McAfee SIEM

McAfee Security Information and Event Management (SIEM) w ofercie naszej firmy

McAfee SIEM został sklasyfikowany w najnowszym raporcie Gartner Magic Quadrant for SIEM z 2012 roku, jako lider rynku rozwiązań SIEM na świecie.

McAfee SIEM wykorzystuje najszybsze na rynku rozwiązanie do identyfikacji, korelacji i reagowania na incydenty bezpieczeństwa umożliwiając podjęcie działań w ciągu minut a nie godzin, czy nawet dni jak w przypadku innych rozwiązań tego typu na rynku.

Zakup firmy NitroSecurity i wprowadzenie do oferty McAfee rozwiązania SIEM ma szczególne znaczenie i jest wyjątkowe także ze względu na:

  • Umożliwienie McAfee dalszego rozwoju rozwiązań do oceny ryzyka IT i zarządzania nim łącząc cechy lidera rynku SIEM z produktami McAfee i serwisem reputacyjnym McAfee GTI
  • Umożliwienie wykorzystania w analizie potencjalnych zagrożeń danych pochodzących z wielu różnych systemów innych producentów, które są wykorzystywane w organizacji. Tym samym możliwe staje się wykrywanie zagrożeń, których obecność może być sygnalizowana tylko przez oderwane od siebie na pierwszy rzut oka zdarzenia
  • Integrację SIEM z centralnym systemem zarządzania bezpieczeństwem opartym na produktach McAfee – serwerem McAfee ePolicy Orchestrator (ePO)™, który już wcześniej stanowił wyjątkowy na rynku IT system do centralnego administrowania całym systemem bezpieczeństwa. Taka integracja umożliwia wyjątkowe możliwości monitorowania i korelowania zdarzeń z serwerem zarządzania produktami wykrywania i zapobiegania atakom
  • McAfee ePO dzięki tej integracji pozwala na szybsze reagowanie na incydenty bezpieczeństwa umożliwiając centralne wdrożenie procedur bezpieczeństwa na produktach tworzących system zabezpieczeń

Cechy rozwiązania McAfee SIEM

McAfee SIEM wykorzystuje opatentowaną, wyjątkową na rynku architekturę szybkiego przetwarzania i zarządzania danymi. Architektura ta umożliwia efektywne połączenie wielu funkcjonalności w jednym rozwiązaniu i kontrolowanie całości z tego samego interfejsu użytkownika. Podczas kiedy inne rozwiązania SIEM na rynku koncentrują się na gromadzeniu, korelacji, przechowywaniu danych i raportowaniu na ich podstawie, rozwiązanie McAfee idzie dalej. McAfee Enterprise Security Management (ESM) – główny komponent architektury SIEM – udostępnia dodatkowe funkcjonalności, poza dostępem do logów. ESM umożliwia analizę incydentów w czasie rzeczywistym, ponieważ posiada wydajność wymaganą do analizy i raportowania w oparciu o miliardy zdarzeń, logów i informacji z przepływów sieciowych (flows) w czasie sekund. Tym samym możliwe jest szybkie przeanalizowanie danych z długiego okresu czasu, wykrycie zależności między nimi i wyszukiwanie podejrzanych zdarzeń uzyskując wyniki pracy SIEM praktycznie na bieżąco.

Wśród cech wyróżniających rozwiązanie McAfee SIEM na tle innych producentów można wyróżnić:

  • Zaawansowana korelacja danych – wyszukiwanie wzorców w zgromadzonych danych, logach, aktywnościach sieciowych i baz danych a nawet w treściach przenoszonych przez rozmaite aplikacje działające w sieci, a poprzez to lepsze i szybsze odnajdywanie śladów świadczących o zagrożeniach i atakach, utracie danych i oszustwach związanych z chronionymi zasobami organizacji i jej procedurami
  • Szybsze powiadamianie i ostrzeganie osób zajmujących się bezpieczeństwem organizacji o zagrożeniach, nieprawidłowościach i odstępstwach od wcześniej zgromadzonych danych
  • Większa dokładność raportowania o incydentach związana z gromadzeniem szczegółów na temat zdarzeń pochodzących z praktycznie dowolnych źródeł informacji: logów, zdarzeń generowanych przez systemy operacyjne i aplikacje, agentów działających na serwerach i stacjach, przepływów sieciowych (flows), baz danych, systemów identyfikacji użytkowników, itd.
  • Większa skalowalność – możliwość obsługi milionów zdarzeń na sekundę z rozproszonych źródeł, a dzięki temu zapewnienie, że żadna istotna informacja nie jest tracona
  • Długoterminowa dostępność danych – McAfee SIEM umożliwia wgląd zarówno w napływające dane, ale także w informacje historyczne, zgromadzone wcześniej w taki sam sposób, bez rozróżnienia na aktualne i historyczne dane
  • Dostęp do informacji w czasie rzeczywistym – McAfee SIEM umożliwia uzyskiwanie wyników z analizy terabajtów danych praktycznie bez opóźnień, w czasie minut a nie godzin, czy dni jak w przypadku rozwiązań innych firm. Przy czym możliwa jest nie tylko statystyczna analiza danych, ale także korelacja informacji zgodnie ze zdefiniowanymi regułami wyszukiwania incydentów
  • Dostęp do szczegółów zdarzenia w czasie rzeczywistym – McAfee SIEM umożliwia intuicyjne przechodzenie od ogólnych informacji i statystyk do coraz większych szczegółów, aż po wgląd w poszczególne logi i zdarzenia, jakie zostały przekazane do ESM. Wszystkie operacje odbywają się w czasie rzeczywistym korzystając z tego samego, intuicyjnego i ergonomicznego interfejsu użytkownika
  • Lepszy kontekst zdarzeń – McAfee SIEM umożliwia analizę zgromadzonych danych w odniesieniu do kontekstu, w jakim powstały. Możliwe to jest poprzez wzbogacenie gromadzonych danych o informacje o lokalizacji, podatnościach, danych o użytkownikach, reputacji, poziomu ryzyka, itd.
  • Elastyczne raportowanie – możliwe w oparciu o wbudowane szablony i definicje raportów, a także na podstawie kryteriów samodzielnie określonych przez administratorów SIEM

