Arcsight方案Word格式文档下载.docx

1、4RedHat 5.45.413CentOS 4.44.4Windows Server MicrosoftWindows 200320037数据库DB2 IBM DB2 V9.1.0.49.1.0.48oracleORACLEORACLE 11.2.0.3.011.2.0.3.0应用服务器tomcattomcat7.0.1215tomcat5.53网络设备路由器Cisco3845IOS12.4交换机3750GIOS12.2防火墙ASA5520IOS8.2H3CMSR50405.2安全设备IPSAIM107.06数据库审计ImpervaX2500 数据库监控网关暂未上线双因素认证RSASECUR

2、ID堡垒主机帕拉迪统一安全管理和综合审计系统应用层防火墙X2500 WEB应用防火墙一.2.2 项目方案设计原则根据项目建设目标，富友公司日志分析系统项目要遵循以下几个原则： 长远性和现实性相结合富友公司日志分析系统项目，要兼顾企业的目前状况与长远发展等因素，放眼未来，统筹规划，又要具有可付诸实施的现实可能性。 全面性和针对性相结合富友公司日志分析系统项目实施，要着眼全局，不能遗漏；同时又要突出重点，方案和计划具有较强的针对性。 完整性和阶段性相结合富友公司日志分析系统项目，既要制定整体发展规划、安全建设纲要、安全总则等战略性指导文档，也要按照现阶段产品采购，提升亚运期间客户信息安全审计整体水

3、平。 先进性和实用性相结合富友公司日志分析系统项目实施，在战略和策略、目标和要求、规定和制度、产品和技术、人员和知识等各方面，既要有先进性，又要有实用性。 开放性和可靠性相结合富友公司日志分析系统项目实施，应采用最新且成熟的系统软硬件等技术和产品。其各项技术应保证具有开放性、可移植性和可扩展性，同时，具有可靠性和稳定性。 完整性和经济性相结合富友公司日志分析系统系统建设，既要考虑采用的产品和技术在整体上具有完整性和一致性，又要尽量保护富友公司已有的软硬件投资，使得总体上具有更好经济性。 安全性和业务连续性相结合富友公司日志分析系统建设必须保证系统安全性和业务连续性。系统在开发规范和接口规范必须

4、符合富友公司有限相关安全规范和安全要求，系统建设必须考虑和其他系统之间的整合，确保相互间业务通信的连续性。一.2.3 项目方案产品选型对于需要进行日志收集的设备的日志量估算如下:设备分类估算的EPS日志收集方式Smart Connector4010Apache22545IOS12.4IOS12.2 5.2Flex ConnectorIOS8.24005100根据上述估算，当前的设备总数为82，日志总量约为934EPS （Event Per Second 每秒事件数），设备选型将以此为基础并充分考虑未来的扩展。（1） 日志管理平台选型：Arcsight Logger L3400根据当前的日志量并

5、充分考虑未来的扩展，建议选用Arcsight Logger L3400作为日志管理平台系统的核心，其最佳处理能力为EPS 2000，支持200台设备的日志采集，最大日志容量可达8TB，完全可以胜任富友公司的日志管理需求。（2） 日志收集服务器选型：2台HP ProLiant DL360 G7 服务器建议用户提供了2台HP DL360服务器作为本项目的日志采集器使用，服务器配置建议如下：CPU: 1 Intel E6520, 4核内存：8G硬盘：500GB（3） 日志收集器许可证： Arcsight Flex ConnectorHP/Arcsight提供两种形式的日志收集器，Smart Conn

6、ector和Flex Connector。Smart Connector可以直接支持超过300中主流IT设备的日志收集，对于不在Smart Connector支持列表中的产品，可以采用定制收集器Flex Connector来实现。富友网络中的Informix数据库和H3C的网络设备需要通过Flex Connector实现日志收集序号产品类别产品选型日志收集器硬件HP ProLiant DL360 G7 （1 E6520 CPU, 8G /500G）日志收集器许可证Arcsight FlexConnectors日管分析系统产品图表 1项目产品选型一.2.4 产品部署图图表 2 项目方案产品部署图

