0
Cisco Security MARS
[摘要] Cisco Security Monitoring, Analysis, and Response System是基于设备的全方位解决方案,可使您获得对现有安全部署的无与伦比的洞察力和控制力...
[关键字] Cisco 路由器
Cisco Security Monitoring, Analysis, and Response System是基于设备的全方位解决方案,可使您获得对现有安全部署的无与伦比的洞察力和控制力。作为思科安全管理生命周期的关键组成部分,Cisco Security Monitoring, Analysis, and Response System使您的安全和网络机构能够识别、管理并抵御安全威胁。它能与您的现有网络和安全部署协作,以识别并隔离不良网元,同时提供准确的清除建议。它还有助于遵从内部策略,是您的整个制度遵从解决方案中不可或缺的组成部分。
安全和网络管理员面临着大量的挑战,包括:
过量的安全和网络信息
低劣的攻击和故障识别、优先级分配和响应能力
攻击手段越来越高明、速度越来越快、补救成本越来越高
满足制度和审计要求
从事安全工作的人手和预算受到限制
Cisco Security Monitoring, Analysis, and Response System通过以下方式迎接这些挑战:
集成网络智能,以便通过先进的方法将网络异常与安全事件相关联
显示得到确认的事故并进行自动调查
充分利用您的现有网络和安全基础设施,从而抵御攻击
监视系统、网络和安全系统,以帮助遵从策略要求
以最低的TCO提供易于部署和使用的可扩展的产品
Cisco Security Monitoring, Analysis, and Response System可将原始的网络和安全数据转变成情报,以便终止实际的安全事故并保证遵从安全策略要求。这个易用的威胁抵御产品系列允许操作人员使用基础设施中现有的网络和安全设备来集中、检测、抵御并按严重性来报告威胁。
深层防御的尴尬
信息安全实践已从最初的互联网外围保护发展到了深层防御模式,在此,多种对策分层部署在整个基础设施中,以应对安全漏洞和攻击。这种发展是非常必要的,因为攻击的频率越来越高、手段越来越高明、速度越来越快 — 模糊了网络内部防御与外围防御之间的界限。
为了发现安全漏洞,攻击者每天数千次探查网络接入点和系统。先进的混合型攻击使用多种欺骗性的方法从组织内外部非法访问并控制系统。即便是最牢固的基础设施也难以应付蠕虫、零时差攻击、病毒、特洛伊木马、间谍软件以及攻击工具的激增,导致响应时间的缩短和故障停机,同时也增加了补救成本。
除了少量的服务器和网络设备外,每个安全组件都提供单独的事件日志和告警特性,用于检测异常情况,响应并分析威胁。遗憾的是,这种机制生成大量的噪音、告警、日志文件和误报现象,操作人员必须进行辨别或有效使用 — 假设时间和资源允许分析并了解此类信息。此外,为了遵守法律法规,公司必须严格保证数据的私密性、提高运行安全性并维护审计流程。
先进的安全信息管理
从逻辑上看,安全信息和事件管理产品似乎能够抵御这些问题 — 帮助您评估威胁以便管理它们。这些产品使操作人员能够将安全事件和日志汇聚在一起,通过有限的关联和查询技术分析这些数据、并针对被隔离的事件生成告警和报告。
遗憾的是,许多第一代和第二代安全信息和事件管理产品都无法提供充分的网络智能和性能属性来更准确地识别并验证相关事件、更好地发现攻击路径、干净利落地清除威胁、或者维持较高的事件负载水平。思科系统公司reg; 提供了可扩展的企业威胁抵御产品来解决这些安全问题和管理不足。Cisco Security Monitoring, Analysis, and Response System提供易于部署和使用的经济高效的安全命令和控制解决方案,补充了您的网络和安全基础设施投资。Cisco Security Monitoring, Analysis, and Response System是高性能、可扩展的威胁抵御产品系列,将网络智能、ContextCorrelation™ 特性、SureVector™分析功能以及 AutoMitigate™ 功能结合在一起,进一步巩固了企业现有的网络产品和安全防范措施,使公司能够随时识别、管理并消除网络攻击,同时保证遵从制度要求。
CS-MARS还与思科外围安全管理套件Cisco Security Manager (CSM)紧密集成。这种集成可将与流量相关的系统日志消息映射到CSM中定义的防火墙策略中,以触发事件。策略查找功能支持快速的端到端分析,以便排除与防火墙配置相关的网络故障和策略配置错误,并对定义好的策略进行进一步的调整。
特性和优势
网络智能事件汇聚与性能处理
Cisco Security Monitoring, Analysis, and Response System提供了网络智能,能够获知路由器、交换机和防火墙的拓扑和产品配置并整理网络流量。系统的集成网络发现功能可构建拓扑图,包括产品配置和现有安全策略等,进而能够模拟穿过网络的分组流。鉴于产品不在线内运行且极少使用现有的软件代理,因此,只对网络或系统性能产生极低的影响。