McAfee SIEM gromadzi dane z około 300 predefiniowanych źródeł danych, w tym z takich źródeł jak przepływy sieciowe (flows), dane o podatnościach i użytkownikach. Poza zdefiniowanymi źródłami SIEM umożliwia także tworzenie własnych definicji źródeł danych.

Zgromadzone informacje pozwalają na śledzenie zmian w zachowaniu sieci, systemów, aplikacji, użytkowników, a w konsekwencji wynajdywać naruszenia polityki bezpieczeństwa i ataki, których wykrycie w inny sposób byłoby bardzo czasochłonne lub wręcz niemożliwe.

System na bieżąco wyznacza tzw. linie bazowe wskazujące na średnie poziomy zdarzeń z poprzednich okresów. Na tle linii bazowych bardzo łatwo można wskazać odchylenia i anomalie, które wymagają bliższej analizy, bo ich występowanie może świadczyć o incydencie bezpieczeństwa.

McAfee SIEM posiada wbudowany, intuicyjny edytor do tworzenia reguł korelacyjnych znacznie upraszczający i przyśpieszający ich tworzenie nawet dla osób, które nie posiadają specjalizowanej wiedzy o zdarzeniach i SIEM.

W ramach SIEM możliwe jest także gromadzenie oryginalnych logów, które zostały wysłane do SIEM jeszcze przed ich przetworzeniem przez komponenty SIEM. Oryginalne logi mogą być przechowywanie przez długi czas. System umożliwia zarządzanie nimi w taki sposób, aby uniemożliwić ich nieupoważnioną modyfikację, a jednocześnie dać narzędzia do szybkiego przeszukiwania tych informacji i wyszukiwania interesujących wpisów.

Podsumowanie

Oferowane przez McAfee rozwiązanie do analizy i korelacji informacji – McAfee SIEM – należy do liderów rynku SIEM na świecie. Miejsce na rynku wynika nie tylko z korzystnego sposobu wyceny i licencjonowania produktu, ale przede wszystkim z wyjątkowych cech i funkcjonalności oferowanych przez to rozwiązanie. Szybkość działania i skalowalność wyróżniają McAfee SIEM na tle rozwiązań innych producentów. Podczas kiedy inne rozwiązania SIEM wymagają dodatkowych kompetencji i znajomości optymalizacji baz danych, czy wręcz narzucają stosowanie specjalnych procedur dzielenia danych na mniejsze zasoby celem przyśpieszenia odpowiedzi z takich rozwiązań SIEM, to w przypadku McAfee SIEM możliwe jest operowanie na znacznie większych zasobach danych bez ich podziału i praktycznie bez jakiejkolwiek administracji bazą danych.

Jeśli dodatkowo uwzględni się takie cechy McAfee SIEM jak:

  • intuicyjny, centralny interfejs zarządzania umożliwiający łatwe przechodzenie od ogólnych danych do szczegółów, a tym nawet widoku poszczególnych pakietów otrzymanych przez SIEM,
  • możliwość gromadzenia i przeszukiwania oryginalnych logów,
  • analiza i korelacja danych bieżących i historycznych w czasie rzeczywistym,
  • bezpośrednia analiza sesji do baz danych,
  • analiza przepływów sieciowych (flows),
  • analiza aplikacji i uwzględnienie danych o aplikacjach w korelacji zdarzeń,
  • powiązanie korelacji z systemem reputacji GTI,
  • około 300 predefiniowanych źródeł danych i gotowe do wykorzystania reguły korelacyjne oraz szablony raportów

to w efekcie otrzymujemy gotowy do użycia, dostosowany do różnych potrzeb i wyjątkowych wymagań, innowacyjny system SIEM.