ArcSight, eine ausgereifte SIEM-Plattform

ArcSight ist eine modulare SIEM-Plattform, die alle wesentlichen Komponenten einer ausgereiften Security Information and Event Management Lösung beinhaltet. ArcSight bildet das zentrale System für die Erfassung, Korrelation, Auswertung und Speicherung aller sicherheitsrelevanten Logevents. Der Einhaltung von Policy- und Compliance-Anforderungen kommt man so einen deutlichen Schritt näher.

Dabei ist es unerheblich, ob Sie zunächst nur Logdaten zentral erfassen und archivieren wollen bzw. müssen, oder ob bei Ihnen zusätzlich eine intelligente Korrelation der Logdaten im Vordergrund steht.

Erstklassig etabliert bei sehr vielen DAX-Konzernen, galt ArcSight lange als zu kostenintensiv für den Mittelstand. Im April 2009 erschien nun ArcSight Express, das auch kleineren Infrastrukturen ein ausgereiftes Security Information and Event Management (SIEM) mit vollem Featureset bietet.

Automatisierung ist der Schlüssel

Die Aufgabe der Sicherheitsexperten, Logdaten und Sicherheitsmeldungen zeitnah aufzubereiten und auszuwerten, ist angesichts der enormen Datenmenge zur Herkulesaufgabe geworden. Manuell oder mit kleinen selbst geschriebenen Tools ist dies nicht mehr zu stemmen.

Findet allerdings keine regelmäßige Verarbeitung von Sicherheitsmeldungen bzw. Security-Events, keine einheitliche Archivierung und keine monatliche Reporterstellung statt, so fehlt ein fundierter Überblick über die aktuelle Sicherheitslage innerhalb der  Organisation. Folglich sind Anweisungen und Maßnahmen nur reaktiv und stehen nicht in direktem Bezug zu den tatsächlichen Vorfällen. Policy- und Compliance-Anforderungen können nicht oder nur ungenügend erfüllt werden.

Was hier fehlt, ist der integrative Ansatz, alle Logdaten an einem zentralen Punkt zusammenlaufen zu lassen. An dieser zentralen Stelle werden die Logdaten dann normalisiert, aggregiert, korreliert, archiviert und visualisiert sowie ggfs. Incident Response Aktionen eingeleitet. An dieser Stelle kommen SIEM (Security Information and Event Management System) Lösungen ins Spiel, da sie genau diesen integrativen Ansatz verfolgen.

Mit Hilfe zentralisierter Logdaten werden Informationen über Verletzungen von Sicherheitsrichtlinien und Angriffe sowohl von Außen als auch von Innen erfasst, normalisiert, analysiert, korreliert und visualisiert sowie  ggfs. entsprechende Alarmierungen eingeleitet. Dazu muss ein SIEM zudem in der Lage sein, die Informationen einer Vielzahl von Logdatenquellen verschiedenster Hersteller, darunter Betriebssysteme, Anwendungen, Datenbanken, IT-Sicherheitssysteme zu erfassen und zu verarbeiten.

Prioritäts- und risikobasiertes Sicherheitsmanagement

SIEM-Lösungen können heute Analyse und Korrelation von Sicherheitsereignissen in Echtzeit mit 4.000 Events Per Second (EPS) und mehr automatisiert durchführen. Sie ermöglichen ebenso die forensische Analyse historischer Daten. Durch Erfassung, Normalisierung, Aggregation und Korrelation der Logevents unterschiedlicher Systeme verschiedenster Hersteller (Cross-Device & Cross-Vendor Data) können aus Zehntausenden von Events diejenigen identifiziert werden, die eine tatsächliche Bedrohung kritischer Anwendungen und Daten darstellen.

ArcSight Lösungen wurden für komplexe, heterogene Infrastrukturen entwickelt. Als einziger Anbieter präsentiert ArcSight eine herstellerunabhängige Gesamtlösung zur intelligenten Eventverarbeitung auf Basis u.a. folgender Produkte:

• ArcSight Enterprise Security Manager (ESM)
• ArcSight Express
• ArcSight SmartConnectors
• ArcSight Logger

Alle Produkte verfügen über integrierte Standardregeln und -berichte, für die am häufigsten auftretenden Sicherheitsrisiken. Sie sind als einfach zu implementierende und verwaltende Appliance-Lösungen verfügbar. ArcSight bietet darüber hinaus ergänzende Solution Packages, u.a. zur Bekämpfung von Insider Threat, zur Muster- und Anomalie-Erkennung oder zum Nachweis von Compliance-Anforderungen, wie sie sich beispielsweise aus PCI DSS ergeben.

ArcSight ESM bietet Ihnen umfangreiche Methoden und Funktionen, um:

• Logdaten zu erfassen, intelligent zu verarbeiten und zu archivieren
• Analysen von Sicherheitsevents schnell und effizient durchführen zu können
• Zugriffe auf Dashboards, Events und Reports rollenbasiert zu steuern
• Kenngrößen für die Sicherheit zu überwachen und darzustellen
• Skalierbarkeit, Hochverfügbarkeit und Mandantenfähigkeit zu gewährleisten
• Verschiedenste Compliance-Anforderungen zu erfüllen, darunter SOX, PCI DSS, HIPPA, FISMA, u.a.

Echte Innovationen und weltweite Reputation

Kein Wunder also, dass ArcSight seit 2004 in Folge den 1. Platz im Leaders Quadrant des Gartner's Magic Quadrant Reports für SIEM einnimmt. ArcSight wurde für seine Innovationen und seine Marktführerschaft mit etlichen Preisen ausgezeichnet u.a. Anfang  2010 als Gewinner des SC Magazine Awards for Best Security Information and Event Management Solutions.

IT-CUBE SYSTEMS ist zertifizierter ArcSight-Integrations- und Trainingspartner.
In mehr als zwölf großen SIEM-Projekten bei namhaften Unternehmen unterschiedlicher Branchen haben wir profunde Praxiserfahrung aufgebaut.

Sprechen Sie mit uns – es wird sich für Sie lohnen!