Cisco® Security Monitoring, Analysis, and Response System是基于設備的全方位解決方案,可使您獲得對現有安全部署的無與倫比的洞察力和控制力。作為思科安全治理生命周期的要害組成部分,Cisco Security Monitoring, Analysis, and Response System使您的安全和網絡機構能夠識別、治理并抵御安全威脅。它能與您的現有網絡和安全部署協作,以識別并隔離不良網元,同時提供準確的清除建議。它還有助于遵從內部策略,是您的整個制度遵從解決方案中不可或缺的組成部分。
安全和網絡治理員面臨著大量的挑戰,包括:
Cisco Security Monitoring, Analysis, and Response System通過以下方式迎接這些挑戰:
Cisco Security Monitoring, Analysis, and Response System可將原始的網絡和安全數據轉變成情報,以便終止實際的安全事故并保證遵從安全策略要求。這個易用的威脅抵御產品系列答應操作人員使用基礎設施中現有的網絡和安全設備來集中、檢測、抵御并按嚴重性來報告威脅。
信息安全實踐已從最初的互聯網外圍保護發展到了深層防御模式,在此,多種對策分層部署在整個基礎設施中,以應對安全漏洞和攻擊。這種發展是非常必要的,因為攻擊的頻率越來越高、手段越來越高明、速度越來越快 — 模糊了網絡內部防御與外圍防御之間的界限。
為了發現安全漏洞,攻擊者天天數千次探查網絡接入點和系統。先進的混合型攻擊使用多種欺騙性的方法從組織內外部非法訪問并控制系統。即便是最牢固的基礎設施也難以應付蠕蟲、零時差攻擊、病毒、特洛伊木馬、間諜軟件以及攻擊工具的激增,導致響應時間的縮短和故障停機,同時也增加了補救成本。
除了少量的服務器和網絡設備外,每個安全組件都提供單獨的事件日志和告警特性,用于檢測異常情況,響應并分析威脅。遺憾的是,這種機制生成大量的噪音、告警、日志文件和誤報現象,操作人員必須進行辨別或有效使用 — 假設時間和資源答應分析并了解此類信息。此外,為了遵守法律法規,公司必須嚴格保證數據的私密性、提高運行安全性并維護審計流程。
從邏輯上看,安全信息和事件治理產品似乎能夠抵御這些問題 — 幫助您評估威脅以便治理它們。這些產品使操作人員能夠將安全事件和日志匯聚在一起,通過有限的關聯和查詢技術分析這些數據、并針對被隔離的事件生成告警和報告。
遺憾的是,許多第一代和第二代安全信息和事件治理產品都無法提供充分的網絡智能和性能屬性來更準確地識別并驗證相關事件、更好地發現攻擊路徑、干凈利落地清除威脅、或者維持較高的事件負載水平。思科系統公司® 提供了可擴展的企業威脅抵御產品來解決這些安全問題和治理不足。Cisco Security Monitoring, Analysis, and Response System提供易于部署和使用的經濟高效的安全命令和控制解決方案,補充了您的網絡和安全基礎設施投資。Cisco Security Monitoring, Analysis, and Response System是高性能、可擴展的威脅抵御產品系列,將網絡智能、ContextCorrelation™ 特性、SureVector™分析功能以及 AutoMitigate™ 功能結合在一起,進一步鞏固了企業現有的網絡產品和安全防范措施,使公司能夠隨時識別、治理并消除網絡攻擊,同時保證遵從制度要求。
CS-MARS還與思科外圍安全治理套件Cisco Security Manager (CSM)緊密集成。這種集成可將與流量相關的系統日志消息映射到CSM中定義的防火墻策略中,以觸發事件。策略查找功能支持快速的端到端分析,以便排除與防火墻配置相關的網絡故障和策略配置錯誤,并對定義好的策略進行進一步的調整。
Cisco Security Monitoring, Analysis, and Response System提供了網絡智能,能夠獲知路由器、交換機和防火墻的拓撲和產品配置并整理網絡流量。系統的集成網絡發現功能可構建拓撲圖,包括產品配置和現有安全策略等,進而能夠模擬穿過網絡的分組流。鑒于產品不在線內運行且極少使用現有的軟件代理,因此,只對網絡或系統性能產生極低的影響。
