Security Threat Response Management (STRM)

Az előadások a következő témára: "Security Threat Response Management (STRM)"— Előadás másolata:

1 Security Threat Response Management (STRM)
Szűcs László, ICTS Hungary Kft. Nincs megfelelő magyar kulcsszó a címre, inkább célszerűen benne hagyom az STRM angol betűszót.

2 Ügyfél oldali kihívás IT “információ” túláradás
A különböző hálózati és biztonsági berendezésekből generált naplózott események zúdulnak ránk A megfelelő képzettség is tapasztalat hiánya nehezíti az egymástól sokszor eltérő formátumú adatok feldolgozását és eszközök kezelését Megfelelőségi követelmény Iparág specifikus szabályoknak és rendelkezéseknek kell megfelelni a biztonsági rendszereinknek Vállalati belső biztonsági követelmények Külső és belső fenyegetettség Belső felhasználók visszaélései, szellemi termékek eltulajdonítása Külső, komplex támadások elleni védekezés Információ túláradás Mindenki ismeri azt a problémát, amikor valamilyen bekövetkezett rendszer esemény után szükséges nyomoznunk. Ilyenkor többféle logforrást kell átnéznünk, sokszor a megfelelő log file megtalálása is gond, illetve ha megtaláltuk ki kell szűrjük a számunkra fontos információt. Iparági szabályok

3 A Juniper megoldása: “Security Threat Response Manager”
Integrált megoldás a hálózati és biztonsági berendezéseink adatainak kezelésére STRM főbb funkciói Napló kezelés Az adatok (adatfolyam és napló) hosszú távú gyűjtése, tárolása, visszakeresése és kimutatások készítése Biztonsági riasztások események menedzsmentje (SIEM) Központi kezelése , monitorozása, korrelációja a különböző, eltérő adatformátumú eseményeknek Hálózati viselkedés és anomáliák kezelése, detektálása (NBAD) Felfedezi a hálózatok normálistól eltérő működését az alkalmazások és hálózati adatfolyamok figyelése alapján (flow) Log Management Security Information & Event Management STRM Network Behavior Analysis STRM kb. 3 éves termék STRM is log management, Security event management and network anomaly behavior detection – kombinációja egy dobozban – Korrelálja az eseményeket, kezeli az adatfolyamokat (flow management), kimutatások készítésére alkalmas és biztosítja a megfelelőséget az iparági előírásoknak. A piacon ismert hálózati eseménykezelő rendszerekkel szemben a lényeges megkülönböztetője/jellemzője a naplókezelési része/tudása. Pl. NSM-el lehetséges az eszközöket (pl. tűzfal/IDP) menedzselni, konfigurálni, szintén alkalmas alapfokú naplózásra, de nem alkalmas nagy mennyiségű, különböző forrásból és különböző formátumban keletkezett események kezelésére. Szintén korlátozottak a lehetőségek események gyors lekérdezésére és keresésére. Az STRM mindhárom lényeges feladatot elvégzi, és nem csak Juniper eszközökkel használható. Képességeiben és csatlakozási felületeiben illeszkedik gyakorlatilag a teljes piaci portfolióhoz (több mint 100 gyártó eszközei) Ha az informatikai rendszerében naponta több százezer esemény/napló bejegyzés történi, szinte reménytelen megfelelően kiértékelni/kezelni egy arra alkalmas eszköz nélkül. A Juniper STRM megoldását erre a feladatra fejlesztették ki.

