Cisco® Security Monitoring, Analysis, and Response System是基于设备的全方位解决方案,可使您获得对现有安全部署的无与伦比的洞察力和控制力。作为思科安全治理生命周期的要害组成部分,Cisco Security Monitoring, Analysis, and Response System使您的安全和网络机构能够识别、治理并抵御安全威胁。它能与您的现有网络和安全部署协作,以识别并隔离不良网元,同时提供准确的清除建议。它还有助于遵从内部策略,是您的整个制度遵从解决方案中不可或缺的组成部分。
安全和网络治理员面临着大量的挑战,包括:
Cisco Security Monitoring, Analysis, and Response System通过以下方式迎接这些挑战:
Cisco Security Monitoring, Analysis, and Response System可将原始的网络和安全数据转变成情报,以便终止实际的安全事故并保证遵从安全策略要求。这个易用的威胁抵御产品系列答应操作人员使用基础设施中现有的网络和安全设备来集中、检测、抵御并按严重性来报告威胁。
信息安全实践已从最初的互联网外围保护发展到了深层防御模式,在此,多种对策分层部署在整个基础设施中,以应对安全漏洞和攻击。这种发展是非常必要的,因为攻击的频率越来越高、手段越来越高明、速度越来越快 — 模糊了网络内部防御与外围防御之间的界限。
为了发现安全漏洞,攻击者天天数千次探查网络接入点和系统。先进的混合型攻击使用多种欺骗性的方法从组织内外部非法访问并控制系统。即便是最牢固的基础设施也难以应付蠕虫、零时差攻击、病毒、特洛伊木马、间谍软件以及攻击工具的激增,导致响应时间的缩短和故障停机,同时也增加了补救成本。
除了少量的服务器和网络设备外,每个安全组件都提供单独的事件日志和告警特性,用于检测异常情况,响应并分析威胁。遗憾的是,这种机制生成大量的噪音、告警、日志文件和误报现象,操作人员必须进行辨别或有效使用 — 假设时间和资源答应分析并了解此类信息。此外,为了遵守法律法规,公司必须严格保证数据的私密性、提高运行安全性并维护审计流程。
从逻辑上看,安全信息和事件治理产品似乎能够抵御这些问题 — 帮助您评估威胁以便治理它们。这些产品使操作人员能够将安全事件和日志汇聚在一起,通过有限的关联和查询技术分析这些数据、并针对被隔离的事件生成告警和报告。
遗憾的是,许多第一代和第二代安全信息和事件治理产品都无法提供充分的网络智能和性能属性来更准确地识别并验证相关事件、更好地发现攻击路径、干净利落地清除威胁、或者维持较高的事件负载水平。思科系统公司® 提供了可扩展的企业威胁抵御产品来解决这些安全问题和治理不足。Cisco Security Monitoring, Analysis, and Response System提供易于部署和使用的经济高效的安全命令和控制解决方案,补充了您的网络和安全基础设施投资。Cisco Security Monitoring, Analysis, and Response System是高性能、可扩展的威胁抵御产品系列,将网络智能、ContextCorrelation™ 特性、SureVector™分析功能以及 AutoMitigate™ 功能结合在一起,进一步巩固了企业现有的网络产品和安全防范措施,使公司能够随时识别、治理并消除网络攻击,同时保证遵从制度要求。
CS-MARS还与思科外围安全治理套件Cisco Security Manager (CSM)紧密集成。这种集成可将与流量相关的系统日志消息映射到CSM中定义的防火墙策略中,以触发事件。策略查找功能支持快速的端到端分析,以便排除与防火墙配置相关的网络故障和策略配置错误,并对定义好的策略进行进一步的调整。
Cisco Security Monitoring, Analysis, and Response System提供了网络智能,能够获知路由器、交换机和防火墙的拓扑和产品配置并整理网络流量。系统的集成网络发现功能可构建拓扑图,包括产品配置和现有安全策略等,进而能够模拟穿过网络的分组流。鉴于产品不在线内运行且极少使用现有的软件代理,因此,只对网络或系统性能产生极低的影响。
产品可将大量的常用网络产品(如交换机和路由器)、安全设备和应用(如防火墙、入侵检测系统[IDS]、安全漏洞扫描仪和防病毒应用)、主机(如Windows、Solaris 和linux系统日志)、应用(如数据库、Web服务器和验证服务器)及网络流量产品(如Cisco NetFlow)提供的日志和事件集中在一起。
当收到事件和数据时,产品可根据拓扑、已发现的设备配置、相同的源和目的地应用(跨越NAT边界)以及相似的攻击类型对信息进行标准化,并将类似的事件实时分成多组会话。随后对多个会话应用系统或用户定义的关联规则以识别事故。Cisco Security Monitoring, Analysis, and Response System产品在供货时附带预定义规则的全面补遗,由思科系统公司定期更新,用于识别大多数混合攻击、零时差攻击和蠕虫。基于图形的规则定义框架可简化为任何应用创建用户定义的定制规则的流程。ContextCorrelation特性大幅度减少了原始的事件数据,促进了按优先级响应攻击,并最大限度地提高了已部署的应对措施的功效。
CS-MARS的分布式威胁抵御(DTM)特性与思科ipS产品结合在一起,可识别检测到的最活跃的网络攻击,随后生成并向网络上的所有Cisco IOS IPS 产品公布最新的签名定义文件(SDF)。这个特性可确保将网络上资源有限的IOS IPS产品集中用于针对资源更为宽松的IPS产品的签名。
Cisco Security Monitoring, Analysis, and Response System可捕捉数千个原始事件,以前所未有的数据缩减率对这些事件进行有效分类,并压缩此类信息以便归档。治理如此大量的安全事件需要安全稳定的集中日志记录平台。Cisco Security Monitoring, Analysis, and Response System产品经过安全加固,专门用于接收高事件流量 — 每秒超过10,000个事件或每秒超过300,000个 Cisco NetFlow事件。产品通过线内处理逻辑以及嵌入式Oracle系统来实现这种高性能的关联性。所有的数据库功能和调整对用户都是透明的。Cisco Security Monitoring, Analysis, and Response System答应在主板上保存历史数据卷宗并将其持续压缩到NFS备用存储产品中,因此是可靠的安全日志/事件汇聚解决方案。
