Arcsight方案.docx
《Arcsight方案.docx》由会员分享,可在线阅读,更多相关《Arcsight方案.docx(31页珍藏版)》请在冰豆网上搜索。
Arcsight方案
第一章项目方案
一.1项目背景
随着富友金融网络技术有限公司IT系统的发展,需要管理的安全设备和主机系统也越来越多,其中Cisco/H3C的网络设备、Cisco的防火墙/IPS设备、DB2/Oracle/Informix等数据库系统、Windows/AIX/Linux等操作系统、ApacheTomcat应用服务器,每台产生海量日志,没有办法集中管理,进行统计分析,并且不能够做统计报表,管理复杂,需要登录到每一类系统设备中去查看日志,比较繁琐和浪费时间,需要一套能够集中收集这些系统设备的日志系统,并能够进行集中收集和管理,统一查询和报表统计,特选择世界排名第一的HP/ArcsightLogger设备,为富友公司搭建日志集中管理平台
一.2项目方案介绍
一.2.1项目需求
富友公司当前的网络架构如下图所示:
目前需要进行日志采集的设备列表如下:
设备分类(厂商)
设备类型
厂商
操作系统/型号
版本
数量
操作系统
AIX
IBM
AIX5.3
5.3
2
AIX
IBM
AIX6.1
6.1
6
LINUX
CentOS
CentOS5.5
5.5
1
LINUX
RedHat
RedHat5.7(64)
5.7
4
LINUX
RedHat
RedHat5.4
5.4
13
LINUX
CentOS
CentOS4.4
4.4
1
WindowsServer
Microsoft
Windows2003
2003
7
数据库
DB2
IBM
DB2V9.1.0.4
9.1.0.4
8
oracle
ORACLE
ORACLE11.2.0.3.0
11.2.0.3.0
2
应用服务器
tomcat
tomcat7.0.12
15
tomcat
tomcat5.5
3
网络设备
路由器
Cisco
3845
IOS12.4
2
交换机
Cisco
3750G
IOS12.2
6
防火墙
Cisco
ASA5520
IOS8.2
4
路由器
H3C
MSR5040
5.2
2
安全设备
IPS
Cisco
AIM10
7.06
2
数据库审计
Imperva
X2500数据库监控网关
暂未上线
1
双因素认证
RSA
SECURID
暂未上线
1
堡垒主机
帕拉迪
统一安全管理和综合审计系统
暂未上线
1
应用层防火墙
Imperva
X2500WEB应用防火墙
暂未上线
1
一.2.2项目方案设计原则
根据项目建设目标,富友公司日志分析系统项目要遵循以下几个原则:
☐长远性和现实性相结合
富友公司日志分析系统项目,要兼顾企业的目前状况与长远发展等因素,放眼未来,统筹规划,又要具有可付诸实施的现实可能性。
☐全面性和针对性相结合
富友公司日志分析系统项目实施,要着眼全局,不能遗漏;同时又要突出重点,方案和计划具有较强的针对性。
☐完整性和阶段性相结合
富友公司日志分析系统项目,既要制定整体发展规划、安全建设纲要、安全总则等战略性指导文档,也要按照现阶段产品采购,提升亚运期间客户信息安全审计整体水平。
☐先进性和实用性相结合
富友公司日志分析系统项目实施,在战略和策略、目标和要求、规定和制度、产品和技术、人员和知识等各方面,既要有先进性,又要有实用性。
☐开放性和可靠性相结合
富友公司日志分析系统项目实施,应采用最新且成熟的系统软硬件等技术和产品。
其各项技术应保证具有开放性、可移植性和可扩展性,同时,具有可靠性和稳定性。
☐完整性和经济性相结合
富友公司日志分析系统系统建设,既要考虑采用的产品和技术在整体上具有完整性和一致性,又要尽量保护富友公司已有的软硬件投资,使得总体上具有更好经济性。
☐安全性和业务连续性相结合
富友公司日志分析系统建设必须保证系统安全性和业务连续性。
系统在开发规范和接口规范必须符合富友公司有限相关安全规范和安全要求,系统建设必须考虑和其他系统之间的整合,确保相互间业务通信的连续性。
一.2.3项目方案产品选型
对于需要进行日志收集的设备的日志量估算如下:
设备分类
设备类型
厂商
操作系统/型号
版本
数量
估算的EPS
日志收集方式
操作系统
AIX
IBM
AIX5.3
5.3
2
2
