在2017年9月之後,Micro Focus買下HPE的軟體業務,以資訊與事件安全管理系統(SIEM)闖出名號的ArcSight系列產品,隨之納入該公司旗下;緊接著,在10月發表安全調查與分析系統ArcSight Investigate 2.0版,以及事件記錄收集平臺ArcSight Data Platform(前身是ArcSight Logger) 2.2版。

到了今年4月中,也就是在RSA全球資安大會期間,ArcSight Enterprise Security Manager(ESM)這套SIEM系統,終於推出7.0,而上一個主要更新版本是6.11,由HPE於2017年4月發布。

Arcsight ESM 7.0可運用即時的網路威脅情報,針對安全威脅等級與法規遵循違反程度,列出優先順序,以便快速辨識與阻礙潛在的網路攻擊,它能夠大規模地收集安全事件訊息,並且予以交互關連與提出統計分析報告,可透過簡化作業、節省處理時間,協助企業符合嚴格的安全要求。

在這一版ArcSight ESM當中,特別引進了新的事件關聯概念,稱為分散式交互關聯(Distributed Correlation),可以分析巨量的資料,每秒能夠處理高達10萬筆交互關連的事件,並且在原始資料當中,即時增添安全相關脈絡,可更快用於分析與識別所謂的關係事件(Events Of Interests,EOI)。

在事件即時處理與分析的機制上,ArcSight ESM區分為不同的服務來進行,並且依照事件連接器(Connector)、CORRE(Correlation Optimized Retention and Retrieval Engine)資料庫(Persistor)、規則過濾器(Correlator)、間隔期間與事件比對計數(Aggregator)的處理順序,產生交互關聯的事件,整體而言,會用所謂的Manager,將這些元件封裝起來。
不過,肩負多項工作的Manager卻可能忙不過來,因為寫入規則不足或是膨脹的主動式清單,而經常導致處理器與記憶體等資源消耗殆盡。而在ArcSight ESM新版的作法,是讓Manager底下的多種服務,能在單一叢集之內,跨越多臺主機執行,換言之,可同時在多臺主機上,執行多個Correlator和Aggregator,同時,Persistor可以聚焦在CORRE資料庫的寫入與事件擷取。

圖中是透過ArcSight Command Center所看到的叢集運作架構,由左至右依序為叢集(Cluster)、主機(Host)、執行實例(Instance),執行實例細分為多種服務元件,像是Correlator、Aggregator、Message Bus、Persistor。

舉例來說,ArcSight ESM能夠提供更強大的脈絡分析能力,改善事件之間交互關聯的精準度;對於資源的使用,也將更有效率,因為ArcSight ESM如今已經可以動態辨識關係事件。

簡而言之,所謂的分散式交互關聯,是結合了SIEM交互關聯引擎,以及分散式叢集/節點技術,並且用於進階交互關聯的處理流程元件,予以拆分,用戶可在ESM叢集當中,加入額外的節點(亦即在單臺或多臺設備裡面,部署多個關聯器與匯聚器的執行實例,增加處理速度與容錯處理能力),使得整體系統的執行規模,能夠擴充到先前所無法達到的程度,而能達到每秒處理10萬筆事件的效能。

為何有了分散式交互關聯的技術,我們可以在交換關聯引擎裡面,處理更多資料?

在過往,事件有太多需要處理的部份,例如端點記錄、威脅情報的比對、DNS存取記錄或網路流向,現在,我們可將這些資料用於交互關聯的邏輯,針對關係事件的周圍狀態,提供更有脈絡的資料,並且改善警示規則的精確度。

我們也能運用不同的儲存保留規則,使得這些交互關聯的事件,可以保存的時間比原本的事件還要久,讓ESM與交互關聯引擎予以篩選,而在原始資料當中即時增加安全脈絡之後,促使它更快用於分析。在設計上,上述的概念也融合在ArcSight新的Event Broker,而能縱向擴展執行規模,提供超乎以往的每秒事件處理能力。

ArcSight ESM在系統本身運作時的高可用度與備援,同樣有所改善。針對單位效能成本的配置,這套SIEM系統現在也提供更佳的運用彈性。

若要解決廣泛的安全應用案例,新版ArcSight ESM提供彈性擴充與容量規畫的選項。

用戶若是採用ArcSight ESM先前版本而打算升級時,7.0版也具備向下相容的特性,可支援既有的處理規則與資料內容。同時,這套SIEM系統對於現行的資安工具與事件資料,也能產生更多使用價值。

ArcSight系統運作架構,可分為三種功能層級,底層負責事件資料的收集,拓展能見度,中間則是交互關聯與分析,最上層呈現安全的狀態,支援警示、搜尋、調查、反應等機制。

產品資訊

ArcSight Enterprise Security Manager 7.0
●原廠:Micro Focus(02)2376-0036
●建議售價:廠商未提供
●硬體設備版本與機型:ArcSight Express 6.9,EE7600-250、EE7600-1000、EE7600-2500
●硬體設備規格:2顆12核心E5-2680 v3處理器、192GB記憶體、8臺600GB硬碟、Red Hat Enterprise Linux 7.1

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容