Система мониторинга, анализа и ответной реакции Cisco Security MARS (Cisco Security Monitoring, Analysis, and Response System) - это аппаратное устройство, предоставляющее возможности детального наблюдения и контроля существующей системы безопасности, обнаружения, управления и отражения угроз безопасности.
Администраторы сети и систем безопасности могут столкнуться со следующими проблемами:
- Очень большой объём информации о состоянии сети и безопасности системы;
- Недостаточная эффективность средств обнаружения, определения значимости атак и сбоев и выработки ответных действий;
- Высокая скорость и сложность атак и высокая стоимость восстановления после атак;
- Необходимость создания отчётов для прохождения аудитов и проверок на соответствие требованиям.
Возможности Cisco MARS
Сбор и обработка информации
Cisco Security MARS накапливает и объединяет всю информацию о топологии сети, конфигурации сетевых устройств и правилах безопасности, получая её от сетевых устройств и систем безопасности, а также путём анализа сетевого трафика. При этом минимально использование агентов, что не снижает производительность сети и системы в целом.
Cisco Security MARS централизованно собирает файлы журналов с маршрутизаторов, коммутаторов, межсетевых экранов, систем обнаружения вторжений, сканеров уязвимостей, антивирусных приложений, с серверов под управлением операционных систем Windows , Solaris , Linux , прикладных программ (например, веб-серверов, серверов аутентификации), СУБД, а также программ обработки трафика (например, Cisco NetFlow).
Выявление корреляции событий
Собранная информация упорядочивается в зависимости от топологии сети, конфигурации устройств, адресов источника и назначения. На основе полученной информации связанные между собой события группируются в сессии в режиме реального времени. В соответствии с системными и заданными администратором правилами Cisco MARS анализирует сессии для выявления инцидентов, сбоев, атак.
Cisco MARS поставляется с большим набором системных правил, который регулярно обновляется и включает в себя обнаружение большинства комбинированных атак, неизвестных атак (zero - day attacks), сетевых червей и т.д.. Администратор может создавать правила для любого приложения с помощью графического интерфейса.
Выявление корреляции событий структурирует информацию о сети и о безопасности системы, что уменьшает необходимый для принятия решений объём информации и помогает определить приоритетные действия по реагированию на атаки, и как следствие, повышает эффективность предпринимаемых мер.
Сбор и накопление больших объёмов данных
Cisco MARS получает информацию о множестве событий в сети, далее структурирует данные, производит сжатие данных для архивации. Обработка огромных объёмов данных возможна благодаря использованию эффективных алгоритмов и встроенной высокопроизводительной базы данных, настройка которой полностью прозрачна для администратора.
Для переноса данных на вспомогательные устройства архивирования, а также для возможности восстановления конфигурации после сбоев Cisco MARS поддерживает сетевую файловую систему NFS и протокол secure FTP .
Визуализация инцидентов и отражение атак
Cisco Security MARS может помочь администраторам быстрее и проще выявлять атаки и сбои, проводить подтверждение инцидентов и осуществлять меры по отражению атак.
Cisco MARS предоставляет мощные графические средства, с помощью которых можно построить карту сети (включая атакуемые узлы, пути атак), отобразить полную информацию об атаках и инцидентах. Это позволяет оперативно провести действия по отражению атак.
MARS анализирует сессии событий для обнаружения и подтверждения атак и сбора информации о них (вплоть до MAC -адресов конечных узлов). Этот автоматический процесс дополняется анализом файлов журналов средств защиты (межсетевых экранов, систем обнаружения вторжений и т.д.) и собственными проверками Cisco MARS на ложные срабатывания.
Кроме того, что Cisco MARS позволяет получить полную информацию об атаке, система автоматически определяет уязвимые для атаки узлы и генерирует команды, которые пользователь может выполнить для отражения атаки.
Сбор информации и отчёты о соответствии в режиме реального времени
Отличительной чертой Cisco Security MARS являются простые в использовании средства структурирования информации о безопасности сети и системы, обеспечивающие автоматическое определение состояния системы, инцидентов и ответных мер как в повседневной работе, так и для проведения проверок и аудитов.
Cisco MARS предоставляет возможность графически отображать атаки как в режиме реального времени, так и воссоздавать схемы атак и инцидентов при анализе событий в прошлом.