4 Az STRM legfontosabb képességei
Támadás detektálás Log menedzsment Törvényeknek, szabályoknak való megfelelőség Kiegészíti a Juniper nagyvállalati portfolióját Az STRM legfontosabb hozzáadott értéke a fenyegetettség/támadás detektálás mely során a - különböző eszközök felöl érkező eseményeket (pl. syslog, SNMP), továbbá - a routerek és kapcsolók felől begyűjtött adatfolyamokat (jflow, sflow, netflow) és - az interface-ein begyűjtött információkat összegezi, korrelálja és emberi „fogyasztásra” alkalmas formában jeleníti meg. A log menedzsment is nagyon fontos része az IT üzemeltetésnek napjainkban és sok kérdés felvetődik ezzel kapcsolatban: - Hogyan tudjuk logjainkat menedzselni és archiválni? - Hogyan lehet legegyszerűbb módon előkeresni historikus adatokat és jelentést készíteni belőlük? STRM magadja a választ mind a két kérdésre: A logokat tárolhatja a saját helyi diskjein, távoli fálj rendszereken (NFS,ISCSI) Az előírásoknak való megfelelőség is kulcsfontosságú bizonyos vállalatoknál – specifikusan a pénzügyi, kormányzati (védelmi) területeken és egészségügyben. Az STRM több mint 100 előre definiált jelentés mintát tartalmaz, melyek megfelelnek a HIPPA/SOX/PCI és egyéb előírásoknak. Juniper specifikusan: Az STRM beleilleszkedik a Juniper nagyvállalati menedzsment termékcsaládjába és integráltan együttműködik velük. (NSM, IDP Profiler, Junos Space) ******************************************************************************************************************************* The key proposition with STRM is the threat detection mechanism, it combines events from devices (syslog, snmp) and looks at NW info from routers like (jflow sflow netflow) and also listening on wire for traffic at interface level and combining them into a meaningful event happening in your network. If device sends STRM a message of some type of attack it missed and NW portion picked the anomaly, STRM can combine those two and add a greater value than just showing you syslog or flow. This gives the operator overview and complete network picture compared to looking at just Security logs. Log Management is also very imp today, Admins/Customers ask “How we can manage and archive logs” “How can look at historical data and generate reports” - STRM does a fantastic job of storing and archiving logs – it can store logs on loca disk, remote disks using NFS, ISCSI Compliancy is really imp – specially in financial, defense and healthcare industries. STRM has built in 100+ report templates that are HIPPA/SOX/PCI and other standards STRM very well integrates with Enterprise mgmt portfolio – this is not a separate product anymore. There is some level of integration today with NSM and IDP Profiler - There are also plans of integrating this into Nextgen Juniper product – “Junos Space” . Hozzáadott érték Juniper STRM berendezés

5 STRM Architektúrája STRM – Valós idejű hálózati és biztonsági események megjelenítése Adat gyűjtés a hálózati, biztonsági eszközökből és alkalmazásokból A beépített intelligencia és analízis lehetőségek egyszerűsítik az üzemeltetést Prioritásokkal megjelölt “támadások” kiemelik a fontos információt [This slide is a build up. Each layer builds the story of how STRM delivers centralizes network & security information resulting in 3 key value propositions (threat, compliance & log Management)] Script: [Build 1] A key feature of STRM is the ability to centralize all Network & Security management functions in a single console. The console provides customizable access to the information as required by specific individuals in the organization, whether they be in network and security operations, management, or in an executive position. It provides different views into the information collected including event management, network & security surveillance, threat management, and compliance reporting. [Build 2] Fundamental to STRM is the ability to provide log and event collection across all the disparate network and security technologies deployed on the network. Differentiating Q1 is the ability to integrate traditional network and security events with network and application flow data, and user and device identity information. [Build 3] Once all information is collected, STRM provides unique surveillance by combining all of the information in a way that provides both real-time and historical context of what has happened in the past to more effectively gauge current behavior. [Build 4] A key capability of STRM is the ability to deliver prioritized “offenses” that is a significant improvement over what a traditional SIEM solution will provide. Through advanced event correlation and behavior analysis, STRM can better deliver actional information to the network and security operation teams. [Build 5] There are many benefits to the STRM solution. One of the more compelling reasons to implement STRM is that it provides exceptional value because it solves 3 difficult challenges in one solution. We’ll now discuss each of these solutions, log, threat and compliance management in more depth. Megoldás, amely hatékonyan integrálja a támadások detektálását, napló kezelést és jogszabályi megfelelőséget