SmartConnector
AIX
IBM
AIX6.1
6.1
6
6
SmartConnector
LINUX
CentOS
CentOS5.5
5.5
1
1
SmartConnector
LINUX
RedHat
RedHat5.7(64)
5.7
4
4
SmartConnector
LINUX
RedHat
RedHat5.4
5.4
13
13
SmartConnector
LINUX
CentOS
CentOS4.4
4.4
1
1
SmartConnector
WindowsServer
Microsoft
Windows2003
2003
7
7
SmartConnector
数据库
DB2
IBM
DB2V9.1.0.4
9.1.0.4
8
40
SmartConnector
oracle
ORACLE
ORACLE11.2.0.3.0
11.2.0.3.0
2
10
SmartConnector
应用服务器
tomcat
Apache
tomcat7.0.12
15
225
SmartConnector
tomcat
Apache
tomcat5.5
3
45
SmartConnector
网络设备
路由器
Cisco
3845
IOS12.4
2
2
SmartConnector
交换机
Cisco
3750G
IOS12.2
6
6
SmartConnector
路由器
H3C
MSR5040
5.2
2
2
FlexConnector
安全设备
防火墙
Cisco
ASA5520
IOS8.2
4
400
SmartConnector
IPS
Cisco
AIM10
2
40
SmartConnector
双因素认证
RSA
SECURID
暂未上线
1
5
SmartConnector
堡垒主机
帕拉迪
统一安全管理和综合审计系统
暂未上线
1
10
FlexConnector
应用层防火墙
Imperva
X2500WEB应用防火墙
暂未上线
1
15
SmartConnector
数据库审计
Imperva
X2500数据库监控网关
暂未上线
1
100
SmartConnector
根据上述估算,当前的设备总数为82,日志总量约为934EPS(EventPerSecond每秒事件数),设备选型将以此为基础并充分考虑未来的扩展。
(1)日志管理平台选型:
ArcsightLoggerL3400
根据当前的日志量并充分考虑未来的扩展,建议选用ArcsightLoggerL3400作为日志管理平台系统的核心,其最佳处理能力为EPS2000,支持200台设备的日志采集,最大日志容量可达8TB,完全可以胜任富友公司的日志管理需求。
(2)日志收集服务器选型:
2台HPProLiantDL360G7服务器
建议用户提供了2台HPDL360服务器作为本项目的日志采集器使用,服务器配置建议如下:
CPU:
1IntelE6520,4核
内存:
8G
硬盘:
500GB
(3)日志收集器许可证:
ArcsightFlexConnector
HP/Arcsight提供两种形式的日志收集器,SmartConnector和FlexConnector。
SmartConnector可以直接支持超过300中主流IT设备的日志收集,对于不在SmartConnector支持列表中的产品,可以采用定制收集器FlexConnector来实现。
富友网络中的Informix数据库和H3C的网络设备需要通过FlexConnector实现日志收集
序号
产品类别
产品选型
数量
1
日志收集器硬件
HPProLiantDL360G7(1E6520CPU,8G/500G)
2
2
日志收集器许可证
ArcsightFlexConnectors
1
2
日管分析系统产品
ArcsightLoggerL3400
1
图表1项目产品选型
一.2.4产品部署图
图表2项目方案产品部署图
上图所示为为富友公司日志分析系统那个项目解决方案的产品部署图。
通过在富友公司总部及各分支结构中分布式部署ArcSight的Connectors产品,这样能更好的发挥Connectors产品的技术特点,如安全事件采集的分时传输或带宽控制等。
然后安全事件通过Connectors的采集、归并、过滤和标准化后,汇总分析后的日志数据保存到ArcsightLogger设备上,管理员就可以通过WEB方式进行查询与分析日志。