Cisco Security MARS предоставляет возможности создания отчётов для различных целей: для разработки планов восстановления после сбоев, для анализа инцидентов и сетевой активности, для аудита текущего состояния безопасности, при этом отчёты могут создаваться в виде текста, таблиц, графиков и диаграмм. Также имеются возможности по созданию отчётов на соответствие множеству зарубежных стандартов (PCI DSS , Sarbanes - Oxley , HIPAA и др.).
Быстрое внедрение и гибкое управление
Для работы Cisco Security MARS необходимо подключение к сети с возможностью посылать и получать файлы журналов, сообщения по протоколу SNMP , а также устанавливать сеансы с сетевыми устройствами и средствами защиты по стандартным или зависящим от производителя защищённым протоколам.
Для установки Cisco MARS не требуется дополнительного оборудования, обновлений операционных систем, получения дополнительных лицензий или проведения вспомогательных работ. Для работы необходимо лишь, используя веб-интерфейс, настроить сетевые устройства и средства защиты на соединение с Cisco MARS , а также настроить сети и сетевые узлы, которые необходимо контролировать.
Cisco MARS позволяет передавать файлы журналов на внешний сервер для объединения с существующей сетевой инфраструктурой. Также Cisco Security MARS позволяет установить дополнительное устройство управления (Global Controller), обеспечивающее: иерархическое управление несколькими системами Cisco MARS, объединение отчётов отдельных систем, задание правил и шаблонов отчётов и обновления для локальных систем Cisco MARS.
Подробное описание возможностей Cisco MARS
Динамическая сеансовая корреляция :
- Обнаружение аномалий, включая информацию NetFlow
- Корреляция событий на основе поведения и правил
- Общие встроенные и определенные пользователем правила
- Автоматическая нормализация транслированных сетевых адресов
Построение топологической схемы :
- Маршрутизаторы, коммутаторы и межсетевые экраны уровня 2 и 3
- Модули и устройства сетевой системы обнаружения вторжений
- Ручное или по графику построение
- SSH, SNMP, Telnet и зависящие от конкретного устройства взаимодействия
Анализ уязвимостей :
- Снятие следов нарушений на основе сети или конечного узла
- Анализ конфигурации коммутаторов, маршрутизаторов, межсетевых экранов и NAT
- Автоматическая обработка данных сканирования уязвимостей
- Выполняемый автоматически и заданный пользователем анализ ложных срабатываний
Анализ нарушений и ответная реакция :
- Инструментальная панель управления отдельными событиями безопасности
- Объединение данных сеансовых событий с контекстом всех правил
- Графическое представление пути атаки с подробным анализом
- Профили устройств на пути атаки с определением MAC-адресов конечных узлов
- Графическое и подробное последовательное представление типа атаки
- Подробные данные нарушения, включая правила, необработанные события, общие уязвимости и способы воздействия на сеть, а также варианты отражения
- Мгновенный анализ нарушений и определение ложных срабатываний
- Определение правил с помощью графического интерфейса пользователя для поддержки собственных правил и анализа по ключевым словам
- Оценка нарушений с выдачей по пользователям рабочего листа с описанием пошаговых действий
- Оповещение, включая электронную почту, пейджер, системный журнал и SNMP
Формирование запросов и отчетов :
- Графический интерфейс пользователя, поддерживающий большое число стандартных и настраиваемых запросов
- Более 80 распространенных отчетов, включая отчеты по управлению, эксплуатации и контролю нормативного соответствия
- Генератор отчетов с наглядным интерфейсом, позволяющим создавать неограниченное число пользовательских отчетов
- Текстовый, графический и общий формат отчетов, поддерживающий экспорт в файлы HTML и CSV
- Создание готовых к печати, групповых, типовых и пр. отчетов
Администрирование :
- Web-интерфейс HTTPS; ролевое администрирование с заданными полномочиями
- Иерархическое управление несколькими системами Cisco MARS с помощью глобального контроллера
- Автоматические обновления, включая поддержку устройств, новых правил и функций
- Постоянный перенос архивов необработанных данных нарушений в автономные хранилища NFS
Поддержка устройств :
- Сетевое активное оборудование: Программное обеспечение Cisco IOS, версии 11.x и 12.x; ОС Cisco Catalyst версии 6.x; Cisco NetFlow версии 5.0 и 7.0; Extreme Extremeware версии 6.x.
