Характеристики устройств

Цена модели Juniper Networks IDP-200 = $4821

7.3. Системы мониторинга и управления безопасностью

7.3.1. Cisco MARS

Cisco Security Monitoring Analysis and Response System (CS-MARS) - программно-аппаратный комплекс, предназначенный для мониторинга, анализа и принятия ответных мер при управлении угрозами безопасности, в рамках стратегии самозащищающейся сети (Cisco Self-Defending Network). Технология CS-MARS представляет семейство высокопроизводительных масштабируемых устройств для управления, мониторинга и отражения угроз, позволяя потребителям более эффективно использовать сеть и устройства защиты.

Cisco CS-MARS сочетает в себе интеллектуальные возможности сети, механизмы корреляции событий на основе контекста, векторного анализа, обнаружения аномалий, идентификации активных узлов и автоматического отражения атак. В результате получается система, позволяющая быстро и точно выполнять обнаружение, контроль и отражение сетевых атак и поддерживать соответствие устройств сети установленным требованиям защиты.

В качестве источников информации о событиях для Cisco MARS может выступать сетевое оборудование (маршрутизаторы и коммутаторы), средства защиты (межсетевые экраны, антивирусы, системы обнаружения атак и сканеры безопасности), журналы регистрации ОС(Solaris, Windows NT, 2000,2003, Linux) и приложений (СУБД,Web и т. д.), сетевой трафик (например, Cisco Netflow). Cisco MARS поддерживает решения различных производителей - Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft и т. д. Таким образом внедрение Cisco MARS способствует предотвращению роста количества инцидентов компьютерной безопасности, повышает эффективность процесса контроля и профилактики, способствовать расследованию нарушений и дает возможность автоматизировать реакцию системы на инциденты. Кроме того, Cisco MARS позволяет дифференцировать посылку различных сигналов и сообщений специалистам обслуживающим систему - офицерам безопасности, системным администраторам, руководителям.

Основные возможности Cisco MARS:

· Обработка до 10 000 событий в секунду или свыше 300 000 событий Netflow в секунду

· Сигнатурные и "поведенческие" методы обнаружения аномалий и других атак

· Возможность создания собственных правил корреляции

· Эскалация инцидентов (идентификация, реагирование, расследование, контроль, генерация отчетов)

· Уведомление об обнаруженных проблемах по e-mail, SNMP, через syslog и на пейджер

· Ролевое управление через Web-интерфейс

· Визуализация атаки на канальном и сетевом уровнях

· Поддержка Syslog, SNMP, RDEP, SDEE, NetFlow, системных и пользовательских журналов регистрации в качестве источников информации

· Возможность подключения собственных средств защиты для анализа

· Эффективное отсечение ложных срабатываний и шума, а также обнаружение атак, пропущенных отдельными средствами защиты

· Обнаружение аномалий с помощью протокола NetFlow

· Создание и автоматическое обновление карты сети, включая импорт из CiscoWorks и других систем сетевого управления

· Поддержка IOS 802.1x, NAC (фаза 2)

· Распределенное отражение атак с помощью технологии Distributed Threat Mitigation

· Мониторинг механизмов защиты коммутаторов (Dynamic ARP Inspection, IP Source Guard и т. д.)

· Интеграция с Cisco Security Manager (CSM Policy Lookup)

· Интеграция с системами управления инцидентами с помощью XML Incident Notification

· Слежение за состоянием контролируемых устройств

· Интеграция с Cisco Incident Control System (ICS)

Цена Cisco MARS = $ 2500

7.3.2. Secure Net Provider

Intrusion SecureNet Provider является одной из лучших систем анализа данных о вторжениях и управления системами безопасности. SecureNet Provider высокомасштабируемая система мониторинга и управления которая позволяет производить все действия как из единой точки так и из распределенной системы центров управления. С каждым шагом управления информационной безопасностью от мониторинга до анализа и подготовки отчетов — администратор безопасности обеспечивается интуитивно понятными и продуктивными интерфейсами.

Основные возможности:

ü Платформа SecureNet Provider осуществлять расширение и настройку на таком большом количестве уровней, что может использоваться в сетях любой сложности и размера.

ü Платформа предоставляет огромное количество возможностей по настройке и управлению при интуитивно понятном интерфейсе.

ü Intrusion SecureNet Provider работает в соответствии с бизнес-процессами компании. Начиная работу с мониторинга событий в реальном времени, затем производит анализ событий в соответствии с задаваемыми правилами для обнаружения несанкционированных действий, оценки потенциального ущерба, анализа аномалий, подготовки доказательств для проведения расследований. Заканчивает архивированием информации и презентацией информации для проведения корректирующих мероприятий и изменения политики безопасности.

ü Модуль мониторинга позволяет как производить мониторинг всех событий происходящих в сети в режиме реального времени так и перейти к анализу конкретного события всего одним щелчком мыши.

ü Вы выбираете какое поле вы хотите увидеть и какие из них ввести в легко конфигурируемые модули Мониторинга (Real-time Monitoring) и Анализа (forensics).

ü Основа интерфейса — интуитивно понятная настраиваемая древовидная структура которая обеспечивает быстрый доступ к определенным пользователем формам представления данных, будь это физическое местоположение, атака, адрес откуда производится соединение, вы решаете как это должно выглядеть и как это представить.

ü Модуль анализа позволит вам быстро и просто найти те необходимые ключевые события среди возможных миллионов других которые сохраняются в системе. Полная многозадачность позволяет запускать многочисленные при этом система продолжает работу по сбору информации и обработке.

Цена Secure Net Provider = $ 2700 .