Komplexe Bedrohungen erkennen und untersuchen INFRASTRUKTUR HIGHLIGHTS RSA Security Analytics-Infrastruktur Modulare Architektur für verteilte Erfassung Metadatenbasiert für effizientes Indexieren, Speichern und Suchen Nutzt RSA NetWitness-Infrastruktur für Analysen und Ermittlungen Warehouse bietet langfristige Archivierung und intensive Analysen SECURITY ANALYTICS- ALLE NETZWERKAKTIVITÄTEN ERFASSEN, VERWALTEN UND ANALYSIEREN Angesichts der sich schnell verändernden Bedrohungsumgebung ist es zum Schutz der Infrastruktur wichtig, dass Sie genau verstehen, was auf dem Netzwerk passiert. Um den Anforderungen in Bezug auf Compliance, Analyse und Forensik gerecht werden zu können, sind Echtzeittransparenz und langfristige Datenaufbewahrung erforderlich. RSA Security Analytics verfügt diesbezüglich über zwei wichtige Infrastrukturelemente: die Erfassungsinfrastruktur und das Security Analytics-Warehouse. Die Erfassungsinfrastruktur setzt sich aus drei Hauptkomponenten zusammen: Decoder (sowohl für Pakete als auch für Protokolle), Concentrator und Broker. Jede einzelne dieser Komponenten spielt eine entscheidende Rolle, was die Skalierbarkeit und das Erreichen der Unternehmensziele im Hinblick auf die Sicherheitsüberwachung betrifft. Damit Datenverkehrsanalysen auf Anwendungsebene in Echtzeit und mit hohen Datenraten möglich sind, muss die Erfassungsinfrastruktur sowohl horizontal als auch vertikal skalierbar sein. Die verteilte und hierarchische Natur der Security Analytics-Infrastruktur ermöglicht es Unternehmen, bedarfsgerecht Datenerfassungs- und Warehouse-Nodes inkrementell für die Datenaufbewahrung hinzuzufügen. In Umgebungen mit höherem Durchsatz ist Security Analytics aufgrund der Fähigkeit, primäre Funktionen zum Lesen und Schreiben auf einen Datenträger zu trennen, in der Lage, sowohl hohe Erfassungsraten als auch schnelle Analysereaktionszeiten zu gewährleisten. INFRASTRUKTUR DATENBLATT
ERFASSUNGSARCHITEKTUR DECODER Der Decoder ist der Grundstein und die vorderste Komponente der unternehmensweiten Security Analytics-Infrastruktur zur Erfassung und Analyse von Netzwerkdaten und Protokollen. Er ist eine umfassend konfigurierbare Appliance, mit der alle Netzwerkpakete und Protokolldaten in Echtzeit erfasst, gefiltert und analysiert werden können. Positionieren Sie den bzw. die Decoder je nach Bedarf am Ausgang, im Zentrum oder in einem anderen Segment des Netzwerks. Zur vollständigen Sitzungsanalyse in Echtzeit erfasst der Paket-Decoder den Netzwerkverkehr der Schichten 2 bis 7 des OSI-Modells, konstruiert ihn komplett und normalisiert ihn global. Die Appliances können im kontinuierlichen Erfassungsmodus betrieben oder taktisch für die Verarbeitung von Netzwerkverkehr aus beliebigen Quellen eingesetzt werden. Der Protokoll-Decoder nutzt die bewährte, hochgradig skalierbare Architektur, die auch zum Aufzeichnen und Indexieren von Netzwerkverkehr verwendet wird, allerdings hier für mehr als 200 Geräte und für verbreitete Protokoll- und Ereignisformate. Die patentierte Decoder-Technologie ist ein Durchbruch in Sachen Sicherheitsüberwachung, mit der dynamisch über alle Netzwerkschichten, Protokolle, Ereignisse und Benutzeranwendungen hinweg eine ganze Ontologie durchsuchbarer Metadaten erstellt wird. Zusammen mit Protokolldaten bietet RSA Security Analytics auch