Micro Focus ArcSight Logger – Kaj je novega v zadnjih različicah

Zadnje čase je v SIEM platformah različnih ponudnikov veliko več govora o naprednih analitičnih orodjih, kot o klasičnih SIEM komponentah.

Enako velja za našega vodilnega ponudnika Micro Focus ArcSight, ki je pred leti bil pravzaprav pionir te smeri razvoja. ArcSight je tisti, ki je pričel klasična orodja za zbiranje, hranjenje in korelacijo revizijskih in drugih zapisov dopolnjevati z vedenjsko analitiko entitet, funkcijami za preiskovanje masovnih podatkov in drugimi novostmi.

V naši regiji Evrope je izredno popularen element te platforme ArcSight Logger, ki je del klasične SIEM ponudbe. Posledično so se, zaradi poudarka na novih analitičnih orodjih, nekateri obstoječi in potencialni bodoči uporabniki ustrašili, da bo ArcSight oz. Micro Focus zapostavil razvoj Logger-ja. Seveda lahko vse pomirimo, da temu niti približni ni tako. Inženirji še naprej vsaj z enako, če ne še večjo hitrostjo razvijajo ArcSight Logger. O tem se lahko hitro in enostavno tudi sami prepričate, če le primerjate uporabniška vmesnika različic 6.2 in 6.6. Logger se je v tem času veliko spremenil in se posodablja z nezmanjšano hitrostjo.

Naštejmo na primer nekaj opaznejših novosti iz zadnjih treh različic 6.4, 6.5 in 6.6.

Boljše preiskovanje

Ob interni optimizaciji, ki v vsaki različici poskrbi za vedno hitrejše iskanje po vedno več podatkih, je iskanje tudi funkcionalni bolj zmogljivo z dodatnimi storitvami in nadgrajenim uporabniškim vmesnikom, ki omogočajo:

 • Iskanje podatkov IPv6.
 • Indeksiranje polja requestURL.
 • Sprožanje več iskanj iz ene uporabniške seje znotraj enega brskalnika.
 • Enostaven pregled in dostop do preiskovanj iz seznama Active Search na glavni strani preiskovanju namenjenega dela uporabniškega vmesnika.
 • Možnost omejevanja števila istočasno aktivnih iskanj ali maksimalnega trajanja posameznega iskanja.
 • SecureData integracija: interaktivno dešifriranje tabelaričnih podatkov v rezultatu klasičnega iskanja, ter tudi rezultatov z grafikami. Za iskanja z grafikoni nas sistem tudi opozarja na šifrirana polja uporabljena v agregacijskih funkcijah.
Izboljšano poročanje

Integracija novih zmogljivosti za naprednejše poročanje, vključujoč:

 • Odpiranje do deset zavihkov v delu uporabniškega vmesnika za poročanje nam omogoča enostavno navigacijo med zasloni in hitro sestavljanje, upravljanje in vzporedno poganjanje več poročil.
 • Smart Reports – napredna poročila z več povpraševanji po podatkih in novimi vrstami grafik.
 • Smart Dashboards – nam omogočajo znotraj ene preglednice prikazati rezultate več različnih iskanj po podatkih; vključujejo widget-e z obogatenim tekstom, prezentacije in vsebino iz svetovnega spleta.
 • Nove vrste grafičnih prikazov podatkov – Sunburst, Funnel, Pyramid, Tree maps, Counter, Gauge, Packed circles.
 • Shranjeni filtri in povpraševanja so sedaj lahko osnova za oblikovanje novega poročila.
 • Grafikone, izrisane znotraj poročil, je mogoče shraniti kot slike v formatih SVG, PNG in JPEG.
 • Vgradnja poročil v sporočila elektronske pošte.

SecureData integracija nam omogoča dešifrirati vrednosti v tabelaričnih poročilih tipa “Classic” in “Smart” in v poročilih z grafikoni.

Dokumentacija

Logger Cheat Sheets – za hiter dostop do referenčnih informacij.

Licenciranje

Na ADP Logger-ju lahko opcijsko izključimo upravljanje licence z ArcMC; osnovno licenco in licenco za dodatno kapaciteto lahko naložimo kar na Logger.

Izboljšana shramba dogodkov

Ena od najpomembnejših lastnosti in prednosti Logger-ja pred konkurenčnimi rešitvami so pomnilniške grupe. Z njimi lahko ločimo dogodke po različnih kriterijih in uveljavimo različne periode hranjenje dogodkov. Primer – kritične podatke hranimo za pet let, manj pomembne za pol leta, dogodke potrebne zgolj za sprotne preiskave pa za teden dni.