- Межсетевые экраны/VPN: Cisco Adaptive Security Appliance версии 7.0, программное обеспечение для устройств защиты Cisco PIX версии 6.x и 7.0; межсетевой экран Cisco IOS версии 12.2(T) или выше; модуль функций межсетевого экрана Cisco (FWSM) версии 1.x, 2.1 и 2.2; программное обеспечение для Cisco VPN 3000 версии 4.0; межсетевой экран Checkpoint Firewall-1 NG FP-x и VPN-1 версии FP3, FP4 и AI; межсетевой экран NetScreen версии 4.x и 5.x; межсетевой экран Nokia версии FP3, FP4 и AI.
- Системы IDS: Система Cisco IDS версии 3.x, 4.x и 5.0; модуль Cisco IDS версии 3.x и 4.x; система Cisco IOS IPS версии 12.2; система Enterasys Dragon NIDS версии 6.x; сетевой сенсор ISS RealSecure версии 6.5 и 7.0; система Snort NIDS версии 2.x; система McAfee Intrushield NIDS версии 1.5 и 1.8; система NetScreen IDP версии 2.x; ОС версии 4.x и 5.x; система Symantec MANHUNT.
- Системы оценки уязвимости: система eEye REM версии 1.x и FoundStone FoundScan версии 3.x.
- Системы безопасности конечных узлов: программа-агент Cisco Security Agent версии 4.x; система McAfee Entercept версии 2.5 и 4.x; датчик для конечных узлов ISS RealSecure Host Sensor версии 6.5 и 7.0.
- Антивирусное ПО: Symantec Antivirus версии 9.x.
- Серверы аутентификации: Сервер Cisco ACS версии 3.x и 4.x.
- Операционные системы конечных узлов: ОС Windows NT, 2000 и 2003 (с агентами и без); ОС Solaris версии 8.x, 9.x и 10.x; ОС Linux версии 7.x.
- Приложения: Web-серверы (ISS, iPlanet и Apache); Oracle 9i и 10g; NetCache.
- Универсальная поддержка устройств для объединения и мониторинга системных журналов любых приложений.
Дополнительные аппаратные характеристики :
- Устройства специального назначения, монтаж в стойку 19 дюймов; сертификация UL.
- ОС с усиленной защитой; межсетевой экран с сокращенным набором функций.
- Два интерфейса Ethernet 10/100/1000.
- DVD-ROM с дисками для восстановления.
Методики информационной защиты эволюционировали от защиты периметра на стыке с Internet к «глубинной» модели, при которой множественные меры противодействия распределены на многих уровнях по всей инфраструктуре. Многоуровневая модель становится необходимостью вследствие увеличения количества атак, увеличения их сложности и скорости реализации. Объекты сети могут тысячи раз за день подвергаться сканированию в поисках уязвимостей. Современные «смешанные» или гибридные атаки используют множество хитроумных методик для получения неавторизованного доступа и контроля как снаружи, так и изнутри организаций. Распространение «червей», вирусов, «троянов», шпионских программ и специального программного обеспечения представляет угрозу даже для серьезно защищенных сетей, оставляя меньше времени на реагирование и увеличивая стоимость восстановления.
Кроме того, в добавление к большому количеству серверов и сетевых устройств, каждый компонент системы защиты ведет свой журнал событий, имеет свой набор инструментов для обнаружения аномалий, реагирования на угрозы. К сожалению такая ситуация приводит к необходимости обрабатывать огромное количество разрозненных журналов событий, ложных сигналов опасности, следствием чего становится отсутствие возможности эффективного реагирования оператора.
Продукты, предназначенные для управления информационной безопасностью и событиями, позволяют определенным образом оценивать угрозы, и соответственно их обрабатывать. Данные решения позволяют службам ИТ-безопасности централизованно собирать и обрабатывать данные о событиях, использовать корреляции, очереди обработки, и генерировать отчеты…..
Обзор решения компании Cisco Systems
Cisco Security MARS — это аппаратное, полнофункциональное решение, обеспечивающее понимание и контроль существующей системы безопасности. Являясь частью комплекса управления безопасности, MARS позволяет идентифицировать, контролировать, и пресекать угрозы безопасности. Решение работает с существующей сетью и системой безопасности с целью нахождения, изолирования и устранения проблемных элементов. Также MARS помогает поддерживать целостность внутренней политики безопасности и может быть интегрирована как часть общего решения регулирования сети.
