Arcsight方案

第1页共27页第一章项目方案1.1项目背景随着富友金融网络技术有限公司IT系统的发展，需要管理的安全设备和主机系统也越来越多，其中Cisco/H3C的网络设备、Cisco的防火墙/IPS设备、DB2/Oracle/Informix等数据库系统、Windows/AIX/Linux等操作系统、ApacheTomcat应用服务器，每台产生海量日志，没有办法集中管理，进行统计分析，并且不能够做统计报表，管理复杂，需要登录到每一类系统设备中去查看日志，比较繁琐和浪费时间，需要一套能够集中收集这些系统设备的日志系统，并能够进行集中收集和管理，统一查询和报表统计，特选择世界排名第一的HP/ArcsightLogger设备，为富友公司搭建日志集中管理平台1.2项目方案介绍1.2.1项目需求富友公司当前的网络架构如下图所示：目前需要进行日志采集的设备列表如下：第2页共27页设备分类（厂商）设备类型厂商操作系统/型号版本数量操作系统AIXIBMAIX5.35.32AIXIBMAIX6.16.16LINUXCentOSCentOS5.55.51LINUXRedHatRedHat5.7(64)5.74LINUXRedHatRedHat5.45.413LINUXCentOSCentOS4.44.41WindowsServerMicrosoftWindows200320037数据库DB2IBMDB2V9.1.0.49.1.0.48oracleORACLEORACLE11.2.0.3.011.2.0.3.02应用服务器tomcattomcat7.0.1215tomcattomcat5.53网络设备路由器Cisco3845IOS12.42交换机Cisco3750GIOS12.26防火墙CiscoASA5520IOS8.24路由器H3CMSR50405.22安全设备IPSCiscoAIM107.062数据库审计ImpervaX2500数据库监控网关暂未上线1双因素认证RSASECURID暂未上线1堡垒主机帕拉迪统一安全管理和综合审计系统暂未上线1应用层防火墙ImpervaX2500WEB应用防火墙暂未上线11.2.2项目方案设计原则根据项目建设目标，富友公司日志分析系统项目要遵循以下几个原则：长远性和现实性相结合富友公司日志分析系统项目，要兼顾企业的目前状况与长远发展等因素，放眼未来，统筹规划，又要具有可付诸实施的现实可能性。全面性和针对性相结合富友公司日志分析系统项目实施，要着眼全局，不能遗漏；同时又要突出重点，方案和计划具有较强的针对性。完整性和阶段性相结合富友公司日志分析系统项目，既要制定整体发展规划、安全建设纲要、安全总则等战略性指导文档，也要按照现阶段产品采购，提升亚运期间客户信息安全第3页共27页审计整体水平。先进性和实用性相结合富友公司日志分析系统项目实施，在战略和策略、目标和要求、规定和制度、产品和技术、人员和知识等各方面，既要有先进性，又要有实用性。开放性和可靠性相结合富友公司日志分析系统项目实施，应采用最新且成熟的系统软硬件等技术和产品。其各项技术应保证具有开放性、可移植性和可扩展性，同时，具有可靠性和稳定性。完整性和经济性相结合富友公司日志分析系统系统建设，既要考虑采用的产品和技术在整体上具有完整性和一致性，又要尽量保护富友公司已有的软硬件投资，使得总体上具有更好经济性。安全性和业务连续性相结合富友公司日志分析系统建设必须保证系统安全性和业务连续性。系统在开发规范和接口规范必须符合富友公司有限相关安全规范和安全要求，系统建设必须考虑和其他系统之间的整合，确保相互间业务通信的连续性。1.2.3项目方案产品选型对于需要进行日志收集的设备的日志量估算如下:设备分类设备类型厂商操作系统/型号版本数量估算的EPS日志收集方式操作系统AIXIBMAIX5.35.322SmartConnectorAIXIBMAIX6.16.166SmartConnectorLINUXCentOSCentOS5.55.511SmartConnectorLINUXRedHatRedHat5.7(64)5.744SmartConnectorLINUXRedHatRedHat5.45.41313SmartConnectorLINUXCentOSCentOS4.44.411SmartConnectorWindowsServerMicrosoftWindows2003200377SmartConnector数据库DB2IBMDB2V9.1.0.49.1.0.4840SmartConnectororacleORACLEORACLE11.2.0.3.011.2.0.3.0210SmartConnector应用服务器tomcatApachetomcat7.0.1215225SmartConnectortomcatApachetomcat5.5345SmartConnector网络设备路由器Cisco3845IOS12.422SmartConnector第4页共27页交换机Cisco3750GIOS12.266SmartConnector路由器H3CMSR50405.222FlexConnector安全设备防火墙CiscoASA5520IOS8.24400SmartConnectorIPSCiscoAIM10240SmartConnector双因素认证RSASECURID暂未上线15SmartConnector堡垒主机帕拉迪统一安全管理和综合审计系统暂未上线110FlexConnector应用层防火墙ImpervaX2500WEB应用防火墙暂未上线115SmartConnector数据库审计ImpervaX2500数据库监控网关暂未上线1100SmartConnector根据上述估算，当前的设备总数为82，日志总量约为934EPS(EventPerSecond每秒事件数)，设备选型将以此为基础并充分考虑未来的扩展。