Micro Focus ArcSight – цялостно SIEM решение

ArcSight разполага с детайлен изглед на възникналите събития за извършване на бърз преглед и анализ
(илюстрация: Micro Focus)

Добре познатата SIEM платформа HP ArcSight, собственост на MicroFocus, се развива с главоломни темпове, заедно с промените в заобикалящата ни среда. Никога не е имало по-критично време за киберсигурността от днешното, в ерата на глобална пандемия, която изисква организациите да променят методологията си на работа, а това налага и внедряване на нови средства за защита. Все повече от бизнес процесите се извършват в облачно пространство, все повече чувствителна информация се съхранява дигитално и все повече служителите работят дистанционно.

Най-новата версия на SIEM решението, ArcSight Recon, възприема всички актуални тенденции в технологиите за киберсигурност и се конкурира с най-добрите SIEM решения на пазара, особено при интеграция с новата платформа на Micro Focus за управление на процесите по сигурността – ArcSight SOAR.

Micro Focus ArcSight Recon е цялостно SIEM решение за съхранение на логове и анализи на сигурността, което улеснява покриването на изискванията от различни регулаторни органи и ускорява извършването на следствен анализ при атаки.

Със стремежа на организациите да събират и съхраняват данни за сигурността от привидно безкраен брой източници, наблюдението на процесите и управлението им става все по-трудно. Много решения на пазара просто не са изградени с фокус върху киберсигурността и следователно са неефикасни в предоставянето на информация, когато са обвързани към SIEM платформа, за извършване на одити на сигурността, за записване на всички действия с тях и за следствен анализ след възникнала атака. Записването на всички действия и извършването на следствени анализи са важни задачи за модерните SOC центрове, така че на организациите им е необходимо решение, което надскача днешните стандарти, за да е подготвено за утрешните събития.

ArcSight Recon комбинира функциите, които улесняват покриването на изискванията от различни регулации, за съхранението на данни и за изготвянето на отчети на едно типично „log management” решение с възможностите за търсене на конкретни данни в огромни „big-data” масиви и позволява анализ на съхранената там информация. ArcSight Recon е изградено с мисъл за киберсигурността и следователно е по-интуитивно за използване и управление от анализаторите на сигурността, без да е необходима намесата на администратор на бази от данни за извършване на анализи.

Решението позволява лесно да се разследват и предотвратяват заплахи, обединявайки събраната информация на организациите, състояща се от милиарди събития, като бързо и удобно ги предоставя за извършване на търсене в тях, с възможност за визуализиране и изготвяне на отчети. ArcSight Recon помага на SOC инженерите да добият по-добра представа за важността на вдигнатите аларми от системите на организацията и играе важна роля в стратегията на ArcSight да предоставя многослойна сигурност и подробни анализи.

Централизирано управление на логове

ArcSight Recon съхранява до терабайти машинни данни от всеки източник (включително събраните логове, данни от clickstream-ове, от сензори, от мрежовия трафик, от устройствата за сигурност, от уеб сървъри, други приложения, социални медии и облачни услуги). Решението ви позволява да съхранявате, търсите, наблюдавате и анализирате събраните данни, за да добиете централизирана сигурност за цялата ви организация. То разполага с детайлен изглед на възникналите събития за извършване на бърз преглед и анализ на информацията, за целите на следствен анализ на отделни или групирани събития. Изгледът за данни в суровия им вид пък позволява на анализаторите да правят разследвания с неформатираните събрани логове от системите.

Детайлен изглед над възникналите събития

По-бързо разследване и справяне със заплахи

Организациите могат да преглеждат планини от логирани данни с минимални усилия, възползвайки се от динамичните подсказки от ArcSight Recon, като по този начин ще получат желаните резултати по-бързо. Базата от данни за съхранение на информация на ArcSight Recon отговаря по-бързо на запитвания към нея в сравнение с традиционните бази от данни, позволявайки бързо и ефикасно да се извършват разследвания за милиони събития.