產品可將大量的常用網絡產品(如交換機和路由器)、安全設備和應用(如防火墻、入侵檢測系統[IDS]、安全漏洞掃描儀和防病毒應用)、主機(如Windows、Solaris 和linux系統日志)、應用(如數據庫、Web服務器和驗證服務器)及網絡流量產品(如Cisco NetFlow)提供的日志和事件集中在一起。
當收到事件和數據時,產品可根據拓撲、已發現的設備配置、相同的源和目的地應用(跨越NAT邊界)以及相似的攻擊類型對信息進行標準化,并將類似的事件實時分成多組會話。隨后對多個會話應用系統或用戶定義的關聯規則以識別事故。Cisco Security Monitoring, Analysis, and Response System產品在供貨時附帶預定義規則的全面補遺,由思科系統公司定期更新,用于識別大多數混合攻擊、零時差攻擊和蠕蟲。基于圖形的規則定義框架可簡化為任何應用創建用戶定義的定制規則的流程。ContextCorrelation特性大幅度減少了原始的事件數據,促進了按優先級響應攻擊,并最大限度地提高了已部署的應對措施的功效。
CS-MARS的分布式威脅抵御(DTM)特性與思科ipS產品結合在一起,可識別檢測到的最活躍的網絡攻擊,隨后生成并向網絡上的所有Cisco IOS IPS 產品公布最新的簽名定義文件(SDF)。這個特性可確保將網絡上資源有限的IOS IPS產品集中用于針對資源更為寬松的IPS產品的簽名。
Cisco Security Monitoring, Analysis, and Response System可捕捉數千個原始事件,以前所未有的數據縮減率對這些事件進行有效分類,并壓縮此類信息以便歸檔。治理如此大量的安全事件需要安全穩定的集中日志記錄平臺。Cisco Security Monitoring, Analysis, and Response System產品經過安全加固,專門用于接收高事件流量 — 每秒超過10,000個事件或每秒超過300,000個 Cisco NetFlow事件。產品通過線內處理邏輯以及嵌入式Oracle系統來實現這種高性能的關聯性。所有的數據庫功能和調整對用戶都是透明的。Cisco Security Monitoring, Analysis, and Response System答應在主板上保存歷史數據卷宗并將其持續壓縮到NFS備用存儲產品中,因此是可靠的安全日志/事件匯聚解決方案。
Cisco Security Monitoring, Analysis, and Response System可加速并簡化威脅識別、調查、驗證和抵御流程。安全工作人員常需要耗費大量的時間來分析并處理呈報上來的安全事件。Cisco Security Monitoring, Analysis, and Response System提供了強大的互動安全治理顯示板。操作人員GUI提供了由實時熱點、事故、攻擊路徑、具體調查結果和全面事故信息組成的拓撲圖,答應即刻驗證實際威脅。
Cisco SureVector分析特性可分析類似的事件會話,以便通過評估整條攻擊路徑(直到端點MAC地址)來決定威脅是有效的還是已得到抵御。這個自動流程的執行方法是:分析防火墻和入侵防護應用以及第三方安全漏洞評估數據等產品日志,并通過Cisco Security Monitoring, Analysis, and Response System端點掃描來消除誤報現象。用戶可快速調節系統以便進一步減少誤報現象。
任何安全計劃都是為了保持系統的持續在線及適當運行 — 是防止披露安全信息、抵御事故和促進補救的要害。通過Cisco Security Monitoring, Analysis, and Response System,操作人員可快速了解與攻擊相關的全部組件,包括不良的以及受到威脅的系統MAC地址。Cisco AutoMitigate功能能夠識別攻擊路徑上的現有“瓶頸”產品,并提供適當的設備命令以供用戶抵御威脅,幫助用戶快速準確地防止或抵御攻擊。
