ArcSight Security Information and Event Management (SIEM)
Le aziende e le organizzazioni hanno investito nel tempo in una vasta gamma di soluzioni, inizialmente destinata alla sicurezza perimetrale, che hanno coinvolto nel tempo ogni segmento dell’infrastruttura tecnologica, utilizzando prodotti provenienti da molteplici fornitori e di natura spesso differente, complicando notevolmente il lavoro dei team di sicurezza. I vari dispositivi appartenenti alle famiglie dei firewall e degli IDS generano quotidianamente decine e centinaia di milioni di log, rendendo di fatto impossibile per le compagnie un’indicizzazione manuale delle informazioni proveniente dai propri dispositivi di sicurezza. Tale situazione è aggravata altresì dalla presenza di notevoli percentuali di “falsi positivi” tra i log generati quotidianamente, nonché dalla grande eterogeneità dei singoli prodotti che raramente sono allineati nella generazione di log standardizzati.
img 1
.
Arcsight fornisce la piattaforma leader di mercato nel settore dei SIEM (Security Information and Event Management) in grado di implementare un’ampia gamma di funzionalità a partire dall’integrazione di centinaia di prodotti.
La Soluzione ArcSight SIEM raccorpa tutti i dati in un sistema intelligente che permette ai team di sicurezza di gestire requisiti di regolamentazione, comunica lo stato di sicurezza ad un pubblico più ampio e guadagna visibilità ll’interno delle minacce, tutto ciò garantendo protezione sul perimetro. Per la prima volta, le organizzazioni possono vedere la vera nature delle minacce sulla sicurezza sui loro ambienti.
img 2
.
Le soluzioni di Arcsight rappresentano il miglior punto di incontro per la convergenza e la gestione di grandi quantità di log eterogenei. Le soluzioni Arcsight sono state sviluppate intorno ad un preciso modello architetturale ampiamente modulare:
Event collection: Raccolta in formato nativo dei log e degli eventi dai dispositivi finali e normalizzazione su un formato comune. La scelta di implementare queste funzionalità mediante Connectors Software o Appliance-based consente di disaccoppiare la raccolta dall’analisi dei dati, delegando alla prima la gestione dei filtri locali, la banda da utilizzare, l’organizzazione gerarchica e distribuita della raccolta ed il buffe ring in caso di non raggiungibilità di alcune componenti.
Log Management: Una piattaforma basata su apparati autonomi in grado di memorizzare e gestire i log normalizzati e/o originali provenienti da Connectors o direttamente dai sistemi finali. Ogni singola appliance può memorizzare in modo efficace fino a 35 TB di dati di log con diverse politiche di retention e fornisce funzionalità di ricerca e analisi locali nonché un motore di allarmistica e monitoraggio locale.
Event collection
Log Management
.
Event Correlation: Attraverso meccanismi di correlazione in memoria e/o storiche è possibile classificare eventuali minacce o anomalie realtime, sia su eventuali pattern comportamentali all’interno dei dati archiviati (Pattern Discovery). L’analisi viene resa inoltre più efficace grazie all’accorpamento dei dati e al filtraggio del "rumore" di fondo normalmente generato in un contesto complesso, consentendo quindi un drill-down sugli eventi anomali e la possibilità di avviare ulteriori ricerche/analisi al fine di caratterizzare maggiormente l’evento elementare.
Compliance Automation: Mediante i pacchetti Compliance Insight integrati con la piattaforma di analisi e correlazione è possibile automatizzare il monitoraggio dei controlli previsti dalle normative di riferimento come Privacy, PCI-DSS e Basilea II. Ciascun modulo fornisce un set di funzionalità pre-impostate basate su regole, relazioni, viste e cruscotti abbinati ad avvisi e processi di gestione specifici.
Event Correlation
Compliance Automation
