Siem Analytics

 
 Поиск

 

Уменьшить шрифт Увеличить шрифт ОБЗОРЫ

      HP ARCSIGHT

Программно-аппаратное обеспечение HP ArcSight – это линейка продуктов компании Hewlett Packard, лидирующих в сфере мониторинга и контроля событий информационной безопасности. Решения HP ArcSight осуществляют сбор, обработку, сопоставление и реагирование на такие события, предоставляя всеобъемлющие функции масштабируемости, защиты и отказоустойчивости. Системы HP ArcSight позволяет каждую минуту обрабатывать сотни тысяч событий информационной безопасности, чтобы автоматизировать решения по обеспечению постоянной ИБ в организации. Продукты HP ArcSight активно используются крупнейшими мировыми операторами связи, финансовыми организациями и государственными структурами.

Основой линейки HP ArcSight является комплекс HP ArcSight Security Intelligence, а его ядром – HP ArcSight Enterprise Security Manager (ESM), в линейке SIEM HP Arcsight имеется более доступный для массового пользователя форм-фактор ArcSight Express. ArcSight Express и ArcSight ESM - это два разный продукта, отличающихся и технологически, и функционально. Они не могут быть объединены в единую систему. Программа HP ArcSight ESM служит для сбора, обработки и хранения событий ИБ, расположенных в разных источниках, интегрируется с разнообразными прикладными системами и устройствами (свыше 300) и содержит несколько сотен предварительно установленных правил корреляции.
К слову, разработка правил корреляции в HP ArcSight имеет гибкий, мощный функциональный, но сложный в освоении и использовании механизм. Однако, вендор предвидя гнев пользователей системы внедрил в интерфейс упрощенный редактор для простых случаев – lightweight rule.

В поставку HP ArcSight ESM также может включаться агент FlexConnector для интеграции с приложениями любого типа. Будучи лидером рынка, HP ArcSight ESM легко развертывается в территориально распределенных организациях с низкоскоростным сетевым подключением. SIEM решение поставляется как в программном, таки и в программно-аппаратном варианте.

HP ArcSight на данный момент не сертифицированна серийно в системе сертификации ФСТЭК России.

| | | | |

Сентябрь 2016 года.
По данным новостного агрегатора CRN Hewlett Packard Enterprise 7 сентября объявила о крупной сделке по продаже ряда «непрофильных» софтверных бизнесов (включая решения для больших данных и ИТ-безопасности) в том числе и SIEM решение ArcSight.

Июль 2016 года.
В разделе «Сравнительный анализ SIEM систем» проекта SIEM Analytics была актуализированная и дополнена сравнительная таблица SIEM систем.

Июнь 2015 года.
Компания «ДиалогНаука», системный интегратор в области информационной безопасности, на конкурсной основе осуществила поставку и внедрение для Корпоративного центра ОАО «Ростелеком» подсистемы регистрации и учета событий на базе HP ArcSight ESM.

разместить новость все новости о ArcSight


все обсуждения



На данный момент активные акции по SIEM ArcSight отсутствуют.

разместить акцию

Применение SIEM HP ArcSight в Российской Федерации

Применение HP ArcSight в государственных и муниципальных нуждах недопустимо т.к. не отвечает требованиям Российского законодательства (Федерального закона от 29 июня 2015 года № 188 О внесении изменении в Федеральный закон "Об информации, информационных технологиях и о защите информации" и статью 14 Федерального закона "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд"), т.к HP ArcSight не является Российской программой для электронных вычислительных машин баз данных и не числится в реестре Российского программного обеспечения.

Положение продукта

Если говорить о положении продукта в компании-вендоре то стоит упомянуть что, Топ-менеджмент ArcSight покинул HP, так же как и ведущие проектировщики и идеологи продукта (http://www.crn.com/news/security/240148917/hp-overhauling-security-units-denies-arcsight-sale-spin-off.htm?pgno=1).
HP Несет убытки, компанию ожидает реструктуризация (http://qz.com/50045/hp-board-is-studying-whether-to-break-up-the-company/), будущее ArcSight неопределенно.

Состав комплексного решения SIEM-системы HP ArcSight Security Intelligence включает в себя:

HP ArcSight Logger (входит в поставку HP ArcSight Express и HP ArcSight ESM) – эффективное управление журналами аудита любого типа для решения задач любой степени сложности. Сбор, фильтрация, анализ и хранение больших объемов данных по событиям ИБ, которые генерируются в современных информационных системах. Может развертываться в программном и аппаратном виде.

HP ArcSight Threat Response (входит в поставку HP ArcSight Express и HP ArcSight ESM) – мгновенное реагирование на инциденты ИБ путем анализа информации от HP ArcSight ESM, локализация проблем и применение ответных мер.

HP ArcSight Configuration Management – определение конфигураций сетевого оборудования и настроек безопасности.

HP ArcSight Fraud Detection (входит в поставку HP ArcSight ESM) – определение и предотвращение онлайн-мошенничества в трех связанных областях: неправомерное использование номера банковского счета, выявление транзакций и создание счетов. Отслеживание таких параметров, как время между созданием и использованием счета, IP-адрес компьютера и алгоритмы использования для определения вероятности неавторизованного доступа и перехвата данных счета.


