מה זה Arcsight?
Arcsight היא פלטפורמה לניהול מידע ואירועי אבטחת מידע
(SIEM) שנועדה לסייע לארגונים לזהות, לנתח ולתעד אירועי אבטחת מידע.
הפלטפורמה פותחה במקור על ידי חברת ArcSight Inc.
היא נרכשה מאוחר יותר על ידי Hewlett Packard Enterprise (HPE) ומשולבת כיום
כחלק ממערך מוצרי אבטחת המידע של Micro Focus.
תכונות מרכזיות של ArcSight
איסוף נתונים (Log Collection):
Arcsight אוספת נתונים ויומנים ממגוון רחב של מקורות, כולל שרתים, תחנות קצה,
ציוד תקשורת, ומערכות אבטחה, כגון חומות אש (Firewall), מערכות מניעת חדירות (IDS/IPS), ועוד.
ניתוח מידע (Log Analysis):
הפלטפורמה מנתחת את הנתונים הנאספים במטרה לזהות תבניות חריגות או פעילות
חשודה שמצביעה על ניסיונות פריצה או איומים אבטחתיים אחרים.
התראות בזמן אמת (Real-Time Alerting):
Arcsight מספקת מנגנוני התראה המזהים איומים בזמן אמת ושולחות דיווחים
לאחראים הרלוונטיים.
מערכת ניהול אירועים (Incident Management):
המערכת עוזרת לנהל אירועי אבטחה באופן מובנה, כולל מעקב אחר האירוע,
תיעוד צעדים שננקטו ודו”חות ניתוח שלאחר האירוע.
תמיכה בהתאמה אישית:
Arcsight כוללת שפת חוקים מתקדמת המאפשרת התאמה אישית של כללים לגילוי איומים,
המותאמים לסביבות הספציפיות של הארגון.
זיהוי איומים מתקדמים (Advanced Threat Detection):
באמצעות שימוש באנליטיקות מתקדמות ובינה מלאכותית,
המערכת מסוגלת לזהות איומים מורכבים כגון מתקפות ממוקדות או מתקפות שרשרת.
יתרונות ArcSight
כיסוי מקיף:
Arcsight תומכת במגוון רחב של מקורות מידע ויכולה להתממשק
עם כמעט כל מערכת ארגונית.
סקלאביליות:
מתאימה לארגונים גדולים עם כמויות גדולות של נתונים.
מיקוד בזמן אמת:
יכולת תגובה לאירועים לפני שהם מסלימים.
שימושים של מערכת ArcSight
אבטחת מידע לארגונים גדולים ולמערכות קריטיות.
עמידה בדרישות רגולטוריות ותאימות (Compliance),
כגון GDPR, PCI-DSS.
זיהוי ומניעת מתקפות סייבר בזמן אמת.
שאלות ותשובות בנושא ArcSight
ש: כיצד Arcsight מטפלת בזיהוי מתקפות שרשרת (Kill Chain)?
ת: Arcsight משתמשת ביכולת ניתוח מתקדמת שמאפשרת לזהות
את שלבי מתקפת השרשרת על ידי ניתוח אירועים ברצף, כגון:
סיור מקדים (Reconnaissance): זיהוי תעבורת רשת חשודה המחפשת פגיעויות.
שלב ניצול הפגיעות (Exploitation): זיהוי פעולות שמטרתן פריצה למערכות כגון שגיאות גישה.
התקנה (Installation): איתור התקנת תוכנות זדוניות באמצעות לוגים של
תחנות קצה ומערכות אנטי-וירוס.
ביצוע (Execution): ניתוח התנהגויות המצביעות על הפעלת קוד זדוני.
שדרוג תקשורת (Command and Control): זיהוי תקשורת מול שרתים חיצוניים.
Arcsight מציגה את הממצאים באופן ויזואלי כדי להקל על אנשי האבטחה לזהות
את השלב המדויק במתקפה ולפעול במהירות.
ש: מהם היתרונות בשימוש ב-Arcsight עבור עמידה ברגולציות?
ת: Arcsight מספקת כלים ותבניות מוגדרות מראש שמקלות על עמידה בדרישות רגולציה, כגון:
PCI-DSS: איסוף יומנים של תשלומים ושמירה על עקיבות.
GDPR: ניטור גישה למידע אישי ושמירה על תאימות חוקית.
SOX: יצירת דו”חות מותאמים לניטור פעילות משתמשים קריטיים.
המערכת מאפשרת להפיק דו”חות מוכנים, לבצע ניתוחים מעמיקים,
ולעמוד בתנאי שמירה ותיעוד מידע לפרקי זמן ארוכים.
ש: כיצד Arcsight מטפלת בתעבורת נתונים בזמן אמת ובכמויות גדולות?
ת: Arcsight נבנתה להתמודד עם Big Data ומסוגלת לעבד כמויות גדולות של יומנים באמצעות:
SmartConnectors: אוספים לוגים ממגוון מערכות ומעבירים אותם ל-Event Broker בצורה יעילה.
Event Broker: רכיב מבוסס Apache Kafka המיועד לטיפול בתעבורת נתונים בזמן אמת
ולניהול עומסים כבדים.
Correlation Engine: מנוע קורלציה מתקדם שמבצע עיבוד וסינון של האירועים
כדי לזהות איומים רלוונטיים בלבד.
יכולת הסקלאביליות מאפשרת לארגונים להרחיב את השימוש בהתאם לדרישות