Arcsight专项方案专业资料.doc

第一章 项目方案 1.1 项目背景 随着富友金融网络技术有限公司IT系统发展，需要管理安全设备和主机系统也越来越多，其中Cisco /H3C网络设备、Cisco防火墙/IPS设备、DB2/Oracle/Informix等数据库系统、Windows/AIX/Linux等操作系统、Apache Tomcat应用服务器，每台产生海量日记，没有办法集中管理，进行记录分析，并且不可以做记录报表，管理复杂，需要登录到每一类系统设备中去查看日记，比较繁琐和挥霍时间，需要一套可以集中收集这些系统设备日记系统，并可以进行集中收集和管理，统一查询和报表记录，特选取世界排名第一HP/Arcsight Logger设备，为富友公司搭建日记集中管理平台 1.2 项目方案简介 1.2.1 项目需求 富友公司当前网络架构如下图所示： 当前需要进行日记采集设备列表如下： 设备分类（厂商） 设备类型 厂商 操作系统/型号 版本 数量 操作系统 AIX IBM AIX 5.3 5.3 2 AIX IBM AIX 6.1 6.1 6 LINUX CentOS CentOS 5.5 5.5 1 LINUX RedHat RedHat 5.7 (64) 5.7 4 LINUX RedHat RedHat 5.4 5.4 13 LINUX CentOS CentOS 4.4 4.4 1 Windows Server Microsoft Windows 7 数据库 DB2 IBM DB2 V9.1.0.4 9.1.0.4 8 oracle ORACLE ORACLE 11.2.0.3.0 11.2.0.3.0 2 应用服务器 tomcat   tomcat7.0.12   15 tomcat   tomcat5.5   3 网络设备 路由器 Cisco 3845 IOS12.4 2 互换机 Cisco 3750G IOS12.2 6 防火墙 Cisco ASA5520 IOS8.2 4 路由器 H3C MSR5040 5.2 2 安全设备 IPS Cisco AIM10 7.06 2 数据库审计 Imperva X2500 数据库监控网关 暂未上线 1 双因素认证 RSA SECURID 暂未上线 1 堡垒主机 帕拉迪 统一安全管理和综合审计系统 暂未上线 1 应用层防火墙 Imperva X2500 WEB应用防火墙 暂未上线 1 1.2.2 项目方案设计原则 依照项目建设目的，富友公司日记分析系统项目要遵循如下几种原则： ¨ 长远性和现实性相结合 富友公司日记分析系统项目，要兼顾公司当前状况与长远发展等因素，放眼将来，统筹规划，又要具备可付诸实行现实也许性。 ¨ 全面性和针对性相结合 富友公司日记分析系统项目实行，要着眼全局，不能漏掉；同步又要突出重点，方案和筹划具备较强针对性。 ¨ 完整性和阶段性相结合 富友公司日记分析系统项目，既要制定整体发展规划、安全建设纲要、安全总则等战略性指引文档，也要按照现阶段产品采购，提高亚运期间客户信息安全审计整体水平。 ¨ 先进性和实用性相结合 富友公司日记分析系统项目实行，在战略和方略、目的和规定、规定和制度、产品和技术、人员和知识等各方面，既要有先进性，又要有实用性。 ¨ 开放性和可靠性相结合 富友公司日记分析系统项目实行，应采用最新且成熟系统软硬件等技术和产品。其各项技术应保证具备开放性、可移植性和可扩展性，同步，具备可靠性和稳定性。 ¨ 完整性和经济性相结合 富友公司日记分析系统系统建设，既要考虑采用产品和技术在整体上具备完整性和一致性，又要尽量保护富友公司已有软硬件投资，使得总体上具备更好经济性。 ¨ 安全性和业务持续性相结合 富友公司日记分析系统建设必要保证系统安全性和业务持续性。系统在开发规范和接口规范必要符合富友公司有限有关安全规范和安全规定，系统建设必要考虑和其她系统之间整合，保证互相间业务通信持续性。 1.2.3 项目方案产品选型 对于需要进行日记收集设备日记量估算如下: 设备分类 设备类型 厂商 操作系统/型号 版本 数量 估算EPS 日记收集方式 操作系统 AIX IBM AIX 5.3 5.3 2 2 Smart Connector AIX IBM AIX 6.1 6.1 6 6 Smart Connector LINUX CentOS CentOS 5.5 5.5 1 1 Smart Connector LINUX RedHat RedHat 5.7 (64) 5.7 4 4 Smart Connector LINUX RedHat RedHat 5.4 5.4 13 13 Smart Connector LINUX CentOS CentOS 4.4 4.4 1 1 Smart Connector Windows Server Microsoft Windows 7 7 Smart Connector 数据库 DB2 IBM DB2 V9.1.0.4 9.1.0.4 8 40 Smart Connector oracle ORACLE ORACLE 11.2.0.3.0 11.2.0.3.0 2 10 Smart Connector 应用服务器 tomcat Apache tomcat7.0.12   15 225 Smart Connector tomcat Apache tomcat5.5   3 45 Smart Connector 网络设备 路由器 Cisco 3845 IOS12.4  2 2 Smart Connector 