Compliance-Reporting sowie langfristige Archivierung und Analyse. CONCENTRATOR Concentrators sind konzipiert, um Metadaten zusammenzufassen sowie um Skalierbarkeit und Bereitstellungsflexibilität hierarchisch zu ermöglichen. So lässt sich die Implementierung auf verschiedenen unternehmensspezifischen Netzwerktopologien und in unterschiedlichen Regionen durchführen. Infolgedessen können Concentrator zur Gewährleistung von Transparenz für mehrere Decoder in Ebenen genutzt werden. BROKER UND SECURITY ANALYTICS-SERVER Die Broker-Appliance agiert auf der höchsten Ebene der hierarchisch aufgebauten Infrastruktur. Mit ihrer Hilfe wird die Handhabung von Abfragen in einer unternehmensweiten Bereitstellung, die mindestens zwei Concentrator-Appliances umfasst, deutlich erleichtert. Broker sind der zentrale Zugriffspunkt für alle Security Analytics-Metadaten und können unabhängig von Latenz, Durchsatz oder Datenmenge in allen Netzwerkumgebungen betrieben und skaliert werden. Der Security Analytics-Server ist gewöhnlich mit einem Broker verbunden und hostet die Benutzeroberfläche eines Sicherheitsanalysten, auf der unter anderem die Analysefunktionen zum Erkennen, Untersuchen, Berichten und Verwalten genutzt werden können. Unterstützung für rollenbasierte Zugriffskontrolle und Strong Authentication sind ebenfalls enthalten. Mit dem SA-Server ist darüber hinaus das Reporting für Daten möglich, die im Security Analytics-Warehouse gespeichert sind.
SECURITY ANALYTICS-WAREHOUSE LANGFRISTIGE AUFBEWAHRUNG UND INTENSIVE ANALYSEN Das Security Analytics-Warehouse wurde speziell für langfristige Archivierung, Forensik, anspruchsvolle Analysen und zahlreiche Reporting-Arten konzipiert. Das Warehouse nutzt Hadoop als Basis für eine erweiterbare Plattform und bietet eine massiv-parallele Datenverarbeitungsinfrastruktur, bei der die Rechenleistung in Verbindung mit der Speicherkapazität auf einer standardisierten Hardwareplattform oder einem Node skaliert wird. Im Gegensatz zu einem herkömmlichen SIEM-Aufbewahrungsmodell, das lediglich basierend auf der Speicherung skalieren kann, ist die Aufbewahrungskapazität des Security Analytics-Warehouse für jeden Warehouse-Node lokal und die Größe steht im Verhältnis zur Rechenleistung für den Appliance-Node. Warehouse-Nodes können inkrementell hinzugefügt werden, wodurch eine höhere Rechenleistung, eine höhere Archivierungskapazität oder beides möglich ist. PLATTFORM OPTIONEN PLATTFORMOPTIONEN Damit den speziellen Anforderung eines Unternehmens und seinen Sicherheitsanwendungsbeispielen entsprochen werden kann, steht RSA Security Analytics in einer Reihe von Bereitstellungsoptionen zur Verfügung: KLEINE UND MITTELSTÄNDISCHE UNTERNEHMEN Die All-in-One-Appliance bringt die RSA Security Analytics-Erfahrung in kleine Unternehmen oder in enger ausgelegte Implementierungen größerer Unternehmen. Bei All-in-One handelt es sich um eine vollständig integrierte, eigenständige Security Analytics-Appliance, die beim Kunden vor Ort installiert ist. Die Appliance enthält die Decoder- und Concentrator-Software sowie den Security Analytics-Server und wird für die Implementierung nur für Pakete oder nur für Protokolle angeboten. All-in-One-Appliances verfügen jeweils über eine Kapazität von 10 TB. Sie können mit einer DAC von 22 TB oder 32 TB erweitert werden.
