خانه  مقالات تخصصی  بررسی ArcSight تولید شرکت HP جهت پیاده سازی زیر ساخت SOC

بررسی ArcSight تولید شرکت HP جهت پیاده سازی زیر ساخت SOC

مقالات تخصصی
2

بررسی ArcSight تولید شرکت HP جهت پیاده سازی زیر ساخت SOC

ArcSight محصول شرکت HP یک محصول قابل اطمینان است که بطور گسترده در سطح جهان پیاده­سازی شده است. ArcSight پلت­فرم مانیتورینگ امنیتی متمرکز را برای سازمان به ارمغان می­آورد. این شرکت با ارائه یک مجموعه محصول یکپارچه برای جمع­آوری و ارزیابی اطلاعات امنیتی و ریسک به پیاده­سازی SOC در سازمان کمک می­کند. شکل مفهومی زیر یکپارچه­سازی این راه­حل را برای ایجاد نظارت امنیتی کلی سازمان را نشان می­دهد.

Arcsight

همانطور که اشاره شد، رخدادهای امنیتی در پایینترین سطح توسط منابع تولید رخداد مثل ابزارهای شبکه­ای، ابزارهای امنیتی، دسترسی­های دسترسی، و منابعی از این دست تولید می­شوند، و توسط connectorهای سیستم جمع­آوری و نرمال­سازی و سپس یکپارچه­سازی (فرمت­بندی رخدادها در یک قالب یکسان) می­شوند. سپس این مجموعه رخدادها در قالب logها و alertها در یک سطح بالاتر توسط ماژولهایی مثل ArcSight logger و یا ArcSight ESM وارد پروسه­ی همبستگی (correlation)  و خوشه­بندی (clustering) برای بررسی وجود ارتباطات بین alert ها و مراحل مختلف حمله می­شوند. در این مرحله اطلاعات آماری نیز از مجموعه رخدادها گرفته شده و در قالب گزارشات متعدد و در سطوح مختلف به سرپرست سیستم ارائه می­دهد.

جریان لایه­هایIntegration & Core Engine

 

ArcSight2

 

در شکل بالا موتور correlation یک سیستم SIEM نمایش داده شده است. وظیفه این موتور بررسی وجود ارتباط بین تهدیدات و رخدادها گزارشی توسط سیستم است. همچنین این موتور مجموعه رخدادهای تکراری و افزونه در سیستم را حذف می­کند و یک گزارش خلاصه، سطح بالا و قابل فهم به کابر می­دهد. ArcSight ESM، یک موتور برای همبستگی رخدادها را ارئه می­دهد. ESM از انواع مختلف تکنیکهای پیچیده­ی آماری و  knowledge-based برای وارسی میلیونها رخداد برای یافتن وقایع و تهدیداتی که می­توانند منجر به ضربه خوردن به کسب و کار شوند استفاده می­کند.

ArcSight3

لایه Integration

این لایه خود دارای 4 زیر لایه است:

  • Event Extraction Layer: وظیفه گردآوری رخدادها از ابزارهای مختلف را به عهده دارد،
  • Normalization Layer: وظیفه نرمال­سازی داده­ها برای ذخیره­­ساز را بعهده دارد،
  • Categorization Layer: وظیفه دسته­بندی رخدادها بر اساس نوع و اولویت را بعهده دارد،
  • Delivery Layer: تحویل اطلاعات دریافتی به سیستم correlation بصورت امن، مورد اعتماد و بهینه.

AecSight4

گردآوری داده­ها به دوصورت می­تواند انجام گیرد: در روش Agent-based  نرم­افزار درایور مربوط به connector روی منبع تولید هشدار نصب شده و بصورت خودوختار اطلاعات را ارسال می­کند. عیب این روش بار اضافی است که ممکن است بر روی منبع تولید هشدار ایجاد شود. روش دوم روش Agentless می­باشد که نیازی به نصب درایور روی منبع تولید هشدار نیست و connectorها از طریق روشهای آمارگیری اقدام به جمع­آوری اطلاعات می­کند.

ArcSight5

Log Management

در بالای لایه integration لایه­ی مدیریت log قرار دارد. پس از جمع آوری رخدادهای امنیتی و رخدادهای مربوط به شبکه و سیستمها، آنها باید به یک روش یکپارچه و با کارایی بالا ذخیره­سازی و مدیریت شوند. همچنین باید امکان استفاده از انواع ابزارهای ذخیره­سازی برای هدف scalability نیز میسر باشد. استفاده از روشهای هوشمند و کارا برای ذخیره­سازی رخدادها امکان مدیریت بهتر و بازیابی موثر داده­ها را می­دهد.

 

ArcSight6

 

این روش ذخیره سازی امکانات زیر را فراهم می­آورد:

  • در دسترس بودن بیشترین داده­ی online در لحظه برای گزارش­گیری و هشداردهی مستمر
  • آرشیو اتوماتیک رخدادها
  • آنالیز داده­ها از طریق ابزاهای زخیره سازی داخلی (onboard) و خارجی (SAN storage)
  • کنترل­های دسترسی role-based در سطوح مختلف
  • اعمال خودکار سیاست­های نگهداری متفاوت

Correlation

پروسه­ی correlation شامل اقداماتی برای یافتن ارتباطات بین رخدادهای ارسالی از انواع منابع تولید هشدار است. این پروسه شامل دسته­بندی هشدارها، cluster کردن آنها، یافتن ارتباطات علت و معلولی بین رخدادها، اولویت بندی رخدادها و حذف نویز و اعمال قوانین و سیاست­ها می­باشد. بخش مهم پروسه­ی correlation آنالیز real time رخدادها می­باشد.

ArcSight7

شکل زیر مدل مفهومی پروسه correlation است. رخدادها ابتدا در قالب دسته­بندی­های مختلف، بر اساس مدل شبکه و اعمال اولویت­بندی­های خاص مرتب می­شوند، سپس فیلتر­ها و قوانین مختلف روی آنها اعمال می­شود که بسته به شرایط شبکه و سیاستهای موجود در آن متفاوت است.

ArcSight8

 

بر این اساس پروسه correlation یک دید خلاصه، سطح بالا و دارای نظم و ساختار از رخدادها را ارائه می­دهد که در این گزارش ارتباطات بین رخدادها و روابط علت و معلولی بین آنها بازیابی می­شود. این پروسه همچنین شامل فرآیند pattern discovery نیز هست، که می­تواند در یک دوره زمانی خاص الگوی حملات مورد نظر را بازیابی کند. این روشها بر اساس الگوریتمهای آماری و نیز روشهای مبتنی بر هوش مصنوعی مثل شبکه­های عصبی کار می­کنند و می­توانند تخمینی از آینده وضعیت امنیتی شبکه نیز داشته باشند.

نویسنده: مهندس محمد آجورلو

 

https://adminpro.ir/?p=3625
admin

    دیدگاه‌ها

      pentest2377

      با سلام
      ممنون از مطلب مفیدتون
      چگونه میتونم نسخه ماشین مجازی ARCSIGHT را دانلود کنم