一.2.5项目方案功能实现
一.2.5.1日志采集
ArcSightConnectors具有强大的安全事件收集功能,支持100%数据的数据捕获,支持海量安全事件数据处理,支持的安全事件格式包括SYSLOG,LEA,SYSLOG-NG,W3C和文件型安全事件在内的多种形式的安全事件格式。
支持SYSLOG、SYSLOG-NG、SNMPTRAP、JDBC数据库连接等实时或定时采集协议。
不需要在被管理主机上安装代理,不会对数据库主机造成影响。
支持长安全事件格式。
自动识别安全事件源的安全事件格式,支持主动采集和被动接收两种采集方式。
ArcSightConnectors系统支持智能代理的集中部署和分布式部署,并可以定制代理,系统自动维护代理状态。
这种模式,利用分布在网络的各处采集器就可以收集到全网中需要管理的对象的安全事件。
数据在系统内的传输采用加密方式,保证数据的传输完整性和机密性。
内嵌时间服务器,提供设备之间时间校正服务,支持独有的5时间戳技术。
日志的时间对日志分析非常重要,错误的时间会影响到日志分析的正确性。
ArcsightConnectors采用了独有的5时间戳技术,系统共维护了5个时间戳:
源日志生成时间、日志采集器收到时间、管理服务器收到时间、数据库存储开始时间和完成时间。
该技术使系统日志数据更具有可靠性证明,可满足设备时间同步需求。
对于采集到的海量的安全事件数据ArcSightConnectors进行如下处理后发现相关的安全事件和安全问题。
一.2.5.2日志归并和过滤
安全事件归并和过滤是可选用的功能,过滤用于丢弃从设备提取的原始安全事件信息中监控人员认为不重要的信息,从而减少轻微告警安全事件的干扰;归并是一种组合技术,将基于选定的时间值或安全事件数量,合并具有匹配字段值的多条安全事件。
具备安全事件归并和过滤技术具有如下好处:
●减少对带宽的占用
●减少对存储空间的占用
●提高监控和处理的效率
ArcSight设备在安全事件收集引擎和关联分析引擎上都具备安全事件归并和过滤能力。
通过在安全事件收集引擎上设置过滤条件,可过滤出无关安全事件,以最大程度地减少发送到核心服务器的安全事件数,从而减少对网络带宽和数据库存储空间地占用。
在关联分析引擎上设置过滤条件,可以过滤掉该类型的安全事件的实时显示,而该安全事件仍然保存到安全事件数据库中。
这样既给管理员的实时监控提供了方便,又可以在以后需要的时候察看分析这些安全事件数据。
具有归并技术的安全事件收集代理会在一段时间内比较收到的安全事件,如果安全事件相同,则只发送一条安全事件,该安全事件应包括安全事件详情及该安全事件发生的次数,这样可以减少安全事件通信量。
例如,对于每隔500毫秒重复一次的安全事件来说,假如归并规则时间阈值设为十秒,这样就会得到20:
1的安全事件压缩率。
从而降低传至关联分析引擎的安全事件流量和数据库的存储空间要求。
对单位时间内发生的大量安全事件,建议按照维护要求和管理部门的考评要求及实际管理情况,对指定安全设备进行告警安全事件归并,也可以通过安全事件严重程度级别、安全事件类别、安全事件标题等安全事件属性进行归并。
一.2.5.3日志标准化
各种安全事件源在其返回安全事件信息时并非都使用相同的命名约定,为了解决这种“语言不通”的情况,通常可能需要分析人员编写重复的规则并修改每个案例中的安全事件名,以检测相同安全事件的不同返回名称。
这样的做法将导致灵活性和可用性都特别差。
分类法通过广泛和灵活的安全事件映射,对安全事件做标准化处理,它将每条安全事件分配到相应的类别中,这消除了需要学习来自不同厂商的同类产品例如防火墙或IDS的信息差别的过程。
新的分类法不仅仅提供一系列能满足报告、过滤器和关联的更丰富的资讯,而且还能够精确定义某安全事件资源的种类,即使该设备是一个诸如入侵防护设备的集多种功能集合体,它的安全事件资源也能被精确定义。
这样,即使客户日后扩容选用了新的系统,它的安全事件也很容易纳入到整个系统中来,无需更改相应关联规则、过滤器等。
例如,若要分析攻击某服务中漏洞的所有尝试,您可以组合这些安全事件类别:
/Host/Application、/Service、/Communicate和/Exploit/Vulnerability。
