Micro Focus ArcSight ESM 7.0

Micro Focus pred nekaj tedni predstavil ArcSight ESM 7.0, na širšem evropskem in globalnem tržišču vodilno SIEM rešitev. Nova različica, ki nadomešča pred enim letom predstavljeno zadnjo reinkarnacijo šestice 6.11, je kar se tehnologije tiče največji ESM mejnik v tem desetletju, primerljiv s prehodom iz na bazi Oracle temelječe arhitekture na interno razviti pogon C.O.R.R. Z novo različico si lahko dramatično zmanjšamo čas potreben za odkrivanje, reagiranje na in triažo groženj kibernetične varnosti. Ter tudi drugih anomalij kakršnegakoli obsega, sploh v večjih okoljih, in sicer na podlagi revolucionarne Distribuirane Korelacije, ki je že vzbudila veliko zanimanja in zelo pozitivne reakcije. ESM 7.0 lahko nadgrajujemo skoraj v nedogled da je primeren tudi za okolja, kjer je treba korelirati ogromne frekvence varnostno orientiranih ali drugih dogodkov – revizijskih sledi, dnevniških zapisov in lastnih dogodkov. Ob novi vrsti korelacije bodo za SOC ekipe zanimive še druge novosti – izboljšani grafični elementi konzole z novimi interaktivnimi preglednicami posebej za SOC, napredno hranjene internih revizijskih sledi, izboljšan delovni proces Case Workflow, neposredna integracija z Event Broker-jem, vsebina v Activate Framework, pridobivanje informacij o grožnjah kibernetične varnosti, ter drugo.

MicroFocus ArcSight ESM 7.0

DISTRIBUIRANA KORELACIJA

Kombinirajmo zmogljiv korelacijski pogon vodilne SIEM rešitve z napredno tehnologijo razpršenega gručenja – clustering – kaj dobimo? ArcSight ESM 7.0! Razvijalci so ločili korelacijske funkcije v samostojen logični modul, katerega lahko namestimo posebej od ostalih komponent in po potrebi dodamo še enega ali več namestitev v zmogljivo gručo korelacijskih strežnikov, ki je kot ena logična enota z enim upravljanjem a lahko raste po zmogljivosti do postavitve, ki brez težav korelira tudi 100.000 (stotisoč) dogodkov na sekundo.

Stranke, ki tega ne potrebujejo, lahko seveda namestijo eno samo vozlišče, kot doslej. Pravzaprav na dva načina. Ali po stari arhitekturi z vsemi v neločljivo celoto povezanimi komponentami, katera sicer ne more več rasti, je pa optimizirana za eno-vozliščno obratovanje in se jo da namestiti na en strežnik. Ali v novi arhitekturi z enim samim korelacijskim vozliščem, ta namestitev sicer za razliko od tradicionalne zahteva več kot en strežnik, je pa po potrebi v prihodnje razširljiva z dodatnimi korelacijskimi vozlišči.

GRAFIČNI VMESNIK

Novi grafični elementi, preglednice, boljši zemljevidi, še več opcij vrtanja v globino z desnim klikom miške in druge novosti v obeh grafičnih vmesnikih.

Ob pred nedavnim predstavljeni in že popularni zatemnjeni tematiki so v spletne GUI-ju ArcSight Command Center naslednje novosti:

 • Security Operation Center (SOC) Manager – globalni pogled na incidente in statistike delovnih nalog;
 • Security Operation Center (SOC) Dashboard – globalna vizualizacija dogodkov;
 • Cluster View Dashboard – diagnostični pregled ArcSight namestitve;
 • Case History for Viewing Updates and Notes – pregled zgodovine sprememb na delovnem nalogu;
 • Assign Cases to a User Group – delovni nalog je sedaj mogoče dodeliti tako posamezniku kot skupini uporabnikov;
 • Dark Theme Support in Entire ArcSight Command Center – dopolnjena zatemnjena tematika je še posebej primerna za stalen prikaz na večjih monitorjih v SOC;
 • Session Timeout Can Be Disabled – neprekinjena povezava v GUI;
 • Case Management Fields in the ArcSight Command Center – za boljšo preglednost delovnih nalogov;
 • Enhanced Geo Map – napredni prikazi z zemljevidi;
 • Text entry for multiple-field searches for ArcSight Investigate searches – izboljšana integracija z ArcSight Investigate.

In novosti v Windows / MacOS / Linux odjemalcu ArcSight Console :

 • Create an active channel of correlation events – enostaven in hiter prikaz glede na neko pravilo ustvarjajočih se korelacijskih dogodkov;
 • Visually Enhanced Charts and Graphs – vizualne izboljšave grafičnega prikaza informacij znotraj uporabniškega vmesnika;
 • Cluster View icon on the Console toolbar – diagnostični pogled na gručo korelacijskih pogonov;
 • Text entry for ArcSight Investigate multiple-field searches – izboljšana integracija z ArcSight Investigate.