ZWEIGSTELLE Zur besseren Überwachung von Zweigstellen und zur Senkung der Gesamtbetriebskosten bietet der Security Analytics-Hybrid die Funktionen eines Decoder-Concentrator-Paares auf einer einzigen Appliance, die in der Zweigstelle vor Ort gehostet werden kann. Mit dem Hybrid ist eine Skalierung für künftige Anforderungen durch eine Zweigstelle oder ein kleines Sicherheitsteam möglich, wobei dennoch wichtige betriebliche Sicherheitsinitiativen für reaktionsschnelles Ereignismanagement und Risikominderung umgesetzt werden können. Ein Hybrid-Angebot steht sowohl zur Paket- als auch zur Protokollerfassung zur Verfügung. Ein Security Analytics-Server muss in einer Hybrid-Bereitstellung sowohl in einer Bereitstellung, bei der nur ein Hybrid zum Einsatz kommt, als auch als Teil einer umfangreicheren Unternehmensimplementierung mit Hybriden verwendet werden. Der Hybrid kann mit einer DAC von 22 TB oder 32 TB erweitert werden. RECHENZENTRUM Für leistungsstarke, unternehmensweite Umgebungen bieten die Decoder-, Concentratorund Broker-Appliances von Security Analytics die erforderliche Flexibilität, um den Anforderungen des Unternehmens im Hinblick auf Bandbreite, EPS (Events-per-Second) und Archivierungsleistung gerecht zu werden. Die hierarchische Architektur macht es möglich, dass geografisch verteilte Standorte angemessen dimensioniert werden und gleichzeitig unternehmensweit geltende, zentralisierte Betriebsstandards für Situationsbewusstsein in Echtzeit und langfristige Archivierung eingehalten werden. GLOBALE GRÖSSENÜBERWACHUNG Für die anspruchsvollsten Umgebungen, für die uneingeschränkte Skalierbarkeit und globale Sicherheitsanalysen erforderlich sind, bietet diese RSA-Plattform branchenführende Technologie und Erfahrungswerte, von denen jedes für Sicherheitsabläufe zuständige Team profitieren wird. Ganz gleich, ob es sich um ein weltweit agierendes Unternehmen mit eigenem Backbone oder um Serviceprovider handelt, RSA Security Analytics bietet die erweiterbare Plattform, mit der sich der Nutzen einer Investition maximieren lässt und die betriebliche Performance geboten wird, die für optimierte Vorfallsbehandlung, besseres Risikomanagement und fundierte Geschäftsentscheidungen erforderlich ist. FLEXIBLE INTEGRATION Benutzer können eigene, individuell angepasste Anwendungen erstellen, indem sie mit der offenen API von Security Analytics die Integration in die Security Analytics-Plattform gewährleisten und den Nutzen der bereits in Sicherheit getätigten Investition steigern. Da relevante Informationen unmittelbar zur Verfügung stehen, können Unternehmen flexibel auf neue Bedrohungen und forensische Ermittlungen reagieren, unterbrochene Geschäftsprozesse identifizieren, gegen schädliche Datenverluste vorgehen und sich für künftige Herausforderungen rüsten. Security Analytics vereint Netzwerktelemetrie mit Protokollen, Bedrohungsinformationen und umfassenden Informationen über Inhalte und Zusammenhänge auf Anwendungsebene, wodurch es sich von allen anderen Lösungen auf dem Markt unterscheidet.
KONTAKT Weitere Informationen darüber, wie Produkte, Services und Lösungen von EMC Sie bei der Bewältigung Ihrer geschäftlichen und IT-Herausforderungen unterstützen, erhalten Sie von Ihrem EMC Vertriebsmitarbeiter oder autorisierten Reseller vor Ort oder auf unserer Website unter germany.emc.com/rsa EMC 2, EMC, das EMC Logo und RSA sind eingetragene Marken oder Marken der EMC Corporation in den USA und anderen Ländern. VMware ist eine eingetragene Marke oder Marke von VMware, Inc. in den USA und anderen Ländern. Copyright 2012 EMC Corporation. Alle Rechte vorbehalten. 01/13 Datenblatt EMC ist der Ansicht, dass die Informationen in dieser Veröffentlichung zum Zeitpunkt der Veröffentlichung korrekt sind. Diese Informationen können jederzeit ohne vorherige Ankündigung geändert werden.