Съхранението на изчистени, структурирани данни в една централизирана локация ускорява процесите по разследванията и подобрява крайните резултати от тях. Механизмите за засичане на аномалии предоставят визуализирана информация за бързо разпознаване на отклонения от нормалното поведение на системите. Решението позволява търсене на информация чрез вградена търсачка, включително визуализиране на времедиаграми и хистограми за настъпилите събития, като е възможно търсене в огромни масиви от данни.

Хистограма със стойностите за анализирани устройства, разделени по вендори

Отчети за доказване на съответствие

С предварително зададените отчети на ArcSight Recon лесно можете да докажете съответствие с различни наложени регулации за вашата организация. Решението включва и набор отчети за FIPS 140-2, като от вендора постоянно разширяват наличния набор от отчети по подразбиране. MITRE ATT&CK съдържанието, което е част от решението, спомага за координиране на усилията по киберсигурността и извършване на одити.

Съхраняване на огромни количества данни

Можете да съхранявате събраните данни по-ефикасно с технологиите на решението за агрегиране и компресиране на логовете. Технологията ArcSight SmartConnectors позволява допълнително агрегиране и филтриране на събития, за да намалите дори още необходимото пространство за съхранение на логове.

Интеграция с решенията за киберсигурност

Разпръснатите и неструктурирани данни забавят разследванията и ограничават възможността за засичане на сложни, многовекторни атаки. ArcSight Recon решава този проблем като интегрира и обединява досегашните ви решения за киберсигурност, за да получите единен, цялостен изглед над средата ви. Решението се възползва от архитектурата Security Open Data Platform (SODP), която позволява събиране, нормализиране, агрегиране и обогатяване с допълнителна информация на данните от средата ви, като се поддържат над 480 типа източници. С пускането на версия ArcSight 2020.2, събирането и съхранението на данните е обединено в единна платформа.

Създаване на отчети

Така можете да събирате и съхранявате данните само веднъж, но да ги използвате колкото пъти е необходимо. С това обединение на платформите можете да се прехвърляте измежду ArcSight ESM, ArcSight Interset и ArcSight Recon с едно натискане на бутон. ArcSight предоставят възможност за единно вписване във всичките им решения и за интеграция с други платформи за улеснение на анализите.

Ускорете процесите по киберсигурността с ArcSight SOAR

ArcSight SOAR е водещо решение от тип Security Orchestration, Automation and Response Platform (SOAR), което комбинира оркестрацията както на технологии, така и на хора, с възможност за автоматизация и управление на възникналите инциденти по сигурността – всичко в единна, лесна за използване платформа. ArcSight SOAR помага на екипите по сигурността да подобрят своята ефикасност в справянето с кибератаки.

Автоматизирайте повтарящите се действия

ArcSight SOAR предоставя технология за автоматизация на процесите, един вид SOC робот. Тя може да бъде допълнително програмирана, така че организациите да използват технологията според техните потребности, все едно обучават нов служител как да се справя с различните типове инциденти по сигурността.

Автоматизацията на ArcSight SOAR поддържа визуални езици за програмиране и Python език; можете да дефинирате доста сложни сценарии, които решението да изпълнява автоматично. ArcSight SOAR към момента се интегрира с над 120 различни решения за сигурност и управление на инфраструктурата, така че може автоматично да разпитва тези системи или да предприема действия с тях, за да установи случваща се в момента атака или да блокира злонамерените процеси.

Много организации може би не се чувстват комфортно с решение, което автоматично предприема блокиращи действия вместо тях, и се притесняват от евентуални нежелани действия. С ArcSight SOAR е възможно да дефинирате процеси, изискващи човешко одобрение на дадени действия или конкретни стъпки от действия. Решението ще спре своето действие и ще чака одобрение от посочените лица, преди да завърши предприетите критични за организацията ви процеси.

Автоматизацията спомага за намаляване на времеемките тривиални ръчни дейности, така че вашият SOC екип да отделя време за това, което има най-голямо значение.

