ETRM平台概述 v2.0.docx

企业威胁和风险管理平台（ETRM）概述概述ETRM安全威胁管理平台能够有效地整合并关联分析来自安全设备或系统、操作系统、数据库系统、应用系统、中间件系统和网络设备的安全管理数据和操作安全管理数据信息，并把信息实时保存在统一的位置，提供集中多种条件组合查询、分析、产生报表、报告等服务，为运行操作管理和审计分析提供依据，降低运行操作风险，同时满足公司相关制度以及外部监管等相关要求。ETRM可以实现以下的功能集中统一安全管理以集中统一的管理模式，高效率、反应灵敏的安全管理机制，汇总关联分析并快速定位，迅速处理安全事件，达到优质的安全管理服务,提高安全管理水平。保证业务高效、安全、可靠的运行保证系统能够无故障的运行，实现防患于未然，确保整个信息系统的高效、可靠和安全的运行。界面统一展现，减少管理成本通过安全管理系统统一展现平台，实现各类安全事件和报警的统一展现，反映整体安全状况报表和报告，减少管理成本。提高安全管理质量，提升业务价值保证IT部门为用户提供高质量的安全管理服务，最终实现安全管理提升业务价值的目标。Arcsight ETRM的组成部分和实施阶段Arcsight ETRM架构和实施阶段Arcsight ETRM的整体架构主要包含四部分，这也对应了系统实施的四个步骤全方位的日志收集：收集对象包括网络设备、安全设备、主机和服务器、操作系统、数据库、各种应用程序、身份管理、商业流程等等；实时的关联分析和告警：通过智能的关联分析引擎对于收到的各种信息进行实时的综合分析，发现安全威胁和违规行为，通过多种手段实时告警日志的长期保存和搜索：将原始的日志和关联分析的结果长期保存，提供历史数据搜索和分析告警的自动响应：根据收到的告警自动隔离威胁源，保证业务系统安全ETRM功能实现Arcsight ETRM功能模块ETRM以Arcsight ESM产品为核心，集成日志收集器Arcsight Connector，日志管理产品Arcsight Logger和安全响应系统Arcsight TRM，主要实现以下的功能模块：资产管理事件管理报表管理风险管理知识管理日志管理权限*管理3.1资产管理 ArcSight安全管理平台以信息库的建立为基础，实现信息资产、资产上的漏洞、资产面临的威胁以及相应风险的管理。ArcSight 安全管理平台支持漏洞扫描系统，可定期完成对所管辖设备的漏洞扫描，形成分析报告，并可根据用户设置形成安全事件告警，可与资产、漏洞库等信息关联，与工单系统配合，形成工单进行处理。ArcSight支持资产导入、资产统计以及对资产的维护等功能。3.2事件管理安全事件数量巨大，散落在个系统中，但它不一定是具有真实威胁的，因此，系统需要将这些安全日志、告警信息进行集中收集、标准化、归并过滤、威胁联动和关联分析，力求与目标资产相关联，与目标资产上面的弱点漏洞相关，以分辨判断是否是真实的安全事件。Arcsight关联分析模型安全管理平台最重要的一个任务就是消除安全基础设施产生的过多误报信息，让安全事件管理人员将注意力集中在真正的威胁和攻击上，避免分析麻痹。Arcsight安全管理平台支持超过20种不同的关联技术，缺省关联规则超过120条，同时可以通过智能分析和数据发掘功能，结合用户的实际情况自动生成关联分析规则，满足用户的实际需求。3.3报表管理ArcSight 安全管理平台建立了一个以业界领先的基于web的报表中心，用户可以方便地根据自身需求定制和导入报表，提供按照客户需求定制报表的服务。具有以下统计分析和查询功能：能从多种角度多种维度对数据进行分析；能提供诸如插入过滤器、插入计算等诸多更细致的功能，方便维护人员使用；能提供实时分析、历史分析等分析手段；能对比查询统计的结果，分析数据的发展趋势；能将结果以图形方式〈直方图、饼图等〉或报表方式显示、打印或转存为HTML或Excel报表方式输出3.4风险管理ArcSight 安全管理平台的风险处置流程分为自动响应和工单管理两大部分。ArcSight Express支持如下的一些自动响应机制：发送一个事件到控制台。设置事件的严重程度。将攻击者和/或受害人添加到查看列表中。执行一个命令（运行用户自定义或商业程序）。发送一个通告或报警。发送一个事件到网管系统。发送一个事件到外部的工单处理系统，比如Remedy。电子邮件、寻呼、SNMP、短信等。安全管理系统工单管理模块系统根据安全告警信息自动生成预备工单，该预备工单将告警事件包括对该问题的详细描述。由安全管理员对预备工单进行审核，在审核过程中可补充相关内容，并生成正式工单。3.5知识管理 ArcSight安全信息知识库（KM） 是基于 HTML 的存储库，用于存储用户定义的与安全相关的信息。ArcSight Express安全管理平台附带有安装的知识库内容集，