McAfee SIEM

Firma McAfee w ramach swojej Platformy Zabezpieczeń dostarcza szereg produktów, które znakomicie współpracują nie tylko ze sobą, ale także z rozwiązaniami innych producentów.

SIEM – gromadzenie, korelacja i przechowywanie danych

Główne zalety McAfee SIEM to:

  • łatwość użytkowania – nie trzeba miesięcznych szkoleń ani armii analityków

  • szybkość działania – świetnie zaimplementowana baza danych

  • możliwość geolokacji zdarzeń

  • wiele mechanizmów ułatwiających implementację, takich jak gotowe szablony raportów, korelacji, pakietów Content Pack

  • łatwość tworzenia własnych parserów

  • wykorzystanie wiedzy z zewnętrznych źródeł

  • możliwości pracy w modelu MSSP.

McAfee SIEM – komponenty

McAfee Enterprise Security Manager (ESM) jest podstawowym komponentem systemu SIEM. ESM gromadzi znormalizowane i zagregowane zdarzenia przekazane przez kolektory, przechowuje je, obsługuje interfejs użytkownika i umożliwia zarządzanie innymi modułami SIEM. Jest odpowiedzialny za generowanie alertów, raportowanie i obsługę zdarzeń wykrytych na podstawie przetwarzanych danych. Za jego pośrednictwem odbywa się administracja całym systemem SIEM, w tym aktualizacje reguł i wersji oprogramowania. ESM umożliwia integrację McAfee SIEM z innymi systemami obsługi zdarzeń, z systemami badania podatności i systemem reputacji McAfee GTI. Posiada unikalną bazę danych o ogromniej wydajności.

Event Receiver (ERC) obsługuje zbieranie logów i przepływów, różne metody agregacji danych (aktywną i pasywną) oraz agregację szyfrowaną zgodną z normą FIPS 140-2 Level 2. Zawiera silnik korelacji oparty na regułach, który może działać jako host w ramach całej konfiguracji lub lokalnie. ERC jest konfigurowalny i skalowalny.

Log Manger (ELM) umożliwia gromadzenie logów i zdarzeń przekazywanych ze źródeł do SIEM w ich oryginalnej postaci, jeszcze przed rozpoczęciem przetwarzania przez ERC. Oryginalne logi są zapisywane na wewnętrznych dyskach ELM lub na zewnętrznych zasobach dyskowych. Czas przechowywania danych może być dostosowany do potrzeb i zależy tylko od ilości dostępnego miejsca.

Advanced Correlation Engine (ACE) pozwala na zaawansowaną korelację danych gromadzonych w bazie ESM. Może działać w jednym z dwóch trybów – korelacji napływających zdarzeń lub korelacji danych historycznych. Korelacja może odbywać się w oparciu o reguły oraz ryzyko.

Database Event Monitor (DEM) umożliwia monitorowanie baz danych. Pasywnie monitoruje zdarzenia, eliminując piki wydajnościowe związane z logowaniem. Ma wgląd w transakcje bazy danych, analizuje kto i w jaki sposób w danym momencie korzysta z danych, posiada funkcje rejestrowania nienaruszające prywatności.

Application Data Monitor (ADM) to sniffer sieciowy warstwy 7. Zapewnia monitorowanie aplikacji, dekoduje sesje aplikacji oraz dostarcza analizę podstawowych protokołów i sesji do samej zawartości aplikacji takiej jak tekst wiadomości, e-mail czy załączniki.

  +48 22 638 31 45

Lubimy rozmawiać :ˉ)

GTI – Global Threat Intelligence

Global Threat Intelligence jest usługą on-line. Serwis tworzy profil wszystkich podmiotów internetowych takich jak adresy stron, adresy e-mail i adresy IP – oparte na setkach różnych atrybutów pochodzących z ogromnych, globalnych możliwości zbierania danych firmy McAfee Labs. Następnie przypisuje ocenę reputacji w oparciu o zagrożenia dla bezpieczeństwa. Dzięki tej usłudze McAfee rozpowszechnia informacje o złośliwym działaniu praktycznie w czasie rzeczywistym, co pozwala na natychmiastowe zablokowanie dostępu do złośliwych źródeł.

TIE (Threat Intelligence Exchange)

McAfee TIE zapewnia adaptacyjne zabezpieczenie przed zagrożeniami. Informacje z globalnych, zewnętrznych i lokalnych źródeł są syntezowane w celu uzyskania wiarygodnej wiedzy na temat występowania, reputacji i badania zagrożeń. McAfee Threat Intelligence Exchange integruje, automatyzuje i upraszcza infrastrukturę zabezpieczeń, aby zdecydowanie zmniejszyć TCO i zoptymalizować bezpieczeństwo.

Chcesz wiedzieć więcej:          McAfee SIEM