《Arcsight 方案(27页).doc》由会员分享,可在线阅读,更多相关《Arcsight 方案(27页).doc(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-第一章第二章第三章 Arcsight 方案-第 29 页第四章 项目方案4.1 项目背景随着富友金融网络技术有限公司IT系统的发展,需要管理的安全设备和主机系统也越来越多,其中Cisco /H3C的网络设备、Cisco的防火墙/IPS设备、DB2/Oracle/Informix等数据库系统、Windows/AIX/Linux等操作系统、Apache Tomcat应用服务器,每台产生海量日志,没有办法集中管理,进行统计分析,并且不能够做统计报表,管理复杂,需要登录到每一类系统设备中去查看日志,比较繁琐和浪费时间,需要一套能够集中收集这些系统设备的日志系统,并能够进行集中收集和管理,统一查询和报
2、表统计,特选择世界排名第一的HP/Arcsight Logger设备,为富友公司搭建日志集中管理平台4.2 项目方案介绍4.2.1 项目需求富友公司当前的网络架构如下图所示:目前需要进行日志采集的设备列表如下:设备分类(厂商)设备类型厂商操作系统/型号版本数量操作系统AIXIBMAIX 5.35.32AIXIBMAIX 6.16.16LINUX CentOSCentOS 5.55.51LINUX RedHatRedHat 5.7 (64)5.74LINUX RedHatRedHat 5.45.413LINUX CentOSCentOS 4.44.41Windows Server Microso
3、ftWindows 200320037数据库DB2 IBM DB2 V9.1.0.49.1.0.48oracleORACLEORACLE 11.2.0.3.011.2.0.3.02应用服务器tomcattomcat7.0.1215tomcattomcat5.53网络设备路由器Cisco3845IOS12.42交换机Cisco3750GIOS12.26防火墙CiscoASA5520IOS8.24路由器H3CMSR50405.22安全设备IPSCiscoAIM107.062数据库审计ImpervaX2500 数据库监控网关暂未上线1双因素认证RSASECURID暂未上线1堡垒主机帕拉迪统一安全管理
4、和综合审计系统暂未上线1应用层防火墙ImpervaX2500 WEB应用防火墙暂未上线14.2.2 项目方案设计原则根据项目建设目标,富友公司日志分析系统项目要遵循以下几个原则: 长远性和现实性相结合富友公司日志分析系统项目,要兼顾企业的目前状况与长远发展等因素,放眼未来,统筹规划,又要具有可付诸实施的现实可能性。 全面性和针对性相结合富友公司日志分析系统项目实施,要着眼全局,不能遗漏;同时又要突出重点,方案和计划具有较强的针对性。 完整性和阶段性相结合富友公司日志分析系统项目,既要制定整体发展规划、安全建设纲要、安全总则等战略性指导文档,也要按照现阶段产品采购,提升亚运期间客户信息安全审计整
5、体水平。 先进性和实用性相结合富友公司日志分析系统项目实施,在战略和策略、目标和要求、规定和制度、产品和技术、人员和知识等各方面,既要有先进性,又要有实用性。 开放性和可靠性相结合富友公司日志分析系统项目实施,应采用最新且成熟的系统软硬件等技术和产品。其各项技术应保证具有开放性、可移植性和可扩展性,同时,具有可靠性和稳定性。 完整性和经济性相结合富友公司日志分析系统系统建设,既要考虑采用的产品和技术在整体上具有完整性和一致性,又要尽量保护富友公司已有的软硬件投资,使得总体上具有更好经济性。 安全性和业务连续性相结合富友公司日志分析系统建设必须保证系统安全性和业务连续性。系统在开发规范和接口规范
6、必须符合富友公司有限相关安全规范和安全要求,系统建设必须考虑和其他系统之间的整合,确保相互间业务通信的连续性。4.2.3 项目方案产品选型对于需要进行日志收集的设备的日志量估算如下:设备分类设备类型厂商操作系统/型号版本数量估算的EPS日志收集方式操作系统AIXIBMAIX 5.35.322Smart ConnectorAIXIBMAIX 6.16.166Smart ConnectorLINUX CentOSCentOS 5.55.511Smart ConnectorLINUX RedHatRedHat 5.7 (64)5.744Smart ConnectorLINUX RedHatRedHa
7、t 5.45.41313Smart ConnectorLINUX CentOSCentOS 4.44.411Smart ConnectorWindows Server MicrosoftWindows 2003200377Smart Connector数据库DB2 IBM DB2 V9.1.0.49.1.0.4840Smart ConnectororacleORACLEORACLE 11.2.0.3.011.2.0.3.0210Smart Connector应用服务器tomcatApachetomcat7.0.1215225Smart ConnectortomcatApachetomcat5.
