SECnology, новый для российского рынка анализатор системных журналов, понимает форматы ВСЕХ систем, работает в 100-3000 раз быстрее обычных анализаторов, обрабатывает ЛЮБЫЕ объемы данных, не требует лишнего места для хранения информации.
Возможности продукта таковы, что в них сложно поверить! Компания Secnology, Inc приглашает российские ИТ-компании к партнерству.
Если вы или ваши клиенты уже пользуетесь такими анализаторами системных журналов, как NetForensics, LogLogic, NetIQ, IBM Tivoli, ArcSight, GFI EventManager, IntellitacticsTM Security Manager, Activeworx Security Center, Tenable Security Center, TriGeo SIM или только выбираете продукт, значит эта статья для вас.
|
Краткая справка Анализатор SECnology используют такие компании, как: Merrill Lynch, Disney, United Bank of California, United bank of Switzerland, Progress Energy, Goldman Sachs, The New York Times, Motorola, AT&T, Chevron, Bank One, Wal Mart, Verizon, Procter & Gamble, Xerox, France Telecom и др. Разработчик анализатора компания Secnology, Inc основана бывшими руководителями AT&T, Microsoft и Oracle в 2001 году. Secnology, Inc имеет 16 офисов по всему миру, штаб-квартира компании расположена в г. Сан-Франциско, штат Калифорния, США. Алгоритмы и методики, примененные в анализаторе SECnology, защищены 11 патентами. |
По результатам обзоров SANS в 2005 г 25% опрошенных были удовлетворены используемыми решениями в области управления журналами, в 2006 г – 28%, а в 2007 – 37%. Это показывает, что за последний год многие компании существенно улучшили ситуацию с управлением информационной безопасностью. Несмотря на это, две трети компаний не устраивают текущие средства управления журналами. По данным экспертов SANS это происходит из-за неудовлетворительной нормализации и корреляции событий.
|
Нормализация – это преобразование данных различных форматов к единому формату, понятному обрабатывающей их системе. Нормализация необходима потому, что разные операционные системы, приложения, базы данных и сетевые устройства генерируют системные журналы в своих форматах, а системы, их обрабатывающие, понимают только некоторые из них. Плюсы нормализации понятны, а вот на минусах остановимся подробнее. Во-первых, из-за преобразования изменяются сами файлы журналов, что может воспрепятствовать использованию измененных данных, например, в суде. Допустим, что суды нас не интересуют. Во-вторых, при нормализации данных мы либо теряем часть информации (обрезаем «ненужные» поля) или, приводя различные типы журналов к «единому знаменателю» существенно увеличивает их размер, добавляя все поля. Если объем данных достаточно большой, то после нормализации система не может его обработать - запросы выполняются часами. В-третьих, традиционные системы обработки журналов, выполняющие нормализацию, поддерживают форматы ограниченного набора оборудования и программного обеспечения, т.к. для нормализации необходимо «понимать» исходные форматы. Что же делать, если нужно обрабатывать журналы системы собственной разработки, например, банковского опердня или биллинга, формат журналов которой не поддерживается? Ответ очевиден - платить деньги за доработку системы.….или НЕ НОРМАЛИЗОВЫВАТЬ данные, а обрабатывать их в первоначальном формате. И таким образом не беспокоиться об изменениях данных, об увеличении объема информации, обрабатывать журналы любых систем и приложений, не заказывая поддержку разработчика. Звучит фантастично, неправда ли? Корреляция – это поиск взаимосвязей между различными событиями и выявление их причин. Например, события – снижение пропускной способности сети, увеличение количества заблокированных пакетов на межсетевом экране, причина – заражение новым вирусом. Проблема неудовлетворительной корреляции связана с нормализацией данных. Приводя журналы к общему формату, мы либо теряем часть информации, которая может оказать необходимой для успешной корреляции, либо дополняем ее ненужными полями, которые мешают успешной корреляции. |
Формат обрабатываемых журналов
Традиционные анализаторы могут обрабатывать журналы только известных им форматов. Поэтому журналы узкопрофилированного оборудования или систем собственной разработки они обработать не могут. Пользователям таких анализаторов нужно тратить время на заказ дорогостоящей доработки анализатора.
Анализатор SECnology понимает формат ЛЮБЫХ систем благодаря встроенным средствам распознавания и настройки. Добавление в SECnology нового формата данных занимает не более одной-двух минут.
Объем обрабатываемых данных
Обычные анализаторы работают с базами данных емкостью не более 1-5 ТБайт. При этом базы данных тратят ценное место для хранения своей служебной информации (например, индексных таблиц). В случае если данных больше, возникают значительные затруднения – требуется вручную «перекачивать» данные в базу и обратно, «склеивать» результаты циклов обработки. SECnology не использует базу данных, поэтому максимальный размер обрабатываемых данных ограничен только вашей фантазией.
Скорость работы
Обычные анализаторы могут обработать за день около 5 Гбайт системных журналов. Анализатор SECnology, благодаря применению патентованных алгоритмов, обрабатывает более 100 Гбайт в день даже на старом ПК стоимостью 300-400 долларов.
Сколько стоит?
Стоимость анализатора SECnology зависит от конфигурации и объема обрабатываемых данных в год. Стоимость лицензии на минимальную конфигурацию составляет около 1500 евро, для максимальной – около 300 тысяч евро.
Где можно посмотреть?
Ознакомиться с анализатором SECnology в действии, узнать о партнерских программах и получить ответы на вопросы можно у официального дистрибьютора SECnology в России – компании «Керберус».