ArcSight • Secorum
21629
page-template,page-template-full_width,page-template-full_width-php,page,page-id-21629,page-child,parent-pageid-19080,ajax_updown_fade,page_not_loaded,boxed,select-child-theme-ver-1.0.0,select-theme-ver-3.7,,wpb-js-composer js-comp-ver-5.0.1,vc_responsive

ArcSight

Vad är ArcSight?

ArcSight var ett företag som tidigt utvecklade SIEM-lösningar med samma namn. I början av 2000-talet var ArcSight nästan synonymt med SIEM. Nu är ArcSight uppköpta men produkten har behållt sitt namn. Systemet består av egenutvecklade konnektorer, som hämtar in och normaliserar loggdata. Normalisering är en process där loggdata görs om till ett gemensamt format, så att exempelvis datum som skrivs 2020-01-01 i en loggpost och datum som skrivs Jan 01 2010 i en annan typ av loggar kan jämföras med varandra. Konnektorn kan berika loggen med extra information, filtrera bort loggar som inte används och mycket annat.

 

Efter konnektorns behandling av loggarna skickas de in till en ESM, Enterprise Security Manager, eller en Logger. ESM är en produkt som är mycket bra på att hantera loggdata i realtid och reagera på inkommande loggar. Dess styrka är att den kan korrelera olika loggar från olika källor. Om exempelvis en person loggar in på en dator i ett rum där den personen inte har dragit sitt kort för att gå in kan ett larm utlösas. Här samlas loggar från inpasseringssystemet och datorinloggnings-systemet ihop samtidigt och kan analyseras tillsammans, trots att inpasseringssystemet och datorinloggningssystemet är utvecklade av olika leverantörer och normalt sett inte kan samarbeta.

 

Logger är en produkt som är bra på två saker:

  • Spara loggdata under lång tid med automatisk gallring. Gallring bestäms per lagringsvolym, där användare kan bestämma tre själva. Två lagringsvolymer används för internt bruk, men kan delvis konfigureras och användas av kunden. Loggdata insamlat under lång tid kan enkelt analyseras i ett webbgränssnitt.
  • Ta emot stora mängde loggdata, filtrera ut det som kan vara intressant för ytterligare analys och skicka det vidare till ytterligare analysmottagare, som kan vara en annan Logger eller en ESM.

På det viset kan hierarkier av loggmottagare byggas, där viss information går vidare till nästa lager. I topplagret kan en överblicksbild visas för exempelvis koncernledningen.

ESM är deras SIEM-produkt som utmärker sig positivt speciellt vad gäller

  • Automatiska regler. Regelmotorn i ESM är något av det bästa vi sett och det går att skapa mycket komplicerade regler genom att göra många små regler och köra dessa i sekvens
  • ESM vill helst ha en helhetssyn på säkerheten, så den vill helst ha tillgång till threat feeds och få a priori-kunskap om nätverket genom den inbyggda nätverksmodelleringen, som kan göras automatiskt eller manuellt. Då den är komplett uppsatt är ESM en mycket kompetent SIEM-produkt.
  • EProdukten går att anpassa på väldigt många sätt och ofta på mycket djup nivå genom deras API:er

ArcSight innehåller en stor produktsvit men de vanligaste produkterna är Logger, ESM och ESM Express, som är en lite bantad version av ESM med en snällare prislapp.

 

Licensmässigt säljs ArcSight i en infrastruktur-plattform, som innehåller konnektorer, Logger och en produkt för central administration av konnektorer: ArcMC. ESM behöver plattformen för att få tillgång till konnektorerna.

 

I de senare versionerna använder ArcSight Kafka som integrationsmotor och kan på det viset uppvisa imponerande prestanda på logginsamlingen. Det är nu också lätt att koppla till Hadoop och andra produkter genom Kafka.

Fördelar med ArcSight

De flesta SIEM-produkter på marknaden idag har bra stöd för att söka i loggar, rita grafer, leta efter mönster och mycket annat som krävs i en analys. Det som utmärker ArcSight är att den har en unik konnektor med inbyggda tolkar för många hundra produkter. Den kan ta emot eller hämta loggar på många olika sätt (fil, syslog, Windows Event Log, SNMP, Web Service, ftp och så vidare) och tolka dessa mot ett gemensamt format.

 

ArcSight har också en hård definition på korrelering, så att det är enkelt att skriva regler som hanterar flera olika loggenererande system samtidigt.

 

I ArcSights schema ingår också en mycket användbar funktion: kategorisering. Kategorisering innebär att loggar tolkas semantiskt. Om det i en logg står ”User xxx logged in” och i en annan logg, från en annan tillverkare: ”Log in user xxx from …” kommer båda loggarna att få en kategori: ”Authentication/Verify”. Regler skrivs då mot kategorin istället för mot hur loggposterna ser ut, vilket gör att det blir enkelt att söka efter exempelvis misslyckade inloggningar, oavsett vilka system som har genererat de loggarna. Det är en mycket kraftfull funktion som vi gärna ser i flera produkter.

Nackdelar med ArcSight

Traditionellt har ArcSight varit ganska knepig att installera. Vissa har uttryckt detta som ”konsultvänlig”, eftersom det har gått många konsulttimmar för installation av produkten. De har också varit ganska sena med att stödja nyare operativsystem för att installera programvaran på, men båda dessa svagheter har ArcSight nu åtgärdat: nya versioner går att installera på nyare versioner av operativsystem och installationerna är nu betydligt enklare att genomföra.

 

Loggdata som genereras från egna system behöver tolkas och översättas till ArcSights schema för att få full nytta av ArcSight. Helst bör också olika loggar kategoriseras till ArcSights kategorier, eftersom ArcSights inbyggda regler då kan användas på organisationens nya loggar. Att skapa en korrekt tolk för nya loggar kräver utbildning och tid, men det har också blivit betydligt enklare med en ny produkt från ArcSight som hjälper till att tolka loggarna.

 

Om organisationen är ute efter en checkbox-security-produkt där det är enkelt att installera en server och sen hälla på alla loggar som finns för att sedan söka vid behov är ArcSight ett dåligt val. ArcSight är bättre på avancerade användningsfall men det krävs en ganska stor arbetsinsats för att den ska visa sin bästa sida.

Secorum och ArcSight

Flera av Secorums största installationer är ArcSight-installationer. Vi har lång erfarenhet av att ta fram kravspecifikation, designa teknisk lösning, implementera den tekniska lösningen, utföra analys, förvalta och underhålla ArcSight-installationer. Flera av våra konsulter har jobbat med ArcSight sedan 2008, någon ännu längre.