ArcSight SIEM 平台

▲图5：ArcSight SIEM平台

　　ArcSight SIEM 平台是一套集成的产品，用于收集、分析和管理企业事件信息。ArcSight 技术广泛用于包括电信在内的多种行业，用于管理和监控安全性、业务风险与合规性。该平台包括用于数据捕获、日志管理、事件关联和自动化响应的产品，以及用于监控合规性控制、用户和应用程序的内容模块。

　　数据捕获

　　对于企业范围的可见性，ArcSight Connector 支持从超过 275 个来源中进行即时事件日志收集，包括桌面、服务器、数据库、安全与网络设备、身份管理系统和商业应用程序等。Arcsight Connector 也可以轻松将收集范围扩展到专用计费、采购、收入保障及电信行业使用的其他应用程序。

　　除了进行集中式部署外，Connector 还可被部署于零售点和分支机构中的终端设备附近，以便安全地收集敏感记录(CDR、互联网通信、存储事务日志等)。ArcSight Connector 可将大量加密格式的日志转换为单一普通分类，以简化分析。

　　日志管理

　　电信行业中对数据保留的要求极具挑战性，它不仅要求捕获基础设施层日志，还要求捕获大量服务使用日志，以便进行欺诈检测并满足反恐立法规定。ArcSight Logger 通过支持同步收集、高效存储和快速分析大量日志，有效解决了这一问题。分层部署和分布式分析能够满足全球电信企业的需求。此外，ArcSight Logger 还提供了基于 SAN 的模式，能够支持电信企业将其现有的存储区域网络作为主要的数据存储区。

　　事件关联

　　ArcSight ESM 是市场领先的实时关联引擎，可对事件数据进行高级分析，以检测和响应网络安全威胁、欺诈和违反合规性情况(当其发生时)。ArcSight ESM 采用多种复杂的分析方法，以筛选数百万事件，从中找到真正具有业务影响的事件。这些方法包括：

　　• 背景关联：ArcSight ESM 能够将实时活动与其强大的资产与用户模式中的信息相结合，以减少误报并发现代表了某种威胁的相关活动。例如，当其他条件适用时(比如，用户为承包商，访问直接进行(与通过应用程序相对)，且数据库存储着敏感客户信息)，一条仅代表数据库访问的日志将会转换为高优先级的警报。

　　• 模式发现：多数电信欺诈解决方案限于在单个帐户级别上和给定应用程序内制定使用简档，这会限制通过多个帐户执行的少量欺诈行为的可见性。ArcSight ESM 采用模式发现算法，能够发现所有客户帐户、应用程序和基础设施中的欺诈行为与其他可疑模式。

　　• 身份映射：由于无法通过主机、应用程序及其他基础设施中的凭据追溯至单个用户，许多形式的电信欺诈和数据泄漏均处于未被发现状态。ArcSight ESM 能够在应用程序、基础设施甚至物理来源(如徽章 ID)中将身份映射至单个用户，有效克服了此限制。

　　•  动态跟踪与上报：网络罪犯通常有意进行少量的欺诈行为，以避免在收入保障及其他电信欺诈工具中触发警报。ArcSight ESM 使用动态监控列表，可发现持续平稳发生的攻击，而不会产生在专用欺诈工具中由于降低阈值而引起的大量误报情况。

　　控制监控

　　ArcSight Compliance Insight Package 能够支持电信企业通过使用基于诸如 ISO 27002 等非常好的实践构建的预建内容，自动制定法规合规性审计要求。ArcSight 合规性解决方案包括用于检测违规情况的实时规则(在发生时)、历史记录报告和用于可视化合规性状态的仪表板(见图 6)。此外，针对影响电信行业的重要法规，如《萨班斯 — 奥克斯利法案》(Sarbanes Oxley)和 PCI 等，还有专用的解决方案可用。

▲图6：此处显示的是由ArcSight Compliance Insight Package针对《萨班斯—奥克斯利法案》（Sarbanes-Oxley）而生成的报告示例。

　　自动化响应

　　当发现数据泄漏、欺诈或违反合规性事件时，电信企业可能会失去可以用来找出如何及在何处抵御攻击的宝贵时间。ArcSight Threat Response Manager(TRM)可确定需要采取的非常好的措施，并在整个执行过程中对响应团队给予指导，甚至可使相应流程实现自动化。例如，它可确定要禁用 Active Directory 中的哪个帐户以应对内部威胁，或确定要禁用哪个端口及在哪里禁用端口，响应正在进行的移动 DDoS 攻击。