互换机 Cisco 3750G IOS12.2  6 6 Smart Connector 路由器 H3C MSR5040 5.2  2 2 Flex Connector 安全设备 防火墙 Cisco ASA5520 IOS8.2  4 400 Smart Connector IPS Cisco AIM10   2 40 Smart Connector 双因素认证 RSA SECURID 暂未上线 1 5 Smart Connector 堡垒主机 帕拉迪 统一安全管理和综合审计系统 暂未上线 1 10 Flex Connector 应用层防火墙 Imperva X2500 WEB应用防火墙 暂未上线 1 15 Smart Connector 数据库审计 Imperva X2500 数据库监控网关 暂未上线 1 100 Smart Connector 依照上述估算，当前设备总数为82，日记总量约为934EPS (Event Per Second 每秒事件数)，设备选型将以此为基本并充分考虑将来扩展。 （1） 日记管理平台选型：Arcsight Logger L3400 依照当前日记量并充分考虑将来扩展，建议选用Arcsight Logger L3400作为日记管理平台系统核心，其最佳解决能力为EPS ，支持200台设备日记采集，最大日记容量可达8TB，完全可以胜任富友公司日记管理需求。 （2） 日记收集服务器选型：2台HP ProLiant DL360 G7 服务器 建议顾客提供了2台HP DL360服务器作为本项目日记采集器使用，服务器配备建议如下： CPU： 1 Intel E6520，4核 内存：8G 硬盘：500GB （3） 日记收集器允许证： Arcsight Flex Connector HP/Arcsight提供两种形式日记收集器，Smart Connector和Flex Connector。Smart Connector可以直接支持超过300中主流IT设备日记收集，对于不在Smart Connector支持列表中产品，可以采用定制收集器Flex Connector来实现。富友网络中Informix数据库和H3C网络设备需要通过Flex Connector实现日记收集 序号 产品类别 产品选型 数量 1 日记收集器硬件 HP ProLiant DL360 G7 （1 E6520 CPU，8G /500G） 2 2 日记收集器允许证 Arcsight FlexConnectors 1 2 日管分析系统产品 Arcsight Logger L3400 1 图表 1项目产品选型 1.2.4 产品布置图 图表 2 项目方案产品布置图 上图所示为为富友公司日记分析系统那个项目解决方案产品布置图。通过在富友公司总部及各分支构造中分布式布置ArcSightConnectors产品，这样能更好发挥Connectors产品技术特点，如安全事件采集分时传播或带宽控制等。然后安全事件通过Connectors采集、归并、过滤和原则化后，汇总分析后日记数据保存到Arcsight Logger设备上，管理员就可以通过WEB方式进行查询与分析日记。 1.2.5 项目方案功能实现 1.2.5.1 日记采集 ArcSight Connectors具备强大安全事件收集功能，支持100%数据数据捕获，支持海量安全事件数据解决，支持安全事件格式涉及SYSLOG，LEA，SYSLOG-NG，W3C和文献型安全事件在内各种形式安全事件格式。支持SYSLOG、SYSLOG-NG、SNMP TRAP、JDBC数据库连接等实时或定期采集合同。不需要在被管理主机上安装代理，不会对数据库主机导致影响。 支持长安全事件格式。自动辨认安全事件源安全事件格式，支持积极采集和被动接受两种采集方式。 ArcSight Connectors系统支持智能代理集中布置和分布式布置，并可以定制代理，系统自动维护代理状态。这种模式，运用分布在网络各处采集器就可以收集到全网中需要管理对象安全事件。 数据在系统内传播采用加密方式，保证数据传播完整性和机密性。 内嵌时间服务器，提供设备之间时间校正服务，支持独有5时间戳技术。日记时间对日记分析非常重要，错误时间会影响到日记分析对的性。Arcsight Connectors采用了独有5时间戳技术，系统共维护了5个时间戳：源日记生成时间、日记采集器收届时间、管理服务器收届时间、数据库存储开始时间和完毕时间。该技术使系统日记数据更具备可靠性证明，可满足设备时间同步需求。 对于采集到海量安全事件数据ArcSight Connectors进行如下解决后发现有关安全事件和安全问题。 1.2.5.2 日记归并和过滤 安全事件归并和过滤是可选用功能，过滤用于丢弃从设备提取原始安全事件信息中监控人员以为不重要信息，从而减少轻微告警安全事件干扰；归并是一种组合技术，将基于选定期间值或安全事件数量，合并具备匹配字段值多条安全事件。 具备安全事件归并和过滤技术具备如下好处： l 减少对带宽占用 l 减少对存储空间占用 l 提高监控和解决效率 ArcSight 设备在安全事件收集引擎和关联分析引擎上都具备安全事件归并和过滤能力。 通过在安全事件收集引擎上设立过滤条件，可过滤出无关安全事件，以最大限度地减少发送到核心服务器安全事件数，从而减少对网络带宽和数据库存储空间地占用。 在关联分析引擎上设立过滤条件，可以过滤掉该类型安全事件实时显示，而该安全事件依然保存到安全事件数据库中。这样既给管理员实时监控提供了以便，又可以在后来需要时候察看分析这些安全事件数据。 