这样,您可以使用通用的类别说明,而不是可能随系统变化的安全事件名来建立规则,分类还可以简化环境中新系统的集成。
图表3日志标准化
一.2.5.4日志存储
除了启动RAID的板载存储,所有ArcSightLogger设备均支持作为首选数据存储或存档目标位置的外部存储(SAN或NAS)。
无论是板载存储还是板外存储,通常会将日志数据高效压缩至10:
1的比例。
一.2.5.5日志查询
ArcSightLogger的基于Web的搜索界面简单易用,通过它可执行简单搜索,也可以输入正则表达式和布尔逻辑符执行复杂查询。
用户使用向下钻取(drill-down)和钻过(drill-across)功能可以直观地对存储在任意数量的ArcSightLogger设备中的数以万亿兆的数据进行查询,从而增加动态结果集的大小。
一.2.5.6报表管理
ArcsightLogger建立了一个以业界领先的基于web的报表中心,用户可以方便地根据自身需求定制和导入报表,提供按照客户需求定制报表的服务。
1.2.3.6.1统计功能
ArcSightLogger具有以下统计分析和查询功能:
●能从多种角度多种维度对数据进行分析;
●能提供诸如插入过滤器、插入计算等诸多更细致的功能,方便维护人员使用;
●能提供实时分析、历史分析等分析手段;
●能对比查询统计的结果,分析数据的发展趋势;
●能将结果以图形方式〈直方图、饼图等〉或报表方式显示、打印或转存为HTML或Excel报表方式输出
1.2.3.6.2报表功能
ArcSightLogger可以对所有事件、案例、通知、资产和数据库中存储的其他资源创建报表。
报表生成过程:
●特定数据筛选和分析;
●统计和分类结果;
●事件分析结果和事故处理结果。
ArcSightLogger的全局报告生成系统,在灵活性和易用性方面非常出色。
它提供250多种预定义的报告模板,并且集成了报告编辑器,客户可使用预定义的报告模板生成报告,也可创建新的报告,比如针对客户操作和管理人员的报告。
内置报告编辑器,创建报告,加入Filter、资产、漏洞信息,生成图形或文本报告导入、导出用户拷贝报告,报告可以按组管理,根据计划归档报告,归档之后发送邮件通知,报告和增量报告。
报告可以立刻生成也可以在指定日期时间生成。
报告可用PDF、HTML、Excel、CSV或RTF等格式存档。
1.2.3.6.3遵循法律法规报表功能
ArcSightLogger通过丰富的目标剖面、显示、报告,使客户能够拥有安全活动的独特的遵循法律法规相关的视图,满足PCI、SOX、ISO27001/17799这些法规的要求。
ArcSightLogger极大地减小机构尝试遵从法律法规提供更好的安全担保时所要面临的混乱。
它可以大量节省企业遵从法律法规所需花费的时间和金钱,它利用工作流程特性、集中信息知识库和强大的关联能力,使这些过程流程化,此外,它还提供400多种标准报告和规则,给审计员和执行官等相关人员,提供自动生成的、简单易懂的安全和风险信息。
它的价值体现在如下几方面:
●预定义的策略包,实时准确、快速地识别针对遵循法规(SOX、ISO27001/17799等)所要求保存的日志事件。
●自动日志事件关联,它具备最智能的关联引擎,改进的遵从、告警和响应。
●能够发现内部威胁,增强对遵循法律法规的重要信息的保护。
●集中的日志管理,具体的工作流程和预定义的报告,风险分析和过程审计自动化。
●它非常灵活,能快速和企业独特的环境相结合。
一.2.5.7系统可扩展性和高可用性
日志管理会面临大量的日志数据,而且日志量在不断的增加,日志管理系统需要保存的日志数据时长是富友公司有限公司在线日志要求的策略相关的,如果日志管理系统的磁盘容量不足以支持当前要求的日志保存时长,则需要对日志管理设备进行扩展。
虽然日志管理系统不是华数网通信息港有限公司的业务应用系统,无需要进行高成本的容错除了,但是在日志管理系统的选择上要考虑到如何避免单点故障、数据通讯故障等因素,确保所有的日志数据能的采集能够应付通讯或系统意外故障情况,这就要求日志管理系统提供相应的技术手段来支持高可用性的配置方法。
ArcSightLogger提供网络扩展口,可以在日志数据量超出硬盘容量的时候方便的通过堆叠和级连的方式实现存储空间的扩展要求;也可以通过多台Logger并联的方式提供采集性能的扩充。
