פתרונות Management

 

 

 

 

 

 

 

 

פתרונות Management

 McAfee ESM- Security Information & Event Management  

אינטל היא המובילה לפי  גרטנר בקטגורית  הSIEM

האבטחה היעילה ביותר מתחילה בראייה בזמן אמת של כל הפעילות בכל המערכות ,

 

הרשתות , מסדי נתונים והיישומים .  McAfee  ESM הוא הבסיס עבור אבטחת המידע וניהול

 

האירועים, מספק את הביצועים הגבוהים, המודיעין והמודעות המצבית בזמן אמת במהירויות

 

גבוהות ובהיקף הנדרש עבור ארגונים כדי לזהות, להבין ולהגיב לאיומים.

ה ESM מספק הבנה בזמן אמת של העולם בחוץ- מידע על איומים , מוניטין, סטטוס הפגיעות
 וכמו כן גם נוף של המערכות, המידע, הסיכונים והפעילות התוך הארגון שלך.
כדי לייעל את מערך האבטחה, ה- McAfee ESM מספק כלים משולבים עבור הגדרת תצורה
 ,ניהול שינויים , ניהול טיקטים וניהול מרכזי של המדיניות - כל מה שאתה צריך כדי לשפר את
 זרימת העבודה ואת היעילות של צוות התפעול בארגון שלך.
מודיעין איומים מתקדם בין אם זה תנועה ברשת , פעילות משתמש , או שימוש ביישום , 
כל וריאציה של פעילות רגילה יכולה להעיד כי איום הוא קרב ושהנתונים או התשתית שלך
 בסיכון.
McAfee ESM מחשב פעילות בסיסית לכל מידע שנאסף בזמן אמת, ומספק התראות
 מקוטלגות לפי עדיפות עם המטרה של גילוי איומים פוטנציאליים לפני שהם מתרחשים, 
ואילו באותו הזמן, ניתוח נתונים של דפוסים אשר עשויים להצביע על איום גדול. 
בנוסף ,ESM McAfee מנהל וממנף מידע קונטקסטואלי ( כגון סריקות פגיעות וזהות ומערכות
 ניהול הזדהות ) ומעשיר כל אירוע עם הקשר של הבנה טובה יותר של איך אירועים בטחוניים
 יכולים להשפיע על תהליכים עסקיים אמיתיים . 
מודיעין זה מאפשר לארגונים ליישר את הנתונים הנכונים עם אנשים הנכונים כדי לקחת 
החלטות בזמן אמת.
McAfee ESM בנוי עבור Big Data ,הגנה עבור Big Data  יכול להיות יקרה מאוד וכמו כן גידול
 של אירועים, משתמשים, נכסים ונתונים רלוונטים אחרים יוצרים אתגר עצום עבור אבטחת 
המידע בארגון.
כדי להתגבר על האתגר הזהMcAfee ESM  התחיל עם מערכת ניהול (שהוכרה על ידי גרטנר
 ככוח ליבה של הפתרון SIEM McAfee), שנבנה במיוחד עבור הסוג פעילות שדורש SIEM 
בארגונים.
McAfee ESM נועד לאחסן כמויות עצומות של נתונים קונטקסטואליים (מאה מיליון נקודות
 מידע) ולהעשיר את האירועים בזמן אמת.
כל המידע הזה עובר תהליך אינדוקס, נורמליזציה וקורולציה כדי לזהות מגוון רחב יותר של
 סיכונים ואיומים.
מספק תגובה מהירה עבור שאילתות פשוטות ומורכבות, מערכת האנדוקס מאפשרת אינדוקס
 בו זמנית ובזמן אמת של פעולות היסטוריות על מנת לייעל חקירות וזיהוי איומים. 
כדי למצוא מידע אבטחה קריטי על פני כמויות גדולות של נתונים , McAfee ESM הוא דרישת
 המפתח. יכולת הרחבה של ה- McAfee Enterprise Security Manager מאפשר גידול 
בביצועים ואיסוף של כמויות מידע גדולות יותר ממקורות נוספים כמו יישומי תוכן כגון מסמכים
 ,עסקאות , ותקשורת .
McAfee ESM מפשיט את הניהול עבור עמידה בתקנים, ע"י מאות לוחות מחוונים שנבנו
 מראש ולהתאמה אישית מלאה, דוחות עבור מעל ל 240 תקנות ושליטה עולמיים כולל
 PCI-DSS , HIPAA , NERCCIP ,FISMA, GLBA, GPG13, JSOX, וSOX.
 