6 Nagyvállalati probléma STRM megoldás
Log Menedzsment Log Management Kiemelten fontos minden központi IT biztonsági menedzsment rendszerben Nagyvállalati probléma STRM megoldás Skálázható aggregációja és rendszerezése a beérkező eseményeknek Nagy mennyiségű napló bejegyzés Multi-vendor környezet, folyamatosan változó formátumú események kezelése Széleskörű támogatása a különböző gyártóknak és fejlesztési lehetőség a kevésbé ismert formátumokhoz Now Looking at challenges that industry currently faces and how STRM can solve it. Log overload of administrator – Operators and admins do not have time/ resources to look at al the logs coming in and to figure out whats happening in their network. Also businesses have products from multiple vendors could be from acquisitions or other reasons. Multivendor log management is a big issue, the problem is how they can look at logs, how they can archive it. If you are getting 10K EPS the data would grown to Tera bytes in couple of hours. How can you move that data to external storage and still make it accessible for compliancy. How can you get to that data 6 months after the incident happened? STRM gives you all these capabilities, it can be deployed in highly scalable environment. Securing these logs is also possible as the data is encrypted in backend with various encryption algorithms – this keeps the data from being tampered. Egyedülálló log menedzsment az adatok meghamisíthatatlan tárolásával Biztonságos üzemeltetési követelmények

7 STRM Log menedzsment Az eltárolt adatok biztonságos tárolása
Management Az események és adatfolyam adatok (flow) állományait titkosítja, illetve ellenőrző összeggel látja el a rendszer tároláskor Bizonyos szabályok/előírások is igénylik (pl. PCI) A legmagasabb szintű adatintegritást a „Secure Hashing Algorithm" (SHA) biztosítja - National Institute of Standards & Technology (NIST) Hashing algoritmusok: MD2: Message Digest algorithm, RFC1319 MD5: Message Digest algorithm, RFC1321 SHA-1: Secure Hash Algorithm, NIST FIPS 180-1 SHA-2: Amely tartalmazza az SHA-256, 384 és 512-t, NIST FIPS Here is some more information on securing the logs – the various encryption protocols it uses. STRM also meets various compliance standards for log retention and archiving.

8 Egyedülálló adat-, és naplókezelés
Log Management Egyedülálló adat-, és naplókezelés Hálózati események Switch-ek & routerek, beleértve adatfolyam adatokat (flow) Biztonsági naplók Tűzfalak, IDS/IPS, VPN, sérülékenység vizsgálók, Antivírus & UTM berendezések Operációs rendszerek Microsoft, Unix és Linux Alkalmazások Adatbázisok, levelező rendszerek, webes rendszerek Felhasználók és IT eszközök Azonosítási adatok A legnagyobb gyártók támogatása: Hálózatok: Juniper, Cisco, Extreme, Nokia, F5, 3Com, TopLayer … Biztonság: Juniper, Bluecoat, Checkpoint, Fortinet, ISS, McAfee,Snort, SonicWall, Sourcefire, Secure Computing, Symantec, … Adatfolyam adatok: NetFlow, JFlow, Packeteer FDR, & SFlow Operációs rendszerek: Microsoft, AIX, HP-UX, Linux (RedHat, SuSe), SunOS, … Alkalmazások: Oracle, MS SQL, MS IIS, MS AD, MS Exchange, … Botnet Egyedi naplóformátumok kezelése a Device Support Module (DSM) és Adaptive Logging Exporter (ALE) segítségével Egyedi és általánosan elterjedt alkalmazások kezelésének lehetősége Compliance Templates Forensics Search Policy Reporting Looking at architecture of STRM This gives you broad overview of how STRM collects and parses the logs. When people talk abt logs – first thing comes to mind is firewall, IDS solutions, AD / LDAP servers. STRM broadens the scope – it collects logs not only from firewalls, routers, switches but also from operating systems – Solaris/Linux/Windows also from applications Oracle, Sybase, Exchange, IIS etc – from vulnerability scanners etc It gets these logs and normalizes them – Normalizing is making sense of these logs – making it human readable form. Since the logs are recd from multiple devivces from diff vendors – each follow their own standar. These Logs recvd are in different formats – STRM standardizes them into a single format that end users can understand. Then there is Asset weight - you can define weightage for each asset based on importance - and when it gets attacked you can bump up the priority of that offense and take action on it in real time. STRM can also

