事件关联分析软件刀片
总体介绍
事件关联分析软件刀片对Check Point安全网关和第三方设备提供集中、实时的安全事件关联分析和管理。数据的自动汇总和关联分析不仅能够把数据分析所需时间降至最少,而且可以隔离和突出真正的安全威胁。
利用事件关联分析软件刀片,安全团队无需再梳理设备在其环境中所生成的大量数据。相反,他们可以集中全力,针对高风险性威胁部署相关资源。
主要优势
- 将安全事件转换为行动项
- 迅速查明此前未检测到的活动
- 实时反应,降低商业风险
- 确定资源优先次序,优先解决最重要威胁
- 易于安装和部署,总体拥有成本低
- 使当前安全投资创造更高的价值
特点
可扩展、分布式架构
事件关联分析软件刀片提供了一个灵活的可扩展的平台,在大型企业网络中,该平台每天针对每个相关性单元能够管理数百万个日志。通过其分布式架构,事件关联分析刀片可以安装在单个服务器上,但是其业务处理负荷可以扩展至多个相关性单元。
集中事件关联分析
事件关联分析软件刀片对所有Check Point产品以及第三方设备提供集中的事件关联分析和管理。第三方设备包括:防火墙、路由器、交换机、操作系统、邮件服务器、网络服务器、入侵检测系统和各类杀毒应用。事件关联分析软件刀片相关性单元与Check Point和第三方设备建立安全连接后,就可以获得原始日志数据,数据的集中汇总、规格化、建立相关性关系和分析活动全部在相关性单元进行。在事件关联分析刀片中,利用专利归属未定的日志分析技术,很容易把第三方设备日志转换为Check Point格式。在不同的层面上逐层执行数据缩减和相关性功能,这样,只有重大威胁事件才向上一层报告,以便继续进行分析。超出预定义事件策略设定参数的日志数据视为安全威胁事件。事件关联分析刀片提供大量预定义的但易于定制的安全事件,以便快速部署。这些事件可能是未经许可的对有缺陷主机的扫描、未经许可的登录、拒绝服务攻击、网络异常和其他基于主机的活动。IT安全人员还可以利用向导创建他们自己的事件日志或预定义事件,对系统进行微调,以满足其特别需求。
随后对威胁事件进行深入分析,确定每一事件的严重级别。根据事件的严重级别,此时可能会触发自动应对措施,立即停止在网关的有害活动。当新的信息涌入时,严重级别可以进行调整,以便适应新的情况。
易于部署
事件关联分析软件刀片与现有的SmartCenter™ 和Provider-1® 日志服务器连接,无需为了日志搜集和分析目的而单独配置每个设备日志服务器。事件关联分析刀片服务器能够自动访问和使用SmartCenter 或Provider-1所定义的所有对象,以获得事件策略定义并执行该策略。此外,这种紧密的一体化集成使事件关联分析刀片能够自动了解网络拓扑结构,以及检测对拓扑参数非常敏感的相关事件。
易于维护
装入网络之后,事件关联分析软件刀片可以提供一种学习模式,针对某一站点,设定正常的活动模式,它还能提议改变策略,以便对系统进行微调。易于使用的事件向导具有更大的灵活性,使用户可以定制事件,满足具体的环境需求。安装维护非常简便,用户利用现有的IT/安全人员即可。
规格描述
| 特点 | 详细说明 |
|---|---|
| 支持第三方设备* | Apache、BlueCoat、思科、Check Point、 F5、Fortinet、ForeScout、Juniper、 ISS、Linux、McAfee、微软、NetContinuum、诺基亚、北电、Sendmail、Snort、太阳、赛门铁克、Tipping Point、Top Layer和TrendMicro |
| 搜集的日志数据 | 防火墙;路由器;交换机;操作系统;VPN设备;杀毒应用、邮件服务器和网络服务器;入侵检测系统(IDS);入侵防御系统(IPS);SSL VPN和端点防火墙 |
| 自动查明日志来源 | 解析器确定导致事件发生的产品 |
| 智能学习模式 | 设定基本活动,发现正常趋势 |
| 预定义安全事件 | 扫描、DOS、未经许可访问、病毒报警、和一些与主机有关的安全事件 |
| 可定制安全事件 | 按照产品、日志域和条件过滤 单个或多个事件 事件输出格式 图形用户界面表示 |
| 全球例外情况及具体例外事件 | 定制警报,按照产品、来源、攻击目标及服务排除发生的安全事件 |
| 包括时间对象 | 对事件策略进行微调 |
| 动态更新 | 更新解析和事件定义 |
| 日志解析编辑器 | 把第三方日志转换为Check Point格式 |
| 可扩展、分布式架构 | 日志服务器、事件关联分析服务器和事件服务器可以部署在单独的系统上 |
| 事件数据库自动维护 | 可定制 |
| 日志搜集方法 | 无代理软件 – 支持系统日志、SNMP Trap和 Check Point feeds. 基于代理软件,使用Check Point的安全OPSEC ELA API,支持Check Point日志的脱机输入 |
| 自动反应 | 电子邮件、SMTP、OPSEC SAM API 阻止, 定制脚本,以消除风险 |
| 每秒钟发生安全事件次数 | 2,300次 |
| 短期存储 | 默认值60天 |
| 长期存储 | 是,取决于硬件 |
| 风险消除 | 监测用户活动、安全事件数据、基础设施数据、服务器与主机事件、防火墙配置的改变、自动反应状态和系统状态 |
| HA 特点 | |
| 网络发现 | 对象数据库与管理刀片保持同步 |
| 网络安全管理系统集成 | 通过SNMP支持监测产品和系统状态 |
| 管理与多域管理集成 | |
| 基于作用的管理 | 与管理刀片同步 |
| 标准化报告 | 医疗保险携带与责任法案(HIPAA)、金融服务现代化法案(GLBA)和联邦信息安全管理法案(FISMA)、巴塞尔新资本协议和Visa实施的持卡人信息安全计划(CISP) |
| 支持控制框架 | COBIT – “信息系统与技术控制目标”标准;ISO 27002 (前身为ISO 17799) |
*更多最新信息请查阅产品手册
更新
网络威胁在不断地发展,而且变得日益复杂。为了保证网络运行的连续性和效率,用于应对威胁的技术手段必须同步迅速发展,以便提供保护业务运行的技术和手段。Check Point提供的更新服务通过提供关键的热软件补丁、服务包和主要软件升级版本,保护企业免受最新网络威胁的危害。
优点
- 利用关键的热补丁和服务包,保证安全的连续性
- 利用主要升级版本和强化版,使投资回报率和投资价值最大化
- 利用最新的应用、特点和技术,增加安全性