另外,ArcSightLogger可以与ArcSight领先的安全信息和事件管理(SIEM)产品ArcSightESM相互集成。
这种集成可以使ArcSightLogger灵活地将安全事件转发到ArcSightESM,实时进行跨设备的关联、可视化和威胁检测。
ArcSightESM也可以将关联后的警报发送回ArcSightLogger用于搜索和存档,提供良好的高可用性与集成性。
一.3项目方案选型产品介绍
一.3.1ArcsightConnectors
ArcSightConnectors技术通过强大的日志聚合和界面配置优化功能应对有关日志收集的核心挑战,同时也展现更广泛的信息审计和日志管理平台的基础。
下面介绍ArcSightConnectors的核心功能和优点:
一.3.1.1Connectors安装环境
支持操作系统版本
设备架构
MicrosoftWindowsXPProfessional(SP2)32-bit
x86
MicrosoftWindowsServer2003R2(SP2)32-bit
x86
MicrosoftWindowsServer2003R2(SP2)64-bit
x86_64
MicrosoftWindowsServer200832-bit
x86
MicrosoftWindowsServer2008R264-bit
x86_64
RedHatEnterpriseLinux4.0(RHEL4)AS32-bit
x86
RedHatEnterpriseLinux4.0(RHEL4)AS64-bit
x86_64
RedHatEnterpriseLinux(RHEL)5.3AS32-bit
x86
RedHatEnterpriseLinux(RHEL)5.3AS64-bit
x86_64
NovellSUSELinux10SP2EnterpriseServer64-bit
x86_64
SunSolaris9,64-bit
UltraSPARC
SunSolaris10,64-bit
UltraSPARC
IBMAIX5L,Version5.3(5.3.0.70)32-bit
pSeries
图表4Connectors安装环境
一.3.1.2设备支持的广度和深度
ArcSightConnector有两种收集器:
SmartConnectors和FlexConnectors。
●ArcsightSmartConnectors
ArcSight现成的SmartConnectors资料库可为超过300种商业产品提供优化来源的集合。
Anti-Virus/Anti-Spam
ApplicationSecurity
F-SecureAntiVirus
Arxan–(CEF)
McAfeeVirusScan
ContentSecurity
SybariAntigenforMicrosoftExchange
AladdineSafeGateway
SymantecAntivirusCorporateEdition
McAfeeSecureInternetGateway
SymantecMailSecurityforMSExchange
NetContinuumWebFirewall
TrendMicroOfficeScan(ControlManager)
PuresightContentFilter
TrendMicroVirusWall(ControlManager)
SecureComputingWebwasher
Applications
TrendMicroControlManager
BEAWeblogicServer
TrendMicroInterScanMessagingSecurity
IBMWebSphere
TrendMicroInterScanWebSecurity
(ControlManager)
SAPERP
Database
DAM/DBSecurity
IBMDB2
ApplicationSecurityDBProtect
MicrosoftSQL
Guardium–(CEF)
Oracle
ImpervaSecureSphere–(CEF)
SybaseAdaptiveServerEnterprise
SecernoDataWall–(CEF)
DataL