具备归并技术安全事件收集代理睬在一段时间内比较收到安全事件，如果安全事件相似，则只发送一条安全事件，该安全事件应涉及安全事件详情及该安全事件发生次数，这样可以减少安全事件通信量。例如，对于每隔 500 毫秒重复一次安全事件来说，如果归并规则时间阈值设为十秒，这样就会得到 20:1 安全事件压缩率。从而减少传至关联分析引擎安全事件流量和数据库存储空间规定。 对单位时间内发生大量安全事件，建议按照维护规定和管理部门考核规定及实际管理状况，对指定安全设备进行告警安全事件归并，也可以通过安全事件严重限度级别、安全事件类别、安全事件标题等安全事件属性进行归并。 1.2.5.3 日记原则化 各种安全事件源在其返回安全事件信息时并非都使用相似命名商定，为理解决这种“语言不通”状况，普通也许需要分析人员编写重复规则并修改每个案例中安全事件名，以检测相似安全事件不同返回名称。这样做法将导致灵活性和可用性都特别差。 分类法通过广泛和灵活安全事件映射，对安全事件做原则化解决，它将每条安全事件分派到相应类别中，这消除了需要学习来自不同厂商同类产品例如防火墙或IDS信息差别过程。新分类法不但仅提供一系列能满足报告、过滤器和关联更丰富资讯，并且还可以精准定义某安全事件资源种类，虽然该设备是一种诸如入侵防护设备集各种功能集合体，它安全事件资源也能被精准定义。这样，虽然客户日后扩容选用了新系统，它安全事件也很容易纳入到整个系统中来，无需更改相应关联规则、过滤器等。 例如，若要分析袭击某服务中漏洞所有尝试，您可以组合这些安全事件类别：/Host/Application、/Service、/Communicate 和 /Exploit/Vulnerability。这样，您可以使用通用类别阐明，而不是也许随系统变化安全事件名来建立规则，分类还可以简化环境中新系统集成。 图表 3 日记原则化 1.2.5.4 日记存储 除了启动 RAID 板载存储，所有 ArcSight Logger 设备均支持作为首选数据存储或存档目的位置外部存储（SAN或NAS）。无论是板载存储还是板外存储，普通会将日记数据高效压缩至 10:1 比例。 1.2.5.5 日记查询 ArcSight Logger 基于 Web 搜索界面简朴易用，通过它可执行简朴搜索，也可以输入正则表达式和布尔逻辑符执行复杂查询。顾客使用向下钻取（drill-down）和钻过（drill-across）功能可以直观地对存储在任意数量 ArcSight Logger设备中数以万亿兆数据进行查询，从而增长动态成果集大小。 1.2.5.6 报表管理 Arcsight Logger建立了一种以业界领先基于web报表中心，顾客可以以便地依照自身需求定制和导入报表，提供按照客户需求定制报表服务。 1.2.3.6.1记录功能 ArcSight Logger具备如下记录分析和查询功能： l 能从各种角度各种维度对数据进行分析； l 能提供诸如插入过滤器、插入计算等诸多更细致功能，以便维护人员使用； l 能提供实时分析、历史分析等分析手段； l 能对比查询记录成果，分析数据发展趋势； l 能将成果以图形方式〈直方图、饼图等〉或报表方式显示、打印或转存为HTML或Excel报表方式输出 1.2.3.6.2报表功能 ArcSight Logger可以对所有事件、案例、告知、资产和数据库中存储其她资源创立报表。 报表生成过程： l 特定数据筛选和分析； l 记录和分类成果； l 事件分析成果和事故解决成果。 ArcSight Logger全局报告生成系统，在灵活性和易用性方面非常出众。它提供250各种预定义报告模板，并且集成了报告编辑器，客户可使用预定义报告模板生成报告，也可创立新报告，例如针对客户操作和管理人员报告。 内置报告编辑器，创立报告，加入Filter、资产、漏洞信息，生成图形或文本报告导入、导出顾客拷贝报告，报告可以按组管理，依照筹划归档报告，归档之后发送邮件告知，报告和增量报告。 报告可以立即生成也可以在指定日期时间生成。 报告可用PDF、HTML、Excel、CSV或RTF等格式存档。 1.2.3.6.3遵循法律法规报表功能 ArcSight Logger通过丰富目的剖面、显示、报告，使客户可以拥有安全活动独特遵循法律法规有关视图，满足PCI、SOX、ISO27001/17799这些法规规定。ArcSight Logger极大地减小机构尝试遵从法律法规提供更好安全担保时所要面临混乱。它可以大量节约公司遵从法律法规所需耗费时间和金钱，它运用工作流程特性、集中信息知识库和强大关联能力，使这些过程流程化，此外，它还提供 400 各种原则报告和规则，给审计员和执行官等有关人员，提供自动生成、简朴易懂安全和风险信息。 它价值体当前如下几方面： l 预定义方略包，实时精确、迅速地辨认针对遵循法规（SOX、ISO27001/17799等）所规定保存日记事件。 l 自动日记事件关联，它具备最智能关联引擎，改进遵从、告警和响应。 l 可以发现内部威胁，增强对遵循法律法规重要信息保护。 l 集中日记管理，详细工作流程和预定义报告，风险分析和过程审计自动化。 l 它非常灵活，能迅速和公司独特环境相结合。 1.2.5.7 系统可扩展性和高可用性 日记管理睬晤临大量日记数据，并且日记量在不断增长，日记管理系统需要保存日记数据时长是富友公司有限公司在线日记规定方略有关，如果日记管理系统磁盘容量局限性以支持当前规定日记保存时长，则需要对日记管理设备进行扩展。