Администраторы безопасности сталкиваются с множеством проблем, таких как:
- Чрезмерный поток поступающей информации о сети и системы безопасности
- Проблемы при распознании атак и ошибки при идентификации, приоритезации и реагировании
- Усложнение атак, увеличение стоимости восстановления
- Необходимость поддержания соответствия системы безопасности
- Проблемы с персоналом
Cisco Security MARS позволяет решить данные проблемы следующим образом:
Интегрирует сетевые данные для построения корреляций сетевых аномалий и инцидентов безопасности
Отслеживает возникающие инциденты и автоматизирует исследование
Ослабляет атаки используя все возможности существующей сети и инфраструктуры безопасности
Отслеживает состояние объектов, сети, процедур безопасности на соответствие требуемому шаблону
Выступает как масштабируемое решение, простое во внедрении и эксплуатации, при низкой стоимости владения
Cisco Security MARS преобразовывает первичные данные в форму удобную для обработки, обеспечивает возможность целенаправленно обнаруживать, пресекать и генерировать отчеты для приоритетных угроз, с использованием устройств уже внедренных в сетевую инфраструктуру.
Развитие средств управления информационной безопасности и предотвращения угроз
В рамках решения данной задачи Cisco предлагает линейку масштабируемых аппаратных комплексов. Cisco Security MARS одна из высокопроизводительных, масштабируемых систем, защищающих сетевые устройства и оптимизирующих информационную безопасность путем комбинирования данных о сети, функций корреляции контента «Context Correlation», «SureVector™ analysis», возможности автоматического пресечения угроз. Платформа MARS, тесно интегрирована с комплексом управления безопасностью — Cisco Security Manager. Такая интеграция позволяет привязывать сообщения о событии к политике настроенной в Cisco Security Manager. Обзор политик позволяет проводить оперативный анализ работы политик безопасности на firewall и обнаруживать сетевые проблемы и ошибки конфигурирования.
Возможности и преимущества
Интеллектуальная обработка событий и управление производительностью
Cisco Security MARS, использует сетевые данные применяя знания о топологии сети, конфигурации устройств и профили сетевого трафика. Интегрированная в систему функция исследования сети строит топологическую схему, включающую конфигурации устройств и применяемые политики безопасности, что позволяет Cisco Security MARS моделировать потоки данных в сети. Поскольку Cisco Security MARS не обрабатывает непосредственно сетевой трафик, и минимально использует программные элементы сети, воздействие на общую производительность сети остается минимальным.
Cisco Security MARS централизованно собирает данные о событиях с широкого круга сетевых устройств, таких как маршрутизаторы и коммутаторы; устройств и приложений безопасности таких как, сетевые экраны, устройства распознания вторжений , сканеры уязвимостей, и антивирусные приложения. Также обрабатываются данные с конечных систем (Windows, Solaris, Linux), приложений (базы данных, Web-серверов и сервера аутентификации), статистика по сетевому трафику (Cisco NetFlow).
Контекстная корреляция
При получении данных выстраивается единая схема соответствия с сетевой топологией, конфигурацией устройств, параметрами трансляций адресов (NAT). Соответствующие события группируются в режиме реального времени. Затем системные и пользовательские правила корреляции применяются для выявления сетевых инцидентов. Cisco Security MARS поставляется с полнофункциональным набором шаблонов корреляций, регулярно обновляемых Cisco, которые позволяют выявлять большую часть различных комплексных атак. Графические инструменты упрощают создание правил для различных приложений. Контекстная корреляция существенно уменьшает объем обрабатываемых «сырых» данных, что позволяет реализовать приоритезацию реагирования и повышает результативность применяемых контрмер.
Высокопроизводительное агрегирование
Cisco Security MARS обрабатывает миллионы первичных сообщений, проводит эффективную классификацию событий, что позволяет существенно уменьшить объемы данных и сжимает информацию для архивирования. Управление такими объемами данных требует стабильной и безопасной централизованной платформы. Устройства Cisco Security MARS оптимизированы для обработки большого количества событий, до 15000 в секунду, или 300000 Cisco NetFlow событий в секунду. Кроме того MARS поддерживает резервирование и восстановление конфигураций и данных через NFS, и sFTP.