8、5345Smart Connector网络设备路由器Cisco3845IOS12.422Smart Connector交换机Cisco3750GIOS12.266Smart Connector路由器H3CMSR5040 5.222Flex Connector安全设备防火墙CiscoASA5520IOS8.24400Smart ConnectorIPSCiscoAIM10240Smart Connector双因素认证RSASECURID暂未上线15Smart Connector堡垒主机帕拉迪统一安全管理和综合审计系统暂未上线110Flex Connector应用层防火墙ImpervaX2500
9、WEB应用防火墙暂未上线115Smart Connector数据库审计ImpervaX2500 数据库监控网关暂未上线1100Smart Connector根据上述估算,当前的设备总数为82,日志总量约为934EPS (Event Per Second 每秒事件数),设备选型将以此为基础并充分考虑未来的扩展。(1) 日志管理平台选型:Arcsight Logger L3400根据当前的日志量并充分考虑未来的扩展,建议选用Arcsight Logger L3400作为日志管理平台系统的核心,其最佳处理能力为EPS 2000,支持200台设备的日志采集,最大日志容量可达8TB,完全可以胜任富友公司
10、的日志管理需求。(2) 日志收集服务器选型:2台HP ProLiant DL360 G7 服务器建议用户提供了2台HP DL360服务器作为本项目的日志采集器使用,服务器配置建议如下:CPU: 1 Intel E6520, 4核内存:8G硬盘:500GB(3) 日志收集器许可证: Arcsight Flex ConnectorHP/Arcsight提供两种形式的日志收集器,Smart Connector和Flex Connector。Smart Connector可以直接支持超过300中主流IT设备的日志收集,对于不在Smart Connector支持列表中的产品,可以采用定制收集器Flex
11、Connector来实现。富友网络中的Informix数据库和H3C的网络设备需要通过Flex Connector实现日志收集序号产品类别产品选型数量1日志收集器硬件HP ProLiant DL360 G7 (1 E6520 CPU, 8G /500G)22日志收集器许可证Arcsight FlexConnectors12日管分析系统产品Arcsight Logger L34001图表 1项目产品选型4.2.4 产品部署图图表 2 项目方案产品部署图上图所示为为富友公司日志分析系统那个项目解决方案的产品部署图。通过在富友公司总部及各分支结构中分布式部署ArcSight的Connectors产品
12、,这样能更好的发挥Connectors产品的技术特点,如安全事件采集的分时传输或带宽控制等。然后安全事件通过Connectors的采集、归并、过滤和标准化后,汇总分析后的日志数据保存到Arcsight Logger设备上,管理员就可以通过WEB方式进行查询与分析日志。4.2.5 项目方案功能实现4.2.5.1 日志采集ArcSight Connectors具有强大的安全事件收集功能,支持100%数据的数据捕获,支持海量安全事件数据处理,支持的安全事件格式包括SYSLOG,LEA, SYSLOG-NG,W3C和文件型安全事件在内的多种形式的安全事件格式。支持SYSLOG、SYSLOG-NG、SN
13、MP TRAP、JDBC数据库连接等实时或定时采集协议。不需要在被管理主机上安装代理,不会对数据库主机造成影响。支持长安全事件格式。自动识别安全事件源的安全事件格式,支持主动采集和被动接收两种采集方式。ArcSight Connectors系统支持智能代理的集中部署和分布式部署,并可以定制代理,系统自动维护代理状态。这种模式,利用分布在网络的各处采集器就可以收集到全网中需要管理的对象的安全事件。数据在系统内的传输采用加密方式,保证数据的传输完整性和机密性。内嵌时间服务器,提供设备之间时间校正服务,支持独有的5时间戳技术。日志的时间对日志分析非常重要,错误的时间会影响到日志分析的正确性。Arcs