Cisco Security Monitoring, Analysis, and Response System采用了易用的分析框架,以簡化傳統的安全工作流,為日常的運行和特定的審計提供自動的案例分配、調查、上報、通知和注釋支持。它可從圖形上重放攻擊并檢索已保存的事件數據,以分析以前的事件。系統全面支持非凡查詢,用于實時和隨后的數據挖掘工作。
Cisco Security Monitoring, Analysis, and Response System提供大量預定義的報告來滿足運行要求和制度要求,包括Sarbanes-Oxley、Gramm-Leach Bliley法案 (GLBA)、健康保險便攜與責任法案(HIPAA)、美國政府信息安全治理法案 (FISMA) 及歐盟新巴塞爾資本協定(Basel II)等。直觀的報告生成工具可修改超過80個標準報告或生成新報告,為創建行動和補救方案、事故和網絡活動、安全狀態和審計以及部門報告提供無限的方法 — 采用數據、趨勢分析和圖表等格式。此外,系統還提供批量和電子郵件報告。
Cisco Security Monitoring, Analysis, and Response System可同時從第2層交換機和思科安全訪問控制服務器(ACS)分析、標準化、關聯并報告802.1x驗證事件。Cisco Security Monitoring, Analysis, and Response System也可使用可擴展的驗證協議 (EAP)對第3層路由器和Cisco VPN 3000系列集中器進行同樣的操作。這將答應客戶確定交換機、思科安全ACS、正在被驗證的端點、以及Active Directory 或 NIS等外部驗證源之間的連接鏈,從而對設備驗證方法進行排障。Cisco Security Monitoring, Analysis, and Response System還同時為第1和第2階段的NAC參數提供集中報告,指出設備及狀態驗證失敗的原因。此類報告舉例如下:
Cisco Security Monitoring, Analysis, and Response System安裝在一個TCP/IP網絡中,在此網絡上它能夠收發系統日志消息和簡單網絡治理協議 (SNMP)陷阱并且能夠利用標準的安全或供給商特定協議通過已部署的網絡和安全產品來建立安全會話。安裝和部署Cisco Security Monitoring, Analysis, and Response System無需更多的硬件、操作系統補丁、許可或專業服務人員的長時間參與。您可通過基于Web的GUI將您的日志源配置為指向產品并定義任何網絡和源;可通過從現有的syslog-ng 或 Kiwi系統日志服務器轉發消息來快速部署CS-MARS。這個特性消除了將CS-MARS放置到運行網絡時所需的許多網絡和產品變更。
您可通過支持基于角色的治理的Web安全界面集中治理Cisco Security Monitoring, Analysis, and Response System產品。可選的全局控制器產品實現了大規模安全系統的集中化,可提供整個企業的統一視圖,分配訪問權限、配置、更新、定制規則和報告模板,并通過可從本地進行處理的加速查詢和報告來協調復雜的調查工作。
本地的Cisco Security Monitoring, Analysis, and Response System在整個企業中執行查詢和規則,并能夠將結果高效合并,在系統的全局控制器上進行快速集中的分析。這個可擴展的架構可提供更高層次的分布式處理和存儲,進而提高經濟高效性和可治理性,滿足大型分散機構的要求。
Cisco Security Monitoring, Analysis and Response System 系列具有不同的性能特征和價格,可滿足各種組織的需求和部署要求(見表1)。
* EPS:打開動態關聯和所有特性后每秒處理的事件數量。
如需更完整的列表,請訪問:http://www.cisco.com/en/US/prodUCts/ps6241/products_device_support_tables_list.html
新聞熱點
疑難解答
