ArcSight Logger

Firma ArcSight jest pionierem w dziedzinie zarządzania zdarzeniami bezpieczeństwa. Do testów wybrano urządzenie ArcSight Enterprise Security Manager and Logger, chociaż firma oferuje też dodatkowe moduły do monitorowania zgodności. W odróżnieniu od pozostałych testowanych rozwiązań zawierających pewne elementy funkcjonalności SIEM, Logger służy wyłącznie do zbierania zdarzeń z logów i raportowania. Nie zawiera zestawów reguł do przetwarzania zdarzeń - zbiera informacje, które chcemy analizować, i generuje raporty.

Do testów dostarczono Logger 4, z serii urządzeń 7200 (2U, sześć dysków RAID5 o maks. pojemności 1 TB). Użycie domyślnej kompresji pozwala na zapamiętanie 42 TB danych bez konieczności ich przenoszenia do archiwum. Logger 4 pracuje na platformie Oracle Enterprise Linux (64-bit) z jednym lub dwoma procesorami Intel Xeon Quad Core 2 GhHz, dwoma lub czterema interfejsami sieciowymi i 12 lub 24 GB RAM. Konfigurowanie i zarządzanie może odbywać się z interfejsu wierszy komend (CLI) lub webowego interfejsu graficznego, zabezpieczanego protokołem HTTPS.

ArcSight zapewnia obsługę kilku platform klienckich oraz różne sposoby wysyłania komunikatów o zdarzeniach do Loggera: oprócz protokołów UDP, TCP, Syslog, FTP, SCP - komunikaty mogą być odbierane na różne inne sposoby (w tym pliki tekstowe) lub zbierane i wysyłane z pomocą agentów-konektorów (przewidziano ponad 100 różnych ich typów). Konektory odbierają zdarzenia w swoim rodzimym formacie, normalizują dane i dostarczają w formie strukturalizowanej do urządzenia ArcSight. Strukturalizacja danych jest konieczna, ponieważ ArcSight nie zapewnia możliwości uruchomienia raportu na danych niestrukturalizowanych. Konektory mogą także: filtrować, buforować zdarzenia i operować przepustnicą pasma sieci. Agenty konektorów są jednak dość duże (konektor Windows - 179 MB). Zdarzenia mogą być także zbierane przez jeden Logger i ekspediowane do innego - przydatne dla oddziałów zamiejscowych.

Zdarzenia są gromadzone w indywidualnych grupach pamięci (do pięciu), które mogą być ustawiane dla poszczególnych typów urządzeń, różnych sieci lub według innych kryteriów gromadzenia. Grupy pamięci mogą być konfigurowane pod względem rozmiaru, maksymalnego wieku zdarzenia i priorytetów raportowania.

Pulpit dostosowany do roli użytkownika monitoruje wydajność systemu, w tym użytkowanie CPU i rejestrowanie zdarzeń. W zakładce Analyze można definiować kwerendy wyszukujące i alarmy. Kwerendy mogą zawierać słowa kluczowe, jak również wyrażenia logiczne, a złożone wyszukiwania mogą byćżna budowaneć z pomocą Search Builder. Kwerendy są realizowane jednocześnie na wielu Loggerach. Wyniki mogą być przechowywane i eksportowane, a kwerendy mogą być- przekształcone w alarmy (maks. 5 aktywnych alarmów).

Raporty to kolejny silnymocny punkt produktu, który dostarczany jest z dużą liczbą wbudowanych raportów i z największą liczbą opcji ich edytowania. Raporty mogą być uruchamiane ad hoc lub według harmonogramu i konwertowane na różne formaty, w tym HTML, PDF i Excel.

Cztery główne typy użytkowników Loggera: System Admins, Logger Operator, event log Searchers i Reporters - są dopuszczone do posługiwania się opcjami raportowania. Każda rola może zostać skonfigurowana z różnym poziomem dostępu i uprawnień.

Firma ArcSight zawsze była liderem na rynku rozwiązań do zarządzania logami i dlatego Logger jest jednym z najlepiej wypadających produktów w naszych testach. Ulepszeń można oczekiwać w zakresie alarmów czy zmniejszeniu rozmiaru agenta.