7、上图所示为为富友公司日志分析系统那个项目解决方案的产品部署图。通过在富友公司总部及各分支结构中分布式部署ArcSight的Connectors产品，这样能更好的发挥Connectors产品的技术特点，如安全事件采集的分时传输或带宽控制等。然后安全事件通过Connectors的采集、归并、过滤和标准化后，汇总分析后的日志数据保存到Arcsight Logger设备上，管理员就可以通过WEB方式进行查询与分析日志。一.2.5 项目方案功能实现一.2.5.1 日志采集ArcSight Connectors具有强大的安全事件收集功能，支持100%数据的数据捕获，支持海量安全事件数据处理，支持的安全事件

8、格式包括SYSLOG，LEA, SYSLOG-NG，W3C和文件型安全事件在内的多种形式的安全事件格式。支持SYSLOG、SYSLOG-NG、SNMP TRAP、JDBC数据库连接等实时或定时采集协议。不需要在被管理主机上安装代理，不会对数据库主机造成影响。支持长安全事件格式。自动识别安全事件源的安全事件格式，支持主动采集和被动接收两种采集方式。ArcSight Connectors系统支持智能代理的集中部署和分布式部署，并可以定制代理，系统自动维护代理状态。这种模式，利用分布在网络的各处采集器就可以收集到全网中需要管理的对象的安全事件。数据在系统内的传输采用加密方式，保证数据的传输完整性和机

9、密性。内嵌时间服务器，提供设备之间时间校正服务，支持独有的5时间戳技术。日志的时间对日志分析非常重要，错误的时间会影响到日志分析的正确性。Arcsight Connectors采用了独有的5时间戳技术，系统共维护了5个时间戳：源日志生成时间、日志采集器收到时间、管理服务器收到时间、数据库存储开始时间和完成时间。该技术使系统日志数据更具有可靠性证明，可满足设备时间同步需求。对于采集到的海量的安全事件数据ArcSight Connectors进行如下处理后发现相关的安全事件和安全问题。一.2.5.2 日志归并和过滤安全事件归并和过滤是可选用的功能，过滤用于丢弃从设备提取的原始安全事件信息中监控人员

10、认为不重要的信息，从而减少轻微告警安全事件的干扰；归并是一种组合技术，将基于选定的时间值或安全事件数量，合并具有匹配字段值的多条安全事件。 具备安全事件归并和过滤技术具有如下好处： 减少对带宽的占用 减少对存储空间的占用 提高监控和处理的效率ArcSight 设备在安全事件收集引擎和关联分析引擎上都具备安全事件归并和过滤能力。通过在安全事件收集引擎上设置过滤条件，可过滤出无关安全事件，以最大程度地减少发送到核心服务器的安全事件数，从而减少对网络带宽和数据库存储空间地占用。在关联分析引擎上设置过滤条件，可以过滤掉该类型的安全事件的实时显示，而该安全事件仍然保存到安全事件数据库中。这样既给管理员的

11、实时监控提供了方便，又可以在以后需要的时候察看分析这些安全事件数据。具有归并技术的安全事件收集代理会在一段时间内比较收到的安全事件，如果安全事件相同，则只发送一条安全事件，该安全事件应包括安全事件详情及该安全事件发生的次数，这样可以减少安全事件通信量。例如，对于每隔 500 毫秒重复一次的安全事件来说，假如归并规则时间阈值设为十秒，这样就会得到 20:1 的安全事件压缩率。从而降低传至关联分析引擎的安全事件流量和数据库的存储空间要求。对单位时间内发生的大量安全事件，建议按照维护要求和管理部门的考评要求及实际管理情况，对指定安全设备进行告警安全事件归并，也可以通过安全事件严重程度级别、安全事件类

12、别、安全事件标题等安全事件属性进行归并。一.2.5.3 日志标准化各种安全事件源在其返回安全事件信息时并非都使用相同的命名约定，为了解决这种“语言不通”的情况，通常可能需要分析人员编写重复的规则并修改每个案例中的安全事件名，以检测相同安全事件的不同返回名称。这样的做法将导致灵活性和可用性都特别差。分类法通过广泛和灵活的安全事件映射，对安全事件做标准化处理，它将每条安全事件分配到相应的类别中，这消除了需要学习来自不同厂商的同类产品例如防火墙或IDS的信息差别的过程。新的分类法不仅仅提供一系列能满足报告、过滤器和关联的更丰富的资讯，而且还能够精确定义某安全事件资源的种类，即使该设备是一个诸如入侵防

