McAfee SIEM

Firma McAfee w ramach swojej Platformy Zabezpieczeń dostarcza szereg produktów, które znakomicie współpracują nie tylko ze sobą, ale także z rozwiązaniami innych producentów.

SIEM – gromadzenie, korelacja i przechowywanie danych

Główne zalety McAfee SIEM to:

  • łatwość użytkowania – nie trzeba miesięcznych szkoleń ani armii analityków

  • szybkość działania – świetnie zaimplementowana baza danych

  • możliwość geolokacji zdarzeń

  • wiele mechanizmów ułatwiających implementację, takich jak gotowe szablony raportów, korelacji, pakietów Content Pack

  • łatwość tworzenia własnych parserów

  • wykorzystanie wiedzy z zewnętrznych źródeł

  • możliwości pracy w modelu MSSP.

McAfee SIEM – komponenty

McAfee Enterprise Security Manager (ESM) jest podstawowym komponentem systemu SIEM. ESM gromadzi znormalizowane i zagregowane zdarzenia przekazane przez kolektory, przechowuje je, obsługuje interfejs użytkownika i umożliwia zarządzanie innymi modułami SIEM. Jest odpowiedzialny za generowanie alertów, raportowanie i obsługę zdarzeń wykrytych na podstawie przetwarzanych danych. Za jego pośrednictwem odbywa się administracja całym systemem SIEM, w tym aktualizacje reguł i wersji oprogramowania. ESM umożliwia integrację McAfee SIEM z innymi systemami obsługi zdarzeń, z systemami badania podatności i systemem reputacji McAfee GTI. Posiada unikalną bazę danych o ogromniej wydajności.

Event Receiver (ERC) obsługuje zbieranie logów i przepływów, różne metody agregacji danych (aktywną i pasywną) oraz agregację szyfrowaną zgodną z normą FIPS 140-2 Level 2. Zawiera silnik korelacji oparty na regułach, który może działać jako host w ramach całej konfiguracji lub lokalnie. ERC jest konfigurowalny i skalowalny.

Log Manger (ELM) umożliwia gromadzenie logów i zdarzeń przekazywanych ze źródeł do SIEM w ich oryginalnej postaci, jeszcze przed rozpoczęciem przetwarzania przez ERC. Oryginalne logi są zapisywane na wewnętrznych dyskach ELM lub na zewnętrznych zasobach dyskowych. Czas przechowywania danych może być dostosowany do potrzeb i zależy tylko od ilości dostępnego miejsca.

Advanced Correlation Engine (ACE) pozwala na zaawansowaną korelację danych gromadzonych w bazie ESM. Może działać w jednym z dwóch trybów – korelacji napływających zdarzeń lub korelacji danych historycznych. Korelacja może odbywać się w oparciu o reguły oraz ryzyko.

Database Event Monitor (DEM) umożliwia monitorowanie baz danych. Pasywnie monitoruje zdarzenia, eliminując piki wydajnościowe związane z logowaniem. Ma wgląd w transakcje bazy danych, analizuje kto i w jaki sposób w danym momencie korzysta z danych, posiada funkcje rejestrowania nienaruszające prywatności.

Application Data Monitor (ADM) to sniffer sieciowy warstwy 7. Zapewnia monitorowanie aplikacji, dekoduje sesje aplikacji oraz dostarcza analizę podstawowych protokołów i sesji do samej zawartości aplikacji takiej jak tekst wiadomości, e-mail czy załączniki.

GTI – Global Threat Intelligence

Global Threat Intelligence jest usługą on-line. Serwis tworzy profil wszystkich podmiotów internetowych takich jak adresy stron, adresy e-mail i adresy IP – oparte na setkach różnych atrybutów pochodzących z ogromnych, globalnych możliwości zbierania danych firmy McAfee Labs. Następnie przypisuje ocenę reputacji w oparciu o zagrożenia dla bezpieczeństwa. Dzięki tej usłudze McAfee rozpowszechnia informacje o złośliwym działaniu praktycznie w czasie rzeczywistym, co pozwala na natychmiastowe zablokowanie dostępu do złośliwych źródeł.

Rozwiązania komplementarne do McAfee SIEM pozwalają na rozszerzenie funkcjonalności tego systemu, dzięki czemu tworzy się silny i efektywny, zautomatyzowany system bezpieczeństwa, odpowiadający współczesnym wyzwaniom.

TIE poprzez wymianę informacji o zagrożeniach pomiędzy urządzeniami końcowymi, rozwiązaniami zainstalowanymi na styku z Internetem oraz innymi systemami bezpieczeństwa, tworzy adaptacyjny system ochrony sieci korporacyjnej, wykorzystujący kompletną wiedzę o zagrożeniach.

ATD integruje się z szyną danych bezpieczeństwa DXL, zapewniając przesyłanie informacji o zagrożeniach do stacji końcowych i serwerów w czasie rzeczywistym oraz blokowanie na nich procesów i plików będących wynikiem infekcji. ATD integruje się również z McAfee ESM (SIEM) zasilając go informacjami o wykrywanych zagrożeniach. Mechanizmy korelowania tych informacji ze zdarzeniami spływającymi ze środowiska pozwalają na alarmowanie o przypadkach występowania zagrożeń na innych systemach i sieciach firmowych.