ArcSight располагает мощными модулями мониторинга событий ИБ, поведенческого анализа, развитой настраиваемой системой правил обработки событий безопасности. Объемы аналитики, загруженные в систему, огромны. Важным показателем для оценки SIEM-систем является поддержка большого количества различных устройств и приложений. По этим показателям ArcSight оставляет позади многих конкурентов.
Помимо классических систем ИБ, ArcSight поддерживает большую часть ПО корпоративного класса, СУБД и решения HP по управлению ИТ-инфраструктурой. Российский рынок ИБ отличается тем, что на нем широко представлены отечественные решения. Так, продукцию «Лаборатории Касперского» или «Информзащиты» нетрудно встретить чуть ли не в каждой второй организации. Конечно же, это больное место всех иностранных SIEM-систем, в том числе и ArcSight. Однако производитель предусмотрел возможность написания коннекторов для нестандартных систем, что позволило российским партнерам ArcSight «подружить» систему с рядом популярных продуктов.

При проведении пилотов SIEM HP ArcSight мы часто сталкиваемся с разочарованием у Заказчиков, ряд функциональных возможностей в системе не организован так, как у его прямого конкурента от IBM. В частности: автообнаружение источников событий и автонастройка в ArcSight ограничена, в то время как у IBM данный функционал реализован почти для 150 источников событий, в том числе с автоматической настройкой.
Возможность мониторинга сетевого трафика в ArcSight ограничена. Анализ сетевого трафика реализован только до Уровня 4. Сетевые потоки при этом обрабатываются как события безопасности, а не как потоки. SIEM-система HP ArcSight не поддерживает получение сетевых потоков в реальном времени, не сохраняет и не анализирует содержимое пакетов.
Отсутствует функционал мониторинга виртуальных сетей.
За все приходится платить, и ArcSight не исключение. Пользователи зачастую жалуются на сложность в освоении системы и необходимость долгой наладки многочисленных параметров перед тем, как продукт заработает на полную мощность. Заметим, интерфейс пользователя в ArcSight основан на Windows, мощный, полнофунциональный, гибкий и единообразный, но местами слишком сложный. К огромному количеству вкладок и подпунктов нужно привыкать и учиться в них разбираться. Справедливости ради стоит упомянуть что в системе есть также Web-интерфейс.
К минусам следует отнести и дороговизну продукта. Достаточно сказать, что в состав ArcSight ESM входит СУБД Oracle, но даже ее стоимость оказывается незначительной, по сравнению с общей ценой решения.

Не можем обойти вниманием и саму реализацию хранения событий в SIEM ArcSight. HP Arcsight (Express и ESM) в качестве СУБД использует собственную разработку CORR. В системе по умолчанию не реализована возможность хранения «сырых – raw» событий в БД. Для анализа «сырых – raw» событий их нужно извлекать специальным образом через консоль.
В системе реализовано централизованное хранение данных. Для географически распределенных организаций необходимо передавать все события в центральную БД, где и выполняется вся обработка.

Структура нормализации

Структура нормализации HP ArcSight насчитывает несколько сотен стандартных полей. Но кастомизировать из них можно только десяток. Остальные поля - фиксированы. Т.е. нужно помнить о том, что в поле, например "Колическо исходящих пакетов" на самом деле хранится Кредитный лимит.

Лицензирование

С точки зрения модели лицензирования, например ArcSight Express, то она очень похожа на SIEM IBM Qradar. У IBM Qradar в лицензировании участвуют три ключевых параметра: количество событий в секунду (EPS), количество сетевых потоков (FPM), а также количество источников событий. Всего три отдельно лицензируемых опции. Т.е. любая инсталляция обладает полным функционалом SIEM, лицензия ограничивает только производительность.

У ArcSight ESM ядро системы лицензируется по объему логов в день (производительность). Кроме ядра необходимо лицензировать набор различных параметров и опций, например: количество пользователей, лицензия на разработку собственных коннекторов, количество источников событий (считается раздельно по типам источников), модули соответствия требованиям, log management и т.д.
ArcSight ориентируется на крупные корпорации, и далеко не каждая компания может себе ее позволить.

Стоимость продления HP ArcSight на 6 месяцев

 


Стоимость

Описание лицензии

HP ArcSight FlexConnect Kit SW E-LTU
HP SW ARST Content ESM Entiment SVC
HP ArcSight AE-7410 Server
HP ArcSight IV EXPR 2.00 Eng SW E-media
HP ArcSight SC 5.14 Eng SW E-media
RTS Charge (Undeterminable days)

~ 1 млн. 700 тыс. руб.

HP SW ARST Content ESM Entiment SVC
HP ArcSight AE07425 Server
RTS Charge (Undeterminable days)

~ 1 млн. 600 тыс. руб.

HP ArcSight Lgr 30GB/d 200Dev SW E-LTU
HP ArcSight CONAPP 50 Con SW E-LTU
HP ArcSight SC 5.14 Eng SW E-Media
RTS Charge (Undeterminable days)

~ 500 тыс. руб.

Скриншоты


© SIEM Analytics 2012-2016 г.
Все права защищены. 

copyright.

Рейтинг@Mail.ru Яндекс.Метрика