Cisco® Security Monitoring, Analysis, and Response System是基于设备的全方位解决方案,可使您获得对现有安全部署的无与伦比的洞察力和控制力。作为思科安全治理生命周期的要害组成部分,Cisco Security Monitoring, Analysis, and Response System使您的安全和网络机构能够识别、治理并抵御安全威胁。它能与您的现有网络和安全部署协作,以识别并隔离不良网元,同时提供准确的清除建议。它还有助于遵从内部策略,是您的整个制度遵从解决方案中不可或缺的组成部分。
安全和网络治理员面临着大量的挑战,包括:
过量的安全和网络信息
低劣的攻击和故障识别、优先级分配和响应能力
攻击手段越来越高明、速度越来越快、补救成本越来越高
满足制度和审计要求
从事安全工作的人手和预算受到限制
Cisco Security Monitoring, Analysis, and Response System通过以下方式迎接这些挑战:
集成网络智能,以便通过先进的方法将网络异常与安全事件相关联
显示得到确认的事故并进行自动调查
充分利用您的现有网络和安全基础设施,从而抵御攻击
监视系统、网络和安全系统,以帮助遵从策略要求
以最低的TCO提供易于部署和使用的可扩展的产品
Cisco Security Monitoring, Analysis, and Response System可将原始的网络和安全数据转变成情报,以便终止实际的安全事故并保证遵从安全策略要求。这个易用的威胁抵御产品系列答应操作人员使用基础设施中现有的网络和安全设备来集中、检测、抵御并按严重性来报告威胁。
深层防御的尴尬
信息安全实践已从最初的互联网外围保护发展到了深层防御模式,在此,多种对策分层部署在整个基础设施中,以应对安全漏洞和攻击。这种发展是非常必要的,因为攻击的频率越来越高、手段越来越高明、速度越来越快 — 模糊了网络内部防御与外围防御之间的界限。
为了发现安全漏洞,攻击者天天数千次探查网络接入点和系统。先进的混合型攻击使用多种欺骗性的方法从组织内外部非法访问并控制系统。即便是最牢固的基础设施也难以应付蠕虫、零时差攻击、病毒、特洛伊木马、间谍软件以及攻击工具的激增,导致响应时间的缩短和故障停机,同时也增加了补救成本。
除了少量的服务器和网络设备外,每个安全组件都提供单独的事件日志和告警特性,用于检测异常情况,响应并分析威胁。遗憾的是,这种机制生成大量的噪音、告警、日志文件和误报现象,操作人员必须进行辨别或有效使用 — 假设时间和资源答应分析并了解此类信息。此外,为了遵守法律法规,公司必须严格保证数据的私密性、提高运行安全性并维护审计流程。
先进的安全信息治理
从逻辑上看,安全信息和事件治理产品似乎能够抵御这些问题 — 帮助您评估威胁以便治理它们。这些产品使操作人员能够将安全事件和日志汇聚在一起,通过有限的关联和查询技术分析这些数据、并针对被隔离的事件生成告警和报告。
遗憾的是,许多第一代和第二代安全信息和事件治理产品都无法提供充分的网络智能和性能属性来更准确地识别并验证相关事件、更好地发现攻击路径、干净利落地清除威胁、或者维持较高的事件负载水平。思科系统公司® 提供了可扩展的企业威胁抵御产品来解决这些安全问题和治理不足。Cisco Security Monitoring, Analysis, and Response System提供易于部署和使用的经济高效的安全命令和控制解决方案,补充了您的网络和安全基础设施投资。Cisco Security Monitoring, Analysis, and Response System是高性能、可扩展的威胁抵御产品系列,将网络智能、ContextCorrelation™ 特性、SureVector™分析功能以及 AutoMitigate™ 功能结合在一起,进一步巩固了企业现有的网络产品和安全防范措施,使公司能够随时识别、治理并消除网络攻击,同时保证遵从制度要求。
CS-MARS还与思科外围安全治理套件Cisco Security Manager (CSM)紧密集成。这种集成可将与流量相关的系统日志消息映射到CSM中定义的防火墙策略中,以触发事件。策略查找功能支持快速的端到端分析,以便排除与防火墙配置相关的网络故障和策略配置错误,并对定义好的策略进行进一步的调整。
特性和优势
网络智能事件汇聚与性能处理
