Arcsight专项方案.docx
《Arcsight专项方案.docx》由会员分享,可在线阅读,更多相关《Arcsight专项方案.docx(28页珍藏版)》请在咨信网上搜索。
1、第一章 项目方案1.1 项目背景伴随富友金融网络技术IT系统发展,需要管理安全设备和主机系统也越来越多,其中Cisco /H3C网络设备、Cisco防火墙/IPS设备、DB2/Oracle/Informix等数据库系统、Windows/AIX/Linux等操作系统、Apache Tomcat应用服务器,每台产生海量日志,没有措施集中管理,进行统计分析,而且不能够做统计报表,管理复杂,需要登录到每一类系统设备中去查看日志,比较繁琐和浪费时间,需要一套能够集中搜集这些系统设备日志系统,并能够进行集中搜集和管理,统一查询和报表统计,特选择世界排名第一HP/Arcsight Logger设备,为富友企
2、业搭建日志集中管理平台1.2 项目方案介绍1.2.1 项目需求富友企业目前网络架构以下图所表示:现在需要进行日志采集设备列表以下:设备分类(厂商)设备类型厂商操作系统/型号版本数量操作系统AIXIBMAIX 5.35.32AIXIBMAIX 6.16.16LINUX CentOSCentOS 5.55.51LINUX RedHatRedHat 5.7 (64)5.74LINUX RedHatRedHat 5.45.413LINUX CentOSCentOS 4.44.41Windows Server MicrosoftWindows 7数据库DB2 IBM DB2 V9.1.0.49.1.0.
3、48oracleORACLEORACLE 11.2.0.3.011.2.0.3.02应用服务器tomcattomcat7.0.1215tomcattomcat5.53网络设备路由器Cisco3845IOS12.42交换机Cisco3750GIOS12.26防火墙CiscoASA5520IOS8.24路由器H3CMSR50405.22安全设备IPSCiscoAIM107.062数据库审计ImpervaX2500 数据库监控网关暂未上线1双原因认证RSASECURID暂未上线1堡垒主机帕拉迪统一安全管理和综合审计系统暂未上线1应用层防火墙ImpervaX2500 WEB应用防火墙暂未上线11.2.
4、2 项目方案设计标准依据项目建设目标,富友企业日志分析系统项目要遵照以下多个标准: 长远性和现实性相结合富友企业日志分析系统项目,要兼顾企业现在情况和长远发展等原因,放眼未来,统筹计划,又要含有可付诸实施现实可能性。 全方面性和针对性相结合富友企业日志分析系统项目实施,要着眼全局,不能遗漏;同时又要突出关键,方案和计划含有较强针对性。 完整性和阶段性相结合富友企业日志分析系统项目,既要制订整体发展计划、安全建设纲要、安全总则等战略性指导文档,也要根据现阶段产品采购,提升亚运期间用户信息安全审计整体水平。 优异性和实用性相结合富友企业日志分析系统项目实施,在战略和策略、目标和要求、要求和制度、产
5、品和技术、人员和知识等各方面,既要有优异性,又要有实用性。 开放性和可靠性相结合富友企业日志分析系统项目实施,应采取最新且成熟系统软硬件等技术和产品。其各项技术应确保含有开放性、可移植性和可扩展性,同时,含有可靠性和稳定性。 完整性和经济性相结合富友企业日志分析系统系统建设,既要考虑采取产品和技术在整体上含有完整性和一致性,又要尽可能保护富友企业已经有软硬件投资,使得总体上含有愈加好经济性。 安全性和业务连续性相结合富友企业日志分析系统建设必需确保系统安全性和业务连续性。系统在开发规范和接口规范必需符合富友企业有限相关安全规范和安全要求,系统建设必需考虑和其它系统之间整合,确保相互间业务通信连
6、续性。1.2.3 项目方案产品选型对于需要进行日志搜集设备日志量估算以下:设备分类设备类型厂商操作系统/型号版本数量估算EPS日志搜集方法操作系统AIXIBMAIX 5.35.322Smart ConnectorAIXIBMAIX 6.16.166Smart ConnectorLINUX CentOSCentOS 5.55.511Smart ConnectorLINUX RedHatRedHat 5.7 (64)5.744Smart ConnectorLINUX RedHatRedHat 5.45.41313Smart ConnectorLINUX CentOSCentOS 4.44.411S
7、mart ConnectorWindows Server MicrosoftWindows 77Smart Connector数据库DB2 IBM DB2 V9.1.0.49.1.0.4840Smart ConnectororacleORACLEORACLE 11.2.0.3.011.2.0.3.0210Smart Connector应用服务器tomcatApachetomcat7.0.1215225Smart ConnectortomcatApachetomcat5.5345Smart Connector网络设备路由器Cisco3845IOS12.422Smart Connector交换机C