אינטגרציה עם McAfee ePo פלטפורמה לניהול נקודות קצה על מנת להפיץ מדיניות.
אינטגרציה עם NSM  עבור זיהוי Intrusion Prevention ועם 
McAfee Vulnerability Manager לזיהוי פגיעויות ותיקונם.

אינטגרציה עם McAfee Threat Intelligence Exchange , שילוב זה מספק לארגונים עם

 

תהליך מפורט מזיהוי לחסימה ,אינטגרציה עם מערכות McAfee מביאה את האבטחה לשלב

 

הבא , לקיחת החלטות מתוחכמות ע"י ה SIEM אם זה בעזרת שינוי המדניות על תחנת

 

הקצה או הכנסה מערכת ל"המתנה"

 
קיימת האפשרות לרכוש חומרה עבור כל רכיב או תוכנה עבור פלטפורמה וירטואלית, המודל 
הנפוץ הוא הטמעה של שלושת המרכיבים העיקריים של ה 
SIEM (ESM , Event Receiver, Log Manager (על גבי מכונה וירטואלית אחת.
 
רכיבים:
McAfee Advanced Correlation Engine 
אחראי על הענקת ציון לאירוע בזמן אמת , ע"י שימוש בלוגיקה של מדיניות יחד עם לוגיקה 
של סיכון.
אתה תגדיר למערכת מה יקר ערך עבורך- משתמשים או קבוצות, אפליקציות, שרתים 
מסויימים או רשתות מסויימות- והמערכת תתריע לך בעת הזיהוי.
McAfee Application Data Monitor  
אבטחה מורחבת ועמידה בתקנים ע"י ניטור עד לשכבת האפליקציה , על מנת לזהות 
זליגת מידע, הונאה, ואיומים מתוחכמים.
McAfee Database Event Monitor for SIEM 
ניטור של כל הדטהבייסים , כולל שאילתות, תוצאות,הזדהות וכו – מראה לך מי ניגש
 למידע ומתי.
McAfee Event Receiver 
אוסף עשרות אלפי איבנטים בשניה.
McAfee Enterprise Log Manager 
אוסף לוגים אוטומטית , מאחסן ומנהל. אוסף, משווה, מחתים ומאחסן את כל האיבנטים 
המקוריים ושומר על העובדות על מנת להקל בעמידה בתקני אבטחת המידע.
McAfee Global Threat Intelligence for Enterprise Security Manager 
הרחבת הידע של ה ESM ע"י עדכונים שוטפים של כתובות IP זדוניות שהתגלו ממאות 
מליוני סנסורים ברחבי העולם.
 

 

  

 

 

  

 