Визуализация и подавление инцидентов
MARS позволяет ускорить и упростить процесс обнаружения, исследования, оценки и устранения угроз. Обычной проблемой для персонала служб ИТ-безопасности является большие затраты времени на анализ и разрешение возникающих событий безопасности. В данном случае, Cisco Security MARS – это функциональный, интерактивный инструмент для управления безопасностью и создания правил.
Графическая рабочая среда отображает топологическую карту, показывающую события, направления атак, детализацию инцидентов, что позволяет мгновенно идентифицировать существующие угрозы. Cisco «SureVector analysis» обрабатывает близкие группы событий для оценки реальности угрозы, и ее происхождения, вплоть до MAC-адреса конечного устройства. Автоматизация процесса происходит путем анализа журналов событий таких устройств как сетевые экраны и устройства предотвращения вторжений (IPS), сторонних систем оценки данных и результатов сканирования конечных устройств для предотвращения ложных срабатываний. Используя Cisco Security MARS, службы безопасности получают средства для быстрого понимания компонентов сложной атаки, и идентификации пораженной системы. Функции «автоматического подавления» Cisco находит доступные контрольные устройства на пути атаки, и автоматически предоставляют соответствующие команды, которые оператор может быстро применить для устранения угрозы.
Оперативный анализ и проверка соответствия
Cisco Security MARS предоставляет легкую в использовании структуру, упрощающую текущую работу по поддержанию безопасности, автоматизирующую исследование, эскалацию, оповещение, документирование текущих операций и специализированный аудит. Cisco Security MARS графически отображает атаки и извлекает накопленные данные для анализа предыдущих событий. Система полностью поддерживает произвольные запросы, для оперативного получения информации.
Cisco Security MARS предлагает множество встроенных шаблонов запросов, поддерживает совместимость с протоколами PCI-DSS, GLBA, HIPAA, FISMA, Basel II. Генератор отчетов позволяет модифицировать более чем 100 стандартных, либо создавать новые с неограниченными возможностями для планирования процедур реагирования и восстановления, отслеживания инцидентов и сетевой активности, отслеживания соответствия политик безопасности и проведения аудита. Также поддерживается рассылка отчетов.
Скорость и простота внедрения
При внедрении Cisco Security MARS необходимо обеспечить возможность отправки и получения «syslog» сообщений, сообщений SNMP (SNMP traps), также необходимо наличие связи с установленными сетевыми устройствами по общепринятым, либо закрытым протоколам. Не требуется ни дополнительного оборудования, ни модифицирования используемого программного обеспечения. Таким образом конфигурируется пересылка сообщений на Cisco Security MARS, и объекты наблюдения добавляются через «Web-based GUI». MARS может пересылать статистику на внешние сервера, для интеграции с текущей инфраструктурой.
CiscoWorks Security Information Management Solution (SIMS)
Представляем описание системы сетевого мониторинга, сбора, обработки данных и управления сетевыми устройствами.
CiscoWorks Security Information Management Solution (SIMS)
- это система управления, мониторинга и сбора статисткики, в архитектуру которого заложена многоуровневая модель (рис.1), что позволяет наращивать систему поэтапно по мере роста сетевой инфраструктуры предприятия.
SIMS представляет собой ядро - единую точку сбора всех происшествий в сети, их классификацию и непрерывный мониторинг.
Основные задачи SIMS :
- мониторинг;
- сбор данных, полученных от межсетевых экранов, устройств, обнаружения атак, антивирусных и операционных систем, а также приложений;
- анализ и обработка данных;
- представление конечного результата в графическом виде - отчеты и диаграммы;
SIMS позволяет получать данные о возможных нарушениях безопасности не только отдельного устройства, например IDS, а сети в целом, а это дает возможность увидеть сильные/слабые стороны в организации сетевой безопасности.
SIMS предназначена для сетей крупных предприятий и интернет провайдеров, имеющих в сети от 30 до нескольких тысяч узлов, может работать вместе с такими системами, как HP Openview и Micromuse. А также, при обнаружении сетевых вторжений, SIMS может создавать инциденты с описанием проблемы и отправлять их в службу технической поддержки корпоративной сети.