DELOVNI PROCES IN SLEDENJE INCIDENTOV / DELOVNIH NALOG

Več novosti v sistemu vodenja delovnih nalogov – Case Workflow – tako s stališča novih funkcionalnosti kot tudi s stališča izboljšav in novosti v obeh grafičnih vmesnikih. Nekatere od novosti so:

 • Enhanced Case Editor UI – nova podoba urejevalnika delovnih nalogov v ArcSight Console za boljšo preglednost in lažje delo z incidenti;
 • Case Ownership by User Group – delovne naloge lahko sedaj dodeljujemo tako posameznikom kot tudi skupinam uporabnikov;
 • Attaching dashboard, data monitor, or query viewer image to the case – ob prilepljanju datotek – prej je bilo treba preglednico shraniti kot sliko in jo prilepiti delovnemu nalogu – je sedaj mogoče delovno nalogo neposredno povezati z relevantnim grafičnim prikazom z incidenti delovnega naloga povezanih dogodkov.
REVIZIJSKA SLED

Boljši pregled nad zgodovino sprememb znotraj ArcSight ESM – na primer hitro preiskovanje in odkritje kdo je spremenil točno določeno pravilo in kdaj, sedenje sprememb na delovnih nalogih, spremljanje SLA, in še več.

SERVICENOW ITSM

Novi integracijski postopek nam sedaj omogoča tudi enostaven izvoz delovnih nalog – cases – iz ESM in uvoz v servisno rešitev ServiceNow IT Service Management (ITSM).

EVENT BROKER

Event Broker je za velika okolja zelo dobrodošla sicer pa opcijska komponenta ArcSight ADP. ArcSight Data Platform (ADP) je osnovni zbiranju in hranjenju dnevniških zapisov namenjen del SIEM platforme ArcSight in se sestoji iz SmartConnector-jev, Logger-jev in po potrebi tudi Event Broker-ja. Event Broker je transportni sistem za zbiranje in pošiljanje velike količine sporočil od različnih izvorov do različnih ciljev in je lahko zelo uporaben v okoljih z velikim številom konektorjev in ali Logger-jev ter predvsem dogodkov. Po novem pa tudi ArcSight ESM-ov, sedaj se lahko tudi ta neposredno integrira z Event Broker-jem in sicer kot publisher – element ki v Event Broker pošilja podatke – ali consumer – element, ki sprejema podatke od Event Broker-ja.

ACTIVATE FRAMEWORK

ArcSight ESM je originalno po namestitvi v veliki meri brez vsebine tj. filtrov, korelacij, poročil, preglednic, iskanj, dogodkovnih kanalov itd. Le-ta je bila premaknjena v module poimenovane Activate Framework. To so za posamezne primere uporabe (Use Cases) sestavljeni paketi vsebinskih elementov, katere lahko licencirani uporabniki brezplačno namestijo s spletnega mesta ArcSight Marketplace. Na ta način lahko kupci aktivirajo samo vsebino, ki jo potrebujejo, takrat, kadar jo potrebujejo. Nov sistem podpira hitrejše in modularno razvijanje vsebine in deljenje lastnih izdelkov med različnimi strankami. Na ArcSight Marketplace je mogoče najti tudi vsebine narejene posebej za partnerske varnostne rešitve različnih vrst.

ZBIRANJE PODATKOV O KIBERNETIČNIH GROŽNJAH

Cyber Threat Intelligence (CTI) – nov dodatek za Activate Framework paket Activate Threat Intelligence lahko sedaj podpira uvažanje podatkov o grožnjah informacijske varnosti iz odprtih sistemov in komunikacijskih standardov kot so STIXX  ter CIF. Z dodajanjem teh podatkov, na primer podatkov o virih groženj v korelacije z naslovi strežnikov od znotraj omrežja lahko uporabniki pridobijo relevantne informacije o ogroženosti omrežja.

EVENT DATA TRANSFER TOOL

Orodje za izvoz dogodkov iz ESM baze v zapise CEF, CSF, ali kot datoteka parov ključ-vrednost, ki je prej bilo na voljo za samostojni prenos, je sedaj del namestitve ArcSight ESM. Tako pridobljene podatke lahko prenesemo v okolja za hranjenje in obdelavo masovnih podatkov kot je na primer Hadoop, in jih tam obdelujemo z namenskimi analitičnimi orodji za big-data.

OSTALO
 • Improved correlation fidelity with more contextual event analysis
 • More efficient use of resources as ESM dynamically identifies EOI
 • Improvements to ESM availability and redundancy
 • Better cost/performance flexibility
 • Flexible expansion and capacity planning options to solve for a wider set of security use cases
 • Backwards compatibility with existing rules & content
 • The ability to get more value from existing security tools and events

Mary Writz, ArcSight Solutions, Micro Focus: “Despite recent advances in computing and storage, many organizations continuously evaluate the cost-benefit of event ingestion into their analytics tools. The distributed correlation engine in ESM 7.0 has the ability analyze massive amounts of data while adding security context to raw data in real-time, making it instantly usable for analysis and identification of events of interest (EOI).

www.microfocus.com/arcsightesm