9 Jelentések készítése 1500+ előre elkészített minta
Log Management 1500+ előre elkészített minta Teljes körűen konfigurálható jelentéskészítő motor, jelentéskészítő varázslók támogatásával Előre elkészített csomagok a különböző előírásoknak megfelelően: PCI, SOX, FISMA, GLBA, és HIPAA Jelentések készítése folyamat leírásoknak megfelelően: NIST, ISO and CoBIT Gyártó specifikus jelentések Router-ek /switchek VPN/SSL Tűzfalak/IDP UTM Alkalmazások Adatbázisok Hozzáférések (Access) Reporting is a major Contributor for STRM Reports are run serially – Scheduling all reports for 1:00 am will not hurt the system Ability for users to share templates Default templates available to added users through Share Reports may be formatted in one or all of the following formats: PDF — Portable Document Format (Most Common) HTML — Hyper Text Markup Language format (Portal Export) RTF — Rich Text Format (Good for copy and paste) CVS, XML — (Exporting data to another system)

10 Biztonsági események korrelálása és támadások kezelése
Threat Management Fontos komponens a beérkező adatok értelmezéséhez Nagyvállalati probléma STRM megoldás A korrelációs szabályok kezelése nehézkes Egyszerűsített építőelemekből összeállított szabályrendszer A különböző gyártók napló formátumai „QID map” funkcióval összerendelhetőek a különböző események Once it starts collecting data - It can correlate data automatically its more like a plug and play solution. QID map solution – STRM has 100K+ different event categories built into that categorizes the event in different formats. So events from multi vendors devices are categorized correctly. There is a weekly update for these mapping that incorporates the changes made by any vendors. Constant change on network – Network is constantly changing You can review historical data, you can go back to data per user/IP etc. You can trail the activity that happened in last 6 month – 1 year A hálózat/rendszer folyamatos változásainak kezelése Korábbi adatok strukturált megjelenítésének lehetősége