Центральным компонентом системы является ядро. Это система быстрого реагирования, представляющая собой распределенное приложение. SIMS позволяет получать уведомления о нарушениях политик безопасности в любой точке корпопативной сети, формирует отчеты и обеспечивает к ним доступ с любого приложения, поддерживающего веб-интерфейс.
Принцип работы технологии SIMS можно разделить на 4 части:
1. Стандартизация.
Данные от различных сетевых устройств собираются агентами (рис. 2), которые обрабатывают события, собирают их в группы (распознают до 20 тыс различных событий), приводят к одну типу данных (IDMEF) и пересылают их по протоколу TCP серверу с установленным на нем главным приложением (ядро SIMS) по обработке данных.
2. Объединение.
Ядро SIMS распределяет полученые данные в 9 групп (рис. 3) в зависимости от степени важности с точки зрения безопасности. В больших сетях, за счет маштабируемости системы, можно использовать несколько таких серверов для обеспечения распределенной обработки.
3.Анализ полученных данных.
Система анализирует и обработывает полученные данные. На данном этапе работы системы можно задать настройки шаблонов, политик безопасности и дифференцирования уровней защиты различных участков сети.
4.Визуализация.
На четвертом, последнем этапе, SIMS представляет результат своей работы в удобном графическом виде (рис. 4). Система позволяет создавать различные графики, таблицы и диаграммы для наглядного представления данных. Используя параметры, хранящиеся в базе данных системы, можно провести сравнительный анализ как по отдельным критериям, так и системы в целом.
Достоинства продукта:
- Масштабируемость
- Распределенная архитектура
- Интеграция с Openview и Micromuse
SIMS можно приобрести как отдельное программное обеспечение и установить на сервер, так и уже установленное на платформе высокопроизводительного сервера.
Таблица 1. Информация для заказа решения SIMS 3.1 с аппаратной платформой.
Таблица 2. Информация для заказа SIMS 3.1 (только программное обеспечение)
| Номера продуктов | Описание |
| CWSIM-3.1-SS-K9 | SIMS 3.1 базовая конфигурация для OC Solaris; Включает лицензию на мониторинг до 30 сетевых устройств, лицензия на 1 главный сервер по обработке данных, 1 дополнительный сервер по распределенной обработке данных и на 1 один сервер для базы данных. |
| CWSIM-3.1-SL-K9 | SIMS 3.1 базовая конфигурация для OC Linux; Включает лицензию на мониторинг до 30 сетевых устройств, лицензия на 1 главный сервер по обработке данных, 1 дополнительный сервер по распределенной обработке данных и на 1 один сервер для базы данных. |
| CWSIM-3.1-DS-K9 | Дополнительная лицензия на сервер хранения данных для существующего решения CiscoWorks SIMS 3.1 работающего под управлением ОС Solaris. |
| CWSIM-3.1-DL-K9 | Дополнительная лицензия на сервер хранения данных для существующего решения CiscoWorks SIMS 3.1 работающего под управлением ОС Linux. |
| CWSIM-3.1-ADD20-K9 | Лицензия на добаление 20 агентов в рабочее решение CiscoWorks SIMS 3.1 функционирующее под управлением OC Solaris или Linux. |
| CWSIM-3.1-MON30-K9 | Лицензия SIM 3.1 для Cisco Secure Agent на мониторинг 30 серверов 300 рабочих станций |
| CWSIM-3.1-MON75-K9 | Лицензия SIM 3.1 для Cisco Secure Agent на мониторинг 75 серверов 750 рабочих станций |
| CWSIM-3.1-EN-K9 | Лицензия на добавление сервера по распределенной обработке данных под управлением ОС Solaris или Linux. |
| CWSIM-3.1-20LND-K9 | Лицензия на мониторинг до 20 low-end устройств и OC на серверах |
| CWSIM-3.1-100LNDK9 | Лицензия на мониторинг до 100 low-end устройств и OC на серверах |
| CWSIM-3.1-500LNDK9 | Лицензия на мониторинг до 500 low-end устройств и OC на серверах |
Таблица 3. Минимальные требования для установки ПО SIMS 3.1.
| Аппаратная часть | Требования |
| Процессор | Linux: Dual Intel Pentium 4 1.5 GHz (server class) |
| Solaris: Dual UltraSPARC-IIi 444 MHz (server class) | |
| Оперативная память | 4 GB |
| Свободное место на диске | 18 GB |
| Устройство хранения | CD-ROM |
Дополнительную информацию можно найти на сайте Cisco Systems http://www.cisco.com/go/sims
Cisco Security Monitoring, Analysis and Response System (CS-MARS)
Cisco Security Monitoring, Analysis and Response System (CS-MARS) - это система для контроля сети, позволяющая проводить корреляцию событий безопасности в сети и обеспечивающая контроль за соблюдением правил с целью упреждающего реагирования на несанкционированный доступ и проникновение в сеть. Система престаляет из себя программное обеспечение, установленное на высокопроизводительный сервер.