虽然日记管理系统不是华数网通信息港有限公司业务应用系统，无需要进行高成本容错除了，但是在日记管理系统选取上要考虑到如何避免单点故障、数据通讯故障等因素，保证所有日记数据能采集可以应付通讯或系统意外故障状况，这就规定日记管理系统提供相应技术手段来支持高可用性配备办法。 ArcSight Logger提供网络扩展口，可以在日记数据量超过硬盘容量时候以便通过堆叠和级连方式实现存储空间扩展规定；也可以通过多台Logger并联方式提供采集性能扩充。此外，ArcSight Logger 可以与 ArcSight 领先安全信息和事件管理 （SIEM） 产品 ArcSight ESM 互相集成。这种集成可以使 ArcSight Logger 灵活地将安全事件转发到 ArcSight ESM，实时进行跨设备关联、可视化和威胁检测。ArcSight ESM 也可以将关联后警报发送回 ArcSight Logger用于搜索和存档，提供良好高可用性与集成性。 1.3 项目方案选型产品简介 1.3.1 Arcsight Connectors ArcSight Connectors 技术通过强大日记聚合和界面配备优化功能应对关于日记收集核心挑战，同步也呈现更广泛信息审计和日记管理平台基本。下面简介 ArcSight Connectors 核心功能和长处： 1.3.1.1 Connectors安装环境 支持操作系统版本 设备架构 Microsoft Windows XP Professional (SP2) 32-bit x86 Microsoft Windows Server R2 (SP2) 32-bit x86 Microsoft Windows Server R2 (SP2) 64-bit x86_64 Microsoft Windows Server 32-bit x86 Microsoft Windows Server R2 64-bit x86_64 Red Hat Enterprise Linux 4.0 (RHEL 4) AS 32-bit x86 Red Hat Enterprise Linux 4.0 (RHEL 4) AS 64-bit x86_64 Red Hat Enterprise Linux (RHEL) 5.3 AS 32-bit x86 Red Hat Enterprise Linux (RHEL) 5.3 AS 64-bit x86_64 Novell SUSE Linux 10 SP2 Enterprise Server 64-bit x86_64 Sun Solaris 9，64-bit Ultra SPARC Sun Solaris 10，64-bit Ultra SPARC IBM AIX 5L，Version 5.3 (5.3.0.70) 32-bit pSeries 图表 4 Connectors安装环境 1.3.1.2 设备支持广度和深度 ArcSight Connector有两种收集器：SmartConnectors 和FlexConnectors。 l Arcsight SmartConnectors ArcSight 现成 SmartConnectors 资料库可为超过 300种商业产品提供优化来源集合。 Anti-Virus / Anti-Spam Application Security F-Secure Anti Virus Arxan – (CEF) McAfee Virus Scan Content Security Sybari Antigen for Microsoft Exchange Aladdin eSafe Gateway Symantec Antivirus Corporate Edition McAfee Secure Internet Gateway Symantec Mail Security for MS Exchange NetContinuum Web Firewall TrendMicro OfficeScan (Control Manager) Puresight Content Filter TrendMicro VirusWall (Control Manager) Secure Computing Webwasher Applications TrendMicro Control Manager BEA Weblogic Server TrendMicro InterScan Messaging Security IBM WebSphere TrendMicro InterScan Web Security (Control Manager) SAP ERP Database DAM / DB Security IBM DB2 Application Security DBProtect Microsoft SQL Guardium – (CEF) Oracle Imperva SecureSphere – (CEF) Sybase Adaptive Server Enterprise Secerno DataWall – (CEF) Data Leak Prevention Sentrigo HedgeHog (Enterprise，vPatch) Fidelis XPS – (CEF) Firewall Vontu Altor Networks Virtual Firewall (VF) - (CEF) Data Security Check Point FW-1 