11 STRM Támadás (Offense) menedzsment
Threat Management STRM Támadás (Offense) menedzsment Biztonsági események, flow adatok, sérülékenységi és támadási minták összehozása egy un. „Offense”-be Figyelembe veszi a hálózat különböző pontjain megjelenő és időben is eltérő eseményeket, tranzakciókat az esetleges támadás során. A beérkező események ezrei és láncolatai tartozhatnak össze és alkothatnak egy támadást, melyeket egy támadásként jelenít meg. A hálózat viselkedés alapú megfigyelését is elvégzi a még nem ismert támadások beazonosítására. (NBAD) Prioritásokat rendel a támadásokhoz súlyossági, hihetőségi és relevancia alapokon. Network Behavior Anomaly Detection (NBAD) Whats an offense – how are they generated We look at 3 things when creating offenses Credibility - How credible are the events coming in from devices – messages coming in from lab / production firewall have different weightage, based on this I can define – messages coming from production firewall are more credible than that of lab firewalls Relevance – what type of attacks happened, hat type of targets are hit – Severity based on number targets in attack, number of affected hosts The STRM Series’ Offense Manager brings together the security events, asset profiles/vulnerabilities and traffic flows, relating them to policy violations, misuse and threats to your business. It is within the Offense Manager that the true benefits of converging network and security knowledge from Juniper devices can be seen as opposed to more traditional security management technologies. Offenses bring together events and network flows that may span time or network location. They are a complete record of all security events, network transactions and additional contextual information (derived from correlation tests) observed during an attack. The magnitude that the JSL assigns to an individual offense is the metric that highlights the most important offenses within the network. Magnitude is a consistent measurement throughout STRM Series and it is applied to the individual event categories that end up creating an offense. The magnitude, represented on a scale of 0-10, is the result of combining three different criteria: severity, credibility and relevance as they apply to monitored information. Severity: Indicates the amount of threat an attacker poses in relation to how prepared the target is for the attack. This value is mapped to an event category that is correlated to the offense. Credibility: Indicates the integrity or validity of an offense as determined by the credibility rating from devices reporting the individual security events. The credibility can increase as multiple sources report the same event. Relevance: Determines the significance of an event or offense in terms of how the target asset has been valued within the network. For example, attacks against customer databases are more relevant than the same attacks directed against print servers. An offense is initially created from knowledge of an attacker, a target network (or asset), events and a period of time. Thousands of security and network events (often from different categories) may indicate one offense against a network or asset. The magnitude of an offense can be modified at any time due to real-time changes observed within the network and also the analysis that is performed on incoming events by the Offense Manager. Using the elements of severity, credibility and relevance, the STRM Series associates the Juniper device events from the processor with an offense and passes them though a number of different Offense Analysis Modules. The results of each module contribute weight to the overall severity, credibility and relevance of the entire offense. As a result, the overall magnitude of the offense either increases or decreases. The following Offense Analysis Modules are

12 Adatfolyamok kezelése - áttekintés
Threat Management Adatfolyam többféle forrásból érkezhet: Csomag alapú monitorozásból: SPAN, tükrözött port, vagy „tap" port Layer 7 szintű monitorozás Konfigurálhatóan, hogy mennyi csomagot vizsgáljon az adatfolyam indulásakor (session felépítésnél) Adatfolyam (flow) adatok switch-ből vagy router-ekből Tipikusan Layer 4 szintű adatok kezelése Alkalmazások azonosítása port szám alapján Formátumok: NetFlow, JFlow, sFlow, etc… Mindenféle beérkezett flow egységes formátumban kerül tárolásra Szövegelemzővel szűrve (IP, Portok, Protokol, Protocol specifikus opciók pl. TCP flag-ek vagy ICMP kódok, Interface IDs, etc…)

13 Az adatfolyam (flow) hozzáadott értéke
Threat Management A passzív adatfolyam (flow) monitorozással létrehozhatóak az eszközökre jellemző profile- ok, melyek segítenek az osztályozásban Felhasználhatóak korreláláshoz Az ismeretlen támadások – amelyek aláírás mintáit még nem ismerjük - felismerésében is segíthet (day-zero attacks) Szabályok monitorozásában és a rosszindulatú szerverek detektálásában is használható A támadások teljesen láthatóvá válnak akkor is, hacsak egy eseményt okoztak A hálózat viselkedését láthatóvá teszi, és segíthet nem csak a hálózatbiztonsági problémák megoldásában Pl. levelezési hurkok, rosszul beállított alkalmazások, teljesítménnyel kapcsolatos problémák Flow information adds value to STRM product – it correlates events and syslogs with number of bytes/packets information as such. It automatically creates asset profiles based on flow information You have STRM receiving flow information from routers / switches – IT can monitor what type of traffic is in network – information on all the chatty stuff in network. This gives you deeper visibility in the network – Once you put events and flows together you have very powerful correlation engine that will give you the ability to take control of your network.