Основные функции системы:
- мониторинг сети;
- построение сетевого графа;
- обнаружение сетевых атак и их графическая отрисовка;
- изучение настроек сетевых устройств;
- сбор данных анализ и обработка данных, полученных от различных сетевых устройств;
- представление конечного результата в виде графиков, отчетов и диаграмм;
MARS осуществляет отображение сетевой инфраструктуры в графическом виде, отрисовывая в реальном времени распространение сетевых атак (рис. 1). Проводя анализ конфигураций маршрутизаторов, коммутаторов и межсетевых экранов (МСЭ), система MARS обладает достаточным интеллектом, чтобы проследить источник заражения, с которого производится несанкционированный доступ, даже если он находится за МСЭ.
Для построения топологии сети (рис. 2), взаимодействия с коммутаторами (должны поддерживать SNMP STP MIB) и маршрутизаторами (должны поддерживать SNMP MIB II) MARS использует протокол snmp, а для взаимодействия с МСЭ и получения их конфигурации, система использует telnet, SSH и CPMI.
MARS ведет учет и распознавание событий, которые могут генерировать практически все сетевые устройства:
- сетевые устройства: Cisco IOS 11.x, 12.2, Catalyst OS 6.x, NetFlow 5.0, 7.0, Extreme Extremeware 6.x;
- МСЭ/VPN: Cisco PIX Firewall 6.x, IOS Firewall, FWSM 1.x, 2.2, Concentrator 4.0, Checkpoint Firewall-1 NGx, VPN-1, NetScreen Firewall 4.0, 5.0, Nokia Firewall;
- IDS: Cisco NIDS 3.x, 4.x, Network IDS module 3.x, 4.x, Enterasys Dragon NIDS 6.x ISS RealSecure Network Sensor 6.5, 7.0, Snort NIDS 2.x, McAfee Intrushield NIDS 1.x, NetScreen IDP 2.x, OS 4.x, 5.x, Symantec MANHUNT;
- Антивирусное ПО: Symantec A/V;
- Сервера аутентификации: Cisco ACS;
- Операционные системы: Windows NT, 2000, 2003(с агентами или без), Solaris, Linux (требуется установка агента);
- Приложения: Web Servers (ISS, iPlanet, Apache), Oracle 9i, 10i audit logs, Network Appliance NetCache, Oracle 9i and 10i;
MARS может обрабатывать до 10 тысяч событий в секунду. Система поддерживает масштабируемость, для этого в сетях крупных предприятий и интернет провайдеров можно создать двухуровневую архитектуру за счет использования MARS-контроллеров, к которым может подключиться несколько MARS-серверов. При использовании такой архитектуры сеть делится на «зоны» и каждая закрепляется за определенным MARS-сервером.
Система MARS позволяет централизованно настраивать сетевые политики, производить сбор данных и создавать до 80 различных видов стандартных отчетов.
О зафиксированных нарушениях MARS может сообщать по snmp-протоколу, электронной почте, скидывать сообщения на пейджер или вести учет событий syslog.
Система MARS не требует приобретения лицензий на поддержку агентов и/или базы данных.
