HPE ArcSight ESM
Security Information and Event Management, SIEM

О продукте

Решение по управлению событиями информационной безопасности ArcSight ESM (Security Information and Event Management, SIEM). ArcSight ESM контролирует все события по всему предприятию, применяет мощные инструменты для анализа и корреляции с целью выявления деловых и технологических угроз. Решение ESM построено на гибкой масштабируемой платформе, обеспечивающей перемещение информации с одного аппаратного обеспечения на другое внутри организации.

Контекстное решение

ArcSight ESM предоставляет инфраструктуру корреляции, которая позволяет определить значение каждого конкретного события, помещая его в контекст, т.е. показывая кто, что, где, когда и почему обусловил появление данного события. Это помогает выявить влияние события на бизнес-риск.

Широкий спектр обработки

Инфраструктура сбора информации ESM обеспечивает расширенные возможности для получения данных из широкого набора источников — журналов более 275 устройств и источников событий, включая операционные системы, сетевые устройства (маршрутизаторы, коммутаторы), сетевые анализаторы (мониторы сети и анализаторы трафика, NAC, NBA), системы безопасности (системы обнаружения и предотвращения вторжений, межсетевые экраны, виртуальные частные сети, сканеры уязвимости), а также журналы аудита приложений, баз данных, решений для управления идентификацией, веб-серверов и Интернет-приложений. Метавселенная ВДНХ 2.7 т

События из других устройств аналогичного семейства (например, маршрутизаторы) унифицируются с целью проведения сводного мониторинга и анализа.

Кто и что

ESM позволяет точно узнать кто находится в сети, какие данные ими просматриваются и какие действия предпринимаются. Сообщения, генерируемые в реальном времени, информируют администраторов о наиболее важных событиях, а также предоставляют всю необходимую сопутствующую информацию для дальнейшего анализа и устранения угрозы.

Отчетность

Решение ArcSight ESM предоставляет широкий спектр функций, которые обеспечивают быстрый и удобный доступ к необходимой информации. Настраиваемые панели управления с прекрасной графикой обеспечивают бизнес и технический обзор информации, необходимой конкретным сотрудникам организации. Консоль ESM обеспечивает единый обзор текущего уровня безопасности компании и предоставляет информацию о выявленных атаках и бизнес-рисках. Имеющиеся сетевые и географические карты позволяют пользователям выявить угрозы, которые находятся в их компетенции. Решение ArcSight ESM предоставляет комплексные технические, операционные и трендовые отчеты, в которых содержится информация о текущем уровне безопасности. Эти отчеты полностью удовлетворяют требованиям к подготовке контрольной отчетности. Система подготовки отчетов упрощает задачу подготовки отчетности на уровне бизнеса благодаря наличию стандартных и пользовательских шаблонов для отчетов о соответствии требованиям регуляторов, отчетов о бизнес-рисках и параметрах пользователей.

Дополнения

В дополнение к встроенным, система позволяет пользователям создавать собственные отчеты и шаблоны для формирования дополнительных отчетов и отчетов формируемых по расписанию. Система обеспечивает комплексный обзор актуальной коррелированной информации, позволяя заинтересованным сторонам выявить факторы риска, целесообразность и эффективность мероприятий по обеспечению безопасности, а также помогая найти ответы на ключевые вопросы бизнеса. Периодические отчеты позволяют проследить появление событий за определенный промежуток времени, а также определить их влияние на безопасность. Благодаря наличию технологии корреляции, трендовые отчеты могут также использоваться при анализе вероятностных сценариев, которые помогают прогнозировать влияние изменения той или иной политики на общую безопасность и риски.

2017

Открытие исходного кода России

В начале октября 2017 года стало известно о том, что Hewlett Packard Enterprise (HPE) позволила российскому Минобороны исследовать систему киберзащиты Пентагона, которая использует программное обеспечение компании. В Белом доме назвали это событие угрозой безопасности, интеллектуальной собственности и интернету.

Речь идет о программном обеспечении HPE ArcSight. Хотя исходный код этого софта тщательно охраняется, Москва получила доступ к нему во время сертификации системы для продажи ее российскому государственному сектору.

Здание Пентагона

Разработчики ArcSight и сотрудники американских спецслужб рассказали агентству Reuters о том, что изучив код, российская сторона могла обнаружить уязвимости в программном обеспечении. При этом выявленные уязвимости могут помочь хакерам скрыть кибератаку от американских военных.

Как сообщает CNBC со ссылкой на координатора по кибербезопасности администрации президента США Роба Джойса (Rob Joyce), позволение другим странам видеть исходные коды программного обеспечения, которое строго защищается внутренними службами безопасности, в качестве условия для использования этого продукта на рынке является протекционистской мерой определенных режимов, которая угрожает «свободному и открытому интернету», и может препятствовать развитию функций безопасности и конфиденциальности в продукте.

Есть некоторые аспекты безопасности подобных раскрытий данных, и они проблемные… Если вы дадите свой исходный код Китаю, выполняя тем самым условие выхода продукта на этот рынок, вам стоит задуматься над тем, будут ли конкуренты тогда начинать внедрять эти функции. Ряд таких примеров мы видели в прошлом, и это действительно беспокоит нас, — заявил Джойс на мероприятии, организованном HPE.

Несмотря на потенциальные риски для Пентагона, как отмечает Reuters, никто из собеседников агентства не указал на какие-либо утечки или случаи кибершпионажа после анализа Минобороны России системы киберзащиты американского ведомства.^[1]

Попадание в реестр российского ПО

24 августа 2017 года стало известно о вхождении «русской» версии HP ArcSight в реестр российского программного обеспечения, в результате чего продукт смогут закупать государственные органы. Об этом, как пишет РБК, компания Hewlett-Packard Enterprise (HPE) рассказала своим клиентам и контрагентам в России.