14 Az adatkezelés kulcsa az adatmennyiség csökkentése
Threat Management Az adatkezelés kulcsa az adatmennyiség csökkentése Az elmúlt 24 órában keletkezett adat (2.7M logs) STRM STRM korreláció után megjelenő Offense (129) A támadás (offense) teljes folyamata megjeleníthető részletes információkkal Data reduction is also very important in maintaining the system. Looking at the records only 129 are interesting events that have become offenses. Everything else is archived Későbbiekben prioritás rendelődik hozzá az okozott követlezmények függvényében

15 Támadás menedzsment Ki a támadó ? Mit támadnak ? Mi a követ- kezmény ?
Threat Management Ki a támadó ? Mit támadnak ? Mi a követ- kezmény ? Drilling down into offenses you can see Whos attacking – user id , src ip, mac addr Magnitude – combination of credibility, severity and relevance Vulnarability scnaner – shows you whats vulnerable Location coming from - src ip, geographic location, region, network What is being attacked can easily be seen from here. You can drill down into offense to see all the events that triggered this offnese – you can see each of the 10K events if you want to Since it has built in integration with NSM IDP profiler and other scanners you can simply Right click an IP and find out what ports are open on that device. All this data is very important from network point of view For e.g A FW sitting infornt of Mail server is fwding logs to STRM – now the mail server was attacked at 3 AM in morning. FW will send the logs to STRM – and Router would send flow information to STRM. Now STRM can correlate this information and generate an offense – it can automatically increase the magnitude and bump up the priority and alert the operators. ON top of it can integrate with VA scanner and tell you what other ports are open on your mail server Hol kell még vizsgálódni ?

16 Az STRM alkalmazásának előnyei
Központi menedzsment konzol Integrált megjelenítése az egyébként elkülönült hálózati és biztonsági adatoknak A hálózati infrastruktúrától az alkalmazásokig lefedi a biztonsági menedzsment igényeket Páratlan adat menedzsment segíti az informatikai biztonsággal kapcsolatosan kitűzött célok megvalósítását Fejlett analitikai és támadás detektáló képességek Minimális „false-positive” jelzés, a valódi fenyegetettségek biztos jelzésével Szabályzóknak való megfelelősség Skálázható, rugalmas alkalmazási lehetőségek Kisebb egy telephelyes rendszerektől az országokon átívelő óriás rendszerekig Converged network & security management console Integrated log management, security information and event management (SIEM), and network behavior analysis in a single console reduces security management solution acquisition costs and improves IT efficiency Network, security, application, & identity awareness Unrivalled data collection provides converged management of network events, security events, network and application flow data, vulnerability data, and identity information – all these greatly improves ability to meet IT security objectives. Advanced threat and security incident detection STRM’s unique “offense” management significantly reduces false positives and detects of threats that other solutions miss Compliance-driven capabilities STRM provides compliance-centric workflow that enables the delivery of IT best practices that support compliance initiatives Scalable distributed log collection and archival STRM’s distributed appliance architecture scales to provide log management in any enterprise network

17 összefoglalás STRM teljes körű biztonsági és megfelelőségi menedzsment megoldás: Integrált hálózat biztonsági menedzsment platform, amely a hálózati elemektől az alkalmazásokig figyeli a rendszer viselkedését Kifinomult korrelációs képességeivel segíti a biztonsági szakemberek munkáját (offenses) Egyedülálló módon kiszűri a „zajokat” a bejövő információból és kiemeli a fontos eseményeket, támadásokat Hatékony és biztonságos log menedzsmentet biztosít A külső és belső előírásoknak megfelelően, auditálhatóan Sokféle, rugalmas alkalmazási lehetőség, a log menedzsmenttől a teljes körű hálózatbiztonsági menedzsmentig Log Management Threat Management There’s lot more integration coming with Space and other juniper products Multi vendor integration – more vendors are added every month. Get all logs in one place analyze and correlate them It saves copy of every single log coming in – coalesces them and shows sample in UI. You have option to see coalesced non-coalesced logs per device It save packet data from flows Very easy to eval – drop it off at customer site and it will start gathering logs. Compliance Management

