本文档主要围绕ArcSight安全信息与事件管理系统(SIEM)的实施规划和架构设计进行了深入的探讨。我们需要明确在实施ArcSight平台前的规划与架构设计的重要性,这涉及到安全领域的多个方面,包括工控安全、系统安全、web安全以及网络与基础架构安全。这些内容不仅针对特定的技术或产品,更强调从战略层面对安全解决方案进行综合性的设计与规划。
ArcSight平台的实施规划可以分为九个主要步骤,其中包括明确需求、架构环境、硬件规格、日志管理策略、应用的资产和架构信息、外部信息集成策略、开发方法及方式、工作流规划以及成果度量。接下来,将对这些关键知识点进行详细的解读。
1. 明确需求:在开始实施前,首要任务是明确SIEM平台需要解决的问题。这些问题可能源于合规性要求,如等保、PCI等,也可能涉及实时关联需求。需求明确后,需要确定日志源设备管理部门对SIEM平台的具体需求,包括关键业务系统需求、合规性报表要求、实时关联需求等。此外,还需确定需求相关的日志源清单、采集方式、变更流程和变更窗口,以及相关报表、报警的发送对象及处理流程。最终,所有这些需求必须落实到书面文档,以降低实施过程中的跨部门协助难度。
2. 架构环境:ArcSight平台的架构环境主要涉及ESM架构(整体架构)、双机系统,以及ESM架构和Connector日志采集架构的设计。ESM架构可以是单机系统或双机系统,并且可以开启HA功能或采用主备模式。对于与大数据平台交互的SIEM平台,架构中需增加EventBroker。同时,架构设计还包括处理层的最佳实践,如搭建两套ESMManager,确保主备切换时日志发送目标的准确配置等。
3. 硬件规格:SIEM平台的性能主要由硬盘和内存决定,CPU数量和存储容量则是次要因素。需要根据估计的EPS和EPD规模来确定硬件规格,小规模的EPS可以考虑使用虚拟化环境部署。硬件规格估算后,需要进行初始化压力测试,以获取准确的数据。
4. 日志管理策略:日志管理是SIEM平台的核心功能之一。需要根据合规性要求来确定日志管理的策略,同时关注日志的采集、存储、关联分析等方面。对日志源设备的管理也是日志管理策略的关键部分。
5. 应用的资产和架构信息:了解应用的资产和架构信息对于制定有效的安全策略至关重要。这不仅有助于优先考虑关键业务系统的需求,还可以为制定合规性报表和实现实时关联需求提供支持。
6. 外部信息集成策略:SIEM平台的设计需要考虑与其他安全信息系统的集成,包括安全策略、资产管理、漏洞管理以及威胁情报等。
7. 开发方法及方式:实施ArcSight平台时,需要选择适当的开发方法和方式,包括开发流程、工具和技术的选择,以及确保开发环境与生产环境的一致性。
8. 工作流规划:实施前的工作流规划能够帮助确定平台运营的效率和效果。这包括各个任务的执行流程、责任分配以及时间线的管理。
9. 成果度量:在实施计划和架构设计完成后,需要设立明确的成果度量指标,以评估实施效果并进行后续的优化和调整。
以上步骤需要综合考虑安全领域的各项要求,并根据实际情况选择适合的技术和方案。在整个实施过程中,除了技术上的考量,还需要注重与相关人员的沟通协作,以及政策、法规的遵守。在具体操作层面,还应考虑到成本控制、资源分配和时间管理等因素。
由于文档内容是通过OCR技术扫描识别的,难免存在部分字词识别错误或遗漏。因此,在实际理解和应用这些知识点时,还需要结合上下文语境,通过专业知识来弥补这些小瑕疵,确保整个实施过程的顺利进行。
so-what-so2022-01-09用户下载后在一定时间内未进行评价,系统默认好评。
