Cisco Security Monitoring, Analysis, and Response System是基於設備的全方位解決方案,可使您獲得對現有安全部署的無與倫比的洞察力和控制力。作為思科安全管理生命周期的關鍵組成部分,Cisco Security Monitoring, Analysis, and Response System使您的安全和網路機構能夠識別、管理並抵禦安全威脅。它能與您的現有網路和安全部署協作,以識別並隔離不良網元,同時提供準確的清除建議。它還有助於遵從內部策略,是您的整個制度遵從解決方案中不可或缺的組成部分。
基本介紹
- 中文名:路由器
- 外文名:Cisco Security MARS
- 屬性:全方位解決方案
- 作用:管理並抵禦安全威脅
簡介,功能,
簡介
[摘要]Cisco Security Monitoring, Analysis, and Response System是基於設備的全方位解決方案,可使您獲得對現有安全部署的無與倫比的洞察力和控制力...
功能
安全和網路管理員面臨著大量的挑戰,包括:
過量的安全和網路信息
低劣的攻擊和故障識別、優先權分配和回響能力
攻擊手段越來越高明、速度越來越快、補救成本越來越高
滿足制度和審計要求
從事安全工作的人手和預算受到限制
Cisco Security Monitoring, Analysis, and Response System通過以下方式迎接這些挑戰:
集成網路智慧型,以便通過先進的方法將網路異常與安全事件相關聯
顯示得到確認的事故並進行自動調查
充分利用您的現有網路和安全基礎設施,從而抵禦攻擊
監視系統、網路和安全系統,以幫助遵從策略要求
以最低的TCO提供易於部署和使用的可擴展的產品
Cisco Security Monitoring, Analysis, and Response System可將原始的網路和安全數據轉變成情報,以便終止實際的安全事故並保證遵從安全策略要求。這個易用的威脅抵禦產品系列允許操作人員使用基礎設施中現有的網路和安全設備來集中、檢測、抵禦並按嚴重性來報告威脅。
信息安全實踐已從最初的網際網路外圍保護髮展到了深層防禦模式,在此,多種對策分層部署在整個基礎設施中,以應對安全漏洞和攻擊。這種發展是非常必要的,因為攻擊的頻率越來越高、手段越來越高明、速度越來越快 — 模糊了網路內部防禦與外圍防禦之間的界限。
為了發現安全漏洞,攻擊者每天數千次探查網路接入點和系統。先進的混合型攻擊使用多種欺騙性的方法從組織內外部非法訪問並控制系統。即便是最牢固的基礎設施也難以應付蠕蟲、零時差攻擊、病毒、特洛伊木馬、間諜軟體以及攻擊工具的激增,導致回響時間的縮短和故障停機,同時也增加了補救成本。
除了少量的伺服器和網路設備外,每個安全組件都提供單獨的事件日誌和告警特性,用於檢測異常情況,回響並分析威脅。遺憾的是,這種機制生成大量的噪音、告警、日誌檔案和誤報現象,操作人員必須進行辨別或有效使用 — 假設時間和資源允許分析並了解此類信息。此外,為了遵守法律法規,公司必須嚴格保證數據的私密性、提高運行安全性並維護審計流程。
先進的安全信息管理
從邏輯上看,安全信息和事件管理產品似乎能夠抵禦這些問題 — 幫助您評估威脅以便管理它們。這些產品使操作人員能夠將安全事件和日誌匯聚在一起,通過有限的關聯和查詢技術分析這些數據、並針對被隔離的事件生成告警和報告。