8、isco3750GIOS12.266Smart Connector路由器H3CMSR5040 5.222Flex Connector安全设备防火墙CiscoASA5520IOS8.24400Smart ConnectorIPSCiscoAIM10240Smart Connector双原因认证RSASECURID暂未上线15Smart Connector堡垒主机帕拉迪统一安全管理和综合审计系统暂未上线110Flex Connector应用层防火墙ImpervaX2500 WEB应用防火墙暂未上线115Smart Connector数据库审计ImpervaX2500 数据库监控网关暂未上线1100
9、Smart Connector依据上述估算,目前设备总数为82,日志总量约为934EPS (Event Per Second 每秒事件数),设备选型将以此为基础并充足考虑未来扩展。(1) 日志管理平台选型:Arcsight Logger L3400依据目前日志量并充足考虑未来扩展,提议选择Arcsight Logger L3400作为日志管理平台系统关键,其最好处理能力为EPS ,支持200台设备日志采集,最大日志容量可达8TB,完全能够胜任富友企业日志管理需求。(2) 日志搜集服务器选型:2台HP ProLiant DL360 G7 服务器提议用户提供了2台HP DL360服务器作为本项目标
10、日志采集器使用,服务器配置提议以下:CPU: 1 Intel E6520, 4核内存:8G硬盘:500GB(3) 日志搜集器许可证: Arcsight Flex ConnectorHP/Arcsight提供两种形式日志搜集器,Smart Connector和Flex Connector。Smart Connector能够直接支持超出300中主流IT设备日志搜集,对于不在Smart Connector支持列表中产品,能够采取定制搜集器Flex Connector来实现。富友网络中Informix数据库和H3C网络设备需要经过Flex Connector实现日志搜集序号产品类别产品选型数量1日志搜
11、集器硬件HP ProLiant DL360 G7 (1 E6520 CPU, 8G /500G)22日志搜集器许可证Arcsight FlexConnectors12日管分析系统产品Arcsight Logger L34001图表 1项目产品选型1.2.4 产品布署图图表 2 项目方案产品布署图上图所表示为为富友企业日志分析系统那个项目处理方案产品布署图。经过在富友企业总部及各分支结构中分布式布署ArcSightConnectors产品,这么能愈加好发挥Connectors产品技术特点,如安全事件采集分时传输或带宽控制等。然后安全事件经过Connectors采集、归并、过滤和标准化后,汇总分析
12、后日志数据保留到Arcsight Logger设备上,管理员就能够经过WEB方法进行查询和分析日志。1.2.5 项目方案功效实现1.2.5.1 日志采集ArcSight Connectors含有强大安全事件搜集功效,支持100%数据数据捕捉,支持海量安全事件数据处理,支持安全事件格式包含SYSLOG,LEA, SYSLOG-NG,W3C和文件型安全事件在内多个形式安全事件格式。支持SYSLOG、SYSLOG-NG、SNMP TRAP、JDBC数据库连接等实时或定时采集协议。不需要在被管理主机上安装代理,不会对数据库主机造成影响。支持长安全事件格式。自动识别安全事件源安全事件格式,支持主动采集和
13、被动接收两种采集方法。ArcSight Connectors系统支持智能代理集中布署和分布式布署,并能够定制代理,系统自动维护代理状态。这种模式,利用分布在网络各处采集器就能够搜集到全网中需要管理对象安全事件。数据在系统内传输采取加密方法,确保数据传输完整性和机密性。内嵌时间服务器,提供设备之间时间校正服务,支持独有5时间戳技术。日志时间对日志分析很关键,错误时间会影响到日志分析正确性。Arcsight Connectors采取了独有5时间戳技术,系统共维护了5个时间戳:源日志生成时间、日志采集器收到时间、管理服务器收到时间、数据库存放开始时间和完成时间。该技术使系统日志数据更含有可靠性证实,
14、可满足设备时间同时需求。对于采集到海量安全事件数据ArcSight Connectors进行以下处理后发觉相关安全事件和安全问题。1.2.5.2 日志归并和过滤安全事件归并和过滤是可选择功效,过滤用于丢弃从设备提取原始安全事件信息中监控人员认为不关键信息,从而降低轻微告警安全事件干扰;归并是一个组合技术,将基于选定时间值或安全事件数量,合并含有匹配字段值多条安全事件。 含有安全事件归并和过滤技术含有以下好处:l 降低对带宽占用l 降低对存放空间占用l 提升监控和处理效率ArcSight 设备在安全事件搜集引擎和关联分析引擎上全部含有安全事件归并和过滤能力。经过在安全事件搜集引擎上设置过滤条件,
15、可过滤出无关安全事件,以最大程度地降低发送到关键服务器安全事件数,从而降低对网络带宽和数据库存放空间地占用。在关联分析引擎上设置过滤条件,能够过滤掉该类型安全事件实时显示,而该安全事件仍然保留到安全事件数据库中。这么既给管理员实时监控提供了方便,又能够在以后需要时候察看分析这些安全事件数据。含有归并技术安全事件搜集代理会在一段时间内比较收到安全事件,假如安全事件相同,则只发送一条安全事件,该安全事件应包含安全事件详情及该安全事件发生次数,这么能够降低安全事件通信量。比如,对于每隔 500 毫秒反复一次安全事件来说,假如归并规则时间阈值设为十秒,这么就会得到 20:1 安全事件压缩率。从而降低传