Cisco Security Monitoring, Analysis, and Response System提供了网络智能,能够获知路由器、交换机和防火墙的拓扑和产品配置并整理网络流量。系统的集成网络发现功能可构建拓扑图,包括产品配置和现有安全策略等,进而能够模拟穿过网络的分组流。鉴于产品不在线内运行且极少使用现有的软件代理,因此,只对网络或系统性能产生极低的影响。
产品可将大量的常用网络产品(如交换机和路由器)、安全设备和应用(如防火墙、入侵检测系统[IDS]、安全漏洞扫描仪和防病毒应用)、主机(如Windows、Solaris 和Linux系统日志)、应用(如数据库、Web服务器和验证服务器)及网络流量产品(如Cisco NetFlow)提供的日志和事件集中在一起。
Cisco ContextCorrelation
当收到事件和数据时,产品可根据拓扑、已发现的设备配置、相同的源和目的地应用(跨越NAT边界)以及相似的攻击类型对信息进行标准化,并将类似的事件实时分成多组会话。随后对多个会话应用系统或用户定义的关联规则以识别事故。Cisco Security Monitoring, Analysis, and Response System产品在供货时附带预定义规则的全面补遗,由思科系统公司定期更新,用于识别大多数混合攻击、零时差攻击和蠕虫。基于图形的规则定义框架可简化为任何应用创建用户定义的定制规则的流程。ContextCorrelation特性大幅度减少了原始的事件数据,促进了按优先级响应攻击,并最大限度地提高了已部署的应对措施的功效。
分布式威胁抵御
CS-MARS的分布式威胁抵御(DTM)特性与思科IPS产品结合在一起,可识别检测到的最活跃的网络攻击,随后生成并向网络上的所有Cisco IOS IPS 产品公布最新的签名定义文件(SDF)。这个特性可确保将网络上资源有限的IOS IPS产品集中用于针对资源更为宽松的IPS产品的签名。
高性能的汇聚与合并
Cisco Security Monitoring, Analysis, and Response System可捕捉数千个原始事件,以前所未有的数据缩减率对这些事件进行有效分类,并压缩此类信息以便归档。治理如此大量的安全事件需要安全稳定的集中日志记录平台。Cisco Security Monitoring, Analysis, and Response System产品经过安全加固,专门用于接收高事件流量 — 每秒超过10,000个事件或每秒超过300,000个 Cisco NetFlow事件。产品通过线内处理逻辑以及嵌入式Oracle系统来实现这种高性能的关联性。所有的数据库功能和调整对用户都是透明的。Cisco Security Monitoring, Analysis, and Response System答应在主板上保存历史数据卷宗并将其持续压缩到NFS备用存储产品中,因此是可靠的安全日志/事件汇聚解决方案。
事故的显示与抵御
Cisco Security Monitoring, Analysis, and Response System可加速并简化威胁识别、调查、验证和抵御流程。安全工作人员常需要耗费大量的时间来分析并处理呈报上来的安全事件。Cisco Security Monitoring, Analysis, and Response System提供了强大的互动安全治理显示板。操作人员GUI提供了由实时热点、事故、攻击路径、具体调查结果和全面事故信息组成的拓扑图,答应即刻验证实际威胁。
Cisco SureVector分析特性可分析类似的事件会话,以便通过评估整条攻击路径(直到端点MAC地址)来决定威胁是有效的还是已得到抵御。这个自动流程的执行方法是:分析防火墙和入侵防护应用以及第三方安全漏洞评估数据等产品日志,并通过Cisco Security Monitoring, Analysis, and Response System端点扫描来消除误报现象。用户可快速调节系统以便进一步减少误报现象。
任何安全计划都是为了保持系统的持续在线及适当运行 — 是防止披露安全信息、抵御事故和促进补救的要害。通过Cisco Security Monitoring, Analysis, and Response System,操作人员可快速了解与攻击相关的全部组件,包括不良的以及受到威胁的系统MAC地址。Cisco AutoMitigate功能能够识别攻击路径上的现有“瓶颈”产品,并提供适当的设备命令以供用户抵御威胁,帮助用户快速准确地防止或抵御攻击。
实时调查和制度遵从报告