Skupno število privzetih in uporabniško definiranih grup je bilo doslej omejeno na 5. Sedaj lahko uporabniki dodajo do 48 lastnih grup, seveda če le imajo na razpolago dovolj pomnilnika na trdem disku.

Samodejno indeksiranje arhiviranih dogodkov.

Varnostne izboljšave

Naslednji komunikacijski kanali so sedaj bolj varni zaradi nadgradnje iz SHA-1 na SHA-2:

 • Connectors – receiver.
 • Event Broker – receiver.
 • Forwarder – ESM.
 • Forwarder – connector.
 • Povezava med Logger-jem in ArcMC-jem, ki ga upravlja.

Algoritem SHA-2 izboljša zagotavljanje integritete podatkovnih datotek.

TLS 1.2 za boljšo zasebnost komunikacij:

 • Med povezanimi Logger-ji (peers).
 • Connector forwarder-jev na Logger-ju, v načinu FIPS ali ne.
 • V Logger-jih povezanih z ESM-om, prav tako FIPS ali ne.

Knjižnica FIPS Bouncy Castle zagotavlja večjo varnost in podpira TLS 1.2.

Nadgradnja Logger instalacije na JRE 1.8.0_141 odpravlja znane varnostne pomanjkljivosti v starejši različici JRE.

Izboljšana sistemska administracija

Pravice nastavljanja samodejnega generiranja poročil je sedaj mogoče določati glede na posamezno kategorijo poročil.

Izboljšan uporabniški vmesnik

ESM je že pred časom uvedel možnost preklapljanja med dnevno in nočno shemo uporabniškega vmesnika oz. dark / light theme. Izkazalo se je, da je temna shema zelo popularna. Sedaj ima to možnost tudi Logger.

Druge nadgradnje
 • Nadgrajen receiver za Event Broker receiver sedaj podpira tudi Event Broker0, vključujoč TLS avtentikacijo.
 • Pošiljanje in sprejemanje podatkov v zapisih CEF 1, v1.0 in ‘surovi’ obliki. CEF 1.0 omogoča prejemanje in pošiljanje IPv6 podatkov.
 • In ne nazadnje – posodobitev sheme uporabniškega vmesnika z oblikovnimi elementi v slogu Micro Focus-a
ArcSight, zgodovina v nekaj stavkih

Ko smo pričeli implementirati SIEM-e, je bil ArcSight samostojno podjetje. Kasneje ga je prevzel HP in, ko se je HP prestrukturiral, je oddelek ArcSight prešel pod HPE, oz. bolj podrobno pod. HPE Enterprise Software. Podjetja se, kot se spodobil, nenehno preoblikujejo, zato se je HPE odločil izločiti oddelek Enterprise Software in ga združiti s podjetjem Micro Focus. Micro Focus je s to potezo prišel v ozek krog največjih čisto softversko orientiranih ponudnikov na svetu, ArcSight pa je postal Micro Focus ArcSight.

ArcSight ADP in Logger – temeljih SIEM platforme

ArcSight Logger je že leta in leta prisoten na tržišču kot Log Management del SIEM platforme, to je tista komponenta, ki hrani dnevniške zapise na enem centralnem mestu za daljše obdobje. Pravzaprav za več različnih obdobij, kar je omogočeno z med novostmi omenjenimi pomnilniškimi grupam. Danes rečemo, da je temelj ArcSight SIEM postavitve platforma ADP, katere del je tudi Logger. ADP je osnova hranjenja (Logger), pred tem pa zbiranja in posredovanja dogodkov (SmartConnector, FlexConnector, Broker). Platformo lahko povezujemo s centralno upravljalno enoto ArcMC. Nad ADP-jem je ESM, to je pravi SIEM oz. korelacijska enota za v varnostno operativne centre SOC. Najnovejši člani družine so analitična orodja ArcSight User Behavior Analytics (UBA), ArcSight Investigator idr.

Logger ni zgolj orodje za hranjenje dnevniških zapisov, varnostnih in drugih dogodkih. Je odprta in nadgradljiva platforma za zbiranje in normalizacijo dogodkov, obogatitev podatkov, dolgotrajno hranjenje. Vključujoč hitro iskanje in poročanje po vseh shranjenih podatkih ter osnovno analitiko, ki je dovolj za potrebe skladnosti in regulacij, revizijske zahteve, IT operacije in preiskovanje logov za osnovne potrebe informacijske varnosti.