umożliwia zarówno dostęp do ogólnych statystyk, jak i wgląd w konkretne logi i zdarzenia.
  • Zaawansowana korelacja danych. Wyszukiwanie wzorców i odchyleń od linii bazowych w zgromadzonych zdarzeniach, aktywnościach sieciowych i bazach danych, a nawet w treściach przenoszonych przez rozmaite aplikacje działające w sieci. Funkcjonalność ta, zapewnia lepsze i szybsze wyszukiwanie śladów zagrożeń, ataków, utraty danych oraz oszustw związanych z chronionymi zasobami organizacji.
  • Bezpośrednia analiza sesji bazodanowych z wykorzystaniem komponentu McAfee DEM.
  • Analiza przepływów sieciowych (flows).
  • Analiza ruchu aplikacyjnego i uwzględnienie danych aplikacyjnych w korelacji zdarzeń.

Architektura McAfee SIEM umożliwia dostosowanie rozwiązania do potrzeb małych, średnich i największych organizacji. Możliwe jest tworzenie rozproszonych geograficznie systemów SIEM. Komunikacja między komponentami jest zabezpieczona przed niepowołanym dostępem poprzez szyfrowanie danych.

Stopniowe podnoszenie wydajności rozwiązania możliwe jest poprzez dokładanie do niego odpowiednich modułów, zapewniających przechowywanie, gromadzenie oraz analizę danych. Dla mniejszych organizacji dostępne są rozwiązania, które w jednym urządzeniu lub maszynie wirtualnej łączą kilka komponentów SIEM.

  • Szybkie powiadamianie i ostrzeganie. Osoby zajmujące się bezpieczeństwem organizacji mogą być informowane o zagrożeniach, nieprawidłowościach i odstępstwach od wcześniejszych trendów.
  • Dokładność raportowania. Szczegółowe raportowanie w oparciu o dane pochodzące z dowolnych źródeł informacji: logów, zdarzeń generowanych przez systemy operacyjne i aplikacje, agentów działających na serwerach i stacjach, przepływów sieciowych (flows), baz danych, systemów identyfikacji użytkowników, itd.
  • Zapewnienie niezmienności i nienaruszalności zbieranych zdarzeń. System umożliwia zapisywanie i zarządzanie oryginalnymi zdarzeniami przekazywanymi ze źródeł, zapewnia ich kontekstowe przeszukiwanie oraz kompresję.
  • Zarządzanie oryginalnymi logami odbywa się z tej samej konsoli co pozostałe moduły SIEM, znacznie upraszczając i przyśpieszając analizę.
  • Długoterminowa dostępność danych. McAfee SIEM umożliwia wgląd zarówno w napływające dane, jak i zgromadzone wcześniej informacje historyczne.
  • Kontekst zdarzeń. McAfee SIEM analizuje zgromadzone dane również w odniesieniu do kontekstu w jakim powstały. Jest to możliwe, poprzez wzbogacanie gromadzonych zdarzeń o informacje dotyczące podatności, danych użytkowników, lokalizacji, reputacji, poziomu ryzyka, itd.
  • Elastyczne raportowanie. System generuje raporty w oparciu o wbudowane szablony i definicje, a także na podstawie kryteriów samodzielnie określonych przez administratorów SIEM.
  • Predefiniowane alarmy, raporty, dashboard’y. Podczas pierwszego uruchomienia systemu SIEM, użytkownik ma możliwość skorzystania z kilkuset predefiniowanych widoków dashboard’ów (w tym związanych ze standardami i regulacjami, takimi jak: GIODO, PCI, SOX, ISO27002).
  • Integracja SIEM z innymi rozwiązaniami bezpieczeństwa. Rozwiązanie umożliwia integrację z takimi systemami, jak:

McAfee ePolicy Orchestrator (ePO) – centralny system zarządzania bezpieczeństwem. Integracja z ePO zapewnia wyjątkowe możliwości monitorowania i korelowania zdarzeń, zarządzania produktami, wykrywania i zapobiegania atakom, ale przede wszystkim pozwala na szybsze reagowanie na incydenty bezpieczeństwa.