18 Juniper STRM – q1 LABS

19 STRM modellek

20 Hardver összefoglaló STRM modellek CPU Memory Tároló Kis
STRM II Intel Core 2 Dual 8GB 2x 500GB HDD RAID 1 Közepes STRM II Intel Core 2 Quad 6x 500GB HDD RAID 5 array Nagy STRM 5000 –II STRM 5000 NEBS 12GB 6x 500GB HDD RAID 10 array

21 Mit tud gyűjteni az STRM?
Syslog SNMP Alkalmazás DSM Agents WMI API Esemény Standard UDP/TCP Version & 3 Oracle SAP RDBMS 120+ device types ALE Snare Exchange, DHCP, IIS, Windows logs LEA SDEE JDBC DSM: Device Support Module NetFlow JFlow SFlow QFlow Packeteer Flows Version 1,5, 7,9, IPFIX All versions 2, 4, 5 On QFC and Monitor Interfaces FDR

22 STRM Termékcsalád STRM5000-II Log Management Distributed Solution
Large enterprises &Service Providers STRM 5000-II STRM 2500-II EP STRM 500-II QFC STRM 5000-II STRM II FP Log Management Distributed Solution Small Medium Enterprise STRM2500-II Log Management STRM 500- II QFC Small Enterprise STRM500-II STRM 500-II QFC 250EPS 500EPS 1000EPS 2500EPS 5000EPS 100 & 200KF EPS 200KF to 400KF (50 MB – 200MB QFlow collection)

23 STRM telepítési módok

24 „minden egy dobozban” megoldás
Példa követelmények: 200K Flows 5000 EPS (esemény/másodperc) 1000-nél több eszköz STRM megoldás STRM 5000 STRM Web Console Korrelálás Jelentések készítése Naplókezelés Flow Menedzsment Hálózati eszközök (Flow források) Biztonsági eszközök (log források)

25 Osztott rendszer tipikus kialakítása
Példa követelmények Osztott környezet 200K Flows 2500 EPS (esemény/másodperc) 100-nál több eszköz STRM megoldás STRM 5000 CON STRM 2500 EP STRM 2500 FP STRM QFC STRM Web Console STRM 5000 Console STRM 2500 FP STRM 2500 EP STRM 500 Qflow Hálózati eszközök (Flow források) Biztonsági eszközök (log források)

26 Nagy rendszer: 50K esemény/másodperc
Valódi osztott rendszer Nagyvállalati megoldás Központi konzol STRM Web Console STRM 5000 Console Biztonsági eszközök (log források) 10K EPS 10K EPS 10K EPS 10K EPS 10K EPS Biztonsági eszközök (log források) Biztonsági eszközök (log források) Biztonsági eszközök (log források) Biztonsági eszközök (log források)

27 STRM használata meglévő (SIM) rendszerrel
ArcSight, RSA etc Correlation Optimized Syslog Forwarding Optimized Syslog Forwarding 3rd Party SEM Solution SIM: Security Information Management Syslog Forwarding STRM (LM) Log Consolidation Rugalmas telepítési módok Együttműködik konkurens termékkel Log menedzsment Log konszolidáció 3rd Party Syslog Servers Biztonsági eszközök (log források) Biztonsági eszközök (log források)

28 Nagy megbízhatóságú telepítés (HA)
STRM Web Console HA HA configuration using UI All HA parameters will be configurable via the web UI HA notifications and Alerts Alerts and notifications via , snmp and syslog Support Mixed Environments HA and Non-HA deployments together One Primary and Secondary with the primary still forwarding data to a disaster recovery site STRM 5000 In HA Mode HA HA HA STRM 500 In HA Mode STRM 2500 In HA Mode STRM EP or FP In HA Mode Biztonsági eszközök (log források) Hálózati eszközök (Flow források)

29 Köszönöm a figyelmet