Cisco MARS (VMWare virtual machine)
Год выпуска: 2009
Версия: 6.0.3
Разработчик:
CiscoПлатформа: RedHat Linux
Совместимость с Vista: нет
Системные требования: VMWare Workstation 6.x, VMWare Server, 120 GB Free space 1024 MB RAM
Язык интерфейса: только английский
Таблэтка: Присутствует
Описание: Cisco Security MARS
Система мониторинга, анализа и ответной реакции Cisco MARS (Cisco Security Monitoring, Analysis, and Response System) – это аппаратное устройство, предоставляющее возможности детального наблюдения и контроля существующей системы безопасности, обнаружения, управления и отражения угроз безопасности.
Возможности Cisco MARS
Сбор и обработка информации
Cisco Security MARS накапливает и объединяет всю информацию о топологии сети, конфигурации сетевых устройств и правилах безопасности, получая её от сетевых устройств и систем безопасности, а также путём анализа сетевого трафика. При этом минимально использование агентов, что не снижает производительность сети и системы в целом.
Cisco Security MARS централизованно собирает файлы журналов с маршрутизаторов, коммутаторов, межсетевых экранов, систем обнаружения вторжений, сканеров уязвимостей, антивирусных приложений, с серверов под управлением операционных систем Windows , Solaris , Linux , прикладных программ (например, веб-серверов, серверов аутентификации), СУБД, а также программ обработки трафика (например, Cisco NetFlow ).
Выявление корреляции событий
Собранная информация упорядочивается в зависимости от топологии сети, конфигурации устройств, адресов источника и назначения. На основе полученной информации связанные между собой события группируются в сессии в режиме реального времени. В соответствии с системными и заданными администратором правилами Cisco MARS анализирует сессии для выявления инцидентов, сбоев, атак.
Cisco MARS поставляется с большим набором системных правил, который регулярно обновляется и включает в себя обнаружение большинства комбинированных атак, неизвестных атак ( zero - day attacks ), сетевых червей и т.д.. Администратор может создавать правила для любого приложения с помощью графического интерфейса.
Выявление корреляции событий структурирует информацию о сети и о безопасности системы, что уменьшает необходимый для принятия решений объём информации и помогает определить приоритетные действия по реагированию на атаки, и как следствие, повышает эффективность предпринимаемых мер.
Сбор и накопление больших объёмов данных
Cisco MARS получает информацию о множестве событий в сети, далее структурирует данные, производит сжатие данных для архивации. Обработка огромных объёмов данных возможна благодаря использованию эффективных алгоритмов и встроенной высокопроизводительной базы данных, настройка которой полностью прозрачна для администратора.
Для переноса данных на вспомогательные устройства архивирования, а также для возможности восстановления конфигурации после сбоев Cisco MARS поддерживает сетевую файловую систему NFS и протокол secure FTP .
Визуализация инцидентов и отражение атак
Cisco Security MARS может помочь администраторам быстрее и проще выявлять атаки и сбои, проводить подтверждение инцидентов и осуществлять меры по отражению атак.
Cisco MARS предоставляет мощные графические средства, с помощью которых можно построить карту сети (включая атакуемые узлы, пути атак), отобразить полную информацию об атаках и инцидентах. Это позволяет оперативно провести действия по отражению атак.
MARS анализирует сессии событий для обнаружения и подтверждения атак и сбора информации о них (вплоть до MAC -адресов конечных узлов). Этот автоматический процесс дополняется анализом файлов журналов средств защиты (межсетевых экранов, систем обнаружения вторжений и т.д.) и собственными проверками Cisco MARS на ложные срабатывания.
Кроме того, что Cisco MARS позволяет получить полную информацию об атаке, система автоматически определяет уязвимые для атаки узлы и генерирует команды, которые пользователь может выполнить для отражения атаки.
Сбор информации и отчёты о соответствии в режиме реального времени
Отличительной чертой Cisco Security MARS являются простые в использовании средства структурирования информации о безопасности сети и системы, обеспечивающие автоматическое определение состояния системы, инцидентов и ответных мер как в повседневной работе, так и для проведения проверок и аудитов.
Cisco MARS предоставляет возможность графически отображать атаки как в режиме реального времени, так и воссоздавать схемы атак и инцидентов при анализе событий в прошлом.
Cisco Security MARS предоставляет возможности создания отчётов для различных целей: для разработки планов восстановления после сбоев, для анализа инцидентов и сетевой активности, для аудита текущего состояния безопасности, при этом отчёты могут создаваться в виде текста, таблиц, графиков и диаграмм. Также имеются возможности по созданию отчётов на соответствие множеству зарубежных стандартов ( PCI DSS , Sarbanes - Oxley , HIPAA и др.).
Быстрое внедрение и гибкое управление
Для работы Cisco Security MARS необходимо подключение к сети с возможностью посылать и получать файлы журналов, сообщения по протоколу SNMP , а также устанавливать сеансы с сетевыми устройствами и средствами защиты по стандартным или зависящим от производителя защищённым протоколам.
Для установки Cisco MARS не требуется дополнительного оборудования, обновлений операционных систем, получения дополнительных лицензий или проведения вспомогательных работ. Для работы необходимо лишь, используя веб-интерфейс, настроить сетевые устройства и средства защиты на соединение с Cisco MARS , а также настроить сети и сетевые узлы, которые необходимо контролировать.
Cisco MARS позволяет передавать файлы журналов на внешний сервер для объединения с существующей сетевой инфраструктурой. Также Cisco Security MARS позволяет установить дополнительное устройство управления (Global Controller), обеспечивающее: иерархическое управление несколькими системами Cisco MARS, объединение отчётов отдельных систем, задание правил и шаблонов отчётов и обновления для локальных систем Cisco MARS.
Доп. информация: username: pnadmin
password: pnadmin