产品可将大量的常用网络产品(如交换机和路由器)、安全设备和应用(如防火墙、入侵检测系统[IDS]、安全漏洞扫描仪和防病毒应用)、主机(如Windows、Solaris 和Linux系统日志)、应用(如数据库、Web服务器和验证服务器)及网络流量产品(如Cisco NetFlow)提供的日志和事件集中在一起。
Cisco ContextCorrelation
当收到事件和数据时,产品可根据拓扑、已发现的设备配置、相同的源和目的地应用(跨越NAT边界)以及相似的攻击类型对信息进行标准化,并将类似的事件实时分成多组会话。随后对多个会话应用系统或用户定义的关联规则以识别事故。Cisco Security Monitoring, Analysis, and Response System产品在供货时附带预定义规则的全面补遗,由思科系统公司定期更新,用于识别大多数混合攻击、零时差攻击和蠕虫。基于图形的规则定义框架可简化为任何应用创建用户定义的定制规则的流程。ContextCorrelation特性大幅度减少了原始的事件数据,促进了按优先级响应攻击,并最大限度地提高了已部署的应对措施的功效。
分布式威胁抵御
CS-MARS的分布式威胁抵御(DTM)特性与思科IPS产品结合在一起,可识别检测到的最活跃的网络攻击,随后生成并向网络上的所有Cisco IOS IPS 产品公布最新的签名定义文件(SDF)。这个特性可确保将网络上资源有限的IOS IPS产品集中用于针对资源更为宽松的IPS产品的签名。
高性能的汇聚与合并
Cisco Security Monitoring, Analysis, and Response System可捕获数千个原始事件,以前所未有的数据缩减率对这些事件进行有效分类,并压缩此类信息以便归档。管理如此大量的安全事件需要安全稳定的集中日志记录平台。Cisco Security Monitoring, Analysis, and Response System产品经过安全加固,专门用于接收高事件流量 — 每秒超过10,000个事件或每秒超过300,000个 Cisco NetFlow事件。产品通过线内处理逻辑以及嵌入式Oracle系统来实现这种高性能的关联性。所有的数据库功能和调整对用户都是透明的。Cisco Security Monitoring, Analysis, and Response System允许在主板上保存历史数据卷宗并将其持续压缩到NFS备用存储产品中,因此是可靠的安全日志/事件汇聚解决方案。
[关键字] Cisco 路由器
Cisco Security Monitoring, Analysis, and Response System是基于设备的全方位解决方案,可使您获得对现有安全部署的无与伦比的洞察力和控制力。作为思科安全管理生命周期的关键组成部分,Cisco Security Monitoring, Analysis, and Response System使您的安全和网络机构能够识别、管理并抵御安全威胁。它能与您的现有网络和安全部署协作,以识别并隔离不良网元,同时提供准确的清除建议。它还有助于遵从内部策略,是您的整个制度遵从解决方案中不可或缺的组成部分。
安全和网络管理员面临着大量的挑战,包括:
过量的安全和网络信息
低劣的攻击和故障识别、优先级分配和响应能力
攻击手段越来越高明、速度越来越快、补救成本越来越高
满足制度和审计要求
从事安全工作的人手和预算受到限制
Cisco Security Monitoring, Analysis, and Response System通过以下方式迎接这些挑战:
集成网络智能,以便通过先进的方法将网络异常与安全事件相关联
显示得到确认的事故并进行自动调查
充分利用您的现有网络和安全基础设施,从而抵御攻击
监视系统、网络和安全系统,以帮助遵从策略要求
以最低的TCO提供易于部署和使用的可扩展的产品
Cisco Security Monitoring, Analysis, and Response System可将原始的网络和安全数据转变成情报,以便终止实际的安全事故并保证遵从安全策略要求。这个易用的威胁抵御产品系列允许操作人员使用基础设施中现有的网络和安全设备来集中、检测、抵御并按严重性来报告威胁。
深层防御的尴尬
信息安全实践已从最初的互联网外围保护发展到了深层防御模式,在此,多种对策分层部署在整个基础设施中,以应对安全漏洞和攻击。这种发展是非常必要的,因为攻击的频率越来越高、手段越来越高明、速度越来越快 — 模糊了网络内部防御与外围防御之间的界限。
为了发现安全漏洞,攻击者每天数千次探查网络接入点和系统。先进的混合型攻击使用多种欺骗性的方法从组织内外部非法访问并控制系统。即便是最牢固的基础设施也难以应付蠕虫、零时差攻击、病毒、特洛伊木马、间谍软件以及攻击工具的激增,导致响应时间的缩短和故障停机,同时也增加了补救成本。
