در مقاله به معرفی HP ArcSight به صورت کامل میپردازیم. کمپانی فعال در زمینه امنیت سایبری در سال ۲۰۰۰ تأسیس شد. این کمپانی ارائه دهنده راه کارهای آنالیز امنیتی “کلان داده ها” برای راه حل های هوشمند SIEM در کنار ابزارهای مدیریت Log است. این کمپانی تاکنون ۱۱ سال به عنوان لیدر در گزارش گارتنر معرفی شده است. ArcSight در سال ۲۰۱۰ توسط کمپانی HP خریداری شد.
ArcSight طراحی شده است تا به مشتریان کمک کند تهیدات امنیتی خود را شناسایی و اولویت بندی کنند، فعالیت های مرتبط با واکنش های رخدادهای امنیتی را دنبال کنند و همچنین فعالیت های مرتبط با استاندارها را ممیزی نمایند. طرح اولیه تجاری آنها ساخت راه حل های Cache و افزایش سرعت بود اما بعد از یکسال به آنالیز رخدادهای امنیتی و همبستگی (correlation) لاگ ها روی آوردند.
معرفی HP ArcSight
تاریخچه و معرفی HP ArcSight
در سپتامبر 2017، شرکت هیولت پاکارد (HPE) و Micro Focus در یک همکاری تجاری، محصول ArcSight SIEM را به بخشی از کسبوکار Micro Focus تبدیل کردند. مدیریت امنیت سازمانی ArcSight – ESM مؤلفه اصلی راهکار SIEM شرکت ArcSight است. ArcSight Data Platform – ADP با استفاده از HDFS، Kafka، Logger و Connectors (شامل SmartConnectors از پیش بستهبندی شده و FlexConnectors قابل تنظیم) گردآوری و مدیریت دادهها را انجام میدهد.
مرکز مدیریت ArcSight – ArcMC مدیریت پیکربندی را انجام میدهد. ESM قابلیتهای تحلیل و پایش بلادرنگ، جستجو، گزارشگیری، مدیریت موردی و گردش کاری را داراست. با تهیه لایسنس ArcSight، امکانات این پلتفرم را بهبود بخشیده و قابلیتهای بیشتری را برای کاربران فراهم میسازد. ArcSight ESM Express جهت پیادهسازی در یک سیستم واحد و مجتمع عرضه شده است. ArcSight Investigate که در Micro Focus Vertica ساخته شده، بستری هدفمند برای کلان داده و تحلیل است. چنین بستری جستجوی دادهها به منظور تحقیق در مورد رخدادها و کشف تهدیدها را امکانپذیر میسازد. تحلیل رفتار کاربران (UBA) از طریق نسخه بستهبندی مجدد Securonix Bolt ممکن میشود.
چالش های موجود
آیا قادر به شناسایی اینکه چه کسی و از کجا به سازمان حمله نموده است، هستید؟ آیا گزارشی مبنی بر سرقت اطلاعات اعتباری مشتریان خود داشته اید؟ آیا متوجه تغییرات غیرمجاز در بستر IT خود بوده اید؟ آیا می دانید چه نوع بدافزاری در سازمان نفوذ نموده و نحوه انتشار آن به چه صورت بوده است؟ آیا کنترل و نظارتی بر ارتباطات راه دور کاربران به سیستم های سازمان دارید؟ آیا می دانید چه کسی از درون سازمان در حال نشت اطلاعات به خارج است؟
شرکت سورنا، رویکردی را در طرح مراکز عملیات امنیت به سازمان ها پیشنهاد می دهد که از ابزارهایی استفاده نمایند که اولاً اطلاعات تمامی منابع و دستگاه های موجود در بستر IT سازمان را دریافت و مدیریت نماید و ثانیاً براحتی بتواند براساس تحلیل آنها مشکلات امنیتی موجود را بصورت بلادرنگ در اختیار تیم SOC قرار دهد.
طرح کنترل امنیت سازمان ها در برابر حملات خرابکارانه داخلی و خارجی
HP ArcSight، راه حلی پیشرو در صنعت SIEM است که قادر به جمع آوری، مجتمع سازی و همبسته سازی رویدادهای سرتاسر سازمان می باشد. این راه حل به منظور شناسایی، اولویت بندی و پاسخ دهی به حملات امنیتی سایبری، تهدیدات داخلی و سازگاری با قواعد استاندارد امنیتی استفاده می شود. با تهیه لایسنس HP، این راه حل با ارائه visibility کامل از کلیه فعالیت های صورت گرفته در زیرساخت IT سازمان، قادر به کشف و جلوگیری از مشکلات امنیتی خارجی (هکرها و بدافزارها) و داخلی (نشت اطلاعات و کلاهبرداری)، خواهد بود.
ویژگی های اصلی و مزایا HP ArcSight
- جمع آوری و تجمیع log ها از تمامی منابع IT سازمان (شبکه، امنیت و سرورها)
- مدیریت میلیون ها رویداد و اطلاعات امنیتی به منظور کسب درکی جامع و عمیق از فعالیت های تهدیدآمیز
- نظارت بر کاربران به منظور شناسایی و جلوگیری از فعالیت های غیرمعمول و تهدیدآمیز
- مدیریت پیکربندی شبکه و اصلاح معایب آن
- شناسایی و رفع سریع آسیب پذیری های امنیتی مهم و پرخطر در سرویس ها و وب اپلیکیشن های سازمان
- ایجاد گزارشات دقیق، انعطاف پذیر و در فرمت های مختلف مدنظر سازمان
- اعمال سیاست های IT جهت تخصیص منابع شبکه و پهنای باند
- بِروزرسانی و پشتیبانی توسط ماهرترین متخصصین در تیم های DVLabs ،ArcSight ،Fortify و HP Labs
- دارای مدل های Logger ،Express و ESM
بر اساس مقایسات مختلف بین المللی ۴ ابزار زیر لیدر محصولات SIEM هستند. البته ابزارهای بومی نیز در این زمینه طراحی و در بازار معرفی شده اند.
- Splunk
- HPE ArcSight
- LogRhythm
- IBM Security QRadar SIEM
مخاطبین
- بانک ها و مؤسسات مالی اعتباری
- سازمان های مخابراتی و ارتباطی
- سازمان های دولتی و ارگان های نظامی
