Security Information and Event Management mit ArcSight

ArcSight Manager

Der ArcSight Manager bildet das Herzstück des ArcSight ESM. Der ArcSight Manager ist ein serverbasiertes System, das sowohl die Datenverwaltung, die Korrelationslogik als auch die Informationsanzeige überwacht und steuert. Er bildet die Grundlage für eindeutig zu differenzierende Arbeitsabläufe bei Störungen. Dadurch kann die zur Problemerkennung und -lösung benötigte Zeitspanne drastischen reduziert werden.

Key Features

• zentrale Komponente für Echtzeit-Korrelation, Analysen und Workflows
• gekapselte Java-Applikation, lauffähig auf verschiedenen Betriebssystemen
• Schreiben des Event-Datenstroms kommend von den ArcSight SmartConnectoren in die ArcSight Database
• vorgefertigte Filter, Regeln, Datenmonitore, Dashboards und Reports

ArcSight SmartConnectoren

ArcSight SmartConnectoren sammeln Log-Events unterschiedlicher Quellen und leiten diese durch die Nutzung bestehender Netzwerkinfrastrukturen an den ArcSight Manager weiter. Eine große Organisation besitzt etwa mehrere hundert unterschiedliche Logdatenquellen, die überwacht, verdichtet und zusammengeführt werden müssen. ArcSight SmartConnectoren sind in der Lage, tausende Events pro Sekunde zu sammeln und an den ArcSight Manager zu senden. Zur Analyse, Anzeige, Untersuchung und Berichterstattung speichert der ArcSight Manager die erhaltenen Events in der ArcSight Database.

Key Features

• Parsing und Normalisierung von Log-Events
• Datensammler für die unterschiedlichsten Logdatenquellen
• Filterung und Aggregierung von Events
• Kategorisierung der Ereignisse in ein generisches (herstellerunabhängiges) Format 

ArcSight Database

Die ArcSight Database ist eine relationale Oracle-Datenbank zur optimierten Speicherung sämtlicher Log-Events. Eine effektive und effiziente Indizierung der Daten sorgt für den schnellen Zugriff auf historische Log- Events bei der Security-Analyse oder beim Generieren von Reports. Neben der Speicherung von Log-Events wird in der ArcSight Database auch die Konfiguration des ArcSight ESM abgelegt - wie z.B. Benutzer, Gruppen, Berechtigungseinstellungen, Regeln, Filter, Dashboards, Netzwerkmodellierung, Reports, etc. 

Key Features

• zentraler Datenspeicher für alle normalisierten Log-Events
• effektive Speicherung durch Kompression, Partitionierung und Archivierung
• relationale Datenbank basierend auf Oracle 10g
• Datenvorhaltung je nach DB-Kapazität und Datenvolumen im Bereich bis zu einigen Monaten

Security-Analyse mit der ArcSight Console

Die ArcSight Console stellt die globale Schnittstelle für alle Benutzer des ArcSight ESM dar. Der Einsatzbereich der ArcSight Console umfasst sowohl den operativen Betrieb eines SOC (Security Operation Center), dessen Fokus auf der Überwachung von Warnsignalen und der Meldung von Störfällen liegt, als auch die Erstellung von ArcSight Content (wie bspw. Filter, Korrelationsregeln, Dashboards, Reports etc.) für die nachgelagerte Security-Analyse. Die ArcSight Console stellt zudem das zentrale Werkzeug zum Verwalten und Administrieren des ArcSight ESM dar. 

Key Features

• Workstation-basiertes Java-Interface bestimmt für Security Operation Center
• stellt Werkzeuge für die Definition von Filtern, Regeln, Reports, Anzeigen, Alarmierung usw. bereit
• erlaubt rollenbasierte Zugriffskontrolle, vom einfachen Anzeigen von Dashboards bis zum Erstellen komplexer Korrelationsregeln

ArcSight Web

ArcSight Web bietet ähnliche Funktionalität wie die ArcSight Console – jedoch browser- und webbasiert. Aus Sicherheitsgründen ist die Administration des ArcSight ESM jedoch nicht über ArcSight Web möglich. Das webbasierte Interface stellt einen maßgeschneiderten und konfigurierbaren Zugriff auf Logevents, Dashboards und Reports dar. 

Key Features

• unabhängig vom Manager installierbarer Webserver
• dient als vereinfachtes Interface für den Zugriff von Managern oder MSSP-Kunden
• bietet bewusst keine Auditierungs- und Administrationsfunktionen
• Remote-Access-Variante für Sicherheitsanalytiker