14、ight Connectors采用了独有的5时间戳技术,系统共维护了5个时间戳:源日志生成时间、日志采集器收到时间、管理服务器收到时间、数据库存储开始时间和完成时间。该技术使系统日志数据更具有可靠性证明,可满足设备时间同步需求。对于采集到的海量的安全事件数据ArcSight Connectors进行如下处理后发现相关的安全事件和安全问题。4.2.5.2 日志归并和过滤安全事件归并和过滤是可选用的功能,过滤用于丢弃从设备提取的原始安全事件信息中监控人员认为不重要的信息,从而减少轻微告警安全事件的干扰;归并是一种组合技术,将基于选定的时间值或安全事件数量,合并具有匹配字段值的多条安全事件。 具备安
15、全事件归并和过滤技术具有如下好处:l 减少对带宽的占用l 减少对存储空间的占用l 提高监控和处理的效率ArcSight 设备在安全事件收集引擎和关联分析引擎上都具备安全事件归并和过滤能力。通过在安全事件收集引擎上设置过滤条件,可过滤出无关安全事件,以最大程度地减少发送到核心服务器的安全事件数,从而减少对网络带宽和数据库存储空间地占用。在关联分析引擎上设置过滤条件,可以过滤掉该类型的安全事件的实时显示,而该安全事件仍然保存到安全事件数据库中。这样既给管理员的实时监控提供了方便,又可以在以后需要的时候察看分析这些安全事件数据。具有归并技术的安全事件收集代理会在一段时间内比较收到的安全事件,如果安全
16、事件相同,则只发送一条安全事件,该安全事件应包括安全事件详情及该安全事件发生的次数,这样可以减少安全事件通信量。例如,对于每隔 500 毫秒重复一次的安全事件来说,假如归并规则时间阈值设为十秒,这样就会得到 20:1 的安全事件压缩率。从而降低传至关联分析引擎的安全事件流量和数据库的存储空间要求。对单位时间内发生的大量安全事件,建议按照维护要求和管理部门的考评要求及实际管理情况,对指定安全设备进行告警安全事件归并,也可以通过安全事件严重程度级别、安全事件类别、安全事件标题等安全事件属性进行归并。4.2.5.3 日志标准化各种安全事件源在其返回安全事件信息时并非都使用相同的命名约定,为了解决这种
17、“语言不通”的情况,通常可能需要分析人员编写重复的规则并修改每个案例中的安全事件名,以检测相同安全事件的不同返回名称。这样的做法将导致灵活性和可用性都特别差。分类法通过广泛和灵活的安全事件映射,对安全事件做标准化处理,它将每条安全事件分配到相应的类别中,这消除了需要学习来自不同厂商的同类产品例如防火墙或IDS的信息差别的过程。新的分类法不仅仅提供一系列能满足报告、过滤器和关联的更丰富的资讯,而且还能够精确定义某安全事件资源的种类,即使该设备是一个诸如入侵防护设备的集多种功能集合体,它的安全事件资源也能被精确定义。这样,即使客户日后扩容选用了新的系统,它的安全事件也很容易纳入到整个系统中来,无需
18、更改相应关联规则、过滤器等。例如,若要分析攻击某服务中漏洞的所有尝试,您可以组合这些安全事件类别:/Host/Application、/Service、/Communicate 和 /Exploit/Vulnerability。这样,您可以使用通用的类别说明,而不是可能随系统变化的安全事件名来建立规则,分类还可以简化环境中新系统的集成。图表 3 日志标准化4.2.5.4 日志存储除了启动 RAID 的板载存储,所有 ArcSight Logger 设备均支持作为首选数据存储或存档目标位置的外部存储(SAN或NAS)。无论是板载存储还是板外存储,通常会将日志数据高效压缩至 10:1 的比例。4.