В письме HPE, с которым ознакомилось издание, дана ссылка на программу Ankey SIEM, которая была зарегистрирована в реестре 23 июля 2017 года. Система Ankey SIEM, как сказано в сопроводительной документации, разработана компанией «Газинформсервис», выполняющей в основном заказы «Газпрома».

Штаб-квартира HPE

На сайте «Газинформсервиса» говорится, что Ankey SIEM используется для выявления атак и киберинцидентов, анализа и управления событиями информационной безопасности ИТ-инфраструктуры. При этом нет каких-либо упоминаний о том, что продукт основан на HP ArcSight.

Ранее директор по продажам HPE Security Russia Артем Медведев упомянул изданию CRN о «локализованном ОЕМ-производстве Ankey SIEM на базе технологий HPE Arcsight».

Как заявила РБК представитель «Газинформсервиса» Анастасия Тунык, компания является разработчиком продукта Ankey SIEM, который полностью соответствует требованиям для размещения в реестре отечественного ПО. Она также рассказала, что отчисления в пользу HPE от продаж Ankey SIEM не превышают 30%. 

По мнению исполнительного директора ассоциации «Отечественный софт» и члена экспертного совета по российскому ПО (рассматривает заявки на включение в реестр Минкомсвязи) Евгении Василенко, если иностранная компания, которой является HPE, заявляет о включении «русской» версии своего продукта в реестр, то это повод для повторной проверки этого ПО.

Представитель Минкомсвязи после публикации РБК заявил, что ведомство запросило у «Газинформсервиса» дополнительные пояснения.^[2] 

2016: ArcSight ESM завершила сертификацию ФСТЭК

19 августа 2016 года компания IT Guard сообщила о сертификации ФСТЭК платформы ArcSight ESM от компании Hewlett Packard Enterprise (HPE).

Сертификат свидетельствует о соответствии ПО ArcSight ESM требованиям руководящего документа «Защита от несанкционированного доступа к информации части 1 - Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий АГРД.509001-03 ТУ при выполнении ограничений по применению, указанных в формуляре АГРД.509001-03 ФО^[3].

Сертификат выдан на основании результатов сертификационных испытаний, проведенных испытательной лабораторией научно-производственного объединения «Эшелон» (аттестат аккредитации от 03.06.2009 №СЗИ RU.2321.Б011.033) — техническое заключение от 23.06.2016, и экспертного заключения органа по сертификации ФАУ Государственный научно-исследовательский испытательный институт проблем технической защиты информации ФСТЭК России от 04.07.2016 (аттестат аккредитации от 05.05.2016 № СЗИ RU.0001.01БИ00.А002).

2014

HP ArcSight ESM 6.8c

2 декабря 2014 года HP представила новую версию HP ArcSight ESM.

В составе данной версии несколько инноваций, улучшающих быстродействие решения. HP Application Defender, первое в отрасли средство самозащиты приложений, предлагаемое в виде сервиса SaaS, использует возможности HP Haven для эффективной защиты производственных приложений от атак.

Ключевые обновления HP ArcSight ESM 6.8c включают в себя:

• Углубленный анализ, позволяющий аналитикам быстрее и эффективнее выявлять и изучать угрозы
• Увеличенный объем хранилища, позволяющий кластерно анализировать безопасность до 600 Тбайт онлайн-данных 1
• Улучшенная скорость поиска, возросшая в 1000 раз по сравнению с предыдущей версией1
• Инструменты анализа Больших Данных платформы HP Haven, обеспечивающие улучшение корреляции и обнаружения угроз в режиме реального времени

ArcSight ESM 5.2

Компания IT Guard («АйТи Гард»), специализирующаяся на дистрибьюции решений в области информационной безопасности, объявила летом 2014 года о том, что решение HP ArcSight ESM успешно прошло сертификацию ФСТЭК России.

Проведенная сертификация подтвердила, что система мониторинга и корреляции событий информационной безопасности HP ArcSight ESM (версия 5.2) компании Hewlett-Packard является средством сбора и анализа событий безопасности, реализующим функции мониторинга (просмотра, анализа) результатов регистрации событий безопасности и реагирования на них, идентификации и аутентификации пользователей, управления доступом пользователей к информационным ресурсам, и соответствует требованиям технических условий АГРД.509000-02 ТУ.

Сертификат выдан на основании результатов сертификационных испытаний, которые были проведены НПО «Эшелон» (аккредитованной в качестве испытательной лаборатории Минобороны России, ФСБ России и ФСТЭК России) по заказу «АйТи Гард».

2013

ArcSight ESM 6.5

16 декабря 2013 года компания Hewlett-Packard сообщила о выходе новой версии ArcSight ESM 6.5.

Новая версия SIEM с встроенным контекстным поиском в 30 раз быстрее с CORRe.

Поиск в ESM как в Logger

• Быстрое

расследование

• Текстовый поиск

как в Logger

Новая версия SIEM с встроенным контекстным поиском в 30 раз быстрее с CORRe

• Эффективное хранение логов
• Интеграция с open source
• 5 поколение CORRe – в 30 раз быстрее
• Упрощенная веб-консоль
• Поиск, отчетность, администрирование и оценка рисков из одной консоли
• Централизованное управление настройками и правилами
• Импорт и экспорт контента
• Контент для контроля приложений AppView

Смотрите также

• Статья:Security Information and Event Management (SIEM)