遺憾的是,許多第一代和第二代安全信息和事件管理產品都無法提供充分的網路智慧型和性能屬性來更準確地識別並驗證相關事件、更好地發現攻擊路徑、乾淨利落地清除威脅、或者維持較高的事件負載水平。思科系統公司reg; 提供了可擴展的企業威脅抵禦產品來解決這些安全問題和管理不足。Cisco Security Monitoring, Analysis, and Response System提供易於部署和使用的經濟高效的安全命令和控制解決方案,補充了您的網路和安全基礎設施投資。Cisco Security Monitoring, Analysis, and Response System是高性能、可擴展的威脅抵禦產品系列,將網路智慧型、ContextCorrelation™ 特性、SureVector™分析功能以及 AutoMitigate™ 功能結合在一起,進一步鞏固了企業現有的網路產品和安全防範措施,使公司能夠隨時識別、管理並消除網路攻擊,同時保證遵從制度要求。
CS-MARS還與思科外圍安全管理套件Cisco Security Manager (CSM)緊密集成。這種集成可將與流量相關的系統日誌訊息映射到CSM中定義的防火牆策略中,以觸發事件。策略查找功能支持快速的端到端分析,以便排除與防火牆配置相關的網路故障和策略配置錯誤,並對定義好的策略進行進一步的調整。
特性和優勢
網路智慧型事件匯聚與性能處理
Cisco Security Monitoring, Analysis, and Response System提供了網路智慧型,能夠獲知路由器、交換機和防火牆的拓撲和產品配置並整理網路流量。系統的集成網路發現功能可構建拓撲圖,包括產品配置和現有安全策略等,進而能夠模擬穿過網路的分組流。鑒於產品不線上內運行且極少使用現有的軟體代理,因此,只對網路或系統性能產生極低的影響。
產品可將大量的常用網路產品(如交換機和路由器)、安全設備和套用(如防火牆、入侵檢測系統[IDS]、安全漏洞掃瞄器和防病毒套用)、主機(如Windows、Solaris 和Linux系統日誌)、套用(如資料庫、Web伺服器和驗證伺服器)及網路流量產品(如Cisco NetFlow)提供的日誌和事件集中在一起。
Cisco ContextCorrelation
當收到事件和數據時,產品可根據拓撲、已發現的設備配置、相同的源和目的地套用(跨越NAT邊界)以及相似的攻擊類型對信息進行標準化,並將類似的事件實時分成多組會話。隨後對多個會話套用系統或用戶定義的關聯規則以識別事故。Cisco Security Monitoring, Analysis, and Response System產品在供貨時附帶預定義規則的全面補遺,由思科系統公司定期更新,用於識別大多數混合攻擊、零時差攻擊和蠕蟲。基於圖形的規則定義框架可簡化為任何套用創建用戶定義的定製規則的流程。ContextCorrelation特性大幅度減少了原始的事件數據,促進了按優先權回響攻擊,並最大限度地提高了已部署的應對措施的功效。
分散式威脅抵禦
CS-MARS的分散式威脅抵禦(DTM)特性與思科IPS產品結合在一起,可識別檢測到的最活躍的網路攻擊,隨後生成並向網路上的所有Cisco IOS IPS 產品公布最新的簽名定義檔案(SDF)。這個特性可確保將網路上資源有限的IOS IPS產品集中用於針對資源更為寬鬆的IPS產品的簽名。
高性能的匯聚與合併
Cisco Security Monitoring, Analysis, and Response System可捕獲數千個原始事件,以前所未有的數據縮減率對這些事件進行有效分類,並壓縮此類信息以便歸檔。管理如此大量的安全事件需要安全穩定的集中日誌記錄平台。Cisco Security Monitoring, Analysis, and Response System產品經過安全加固,專門用於接收高事件流量 — 每秒超過10,000個事件或每秒超過300,000個 Cisco NetFlow事件。產品通過線內處理邏輯以及嵌入式Oracle系統來實現這種高性能的關聯性。所有的資料庫功能和調整對用戶都是透明的。Cisco Security Monitoring, Analysis, and Response System允許在主機板上保存歷史數據卷宗並將其持續壓縮到NFS備用存儲產品中,因此是可靠的安全日誌/事件匯聚解決方案。