19、2.5.5 日志查询ArcSight Logger 的基于 Web 的搜索界面简单易用,通过它可执行简单搜索,也可以输入正则表达式和布尔逻辑符执行复杂查询。用户使用向下钻取(drill-down)和钻过(drill-across)功能可以直观地对存储在任意数量的 ArcSight Logger设备中的数以万亿兆的数据进行查询,从而增加动态结果集的大小。4.2.5.6 报表管理Arcsight Logger建立了一个以业界领先的基于web的报表中心,用户可以方便地根据自身需求定制和导入报表,提供按照客户需求定制报表的服务。1.2.3.6.1统计功能ArcSight Logger具有以下统计分析和
20、查询功能:l 能从多种角度多种维度对数据进行分析;l 能提供诸如插入过滤器、插入计算等诸多更细致的功能,方便维护人员使用;l 能提供实时分析、历史分析等分析手段;l 能对比查询统计的结果,分析数据的发展趋势;l 能将结果以图形方式直方图、饼图等或报表方式显示、打印或转存为HTML或Excel报表方式输出1.2.3.6.2报表功能ArcSight Logger可以对所有事件、案例、通知、资产和数据库中存储的其他资源创建报表。报表生成过程:l 特定数据筛选和分析;l 统计和分类结果;l 事件分析结果和事故处理结果。ArcSight Logger的全局报告生成系统,在灵活性和易用性方面非常出色。它提
21、供250多种预定义的报告模板,并且集成了报告编辑器,客户可使用预定义的报告模板生成报告,也可创建新的报告,比如针对客户操作和管理人员的报告。内置报告编辑器,创建报告,加入Filter、资产、漏洞信息,生成图形或文本报告导入、导出用户拷贝报告,报告可以按组管理,根据计划归档报告,归档之后发送邮件通知,报告和增量报告。报告可以立刻生成也可以在指定日期时间生成。报告可用PDF、HTML、Excel、CSV或RTF等格式存档。1.2.3.6.3遵循法律法规报表功能ArcSight Logger通过丰富的目标剖面、显示、报告,使客户能够拥有安全活动的独特的遵循法律法规相关的视图,满足PCI、SOX、IS
22、O27001/17799这些法规的要求。ArcSight Logger极大地减小机构尝试遵从法律法规提供更好的安全担保时所要面临的混乱。它可以大量节省企业遵从法律法规所需花费的时间和金钱,它利用工作流程特性、集中信息知识库和强大的关联能力,使这些过程流程化,此外,它还提供 400 多种标准报告和规则,给审计员和执行官等相关人员,提供自动生成的、简单易懂的安全和风险信息。它的价值体现在如下几方面:l 预定义的策略包,实时准确、快速地识别针对遵循法规(SOX、ISO27001/17799等)所要求保存的日志事件。l 自动日志事件关联,它具备最智能的关联引擎,改进的遵从、告警和响应。l 能够发现内部
23、威胁,增强对遵循法律法规的重要信息的保护。l 集中的日志管理,具体的工作流程和预定义的报告,风险分析和过程审计自动化。l 它非常灵活,能快速和企业独特的环境相结合。4.2.5.7 系统可扩展性和高可用性日志管理会面临大量的日志数据,而且日志量在不断的增加,日志管理系统需要保存的日志数据时长是富友公司有限公司在线日志要求的策略相关的,如果日志管理系统的磁盘容量不足以支持当前要求的日志保存时长,则需要对日志管理设备进行扩展。虽然日志管理系统不是华数网通信息港有限公司的业务应用系统,无需要进行高成本的容错除了,但是在日志管理系统的选择上要考虑到如何避免单点故障、数据通讯故障等因素,确保所有的日志数据
24、能的采集能够应付通讯或系统意外故障情况,这就要求日志管理系统提供相应的技术手段来支持高可用性的配置方法。ArcSight Logger提供网络扩展口,可以在日志数据量超出硬盘容量的时候方便的通过堆叠和级连的方式实现存储空间的扩展要求;也可以通过多台Logger并联的方式提供采集性能的扩充。另外,ArcSight Logger 可以与 ArcSight 领先的安全信息和事件管理 (SIEM) 产品 ArcSight ESM 相互集成。这种集成可以使 ArcSight Logger 灵活地将安全事件转发到 ArcSight ESM,实时进行跨设备的关联、可视化和威胁检测。ArcSight ESM
25、也可以将关联后的警报发送回 ArcSight Logger用于搜索和存档,提供良好的高可用性与集成性。4.3 项目方案选型产品介绍4.3.1 Arcsight ConnectorsArcSight Connectors 技术通过强大的日志聚合和界面配置优化功能应对有关日志收集的核心挑战,同时也展现更广泛的信息审计和日志管理平台的基础。下面介绍 ArcSight Connectors 的核心功能和优点:4.3.1.1 Connectors安装环境支持操作系统版本设备架构Microsoft Windows XP Professional (SP2) 32-bitx86Microsoft Windo
26、ws Server 2003 R2 (SP2) 32-bitx86Microsoft Windows Server 2003 R2 (SP2) 64-bitx86_64Microsoft Windows Server 2008 32-bitx86Microsoft Windows Server 2008 R2 64-bitx86_64Red Hat Enterprise Linux 4.0 (RHEL 4) AS 32-bitx86Red Hat Enterprise Linux 4.0 (RHEL 4) AS 64-bitx86_64Red Hat Enterprise Linux (RHE
27、L) 5.3 AS 32-bitx86Red Hat Enterprise Linux (RHEL) 5.3 AS 64-bitx86_64Novell SUSE Linux 10 SP2 Enterprise Server 64-bitx86_64Sun Solaris 9, 64-bitUltra SPARCSun Solaris 10, 64-bitUltra SPARCIBM AIX 5L, Version 5.3 (5.3.0.70) 32-bitpSeries图表 4 Connectors安装环境4.3.1.2 设备支持的广度和深度ArcSight Connector有两种收集器:
