NetIQ Sentinel – wszechstronne rozwiązanie klasy SIEM, które zapewnia łatwe i skuteczne zarządzanie w środowisku IT wszystkimi zdarzeniami i informacjami o bezpieczeństwie.
Aby podnieść ogólny stan bezpieczeństwa i podejmować bardziej świadome decyzje, organizacje wymagają w czasie rzeczywistym informacji dotyczących zdarzeń na temat bezpieczeństwa i ich analizy. Niezbędna jest możliwość uzyskania wglądu w złożone kwestie zarządzania ogromną ilością danych dotyczących zabezpieczeń, reagowania na zaawansowane zagrożenia i ciągłego egzekwowania mechanizmów kontroli. Przedsiębiorstwa potrzebują rozwiązania, które umożliwi im szybkie i precyzyjne określenie, które zdarzenia w strumieniu danych zdarzeń są zdarzeniami krytycznym lub anomaliami z zakresu bezpieczeństwa.
NetIQ Sentinel to rozwiązanie do zarządzania bezpieczeństwem informacji i zdarzeniami (Security Information and Event Management, SIEM), które zapewnia organizacjom – takim jak Twoja – analizę dotyczącą posiadanych systemów w czasie rzeczywistym oraz możliwość uzyskania wglądu w nie. Pozwala to ograniczać zagrożenia dla bezpieczeństwa, usprawniać operacje i egzekwować mechanizmy kontroli w środowiskach fizycznych, wirtualnych i opartych na chmurach. Rozwiązanie Sentinel dostarcza najlepsze w branży funkcje monitorowania aktywności użytkowników poprzez wykorzystanie zarządzania tożsamością do powiązania użytkowników z określonymi działaniami w systemach. Aby przyspieszyć reagowanie, szczególnie w przypadku nieznanych zagrożeń i ataków wewnętrznych, rozwiązanie Sentinel zapewnia możliwość szybkiego wykrywania nietypowych działań zarówno w rozproszonej, jak i tradycyjnej infrastrukturze IT. Sentinel może stanowić doskonały fundament bezpieczeństwa służący do eliminowania zaawansowanych zagrożeń, podniesienia wydajności operacyjnej i uproszczenia procesów zapewniania zgodności z przepisami.
2 Funkcjonalność
Kluczowe funkcje systemu NetIQ Sentinel
Wykrywanie anomalii - zidentyfikowanie zdarzeń jako rzeczywistych lub potencjalnych problemów wymagających zbadania jest często trudne. Dzięki funkcjom wykrywania anomalii w rozwiązaniu Sentinel można automatycznie identyfikować niespójności w środowisku organizacji bez konieczności budowania reguł korelacji, które wymagają dokładnej wiedzy na temat szukanych zdarzeń. Podczas wdrażania rozwiązania Sentinel należy określić poziomy odniesienia dla środowiska specyficznego dla organizacji, co natychmiast pozwala uzyskać lepsze analizy i szybciej wykrywać nietypowe działania. Porównanie trendów z poziomami odniesienia umożliwia wyświetlanie historycznych wzorców aktywności w celu szybkiego tworzenia modeli typowych działań IT (stanów „normalności”), co ułatwia wykrywanie nowych, potencjalnie szkodliwych trendów. Aby rozszerzyć te funkcje, istnieje możliwość dalszego dostrojenia poziomów odniesienia i powiązanego wykrywania nietypowych zdarzeń. Rozwiązanie Sentinel przedstawia także zmiany stanu zabezpieczeń i zgodności w miarę upływu czasu.
Architektura magazynowania o wysokiej wydajności - rozwiązanie Sentinel wykorzystuje wydajną, opartą na plikach warstwę magazynowania zdarzeń, aby zapewnić długoterminową archiwizację zdarzeń. Magazyn zdarzeń stosuje kompresję 10:1 i w pełni obsługuje szybkie, zindeksowane operacje wyszukiwania. Ponadto dostępna jest opcja synchronizacji lub przeniesienia niektórych albo wszystkich danych o zdarzeniach w organizacji do tradycyjnej, relacyjnej bazy danych. Znacząco ulepszony mechanizm wyszukiwania skraca czas potrzebny na znalezienie danych i wygenerowanie raportów. Architektura magazynowania rozwiązania Sentinel eliminuje konieczność licencjonowania innych baz danych, co obniża całkowite koszty użytkowania w organizacji.
Graficzny kreator reguł - rozwiązanie Sentinel umożliwia szybkie budowanie reguł korelacji zdarzeń bezpośrednio na podstawie zdarzeń zgromadzonych w danym środowisku. Nie wymaga to uczenia się określonego języka skryptów lub odbywania zaawansowanych szkoleń. Reguły można przetestować przed wdrożeniem, aby zredukować ilość fałszywych alarmów i podnieść skuteczność korelacji zdarzeń, a w efekcie zapewnić ulepszone możliwości wykrywania prób włamania. Pozwala to znacznie skrócić czas zwrotu z inwestycji, a zarazem zredukować całkowite koszty użytkowania w organizacji.
Uproszczone filtrowanie, wyszukiwanie i raportowanie - rozwiązanie Sentinel upraszcza gromadzenie zdarzeń dotyczących infrastruktury IT, aby zautomatyzować czasochłonne funkcje audytu zgodności i raportowania oraz znacznie zredukować poziom złożoności, czas i koszty związane ze znajdowaniem i przygotowywaniem danych wymaganych przez audytorów. Umożliwia to organizacji szybkie zapewnienie zgodności z regulacjami rządowymi i wymaganiami branżowymi.
Elastyczne opcje wdrażania - firma NetIQ dostarcza rozwiązanie Sentinel jako urządzenie programowe (obraz ISO) dla wszystkich popularnych mechanizmów nadzorujących wirtualizację (VMware, Hyper-V i XEN) oraz jako oprogramowanie do instalacji dla systemów SUSE Linux Enterprise Server i Red Hat Enterprise Server. Modele wdrażania i licencjonowania rozwiązania Sentinel są wyjątkowo elastyczne, co umożliwia wdrożenie rozwiązania SIEM i zarządzania dziennikami zdarzeń (logami) w całym przedsiębiorstwie w celu spełnienia określonych potrzeb w zakresie użycia. Rozwiązanie Sentinel wykorzystuje elastyczny mechanizm wyszukiwania i przekazywania zdarzeń, co umożliwia dostosowanie architektury wdrożenia do danego środowiska, nawet w przypadku wysoce rozproszonego wdrożenia.
3 Sposoby wdrożenia