除了少量的服务器和网络设备外,每个安全组件都提供单独的事件日志和告警特性,用于检测异常情况,响应并分析威胁。遗憾的是,这种机制生成大量的噪音、告警、日志文件和误报现象,操作人员必须进行辨别或有效使用 — 假设时间和资源允许分析并了解此类信息。此外,为了遵守法律法规,公司必须严格保证数据的私密性、提高运行安全性并维护审计流程。
先进的安全信息管理
从逻辑上看,安全信息和事件管理产品似乎能够抵御这些问题 — 帮助您评估威胁以便管理它们。这些产品使操作人员能够将安全事件和日志汇聚在一起,通过有限的关联和查询技术分析这些数据、并针对被隔离的事件生成告警和报告。
遗憾的是,许多第一代和第二代安全信息和事件管理产品都无法提供充分的网络智能和性能属性来更准确地识别并验证相关事件、更好地发现攻击路径、干净利落地清除威胁、或者维持较高的事件负载水平。思科系统公司reg; 提供了可扩展的企业威胁抵御产品来解决这些安全问题和管理不足。Cisco Security Monitoring, Analysis, and Response System提供易于部署和使用的经济高效的安全命令和控制解决方案,补充了您的网络和安全基础设施投资。Cisco Security Monitoring, Analysis, and Response System是高性能、可扩展的威胁抵御产品系列,将网络智能、ContextCorrelation™ 特性、SureVector™分析功能以及 AutoMitigate™ 功能结合在一起,进一步巩固了企业现有的网络产品和安全防范措施,使公司能够随时识别、管理并消除网络攻击,同时保证遵从制度要求。
CS-MARS还与思科外围安全管理套件Cisco Security Manager (CSM)紧密集成。这种集成可将与流量相关的系统日志消息映射到CSM中定义的防火墙策略中,以触发事件。策略查找功能支持快速的端到端分析,以便排除与防火墙配置相关的网络故障和策略配置错误,并对定义好的策略进行进一步的调整。
特性和优势
网络智能事件汇聚与性能处理
Cisco Security Monitoring, Analysis, and Response System提供了网络智能,能够获知路由器、交换机和防火墙的拓扑和产品配置并整理网络流量。系统的集成网络发现功能可构建拓扑图,包括产品配置和现有安全策略等,进而能够模拟穿过网络的分组流。鉴于产品不在线内运行且极少使用现有的软件代理,因此,只对网络或系统性能产生极低的影响。
产品可将大量的常用网络产品(如交换机和路由器)、安全设备和应用(如防火墙、入侵检测系统[IDS]、安全漏洞扫描仪和防病毒应用)、主机(如Windows、Solaris 和Linux系统日志)、应用(如数据库、Web服务器和验证服务器)及网络流量产品(如Cisco NetFlow)提供的日志和事件集中在一起。
Cisco ContextCorrelation
当收到事件和数据时,产品可根据拓扑、已发现的设备配置、相同的源和目的地应用(跨越NAT边界)以及相似的攻击类型对信息进行标准化,并将类似的事件实时分成多组会话。随后对多个会话应用系统或用户定义的关联规则以识别事故。Cisco Security Monitoring, Analysis, and Response System产品在供货时附带预定义规则的全面补遗,由思科系统公司定期更新,用于识别大多数混合攻击、零时差攻击和蠕虫。基于图形的规则定义框架可简化为任何应用创建用户定义的定制规则的流程。ContextCorrelation特性大幅度减少了原始的事件数据,促进了按优先级响应攻击,并最大限度地提高了已部署的应对措施的功效。
分布式威胁抵御
CS-MARS的分布式威胁抵御(DTM)特性与思科IPS产品结合在一起,可识别检测到的最活跃的网络攻击,随后生成并向网络上的所有Cisco IOS IPS 产品公布最新的签名定义文件(SDF)。这个特性可确保将网络上资源有限的IOS IPS产品集中用于针对资源更为宽松的IPS产品的签名。
高性能的汇聚与合并
Cisco Security Monitoring, Analysis, and Response System可捕获数千个原始事件,以前所未有的数据缩减率对这些事件进行有效分类,并压缩此类信息以便归档。管理如此大量的安全事件需要安全稳定的集中日志记录平台。Cisco Security Monitoring, Analysis, and Response System产品经过安全加固,专门用于接收高事件流量 — 每秒超过10,000个事件或每秒超过300,000个 Cisco NetFlow事件。产品通过线内处理逻辑以及嵌入式Oracle系统来实现这种高性能的关联性。所有的数据库功能和调整对用户都是透明的。Cisco Security Monitoring, Analysis, and Response System允许在主板上保存历史数据卷宗并将其持续压缩到NFS备用存储产品中,因此是可靠的安全日志/事件汇聚解决方案。