Cisco Security Monitoring, Analysis, and Response System采用了易用的分析框架,以简化传统的安全工作流,为日常的运行和特定的审计提供自动的案例分配、调查、上报、通知和注释支持。它可从图形上重放攻击并检索已保存的事件数据,以分析以前的事件。系统全面支持非凡查询,用于实时和随后的数据挖掘工作。
Cisco Security Monitoring, Analysis, and Response System提供大量预定义的报告来满足运行要求和制度要求,包括Sarbanes-Oxley、Gramm-Leach Bliley法案 (GLBA)、健康保险便携与责任法案(HIPAA)、美国政府信息安全治理法案 (FISMA) 及欧盟新巴塞尔资本协定(Basel II)等。直观的报告生成工具可修改超过80个标准报告或生成新报告,为创建行动和补救方案、事故和网络活动、安全状态和审计以及部门报告提供无限的方法 — 采用数据、趋势分析和图表等格式。此外,系统还提供批量和电子邮件报告。
网络准入控制 (NAC) 支持
Cisco Security Monitoring, Analysis, and Response System可同时从第2层交换机和思科安全访问控制服务器(ACS)分析、标准化、关联并报告802.1x验证事件。Cisco Security Monitoring, Analysis, and Response System也可使用可扩展的验证协议 (EAP)对第3层路由器和Cisco VPN 3000系列集中器进行同样的操作。这将答应客户确定交换机、思科安全ACS、正在被验证的端点、以及Active Directory 或 NIS等外部验证源之间的连接链,从而对设备验证方法进行排障。Cisco Security Monitoring, Analysis, and Response System还同时为第1和第2阶段的NAC参数提供集中报告,指出设备及状态验证失败的原因。此类报告举例如下:
用户报告
用户详情报告
端点详情报告
被拒绝的端点报告
端点状态查询失败报告
应用状态令牌分配报告
前十大端点和前十大用户违规报告
按端点划分的补救时间报告
快速部署及可扩展的治理
Cisco Security Monitoring, Analysis, and Response System安装在一个TCP/IP网络中,在此网络上它能够收发系统日志消息和简单网络治理协议 (SNMP)陷阱并且能够利用标准的安全或供给商特定协议通过已部署的网络和安全产品来建立安全会话。安装和部署Cisco Security Monitoring, Analysis, and Response System无需更多的硬件、操作系统补丁、许可或专业服务人员的长时间参与。您可通过基于Web的GUI将您的日志源配置为指向产品并定义任何网络和源;可通过从现有的syslog-ng 或 Kiwi系统日志服务器转发消息来快速部署CS-MARS。这个特性消除了将CS-MARS放置到运行网络时所需的许多网络和产品变更。
您可通过支持基于角色的治理的Web安全界面集中治理Cisco Security Monitoring, Analysis, and Response System产品。可选的全局控制器产品实现了大规模安全系统的集中化,可提供整个企业的统一视图,分配访问权限、配置、更新、定制规则和报告模板,并通过可从本地进行处理的加速查询和报告来协调复杂的调查工作。
本地的Cisco Security Monitoring, Analysis, and Response System在整个企业中执行查询和规则,并能够将结果高效合并,在系统的全局控制器上进行快速集中的分析。这个可扩展的架构可提供更高层次的分布式处理和存储,进而提高经济高效性和可治理性,满足大型分散机构的要求。
Cisco Security Monitoring, Analysis, and Response System 技术规格
Cisco Security Monitoring, Analysis and Response System 系列具有不同的性能特征和价格,可满足各种组织的需求和部署要求(见表1)。
表1. Cisco Security Monitoring, Analysis, and Response System 系列产品
思科产品编号
每秒处理的事件数*
每秒处理的NetFlows数
存储量
机架单元
功率
Cisco Security MARS 20(CS-MARS-20-K9)