Подобрете ефективността на вашите анализатори

ArcSight SOAR предоставя единен изглед за възникналите инциденти, като позволява и интеграция със SIEM решения и други подобни системи и приложения. Този изглед позволява лесно да се извършват разследвания по сигурността от едно място и на SOC анализаторите да не се налага да помнят множество пароли. Решението позволява да се делегират права, така че ясно да е дефинирано кой до какво ще има достъп.

ArcSight SOAR улавя и записва всяка въведена команда от анализатор и нейния резултат, като по този начин изгражда времедиаграма с цялата история за справянето с даден инцидент от него. Така не само може да се търси отговорност на дадено лице, но решението да се използва и като инструмент за колаборация; няколко анализатора могат да работят по един и същ инцидент заедно.

Наблюдавайте и записвайте различни показатели от операциите по сигурността

Решението записва всички дейности не само на анализаторите, но и своите собствени, като всички те не само се логират, но и се препращат към избраната SIEM платформа. От всички записани събития, ArcSight SOAR трупа стойностите на различни показатели и извършва постоянен анализ.

Решението използва събраните данни от анализите за изготвяне на изгледи и отчети за организациите, така че те по-лесно да следят и управляват своята сигурност. Можете да си създавате и свои изгледи, възползвайки се от над 50 шаблона, което прави процеса елементарен. Предоставяйки детайлни отчети за отделни инциденти, решението позволява на SecOps екипите по-добре да разбират възникналите събития и по-добре да планират бъдещите процеси по сигурността.

Защо да изберете Micro Focus ArcSight

SIEM платформата на ArcSight от ново поколение е високотехнологична и скалируема, като е изградена от експерти по киберсигурността. Платформата предприема цялостен подход към разследванията в киберсигурността, обединявайки събраните Big Data данни, мрежови данни, потребителски данни и данни от крайните точки с напреднали технологии за търсене и разследване на инциденти и дори се интегрира с UEBA технологии за следене на поведението на служителите.

Платформата предоставя засичане и предприемане на ответни действия на инциденти в реално време, автоматизация на покриването на изискванията на различни регулации и събирането на данни за одити, както и управление на ИТ операциите, като всичко това води до многослойна киберсигурност и защита от най-високо ниво за организацията ви.

Много производители твърдят, че предоставят SIEM решения от най-висок клас, но екипът на ArcSight има необходимата експертиза, опит и лидерство, които малко вендори могат да покрият. Решенията на ArcSight от ново поколение, изпитаните методологии и над 20 години опит с някои от най-големите и сложни SOC центрове в света правят екипа на Micro Focus уникално квалифициран да ви помогне да достигнете по-добра сигурност и да внедрите по-изпипани процеси за вашата организация.

Коя е Micro Focus?

Micro Focus е една от най-големите компании за разработване на решения за киберсигурност и управление на ИТ среди, с огромен опит от над 40 години. Основана през далечната 1976-та година, Micro Focus придобива множество големи компании като NetIQ, Novell и Suse, а през 2017 г. се обедини с HPE Software.

Micro Focus е най-новият технологичен партньор на КОМПЮТЪР 2000, чието портфолио включва широк спектър от решения в сферата на киберсигурността. Българската ИТ компания разполага с екип от сертифицирани инженери, специализирани в тестове, инсталации и поддръжка на решенията на Micro Focus.

Портфолиото на Micro Focus покрива почти всички вектори и потребности на потребителите от ИТ решения. 98 от фирмите в списъка Fortune 100 вече са клиенти на Micro Focus. Компанията е лидер в дигиталната трансформация, като предоставя корпоративни DevOps решения, решения за управление на хибридни ИТ среди, за киберсигурност и прогнозни ИТ анализи. Micro Focus е и водещият в света доставчик на уеб решения за управление и администриране на идентичности, които предоставят прозрачен и сигурен достъп до приложения и услуги.

Решенията за киберсигурност на Micro Focus са вече достъпни за клиентите у нас от КОМПЮТЪР 2000 България.