 
McAfee Advanced Correlation Engine
מנוע ה ACE הוא פתרון משלים עבור ה ESM ,
ניהול אירועים בעזרת שני מנועי קורולציה ייעודיים ורבי ביצועים:
*מנוע זיהוי סיכונים , מנוע שיוצר ציון סיכון לאירועים ללא שימוש או תלות במערך
 חוקים. *      מנוע זיהוי איומים ע"י מערך חוקיות מובנה מראש.
ACE בתצורת Standalone מספק כוח עיבוד הנדרש כדי לתמוך במגוון עשיר של אירועים 
בארגון כולו. מנוע הנתונים של ה ACE בנוי בתצורה שהוא יכול להכיל את הרשתות הגדולות
 ביותר.
ה ACE מזהה איומים בזמן אמת ואיומים היסטוריים, הפתרון יכול להיות מוטמע או בזמן
 אמת או עבור מידע היסטורי. 
ה ACE בזמן אמת מבצע :
*      קורולציה מבוססת חוקיות בזמת אמת של אירועים באופן בו הם מתרחשים.
*      קורולציה ללא תלות בחוקיות , מתבצע בזמן אמת לזיהוי אירועים כפי שהם 
מפותחים.
במצב היסטורי, כל הנתונים שנאספו יכולים לעבור"שחזור" דרך שני מנועי הACE על מנת 
לזהות איומים באופן רקורסיבי. פתרון ה ACE מסתכל לאחור על מנת לזהות אם הארגון 
שלך היה חשוף לאירועים בעבר לדוגמא אירועי Zero-Day.
ה ACE יודע להקצות ביצועים לפי צורך, זה פתרון עצמאי פיזי או וירטואלי,  אין שום השפעה
 בביצועים של הESM במונחים של אסיפת נתונים וניהול אירועים.
אתה יכול להעסיק באופן מלא את כל היכולות של McAfee ACE ללא פשרה, תוך מיקסום 
שירות Enterprise Security Manager.
יתרונות מרכזיים:
*      תפעול פשוט – אין צורך בעדכון חוקים , טיוב חתימות או כאבי ראש אחרים.
*      התראות עבור איומים לפי עדיפות משתמשים, נכסים, יישומים ופעילויות.
*      ציון לאיומים ע"י מנועי הקורולציה של ה ACE .
*      מאפשר לך לזהות התקפות חדשות או ישנות.
*      תוספת של קורולציה וכח עיבוד עבור ה ESM.
*      זמין בתצורה ויטואלית או חומרה יעודית.
קורולציה מבוססת חוקיות משתמש בלוגיקה לניתוח ואסיפת מידע בזמן אמת 
כל הלוגים, האירועים ותזרימי הרשת עוברים קורולציה יחד – יחד עם מידע קונטקסטואלי 
כגון זהות , נקודות תורפה ועוד, על מנת לאתר דפוסים המעידים על איומים גדולים יותר.
ה ACE מספק משאבי עיבוד ייעודיים לכל גדלי התעבורה.
ה ACE מתאם ציון סיכון ללא חוקים , בעוד שקורולציה מבוססת חוקים היא הכרחית ותכונה
 חשובה של מערכת SIEM מסורתית, מערכות יכולות רק לזהות דפוסי איום ידועים, דורש 
עדכון חתימות קבוע כדי להיות יעיל.התשובה היא ACE ,תוספת קורולציה ללא תלות בחוקיות. 
בקורולציה ללא חוקיות , זיהוי לפי חתימות נעשה באופן פשוט בצורה חד פעמית:
 פשוט להודיע ל ACE מה חשוב לעסק שלך , זה יכול להיות שירות מסויים או יישום ,
 קבוצה של משתמשים או סוגים מסויימים של נתונים.
הACE פועל בזמן אמת עוקב ומתריע אחר כל הפעילות הקשורה לפריטים אלו.
בניית ציון סיכון דינאמי אשר עולה או יורד על בסיס פעילות בזמן אמת.
כאשר ציון הסיכון עולה על סף מסוים, אירוע מופק בACE .
ה ACE מציע פלטפורמה למודל יעיל המראה את הסכנות בארגון שלך. גישת משתמשים
 למסמכים הסודיים ביותר עלול להוות סיכון לביטחון הארגון 
דוגמא – דליפה של מידע רפואי של מטופל סלבריטאי שאובחן עם מחלה קריטית ומהווה 
סיכון לבית חולים.
פתרון ה ACE מבצע ניקוד תכונות אשר מסכנות את הרשת הארגונית, מציע פלטפורמה
 למודל יעיל  לזיהוי הסיכונים בארגון שלך, ה ACE עוקב אחר נתונים בזמן אמת כדי לזהות 
סיכונים ואיומים לפני שהם מתרחשים. 
מצב ACE בזמן אמת:
*      ACE מבוסס חוקיות בזמן אמת –מאפשר זיהוי אירועים בזמן אמת לפני שהם
      מתרחשים.
*      ACE ללא תלות בחוקיות לזיהוי אירועים בזמן אמת כפי שהם מפותחים.
           מצב ACE היסטורי:
*      ACE מבוסס חוקיות עבור אירועים היסטורים לגילוי איום רקורסיבית.
*      ACE ללא תלות בחוקיות עבור אירועים להערכת איום רקורסיבי.
           יכולת הACE:
*      מבוסס מנועי Rule-based and Rule-less .
*      קורולציה של מידע מכלData source  נתמך.
*      קורולציה למידע שמופץ ברשת.
*      כולל מאות אירועים מוגדרים מראש.
*      כולל עורך תצורה עבור מנוע ה - rule less.
*      ממשק ניהול קל לשימוש, ניתן להתאים אישית את חוקי הקורולציה או ליצור חוקים
      חדשים.
 