（1）日志管理平台选型：ArcsightLoggerL3400根据当前的日志量并充分考虑未来的扩展，建议选用ArcsightLoggerL3400作为日志管理平台系统的核心，其最佳处理能力为EPS2000，支持200台设备的日志采集，最大日志容量可达8TB，完全可以胜任富友公司的日志管理需求。（2）日志收集服务器选型：2台HPProLiantDL360G7服务器建议用户提供了2台HPDL360服务器作为本项目的日志采集器使用，服务器配置建议如下：CPU:1IntelE6520,4核内存：8G硬盘：500GB（3）日志收集器许可证：ArcsightFlexConnectorHP/Arcsight提供两种形式的日志收集器，SmartConnector和FlexConnector。SmartConnector可以直接支持超过300中主流IT设备的日志收集，对于不在SmartConnector支持列表中的产品，可以采用定制收集器FlexConnector来实现。富友网络中的Informix数据库和H3C的网络设备第5页共27页需要通过FlexConnector实现日志收集序号产品类别产品选型数量1日志收集器硬件HPProLiantDL360G7（1E6520CPU,8G/500G）22日志收集器许可证ArcsightFlexConnectors12日管分析系统产品ArcsightLoggerL34001图表1项目产品选型1.2.4产品部署图图表2项目方案产品部署图上图所示为为富友公司日志分析系统那个项目解决方案的产品部署图。通过在富友公司总部及各分支结构中分布式部署ArcSight的Connectors产品，这样能更好的发挥Connectors产品的技术特点，如安全事件采集的分时传输或带宽控制等。然后安全事件通过Connectors的采集、归并、过滤和标准化后，汇总分析后的日志数据保存到ArcsightLogger设备上，管理员就可以通过WEB方式进行查询与分析日志。第6页共27页1.2.5项目方案功能实现1.2.5.1日志采集ArcSightConnectors具有强大的安全事件收集功能，支持100%数据的数据捕获，支持海量安全事件数据处理，支持的安全事件格式包括SYSLOG，LEA,SYSLOG-NG，W3C和文件型安全事件在内的多种形式的安全事件格式。支持SYSLOG、SYSLOG-NG、SNMPTRAP、JDBC数据库连接等实时或定时采集协议。不需要在被管理主机上安装代理，不会对数据库主机造成影响。支持长安全事件格式。自动识别安全事件源的安全事件格式，支持主动采集和被动接收两种采集方式。ArcSightConnectors系统支持智能代理的集中部署和分布式部署，并可以定制代理，系统自动维护代理状态。这种模式，利用分布在网络的各处采集器就可以收集到全网中需要管理的对象的安全事件。数据在系统内的传输采用加密方式，保证数据的传输完整性和机密性。内嵌时间服务器，提供设备之间时间校正服务，支持独有的5时间戳技术。日志的时间对日志分析非常重要，错误的时间会影响到日志分析的正确性。ArcsightConnectors采用了独有的5时间戳技术，系统共维护了5个时间戳：源日志生成时间、日志采集器收到时间、管理服务器收到时间、数据库存储开始时间和完成时间。该技术使系统日志数据更具有可靠性证明，可满足设备时间同步需求。对于采集到的海量的安全事件数据ArcSightConnectors进行如下处理后发现相关的安全事件和安全问题。1.2.5.2日志归并和过滤安全事件归并和过滤是可选用的功能，过滤用于丢弃从设备提取的原始安全事件信息中监控人员认为不重要的信息，从而减少轻微告警安全事件的干扰；归并是一种组合技术，将基于选定的时间值或安全事件数量，合并具有匹配字段值的多条安全事件。具备安全事件归并和过滤技术具有如下好处：减少对带宽的占用第7页共27页减少对存储空间的占用提高监控和处理的效率ArcSight设备在安全事件收集引擎和关联分析引擎上都具备安全事件归并和过滤能力。通过在安全事件收集引擎上设置过滤条件，可过滤出无关安全事件，以最大程度地减少发送到核心服务器的安全事件数，从而减少对网络带宽和数据库存储空间地占用。在关联分析引擎上设置过滤条件，可以过滤掉该类型的安全事件的实时显示，而该安全事件仍然保存到安全事件数据库中。这样既给管理员的实时监控提供了方便，又可以在以后需要的时候察看分析这些安全事件数据。具有归并技术的安全事件收集代理会在一段时间内比较收到的安全事件，如果安全事件相同，则只发送一条安全事件，该安全事件应包括安全事件详情及该安全事件发生的次数，这样可以减少安全事件通信量。例如，对于每隔500毫秒重复一次的安全事件来说，假如归并规则时间阈值设为十秒，这样就会得到20:1的安全事件压缩率。从而降低传至关联分析引擎的安全事件流量和数据库的存储空间要求。对单位时间内发生的大量安全事件，建议按照维护要求和管理部门的考评要求及实际管理情况，对指定安全设备进行告警安全事件归并，也可以通过安全事件严重程度级别、安全事件类别、安全事件标题等安全事件属性进行归并。1.2.5.3日志标准化各种安全事件源在其返回安全事件信息时并非都使用相同的命名约定，为了解决这种“语言不通”的情况，通常可能需要分析人员编写重复的规则并修改每个案例中的安全事件名，以检测相同安全事件的不同返回名称。这样的做法将导致灵活性和可用性都特别差。分类法通过广泛和灵活的安全事件映射，对安全事件做标准化处理，它将每条安全事件分配到相应的类别中，这消除了需要学习来自不同厂商的同类产品例如防火墙或IDS的信息差别的过程。新的分类法不仅仅提供一系列能满足报告、第8页共27页过滤器和关联的更丰富的资讯，而且还能够精确定义某安全事件资源的种类，即使该设备是一个诸如入侵防护设备的集多种功能集合体，它的安全事件资源也能被精确定义。这样，即使客户日后扩容选用了新的系统，它的安全事件也很容易纳入到整个系统中来，无需更改相应关联规则