Sie sind hier:

Typische Einsatzszenarien

Verschiedenste sicherheitsrelevante Systeme in Ihrer Organisation erzeugen Log-Events, z.B. Windows und Linux, McAfee ePO, CheckPoint Firewall, Juniper SSL-VPN-GW, IronPort MailScanner, BlueCoat Proxy, Apache Webserver, etc. Diese Log-Events werden bisher weder zentral erfasst noch miteinander korreliert. Es findet keine Aufbereitung der Echtzeit-Meldungen, kein einheitliches Archivieren und keine monatliche Reporterstellung über die gesammelten historischen Daten statt. 

Zuverlässiger Überblick über die gesamte Sicherheitlage

Die Folge ist: Sie haben keinen zuverlässigen Überblick über die Sicherheitslage in Ihrer Organisation. Ihre Anweisungen und Maßnahmen sind eher reaktiv und stehen nicht in direktem Bezug zu den tatsächlichen Vorfällen. 

Wenn das die Situation ist, die Sie ändern möchten, ist ArcSight ESM der richtige Ansatz.

Beispielprojekt

Ergebnis der IST-Analyse einer Kundensituation (Auszug): 

  • ca. 10 Mio. Log-Events / Tag
  • stark unterschiedliche Logformate
  • inhomogene Zeitbasis / Retention Period
  • unregelmäßige und zeitaufwändige manuelle Analysen
  • kein Alerting wegen zu hoher Anzahl von False Positives
  • keine / bedarfsweise manuelle Cross-Device Correlation
  • kritische Events gehen im Datenstrom unter
  • hohe Dunkelziffer nicht erkannter Angriffe
  • kein regelmäßiges Reporting über den Risklevel und Trendanalyse
  • Security Planning / Operation Teams sind mit Tagesgeschäft ausgelastet
  • Security Officers ohne geeigneten Werkzeuge

Grundsätzliche Anforderungen an ein SIEM (Auszug):

  • 100% Erfassung aller Logs von Sicherheitssystemen, Syslogs, Servern, etc.
  • automatisierte Assetintegration
  • vollständige Normalisierung / intelligente Vorverarbeitung
  • Cross-Device und Echtzeitkorrelation
  • verschlüsselte (gepufferte) Datenübertragung mit einstellbarer Bandbreitenbelegung
  • vordefinierte Filterregelwerke
  • vordefinierte Parser / Connectoren für alle einzubindenden Systeme
  • Industrie-Standard-Datenbank (Oracle)
  • Verarbeitung massiver burstartiger Logdatenströme
  • Prozessunterstützung / Notification / Alerting
  • Reporting / Visualisierung

Lösungsansatz:

  • 2-stufige ArcSight Architektur (Global Manager, Division Manager)
  • ArcSight SmartConnectoren auf Connectorserver für ADS, FW, VPN, IPS, AV
  • weitere Connectoren für SyslogNG und NAGIOS
  • Oracle 10g Datenbank mit 60 Tagen Retention Period für monatliches Reporting
  • Modellierung von Assets, Entwicklung der Korrelationslogik im Rahmen der Implementierung
  • rollenbasierte Zugriffe auf korrelierte Events, Event-Radar, Dashboards und Reports
  • zentrale Monitorfläche mit wechselnden Darstellungen im SOC für CERT

Klingt überzeugend?

Dann nehmen Sie sich einfach die Zeit für ein paar kurze Fragen - Wir setzen uns umgehend mit Ihnen in Verbindung.

Effektiver Ansatz? Gut, benutzen Sie bitte unser Kontaktformular.

Additional Information

ArcSight wins 2010 SC Magazine Award for Best SIM / SEM >>

Gartner 2010: Magic Quadrant for SIEM (pdf) >>

Gartner 2009: ArcSight positioned in the Leaders Quadrant of Security Information and Event Management >>