Cyber-Ark Inter-Business Vault – (CEF) Cisco PIX Firewall Cyber-Ark Sensitive Document Vault – (CEF) CyberGuard Firewall Ingrian Juniper NetScreen Security Manager (NetScreen) Vormetric Juniper Networks Firewall and VPN IDS/IPS – Host Based Lucent Managed Firewall Cisco Security Agent (Okena) McAfee Desktop Firewall ISS Black Ice Server Protection (SiteProtector) Secure Computing Gauntlet Firewall/VPN McAfee Entercept Stonesoft Stonegate NFR Security HID Symantec Enterprise Firewall SANA Primary Response Symantec Gateway Security Symantec Critical System Protection Honeypot Symantec ITA (Intruder Alert) HoneyD Tripwire Manager & Tripwire Enterprise IDS/IPS – Network Based IDM，IAM & Identity Security Broadweb Netkeeper ActivCard AAA Server DB Bro IDS CA eTrust SiteMinder (Netegrity) Cisco IPS Sensor Cisco Secure Access Control Server (ACS) Cisco Secure IDS Cyber-Ark PIM Suite – (CEF) CounterSnipe IBM Tivoli Access Manager Enterasys Dragon Juniper SBR (Steel Belted Radius) Intrusion SecureNet Pro Microsoft Active Directory ISS RealSecure Server Sensor Microsoft Forefront ISS RealSecure WorkGroup Manager Microsoft IAS (Windows RADIUS) ISS Proventia IPS Appliance (SiteProtector) Novell Nsure Audit Juniper Networks IDP (NetScreen) Oracle NetPoint (Oblix) McAfee IntruShield PacketMotion PacketSentry – (CEF) NFR Central Management Server RSA ACE Server NFR Security NID RSA Access Manager (ClearTrust) NitroSecurity IPS Secure Computing SafeWord PremierAccess PacketAlarm IDS SUN ONE Directory Server Radware DefensePro Integrated Security Snort Barracuda Networks Spam Firewall Sourcefire Intrusion Sensor Cisco Ironport Sourcefire Defense Center Management Console Cisco ASA 5500 Sourcefire RNA Sensor (Real-time Network Awareness) Fortinet FortiGate Symantec ManHunt iPolicy Intrusion Prevention Firewall Symantec Network Security 7100 Secure Computing Sidewinder TippingPoint UnityOne SMS SonicWALL Toplayer Attack Mitigator Midrange Systems Log Consolidator IBM AS/400 Quest InTrust (fka Aelita Event Manger (AEM) Network Access Control Enterprise IT Security SF-RiskSaver – (CEF) Mirage Networks Counterpoint Mail Filtering Network Behavior Anomaly Secure Computing(CipherTrust) IronMail Arbor Networks Peakflow Symantec Mail Security 8200 Series Lancope StealthWatch MessageGate Mazu Profiler Mainframe Network Discovery