13、护设备的集多种功能集合体，它的安全事件资源也能被精确定义。这样，即使客户日后扩容选用了新的系统，它的安全事件也很容易纳入到整个系统中来，无需更改相应关联规则、过滤器等。例如，若要分析攻击某服务中漏洞的所有尝试，您可以组合这些安全事件类别：/Host/Application、/Service、/Communicate 和 /Exploit/Vulnerability。这样，您可以使用通用的类别说明，而不是可能随系统变化的安全事件名来建立规则，分类还可以简化环境中新系统的集成。图表 3 日志标准化一.2.5.4 日志存储除了启动 RAID 的板载存储，所有 ArcSight Logger 设备均支

14、持作为首选数据存储或存档目标位置的外部存储（SAN或NAS）。无论是板载存储还是板外存储，通常会将日志数据高效压缩至 10:1 的比例。一.2.5.5 日志查询ArcSight Logger 的基于 Web 的搜索界面简单易用，通过它可执行简单搜索，也可以输入正则表达式和布尔逻辑符执行复杂查询。用户使用向下钻取（drill-down）和钻过（drill-across）功能可以直观地对存储在任意数量的 ArcSight Logger设备中的数以万亿兆的数据进行查询，从而增加动态结果集的大小。一.2.5.6 报表管理Arcsight Logger建立了一个以业界领先的基于web的报表中心，用户可以

15、方便地根据自身需求定制和导入报表，提供按照客户需求定制报表的服务。1.2.3.6.1统计功能ArcSight Logger具有以下统计分析和查询功能： 能从多种角度多种维度对数据进行分析； 能提供诸如插入过滤器、插入计算等诸多更细致的功能，方便维护人员使用； 能提供实时分析、历史分析等分析手段； 能对比查询统计的结果，分析数据的发展趋势； 能将结果以图形方式直方图、饼图等或报表方式显示、打印或转存为HTML或Excel报表方式输出1.2.3.6.2报表功能ArcSight Logger可以对所有事件、案例、通知、资产和数据库中存储的其他资源创建报表。报表生成过程： 特定数据筛选和分析； 统计和

16、分类结果； 事件分析结果和事故处理结果。ArcSight Logger的全局报告生成系统，在灵活性和易用性方面非常出色。它提供250多种预定义的报告模板，并且集成了报告编辑器，客户可使用预定义的报告模板生成报告，也可创建新的报告，比如针对客户操作和管理人员的报告。内置报告编辑器，创建报告，加入Filter、资产、漏洞信息，生成图形或文本报告导入、导出用户拷贝报告，报告可以按组管理，根据计划归档报告，归档之后发送邮件通知，报告和增量报告。报告可以立刻生成也可以在指定日期时间生成。报告可用PDF、HTML、Excel、CSV或RTF等格式存档。1.2.3.6.3遵循法律法规报表功能ArcSight

17、 Logger通过丰富的目标剖面、显示、报告，使客户能够拥有安全活动的独特的遵循法律法规相关的视图，满足PCI、SOX、ISO27001/17799这些法规的要求。ArcSight Logger极大地减小机构尝试遵从法律法规提供更好的安全担保时所要面临的混乱。它可以大量节省企业遵从法律法规所需花费的时间和金钱，它利用工作流程特性、集中信息知识库和强大的关联能力，使这些过程流程化，此外，它还提供 400 多种标准报告和规则，给审计员和执行官等相关人员，提供自动生成的、简单易懂的安全和风险信息。它的价值体现在如下几方面： 预定义的策略包，实时准确、快速地识别针对遵循法规（SOX、ISO27001/