28、SmartConnectors 和FlexConnectors。l Arcsight SmartConnectorsArcSight 现成的 SmartConnectors 资料库可为超过 300种商业产品提供优化来源的集合。Anti-Virus / Anti-SpamApplication Security F-Secure Anti Virus Arxan (CEF) McAfee Virus Scan Content Security Sybari Antigen for Microsoft Exchange Aladdin eSafe Gateway Symantec Antiviru
29、s Corporate Edition McAfee Secure Internet Gateway Symantec Mail Security for MS Exchange NetContinuum Web Firewall TrendMicro OfficeScan (Control Manager) Puresight Content Filter TrendMicro VirusWall (Control Manager) Secure Computing Webwasher Applications TrendMicro Control Manager BEA Weblogic
30、Server TrendMicro InterScan Messaging SecurityIBM WebSphere TrendMicro InterScan Web Security (Control Manager) SAP ERP Database DAM / DB Security IBM DB2 Application Security DBProtect Microsoft SQL Guardium (CEF) Oracle Imperva SecureSphere (CEF) Sybase Adaptive Server Enterprise Secerno DataWall
31、(CEF) Data Leak Prevention Sentrigo HedgeHog (Enterprise, vPatch) Fidelis XPS (CEF) Firewall Vontu Altor Networks Virtual Firewall (VF) - (CEF) Data Security Check Point FW-1 Cyber-Ark Inter-Business Vault (CEF) Cisco PIX Firewall Cyber-Ark Sensitive Document Vault (CEF) CyberGuard Firewall Ingrian
32、Juniper NetScreen Security Manager (NetScreen) Vormetric Juniper Networks Firewall and VPN IDS/IPS Host Based Lucent Managed Firewall Cisco Security Agent (Okena) McAfee Desktop Firewall ISS Black Ice Server Protection (SiteProtector) Secure Computing Gauntlet Firewall/VPN McAfee Entercept Stonesoft
33、 Stonegate NFR Security HID Symantec Enterprise Firewall SANA Primary Response Symantec Gateway Security Symantec Critical System Protection Honeypot Symantec ITA (Intruder Alert) HoneyD Tripwire Manager & Tripwire Enterprise IDS/IPS Network Based IDM, IAM & Identity Security Broadweb Netkeeper Acti
34、vCard AAA Server DB Bro IDS CA eTrust SiteMinder (Netegrity) Cisco IPS Sensor Cisco Secure Access Control Server (ACS) Cisco Secure IDS Cyber-Ark PIM Suite (CEF) CounterSnipe IBM Tivoli Access Manager Enterasys Dragon Juniper SBR (Steel Belted Radius) Intrusion SecureNet Pro Microsoft Active Directo
35、ry ISS RealSecure Server Sensor Microsoft Forefront ISS RealSecure WorkGroup Manager Microsoft IAS (Windows RADIUS) ISS Proventia IPS Appliance (SiteProtector) Novell Nsure Audit Juniper Networks IDP (NetScreen) Oracle NetPoint (Oblix) McAfee IntruShield PacketMotion PacketSentry (CEF) NFR Central M
36、anagement Server RSA ACE Server NFR Security NID RSA Access Manager (ClearTrust) NitroSecurity IPS Secure Computing SafeWord PremierAccess PacketAlarm IDS SUN ONE Directory Server Radware DefensePro Integrated Security Snort Barracuda Networks Spam Firewall Sourcefire Intrusion Sensor Cisco Ironport