McAfee Application Data Monitor
מזהה איומים נסתרים בשכבת היישומים, הרחבת ההגנה והעמידה בתקני אבטחה, 
מעבר לגבולות של ניהול יומן ע"י ניטור כל הדרך עד לשכבה השביעית. מאפשר לך בדיקה 
מלאה של תוכן היישומים ומשיג חשיפה עמוקה לאופן שימוש היישומים ברשת שלך.
McAfee Application Data Monitor מפענח את הסשן עד לשכבת האפליקציה 7,
מתן ניתוח מלא של כל דבר, החל מהפרוטוקולים הבסיסיים ויושר התוכן של היישום עצמו 
(כגון
טקסט של דואר אלקטרוני או קבצים המצורפים). רמה זו של פירוט מאפשר ניתוח מדויק של
 היישום והשימוש בו, גם בעת המאפשרת לך לאכוף מדיניות שימוש ביישום ולזהות תעבורה 
זדונית סמויה.
בדיקה עמוקה זו תומכת בעמידה בתקני אבטחה עבור כל המידע הרגיש ברשת.
כאשר ה ADM מזהה הפרה של מדיניות כגון שפה אלימה ה ADM שומר את כל פרטי 
הסשן עבור מתן תגובה לאירועים ועבור דרישה לעמידה בתקני אבטחה.
במקביל, McAfee Application Data מספק נראות לאיומים שעשויים להתחזות ליישומים 
לגיטימיים:
*      איומים מתוחכמים בשכבת היישומים.
*      שימוש לא מורשה או גניבה של מידע חסוי.
*      התקפות על או מ"נקודות עוורון".
*      שימוש של קוד מסוכן.
*      גניבה או שימוש לרעה של תעודות משתמש.
*      העברת נתונים רגישים באמצעות כל יישום.
*      תהליכים עסקיים שבורים.
ה ADM מזהה אובדן נתונים ופגיעות בעמידה בCompliance, כאשר מידע רגיש מועבר 
בתוך קבצים מצורפים דוא"ל, הודעות, העברות קבצים, הודעות HTTP, או כליישום אחר, 
 ה ADM יודיע לך באופן מיידי שההפסד יכול להיות מיתן.
אתה יכול לזהות מידע רגיש כגון כרטיסי אשראי, מספרי זהות אשר מוגדרים מראש
 (Out of the box )
או להתאים אישית את יכולות זיהוי של נתונים על ידי הגדרת מילונים המכילים מידע רגיש
 של הארגון שלך ומידע סודי.
 
negishut icon עבור לתוכן העמוד