UEBA wykrywa zachowania odbiegające od normy w ramach procesu ciągłego monitorowania i ostrzegania, rozszerzając tym samym funkcjonalność systemu SIEM.

 

DXL  (Data Exchange Layer)


DXL to innowacyjna, dwukierunkowa szyna komunikacyjna czasu rzeczywistego, zapewniająca łatwą integrację pomiędzy różnymi produktami. Dzięki niej komponenty bezpieczeństwa pracują jak jedna drużyna wymieniając się stosownymi informacjami i tworzą inteligentny i adaptacyjny system (środowisko Security Connected).

DXL eliminuje złożoność:

    • Cała komunikacja odbywa się na pojedynczej szynie i protokole i jest ukierunkowana tematycznie
    • Spójny interfejs API dla wszystkich produktów
    • OpenDXL zapewnia możliwość tworzenia własnych integracji (np. integracji platformy DFLabs IncMan SOAR z McAfee ePO, ATD i TIE)
    • Dostarczanie zdarzeń następuje w czasie rzeczywistym (bez konieczności odpytywania)
    • Scentralizowane uwierzytelnianie i model autoryzacji
    • Wiele trybów komunikacji:
      - oparte na zdarzeniach (jeden-do-wielu)

- zapytanie-odpowiedź (jeden-do-jednego)

TIE  (Threat Intelligence Exchange)


TIE stanowi idealne rozwiązanie do tworzenia zintegrowanego ekosystemu analizy zagrożeń. Jest to lokalna baza reputacji dla całego środowiska, która gromadzi dane ze źródeł zewnętrznych (np. McAfee Global Threat Intelligence, czy VirusTotal) i wewnętrznych, a następnie w ciągu milisekund dzieli się z innymi rozwiązaniami bezpieczeństwa informacjami dotyczącymi reputacji plików. Ponadto serwer TIE przechowuje opisowe metadane, takie jak np. rozpowszechnienie (czy dany plik po raz pierwszy zaistniał w organizacji), które mogą pomóc w określeniu reputacji i związanego z tym ryzyka. Zastosowanie McAfee DXL umożliwia TIE błyskawiczne współdzielenie informacji wywiadowczych w całym ekosystemie, dzięki czemu rozwiązania bezpieczeństwa działają spójnie i błyskawicznie w celu zwiększenia ochrony całej organizacji.

 

ATD  (Advanced Threat Defense – Sandbox)


ATD zapewnia zaawansowaną ochronę przed złośliwym oprogramowaniem, zapewniając, dzięki zastosowaniu wielowarstwowej struktury modułów wykrywania zagrożeń, minimalizację czasu oraz zasobów koniecznych do przeprowadzenia analizy poszczególnych plików.
Silnik sandboxowy przeprowadza dynamiczną i statyczną analizę potencjalnie złośliwych plików. Analiza statyczna polega na dekompilacji, normalizacji i ujawnieniu rzeczywistych intencji danego kodu w celu jego porównania ze znanymi wzorcami opisującymi zachowanie typowe dla malware. Analiza dynamiczna jest przeprowadzana w środowisku wirtualnym, pracującym na bazie odpowiednio przygotowanego systemu operacyjnego i aplikacji. ATD analizuje zachowanie systemu oraz aplikacji po uruchomieniu pliku będącego przedmiotem weryfikacji. Wszelkie niestandardowe operacje, świadczące o złych intencjach danego kodu, takie jak uruchamianie procesów, tworzenie nowych plików oraz kluczy w rejestrze systemowym, czy łączenie się do Internetu, powoduje wywołanie alarmu. Wynikiem analizy jest szczegółowy raport, zawierający opis zachowania danego malware’u. Zebrane informacje mogą służyć do blokowania następnych zarażeń, jak również do przeprowadzenia akcji naprawczych na zainfekowanych stacjach końcowych, co realizowane jest przez zintegrowane z ATD rozwiązania bezpieczeństwa.

UEBA  (User & Entity Behavior Analytics)


UEBA analizuje zachowania użytkowników i urządzeń wewnątrz organizacji tworząc na tej podstawie odpowiednie profile. Analityka wykorzystuje linie bazowe do ustalenia, co jest „normalne”, a następnie wykrywa zachowania odbiegające od normy w ramach procesu ciągłego monitorowania i ostrzegania. UEBA rozszerza tym samym funkcjonalność systemu SIEM i wspomaga operatorów i analityków zespołów SOC. McAfee ESM (Enterprise Security Manager) wykorzystuje kombinację wykrywania anomalii i niestandardowych reguł, a także inne inteligentne i zaawansowane modele korelacji, co pomaga wykrywać incydenty i ustalać ich priorytety oraz szacować ryzyko.

Chcesz wiedzieć więcej:          McAfee SIEM