McAfee Network Security Platform (IPS)  – zaawansowane rozwiązanie do ochrony przed atakami sieciowymi. Natywna integracja pozwala na ręczne i automatyczne blokowanie podejrzanych połączeń (adresów IP), bezpośrednio z poziomu konsoli SIEM.Skanery podatności różnych producentów. (np. Rapid7, Nessus, Qualys, itp.). Korelacja zdarzeń z informacjami o wykrytych lukach w systemach przedsiębiorstwa może znacząco wpływać na wagę poszczególnych incydentów.

System monitorowania aktywności w bazach danych – McAfee Database Activity Monitoring. Rozwiązanie działa jako sensor na serwerze bazy danych, udostępniając szczegółowe dane na temat operacji na bazie, niezależnie czy są one inicjowane z zewnątrz (poprzez połączenie sieciowe), czy lokalnie bezpośrednio z serwera bazy danych.

Serwis reputacyjny McAfee GTI (Global Threat Intelligence). Informacje z GTI na temat podejrzanych adresów IP i sieci mogą być uwzględniane w regułach korelacji, co zwiększa prawdopodobieństwo wykrycia incydentów, poprzez automatyczne generowanie przez system zdarzeń dotyczących komunikacji z serwisami niosącymi zagrożenia, serwerami Command and Control, TOR, itp.

Serwis lokalnej reputacji McAfee Threat Intelligence Exchange. McAfee TIE gromadzi informacje o reputacji plików uruchamianych na stacjach roboczych, pobieranych z Internetu oraz dane wprowadzane ręcznie na poziomie danej organizacji. Informacje te są wykorzystywane między innymi w korelacjach dotyczących kontekstu każdego obiektu uruchamianego na stacjach roboczych.

McAfee Active Response. Integracja z tym systemem pozwala na bezpośrednie wykonywanie z poziomu konsoli SIEM zapytań do środowiska stacji końcowych i serwerów. Zapytania te mogą dotyczyć przykładowo stacji z uruchomionymi określonymi procesami, czy też posiadających określone klucze w rejestrze. W rezultacie możliwe jest szybkie zweryfikowanie, czy obserwowane w systemie SIEM symptomy infekcji potwierdzają się w rzeczywistości oraz określenie skali tego problemu i w konsekwencji – odpowiednie zareagowanie.

  • Powiązanie korelacji z systemem reputacji GTI. Funkcjonalność umożliwiająca uwzględnienie w korelacji kontekstu, wynikającego z oceny ryzyka źródła lub odbiorcy połączenia. Baza GTI gromadzi i przetwarza dane pozyskane zarówno z pasywnych systemów typu honey pot, jak i z informacji o wykrytych atakach przekazywanych przez setki tysięcy źródeł rozsianych po całym świecie. Są one niezwykle cennym uzupełnieniem analizy zdarzeń przeprowadzanej przez McAfee SIEM. Korelacja zdarzenia raportowanego z wewnętrznych systemów organizacji, z informacją o jego powiązaniu z hostami o złej reputacji, powoduje zwiększenie znaczenia wyniku tej korelacji. Na przykład wykryty przez McAfee IPS atak z określonego adresu IP powoduje obniżenie reputacji i podniesienie poziomu ryzyka związanego z tym adresem.
  • Około 300 predefiniowanych źródeł danych i gotowe do wykorzystania reguły korelacyjne oraz szablony raportów. Dla źródeł, które nie posiadają gotowych parserów, możliwe jest samodzielne tworzenie reguł obsługujących zdarzenia. W przypadku konieczności przygotowania dedykowanego parsera, obsługującego inny format logów niż pojedyncze linie tekstowe, możliwe jest zlecenie usługi firmie McAfee.
  • Skalowalność. Możliwość obsługi milionów zdarzeń na sekundę z rozproszonych źródeł, bez utraty przetwarzanych informacji.