Достоинства продукта:
- Масштабируемость
- Распределенная архитектура
- Отсутствие системы лицензирования
Информация для заказа:
| MARS - сервера | Производительность (событий в секунду) | Событий NetFlows в сeкунду | Хранение данных | Форм фактор | Блок питания |
| Cisco Security MARS-20-K9 (PN-MARS 20) | 500 | 15000 | 120GB (неRAID) | 1RU x16” | 300W |
| Cisco Security MARS-50-K9 (PN-MARS 50) | 1000 | 30000 | 240GB RAID0 | 1RU x25.6” | 300W |
| Cisco Security MARS-100E-K9 (PN-MARS 100e) | 3000 | 75000 | 3RU x25.6” | два по 500W (один запасной) | |
| Cisco Security MARS-100-K9 (PN-MARS 100) | 5000 | 150000 | 750GB RAID10 поддержка горячей замены | 3RU x25.6” | два по 500W (один запасной) |
| Cisco Security MARS-200-K9 (PN-MARS 200) | 10000 | 300000 | 4RU x25.6” | два по 500W (один запасной) | |
| MARS - контроллеры | Подключаемые устройства | Количество подключений | Хранение данных | Форм фактор | Блок питания |
| Cisco Security MARS-GCMK9 (PN-MARS GCm) | только MARS-сервера 20/50 | до 5 | 1TB RAID10 поддержка горячей замены | 4RU x25.6” | два по 500W (один запасной) |
| Cisco Security MARS-GC-K9 (PN-MARS GC) | Любые MARS-сервера | На данный момент нет ограничений | 1TB RAID10 поддержка горячей замены | 4RU x25.6” | два по 500W (один запасной) |
Система мониторинга, анализа и ответной реакции Cisco MARS
Система мониторинга, анализа и ответной реакции Cisco MARS (Cisco Security Monitoring, Analysis, and Response System) является аппаратной комплексной платформой, предоставляющей не имеющие аналогов возможности тщательного наблюдения и контроля существующей системы безопасности. Являясь ключевым элементом жизненного цикла управления безопасностью, Cisco MARS предоставляет ИТ-подразделениям и персоналу обслуживания сети возможность обнаружения, управления и отражения угроз безопасности.
|
Описание |
Цена GPL |
|
|
CS-MARS 25 Appliance |
||
|
CSMARS 25R 1RU Appliance;75 EPS; 250 GB |
||
|
CSMARS 55 1RU Appliance;1500EPS;500GB,RAID 1,Redundant |
||
|
CSMARS 110R 2RU Appliance;4500EPS;1500GB,RAID 10,Redundant |
||
|
CSMARS 110 2RU Appliance;7500EPS;1500GB,RAID 10,Redundant |
||
|
CSMARS 210 2RU Appliance;15000EPS;2000GB,RAID10,Redundant |
||
|
MARS GC2 2RU Appliance;2000GB;RAID10;Redundant PS |
||
|
CSMARS-GC2-LIC-K9= |
Upgrade license for CS-MARS-GC2R to CS-MARS-GC2 |
На основе имеющихся инвестиций в
сеть и систему безопасности данная система выполняет обнаружение и изоляцию
элементов, нарушающих нормальную работу сети, а также предоставляет
администраторам рекомендации по их полному устранению. Кроме того, данная система
обеспечивает поддержку соответствия политикам безопасности и может быть
включена как составляющая в состав общей системы соблюдения соответствия
нормативным документам.
Администраторы сети и системы безопасности стоят перед множеством сложных задач включая:
- Информационная сложность системы безопасности и сети.
- Недостаточная эффективность средств обнаружения, определения приоритетов и выработки ответных действий в отношении атак и сбоев.
- Повышенная сложность, скорость распространения и стоимость ликвидации последствий атак.
- Необходимость соблюдения норм соответствия и требований по отчетности.
- Нехватка специалистов по безопасности и денежных средств.
Cisco MARS позволяет решить эти задачи за счет следующих действий:
- Интеграция в сеть интеллектуальных функций для повышения эффективности механизма корреляции сетевых аномалий и событий безопасности.
- Визуализация подтвержденных нарушений безопасности и автоматизация их расследования.
- Отражение атак за счет использования всех преимуществ существующей инфраструктуры сети и безопасности.
- Мониторинг конечных узлов, сети и операций службы безопасности для обеспечения соответствия нормативным документам.
- Предоставление масштабируемого и простого в реализации и использовании устройства с минимальными совокупными затратами владения (TCO).
Cisco MARS обеспечивает преобразование предоставляемых сетью и системой безопасности необработанных данных о злонамеренной активности в понятную информацию, которая может быть использована для устранения подтвержденных нарушений безопасности и обеспечения соответствия нормативным документам. Набор удобных в использовании аппаратных средств отражения угроз позволяет администраторам централизованно обнаруживать, определять приоритетность и отражать угрозы с помощью уже внедренных в инфраструктуру сетевых устройств и устройств защиты.