500
15,000
120 GB (非RAID)
1 RU x 16 英寸.
300W, 120/240V自动切换
Cisco Security MARS 50(CS-MARS-50-K9)
1000
30,000
240 GB RAID 0
1 RU x 25.6英寸
300W, 120/240V自动切换
Cisco Security MARS 100e(CS-MARS-100E-K9)
3000
75,000
750 GB RAID 10 热插拔
3 RU x 25.6英寸
500W,双冗余120/240V自动切换
Cisco Security MARS 100(CS-MARS-100-K9)
5000
150,000
750 GB RAID 10热插拔
3 RU x 25.6英寸
500W ,双冗余120/240V自动切换
Cisco Security MARS 200(CS-MARS-200-K9)
10,000
300,000
1 TB RAID 10热插拔
4 RU x 25.6 英寸
500W,双冗余120/240V自动切换
思科产品编号(全局控制器型号)
分布式监视
支持的型号
最大连接数量
存储量
机架单元
功率
Cisco Security MARS GCm(CS-MARS-GCM-K9)
从CiscoSecurity MARS开始,只限20/50型
5
1 TB RAID 10热插拔
4 RU x 25.6英寸
500W,双冗余120/240V自动切换
Cisco Security MARS GC(CS-MARS-GC-K9)
任意
目前不受限制
1 TB RAID 10热插拔
4 RU x 25.6英寸
500W,双冗余120/240V自动切换
* EPS:打开动态关联和所有特性后每秒处理的事件数量。
基于会话的动态关联
异常情况检测,包括NetFlow
基于行为和规则的事件关联
固有的和用户定义的全面规则
自动网络地址转换(NAT) 标准化
拓扑发现
L3和L2路由器、交换机和防火墙
网络IDS刀片服务器和产品
手动控制的和安排好的自动发现
Security Shell (SSH)、SNMP、远程登录和设备特定的通信
安全漏洞分析
事故触发的基于网络和主机的针对性的指纹采集
交换机、路由器、防火墙和NAT配置分析
自动的安全漏洞扫描仪数据捕捉
自动的和用户控制的误报分析
事故分析和响应
个性化的安全事件治理显示板
根据全面的规则对事件进行基于会话的合并
以图形方式显示攻击路径,包括具体的调查信息
攻击路径设备资料,包括端点MAC身份识别信息
以图形方式按顺序具体的显示攻击模式
事故的具体信息,包括规则、原始事件、常见的安全漏洞和暴露点(CVE)以及抵御选项等
即时的事故调查和误报判定
GUI规则定义,用于支持定制的规则和要害字分析
用基于用户的“备忘录”工作单进行事故上报
通知,包括电子邮件、寻呼机、系统日志和SNMP
通过XML事件通知工具与现有的故障票和工作流系统相集成
查询和报告
低延时的实时事件查询
支持大量默认查询和定制查询的GUI
超过150个常见报告,包括治理、运行和制度遵从等
直观的报告生成工具生成无限数量的定制报告
支持Html和CSV输出的数据、图表和趋势图
实时、批量、模板和电子邮件转发报告系统
第2阶段NAC参数的集中报告
治理
Web界面(HTTPS);使用预定义权限的基于角色的治理
Cisco Security Monitoring, Analysis, and Reporting System全局控制器可对多个Cisco Security Monitoring
Analysis, and Reporting System产品进行层级式治理
验证后的自动更新,包括产品支持、新规则和新特性等
将原始数据和事故档案持续压缩到脱机的NFS存储器中
设备支持
网络:Cisco IOS® 软件11.x 和12.x版本系列;Cisco Catalyst® OS 6.x;Cisco NetFlow 5.0和7.0;Extreme Extremeware 6.x
防火墙/VPN:Cisco Adaptive Security Appliance 7.0、Cisco PIX® Security Appliance Software 6.x和7.0;Cisco IOS Firewall 12.2(T)和更高版本。Cisco Firewall Services Module (FWSM) 1.x、2.1和2.2;Cisco VPN 3000 Concentrator Software 4.0;Checkpoint Firewall-1 NG FP-x 和 VPN-1 FP3、FP4和AI;NetScreen Firewall 4.x和5.x;Nokia Firewall FP3、FP4和AI
IDS:Cisco IDS 3.x、4.x和5.0;Cisco IDS Module 3.x和4.x;Cisco IOS IPS 12.2;Enterasys Dragon NIDS 6.x;ISS RealSecure Network Sensor 6.5和7.0;Snort NIDS 2.x;McAfee Intrushield NIDS 1.5和1.8;NetScreen IDP 2.x;OS 4.x和5.x;Symantec MANHUNT
安全漏洞评估:eEye REM 1.x、Qualys QualysGuard 3.x、FoundStone FoundScan 3.x
主机安全性:Cisco Security Agent 4.x;McAfee Entercept 2.5和4.x;ISS RealSecure Host Sensor 6.5和7.0
防病毒:Symantec Antivirus 9.x、Cisco Incident Control System (Cisco ICS) 1.0、Trend Micro Outbreak Prevention Service (OPS)、Network Associates VirusScan和McAfee ePO
验证服务器:Cisco Secure ACS 3.x和4.x
主机日志:Windows NT、2000和2003 (有代理和无代理);Solaris 8.x、9.x和10.x;Linux 7.x
应用:Web服务器(ISS, iPlanet 和 Apache);Oracle 9i和10g审计日志;Network Appliance NetCache
用于融合并监视任何应用系统日志的通用设备支持
如需更完整的列表,请访问:http://www.cisco.com/en/US/prodUCts/ps6241/products_device_support_tables_list.html
其它硬件规格
专用的19英寸机架安装产品;通过UL认证
安全性加固的OS,提供有限服务的防火墙
2个10/100/1000-MB以太网接口
提供媒体恢复功能的DVD-ROM驱动器