CA Top Secret Lumet IPsonar Enterprise IT Security SF-Sherlock – (CEF) Network Management Enterprise IT Security SF-NoEvasion – (CEF) Cisco Works IBM OS/390 (NVAS) F5 BigIP IBM OS/390 (SDSF) Type80 SMA_RT for RACF Network Monitoring Type80 SMA_RT for CA Top Secret HP OpenView Operations (OVO) Mail Server ISC DHCP IBM Lotus Notes Domino Enterprise Server ISC BIND Microsoft Exchange Microsoft Operations Manager DB (MOM) Sendmail Microsoft DHCP Network Traffic Analysis Microsoft DNS Cisco NetFlow Microsoft WINS QoSient Argus Nagios TCP Dump Web Cache Network Traffic Management BlueCoat Proxy SG Series Cisco Distributed Director 4500 Microsoft ISA Bro IDS Network Appliance NetCache Operating Systems Squid IBM AIX Operating System Web Filtering HP OpenVMS Websense HPUX Operating System Web Server Microsoft Windows NT///XP/ Server/Vista Apache Redhat Linux Microsoft IIS Snare for Microsoft Windows Sun ONE Solaris BSM Wireless UNIX AirDefense Guard Sabernet NT Syslog AirMagnet Enterprise Physical Systems / Security AirPatrol Wireless Locator System (WLS) – (CEF) Plasec – (CEF) Aruba Mobility Controller Policy Management Cisco AIRONET 1200 NetIQ Security Manager Cisco Mobility Services Engine Securify SecurVantage Newbury Networks Wi-fi Watchdog Solsoft Policy Server VPN Router Alcatel Secure VPN Gateway Cisco Router Check Point VPN-1 Juniper M40 Multiservice Edge Router Cisco VPN Concentrator Security Management Citrix Access Gateway Enterasys Dragon Server Juniper/NetScreen (Neoteris) SSL VPN Intrusion Securenet Provider Nortel Contivity Extranet Switch ISS Site Protector Vulnerability Assessment McAfee ePO eEye REM Security Management Console McAfee Rogue System Detection (via ePO) eEye Retina Network Security Scanner MicroSoft Audit Collection System Harris STAT Scanner Niksun NetDetector ISS Internet Scanner Symantec EXPRESS McAfee Foundscan Symantec SESA nCircle IP360 Device Profiler Switch nCircle IP360 Threat Monitor Cisco Catalyst Nmap Cisco CSS 11500 Series Content Services Switches OVAL Foundry Networks Big Iron Qualys Guard HP Ethernet Switch Rapid 7 NeXpose 　 Saint Vulnerability Scanner 　 Symantec NetRecon 　 Tenable Nessus 　 Visionael Security Audit 图表 5 Arcsight SmartConnectors支持设备类型 l Arcsight FlexConnectors ArcSight FlexConnectors 框架还提供向导驱动界面，以建立集合逻辑并研究来自旧来源和自行开发来源日记上下文，这对于（删除）如合规、欺诈和内部威胁等使用案例