37、 Sourcefire Defense Center Management Console Cisco ASA 5500 Sourcefire RNA Sensor (Real-time Network Awareness) Fortinet FortiGate Symantec ManHunt iPolicy Intrusion Prevention Firewall Symantec Network Security 7100 Secure Computing Sidewinder TippingPoint UnityOne SMS SonicWALL Toplayer Attack Mi
38、tigator Midrange Systems Log Consolidator IBM AS/400 Quest InTrust (fka Aelita Event Manger (AEM) Network Access Control Enterprise IT Security SF-RiskSaver (CEF) Mirage Networks Counterpoint Mail Filtering Network Behavior Anomaly Secure Computing(CipherTrust) IronMail Arbor Networks Peakflow Syman
39、tec Mail Security 8200 Series Lancope StealthWatch MessageGate Mazu Profiler Mainframe Network Discovery CA Top Secret Lumet IPsonar Enterprise IT Security SF-Sherlock (CEF) Network Management Enterprise IT Security SF-NoEvasion (CEF) Cisco Works IBM OS/390 (NVAS) F5 BigIP IBM OS/390 (SDSF) Type80 S
40、MA_RT for RACF Network Monitoring Type80 SMA_RT for CA Top Secret HP OpenView Operations (OVO) Mail Server ISC DHCP IBM Lotus Notes Domino Enterprise Server ISC BIND Microsoft Exchange Microsoft Operations Manager DB (MOM) Sendmail Microsoft DHCP Network Traffic Analysis Microsoft DNS Cisco NetFlow
41、Microsoft WINS QoSient Argus Nagios TCP Dump Web Cache Network Traffic Management BlueCoat Proxy SG Series Cisco Distributed Director 4500 Microsoft ISA Bro IDS Network Appliance NetCache Operating Systems Squid IBM AIX Operating System Web Filtering HP OpenVMS Websense HPUX Operating System Web Ser
42、ver Microsoft Windows NT/2000/2003/XP/2008 Server/Vista Apache Redhat Linux Microsoft IIS Snare for Microsoft Windows Sun ONE Solaris BSM Wireless UNIX AirDefense Guard Sabernet NT Syslog AirMagnet Enterprise Physical Systems / Security AirPatrol Wireless Locator System (WLS) (CEF) Plasec (CEF) Arub
43、a Mobility Controller Policy Management Cisco AIRONET 1200 NetIQ Security Manager Cisco Mobility Services Engine Securify SecurVantage Newbury Networks Wi-fi Watchdog Solsoft Policy Server VPN Router Alcatel Secure VPN Gateway Cisco Router Check Point VPN-1 Juniper M40 Multiservice Edge RouterCisco
44、VPN Concentrator Security Management Citrix Access Gateway Enterasys Dragon Server Juniper/NetScreen (Neoteris) SSL VPN Intrusion Securenet Provider Nortel Contivity Extranet Switch ISS Site Protector Vulnerability Assessment McAfee ePO eEye REM Security Management Console McAfee Rogue System Detect
45、ion (via ePO) eEye Retina Network Security Scanner MicroSoft Audit Collection System Harris STAT Scanner Niksun NetDetector ISS Internet Scanner Symantec EXPRESS McAfee Foundscan Symantec SESA nCircle IP360 Device Profiler Switch nCircle IP360 Threat Monitor Cisco Catalyst Nmap Cisco CSS 11500 Series Content Services Switches OVAL Foundry