An Introduction to enVision Enterprise Platform for
Download
Report
Transcript An Introduction to enVision Enterprise Platform for
SIEM
Michal Červinka, [email protected]
Pre-Sales System Engineer
SOFT-TRONIK, a.s.
Dnešní podniková IT infrastruktura
Hory dat, mnoho “vlastníků“
Malicious Code Detection
Spyware detection
Real-Time Monitoring
Troubleshooting
Access Control Enforcement
Configuration Control
Privileged User Management
Lockdown enforcement
Unauthorized
Service Detection
False Positive
Reduction
IP Leakage
Web server
activity logs
User
Monitoring
Switch logs
VA Scan logs
Windows
domain
logins
Windows logs
Web cache & proxy logs
SLA Monitoring
Content management logs
IDS/IDP logs
Router logs
VPN logs
Firewall logs
Wireless
access
logs
Oracle Financial
Logs
Mainframe
logs
Linux, Unix,
Windows OS
logs
Client & file
server logs
DHCP logs
San File
Access
Logs
VLAN Access
& Control logs
Database Logs
How do you collect & protect all the data necessary to secure
your network and comply with critical regulations?
Vznik informačních „sil“
Redundant Information Management
ACCESS
CONTROL
SOFTWARE
FINANCIAL
SOFTWARE
FIREWALLS
OPERATING
SYSTEMS
WORKSTATIONS
ANTIVIRUS
SOFTWARE
INTRUSION
PREVENTION
Solution: RSA enVision
A 3-in-1 Log Management Platform…
Server Engineering
Business Ops.
Compliance Audit
Baseline
Security Ops.
Report
Desktop Ops.
Network Ops.
Application & Database
Alert/Correlation
Forensics
Asset Ident.
Log Mgmt.
Risk Mgmt.
Simplify
Compliance
Access Control
Configuration Control
Malicious Software
Policy Enforcements
User Monitoring & Management
Environmental & Transmission
Security
Enhance Security
& Mitigate Risk
Access Control Enforcement
SLA Compliance Monitoring
False Positive Reduction
Real-time Alerts
Unauthorized Network Service
Detection
Privileged User Monitoring
Optimize IT &
Network Operations
Monitor network assets
Troubleshoot network issues
Assist with Helpdesk operations
Optimize network performance
Gain visibility into user behavior
Build baseline of normal network activity
All the Data
Log Management
Any enterprise IP device – Universal Device Support (UDS)
No filtering, normalizing, or data reduction
Security events & operational information
No agents required
…for Compliance, Security and
IT & Network Operations
Incident Mgmt.
Požadavky na „dobrý Log Management“
Sbírat a uchovávat VŠECHNA DATA
Umožňovat „Compliance and Security Operations“
Minimalizovat náklady na provoz
RSA enVision – Architektura řešení
Michal Červinka
Pre-Sales System Engineer
SOFT-TRONIK, a.s.
Co je enVision?
enVision = síťové řešení, které umožní centrálně
•
•
•
•
•
vidět
rozumět
reportovat
chránit
dlohodobě ukládat
co se děje v síti a na jejích hranicích
Klíčové vlastnosti řešení enVision
Žádní agenti na sledovaných systémech
Žádná ztráta informací
Žádné nepodporované systémy
Obsah prezentace
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
Funkční části
enVision sestává ze 3 funkčních celků:
Collector – sbírá informace o událostech
Database – řídí přístup k uloženým informacím
Application – poskytuje uživatelům analytické nástroje
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
Sběr bez agentů - podporované protokoly
>
>
>
>
>
>
>
Syslog, Syslog NG
SNMP
Formatted log files
ODBC connection to remote databases
Windows event logging API
CheckPoint OPSEC interface
Cisco IDS POP/RDEP/SDEE
B-2
Zpracování dat – sběr
Výhoda LogSmart IPDB – rychlost ukládání
Collection Rate Advantage
(EPS)
10,000
9,000
8,000
7,000
6,000
5,000
4,000
3,000
2,000
1,000
0
System Performance
RDBMS
LogSmart IPDB
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
Princip rychlého ukládání
Limitations of
Relational Database
• Not designed for
unstructured data (log)
• Requires processing
(filter, normalize, parse)
• Unpredictable consumption:
Parallel analysis
collection bottleneck impacts
use of data (e.g. alerts)
• Data Loss: events are lost
due to selective collection or
system bottleneck
•Authenticated
Data Explosion:
Relational Database
indexes &
related
data structure information
Compressed
is added (can result in <10x data)
Encrypted
LogSmart IPDB
Zpracování dat - správa
Výhoda LogSmart IPDB - komprese
Data Storage Advantage
GBs Per Day
250
200
150
100
50
0
1000 EPS
5000 EPS
10,000 EPS
Events Per Second (EPS)
RDBMS
LogSmart IPDB
Problém – dlouhodobá správa dat
Regulation
Data Retention
Requirements
Penalties
Fines to $5M
Sarbanes-Oxley
5 years
PCI
Corporate Policy
GLBA
6 years
Fines
Basel II
7 years
Fines
Imprisonment to 10 years
Fines
Loss of credit card privileges
6 years
HIPAA
$25,000
2 years after patient death
NERC
3 years
TBD
FISMA
3 years
Fines
NISPOM
6 months to 1 year
Fines
Source: Enterprise Strategy Group, 2006
RSA enVision Information Lifecycle Management
ILM
uživatel definuje
RSA enVision automaticky zajišťuje
Online Policy (1 Year)
Capture
Compress
Secure
Retention Policy
Store
Online
EMC Celerra
Retain
in Nearline
EMC Centera
Retire
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
Podpora „libovolných“ zařízení
Přímo podporovaná zařízení
viz. http://www.rsasecured.com
Universal Device Support
vlastní definice formátu
Zpracování dat - analýza
Analytické nástroje
Event Explorer
Dashboards
Over 800 reports for
regulatory compliance
& security operations
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
Single Appliance řešení – ES Series
Multi-appliance řešení – LS Series
Distribuované řešení - DOMAIN
3
4
MASTER SITE
2
SUBORDINATE SITE
1
6
7
5
Funkční části řešení enVision
Zpracování dat – sběr
Zpracování dat – správa dat
Zpracování dat – analýza
Topologie řešení
Produktová řada
Pricing is Tied to a Performance Rating
EPS Plus Device Count
300,000
30000
LS Series
EPS
10000
7560
7500
ES Series
5060
5000
ES
2560
2500
3060
1060
A60
D60
L605, L610
R601, R602
1000
560
1260
# DEVICES
500
100
200
400
750
1250
1500
2048
30,000
Požadavky na „dobrý Log Management“
Sbírat a uchovávat VŠECHNA DATA
Umožňovat „Compliance and Security Operations“
Minimalizovat náklady na provoz
Požadavky na „dobrý Log Management“
Sbírat a uchovávat VŠECHNA DATA
Any enterprise IP device
Security exception events and IT operations information
No filtering, normalizing, or data reduction
Umožňovat „Compliance and Security Operations“
Customizable work environments for compliance and security professionals
Standard, customizable compliance & security reports / alerts
Industry leadership Compliance and Security ILM tools
Minimalizovat náklady na provoz
Compressed data store
Easy to deploy appliance package
No DBA resources required
No agents required
Thank you!