Rozwiązania do zarządzania logami
- Józef Muszyński,
- Roger Grimes,
- 10.02.2011
ArcSight Logger
Firma ArcSight jest pionierem w dziedzinie zarządzania zdarzeniami bezpieczeństwa. Do testów wybrano urządzenie ArcSight Enterprise Security Manager and Logger, chociaż firma oferuje też dodatkowe moduły do monitorowania zgodności. W odróżnieniu od pozostałych testowanych rozwiązań zawierających pewne elementy funkcjonalności SIEM, Logger służy wyłącznie do zbierania zdarzeń z logów i raportowania. Nie zawiera zestawów reguł do przetwarzania zdarzeń - zbiera informacje, które chcemy analizować, i generuje raporty.
ArcSight zapewnia obsługę kilku platform klienckich oraz różne sposoby wysyłania komunikatów o zdarzeniach do Loggera: oprócz protokołów UDP, TCP, Syslog, FTP, SCP - komunikaty mogą być odbierane na różne inne sposoby (w tym pliki tekstowe) lub zbierane i wysyłane z pomocą agentów-konektorów (przewidziano ponad 100 różnych ich typów). Konektory odbierają zdarzenia w swoim rodzimym formacie, normalizują dane i dostarczają w formie strukturalizowanej do urządzenia ArcSight. Strukturalizacja danych jest konieczna, ponieważ ArcSight nie zapewnia możliwości uruchomienia raportu na danych niestrukturalizowanych. Konektory mogą także: filtrować, buforować zdarzenia i operować przepustnicą pasma sieci. Agenty konektorów są jednak dość duże (konektor Windows - 179 MB). Zdarzenia mogą być także zbierane przez jeden Logger i ekspediowane do innego - przydatne dla oddziałów zamiejscowych.
Pulpit dostosowany do roli użytkownika monitoruje wydajność systemu, w tym użytkowanie CPU i rejestrowanie zdarzeń. W zakładce Analyze można definiować kwerendy wyszukujące i alarmy. Kwerendy mogą zawierać słowa kluczowe, jak również wyrażenia logiczne, a złożone wyszukiwania mogą byćżna budowaneć z pomocą Search Builder. Kwerendy są realizowane jednocześnie na wielu Loggerach. Wyniki mogą być przechowywane i eksportowane, a kwerendy mogą być- przekształcone w alarmy (maks. 5 aktywnych alarmów).
Cztery główne typy użytkowników Loggera: System Admins, Logger Operator, event log Searchers i Reporters - są dopuszczone do posługiwania się opcjami raportowania. Każda rola może zostać skonfigurowana z różnym poziomem dostępu i uprawnień.
Firma ArcSight zawsze była liderem na rynku rozwiązań do zarządzania logami i dlatego Logger jest jednym z najlepiej wypadających produktów w naszych testach. Ulepszeń można oczekiwać w zakresie alarmów czy zmniejszeniu rozmiaru agenta.