16、至关联分析引擎安全事件流量和数据库存放空间要求。对单位时间内发生大量安全事件,提议根据维护要求和管理部门考评要求及实际管理情况,对指定安全设备进行告警安全事件归并,也能够经过安全事件严重程度等级、安全事件类别、安全事件标题等安全事件属性进行归并。1.2.5.3 日志标准化多种安全事件源在其返回安全事件信息时并非全部使用相同命名约定,为了处理这种“语言不通”情况,通常可能需要分析人员编写反复规则并修改每个案例中安全事件名,以检测相同安全事件不一样返回名称。这么做法将造成灵活性和可用性全部尤其差。分类法经过广泛和灵活安全事件映射,对安全事件做标准化处理,它将每条安全事件分配到对应类别中,这消除了需
17、要学习来自不一样厂商同类产品比如防火墙或IDS信息差异过程。新分类法不仅仅提供一系列能满足汇报、过滤器和关联更丰富资讯,而且还能够正确定义某安全事件资源种类,即使该设备是一个诸如入侵防护设备集多个功效集合体,它安全事件资源也能被正确定义。这么,即使用户以后扩容选择了新系统,它安全事件也很轻易纳入到整个系统中来,无需更改对应关联规则、过滤器等。比如,若要分析攻击某服务中漏洞全部尝试,您能够组合这些安全事件类别:/Host/Application、/Service、/Communicate 和 /Exploit/Vulnerability。这么,您能够使用通用类别说明,而不是可能随系统改变安全事件
18、名来建立规则,分类还能够简化环境中新系统集成。图表 3 日志标准化1.2.5.4 日志存放除了开启 RAID 板载存放,全部 ArcSight Logger 设备均支持作为首选数据存放或存档目标位置外部存放(SAN或NAS)。不管是板载存放还是板外存放,通常会将日志数据高效压缩至 10:1 百分比。1.2.5.5 日志查询ArcSight Logger 基于 Web 搜索界面简单易用,经过它可实施简单搜索,也能够输入正则表示式和布尔逻辑符实施复杂查询。用户使用向下钻取(drill-down)和钻过(drill-across)功效能够直观地对存放在任意数量 ArcSight Logger设备中数
19、以万亿兆数据进行查询,从而增加动态结果集大小。1.2.5.6 报表管理Arcsight Logger建立了一个以业界领先基于web报表中心,用户能够方便地依据本身需求定制和导入报表,提供根据用户需求定制报表服务。1.2.3.6.1统计功效ArcSight Logger含有以下统计分析和查询功效:l 能从多个角度多个维度对数据进行分析;l 能提供诸如插入过滤器、插入计算等很多更细致功效,方便维护人员使用;l 能提供实时分析、历史分析等分析手段;l 能对比查询统计结果,分析数据发展趋势;l 能将结果以图形方法直方图、饼图等或报表方法显示、打印或转存为HTML或Excel报表方法输出1.2.3.6.
20、2报表功效ArcSight Logger能够对全部事件、案例、通知、资产和数据库中存放其它资源创建报表。报表生成过程:l 特定数据筛选和分析;l 统计和分类结果;l 事件分析结果和事故处理结果。ArcSight Logger全局汇报生成系统,在灵活性和易用性方面很出色。它提供250多个预定义汇报模板,而且集成了汇报编辑器,用户可使用预定义汇报模板生成汇报,也可创建新汇报,比如针对用户操作和管理人员汇报。内置汇报编辑器,创建汇报,加入Filter、资产、漏洞信息,生成图形或文本汇报导入、导出用户拷贝汇报,汇报能够按组管理,依据计划归档汇报,归档以后发送邮件通知,汇报和增量汇报。汇报能够立即生成也
21、能够在指定日期时间生成。汇报可用PDF、HTML、Excel、CSV或RTF等格式存档。1.2.3.6.3遵照法律法规报表功效ArcSight Logger经过丰富目标剖面、显示、汇报,使用户能够拥有安全活动独特遵照法律法规相关视图,满足PCI、SOX、ISO27001/17799这些法规要求。ArcSight Logger极大地减小机构尝试遵从法律法规提供愈加好安全担保时所要面临混乱。它能够大量节省企业遵从法律法规所需花费时间和金钱,它利用工作步骤特征、集中信息知识库和强大关联能力,使这些过程步骤化,另外,它还提供 400 多个标准汇报和规则,给审计员和实施官等相关人员,提供自动生成、简单易
22、懂安全和风险信息。它价值表现在以下几方面:l 预定义策略包,实时正确、快速地识别针对遵照法规(SOX、ISO27001/17799等)所要求保留日志事件。l 自动日志事件关联,它含有最智能关联引擎,改善遵从、告警和响应。l 能够发觉内部威胁,增强对遵照法律法规关键信息保护。l 集中日志管理,具体工作步骤和预定义汇报,风险分析和过程审计自动化。l 它很灵活,能快速和企业独特环境相结合。1.2.5.7 系统可扩展性和高可用性日志管理见面临大量日志数据,而且日志量在不停增加,日志管理系统需要保留日志数据时长是富友企业在线日志要求策略相关,假如日志管理系统磁盘容量不足以支持目前要求日志保留时长,则需要
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Arcsight 专项 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。