Cisco Security Monitoring, Analysis, and Response System可加速并简化威胁识别、调查、验证和抵御流程。安全工作人员常需要耗费大量的时间来分析并处理呈报上来的安全事件。Cisco Security Monitoring, Analysis, and Response System提供了强大的互动安全治理显示板。操作人员GUI提供了由实时热点、事故、攻击路径、具体调查结果和全面事故信息组成的拓扑图,答应即刻验证实际威胁。
Cisco SureVector分析特性可分析类似的事件会话,以便通过评估整条攻击路径(直到端点MAC地址)来决定威胁是有效的还是已得到抵御。这个自动流程的执行方法是:分析防火墙和入侵防护应用以及第三方安全漏洞评估数据等产品日志,并通过Cisco Security Monitoring, Analysis, and Response System端点扫描来消除误报现象。用户可快速调节系统以便进一步减少误报现象。
任何安全计划都是为了保持系统的持续在线及适当运行 — 是防止披露安全信息、抵御事故和促进补救的要害。通过Cisco Security Monitoring, Analysis, and Response System,操作人员可快速了解与攻击相关的全部组件,包括不良的以及受到威胁的系统MAC地址。Cisco AutoMitigate功能能够识别攻击路径上的现有“瓶颈”产品,并提供适当的设备命令以供用户抵御威胁,帮助用户快速准确地防止或抵御攻击。
Cisco Security Monitoring, Analysis, and Response System采用了易用的分析框架,以简化传统的安全工作流,为日常的运行和特定的审计提供自动的案例分配、调查、上报、通知和注释支持。它可从图形上重放攻击并检索已保存的事件数据,以分析以前的事件。系统全面支持非凡查询,用于实时和随后的数据挖掘工作。
Cisco Security Monitoring, Analysis, and Response System提供大量预定义的报告来满足运行要求和制度要求,包括Sarbanes-Oxley、Gramm-Leach Bliley法案 (GLBA)、健康保险便携与责任法案(HIPAA)、美国政府信息安全治理法案 (FISMA) 及欧盟新巴塞尔资本协定(Basel II)等。直观的报告生成工具可修改超过80个标准报告或生成新报告,为创建行动和补救方案、事故和网络活动、安全状态和审计以及部门报告提供无限的方法 — 采用数据、趋势分析和图表等格式。此外,系统还提供批量和电子邮件报告。
Cisco Security Monitoring, Analysis, and Response System可同时从第2层交换机和思科安全访问控制服务器(ACS)分析、标准化、关联并报告802.1x验证事件。Cisco Security Monitoring, Analysis, and Response System也可使用可扩展的验证协议 (EAP)对第3层路由器和Cisco VPN 3000系列集中器进行同样的操作。这将答应客户确定交换机、思科安全ACS、正在被验证的端点、以及Active Directory 或 NIS等外部验证源之间的连接链,从而对设备验证方法进行排障。Cisco Security Monitoring, Analysis, and Response System还同时为第1和第2阶段的NAC参数提供集中报告,指出设备及状态验证失败的原因。此类报告举例如下:
Cisco Security Monitoring, Analysis, and Response System安装在一个TCP/IP网络中,在此网络上它能够收发系统日志消息和简单网络治理协议 (SNMP)陷阱并且能够利用标准的安全或供给商特定协议通过已部署的网络和安全产品来建立安全会话。安装和部署Cisco Security Monitoring, Analysis, and Response System无需更多的硬件、操作系统补丁、许可或专业服务人员的长时间参与。您可通过基于Web的GUI将您的日志源配置为指向产品并定义任何网络和源;可通过从现有的syslog-ng 或 Kiwi系统日志服务器转发消息来快速部署CS-MARS。这个特性消除了将CS-MARS放置到运行网络时所需的许多网络和产品变更。
您可通过支持基于角色的治理的Web安全界面集中治理Cisco Security Monitoring, Analysis, and Response System产品。可选的全局控制器产品实现了大规模安全系统的集中化,可提供整个企业的统一视图,分配访问权限、配置、更新、定制规则和报告模板,并通过可从本地进行处理的加速查询和报告来协调复杂的调查工作。
本地的Cisco Security Monitoring, Analysis, and Response System在整个企业中执行查询和规则,并能够将结果高效合并,在系统的全局控制器上进行快速集中的分析。这个可扩展的架构可提供更高层次的分布式处理和存储,进而提高经济高效性和可治理性,满足大型分散机构的要求。
Cisco Security Monitoring, Analysis and Response System 系列具有不同的性能特征和价格,可满足各种组织的需求和部署要求(见表1)。
* EPS:打开动态关联和所有特性后每秒处理的事件数量。
如需更完整的列表,请访问:http://www.cisco.com/en/US/prodUCts/ps6241/products_device_support_tables_list.html
新闻热点
疑难解答