18、17799等）所要求保存的日志事件。 自动日志事件关联，它具备最智能的关联引擎，改进的遵从、告警和响应。 能够发现内部威胁，增强对遵循法律法规的重要信息的保护。 集中的日志管理，具体的工作流程和预定义的报告，风险分析和过程审计自动化。 它非常灵活，能快速和企业独特的环境相结合。一.2.5.7 系统可扩展性和高可用性日志管理会面临大量的日志数据，而且日志量在不断的增加，日志管理系统需要保存的日志数据时长是富友公司有限公司在线日志要求的策略相关的，如果日志管理系统的磁盘容量不足以支持当前要求的日志保存时长，则需要对日志管理设备进行扩展。虽然日志管理系统不是华数网通信息港有限公司的业务应用系统，无需

19、要进行高成本的容错除了，但是在日志管理系统的选择上要考虑到如何避免单点故障、数据通讯故障等因素，确保所有的日志数据能的采集能够应付通讯或系统意外故障情况，这就要求日志管理系统提供相应的技术手段来支持高可用性的配置方法。ArcSight Logger提供网络扩展口，可以在日志数据量超出硬盘容量的时候方便的通过堆叠和级连的方式实现存储空间的扩展要求；也可以通过多台Logger并联的方式提供采集性能的扩充。另外，ArcSight Logger 可以与 ArcSight 领先的安全信息和事件管理 （SIEM） 产品 ArcSight ESM 相互集成。这种集成可以使 ArcSight Logger 灵

20、活地将安全事件转发到 ArcSight ESM，实时进行跨设备的关联、可视化和威胁检测。ArcSight ESM 也可以将关联后的警报发送回 ArcSight Logger用于搜索和存档，提供良好的高可用性与集成性。一.3 项目方案选型产品介绍一.3.1 Arcsight ConnectorsArcSight Connectors 技术通过强大的日志聚合和界面配置优化功能应对有关日志收集的核心挑战，同时也展现更广泛的信息审计和日志管理平台的基础。下面介绍 ArcSight Connectors 的核心功能和优点：一.3.1.1 Connectors安装环境支持操作系统版本设备架构Microso

21、ft Windows XP Professional （SP2） 32-bitx86Microsoft Windows Server 2003 R2 （SP2） 32-bitMicrosoft Windows Server 2003 R2 （SP2） 64-bitx86_64Microsoft Windows Server 2008 32-bitMicrosoft Windows Server 2008 R2 64-bitRed Hat Enterprise Linux 4.0 （RHEL 4） AS 32-bitRed Hat Enterprise Linux 4.0 （RHEL 4） AS

22、 64-bitRed Hat Enterprise Linux （RHEL） 5.3 AS 32-bitRed Hat Enterprise Linux （RHEL） 5.3 AS 64-bitNovell SUSE Linux 10 SP2 Enterprise Server 64-bitSun Solaris 9, 64-bitUltra SPARCSun Solaris 10, 64-bitIBM AIX 5L, Version 5.3 （5.3.0.70） 32-bitpSeries图表 4 Connectors安装环境一.3.1.2 设备支持的广度和深度ArcSight Connec

23、tor有两种收集器：SmartConnectors 和FlexConnectors。 Arcsight SmartConnectorsArcSight 现成的 SmartConnectors 资料库可为超过 300种商业产品提供优化来源的集合。Anti-Virus / Anti-SpamApplication Security F-Secure Anti Virus Arxan （CEF） McAfee Virus Scan Content Security Sybari Antigen for Microsoft Exchange Aladdin eSafe Gateway Symantec

24、 Antivirus Corporate Edition McAfee Secure Internet Gateway Symantec Mail Security for MS Exchange NetContinuum Web Firewall TrendMicro OfficeScan （Control Manager） Puresight Content Filter TrendMicro VirusWall （Control Manager） Secure Computing Webwasher Applications TrendMicro Control Manager BEA

25、Weblogic Server TrendMicro InterScan Messaging SecurityIBM WebSphere TrendMicro InterScan Web Security （Control Manager） SAP ERP Database DAM / DB Security IBM DB2 Application Security DBProtect Microsoft SQL Guardium （CEF） Oracle Imperva SecureSphere （CEF） Sybase Adaptive Server Enterprise Secerno DataWall （CEF） Data L