中孚科技

基礎設施 Infrastructure

DWDM MPLS

資料中心 Data Center

UCS運算平台虛擬化雲端自動化應用交付優化

網路安全 Security

防火牆 IPS VPN SSL 內網行為分析內網安控無線安全上網安全控管 DDoS 阻斷式攻擊防禦資安事件蒐集網頁應用防火牆

服務效能優化 Performance

網路效能監控頻寬管理網路應用加速資料聚合交換器

首頁網路安全 Security資安事件蒐集

資安事件蒐集

資安事件搜集

一、市場上對日誌管理解決方案的需求

負責合規性(Compliance)、安全性(Security)和 IT運營(IT Operarion)的團隊逐漸意識到深入研究企業日誌資料可以在加強風險防範、快速檢測威脅和改善服務水準協定（SLA）方面帶來巨大的價值。

Sarbanes Oxley、PCI、FISMA、HIPAA 和 GLBA 等法規要求長期保存來自於不同位置的日誌資料，如網路設備、資安設備、資料庫，以及自己開發的應用程式等等，因此需要有一種低消耗且高效率的方法來收集和儲存稽核相關的資料。有鑒於日誌格式千變萬化而且日誌量不斷增長，企業需要一種支援快速收集大量日誌的日誌管理基礎結構。另外，企業還需要能夠通過直觀的介面存取綜合資訊，利用有善的操作介面中提供的邏輯對數以萬計（TB）的日誌資料進行分析處理。

負責 IT 運營、取證、網路和技術支援的團隊只是部分受益於存取日誌資料的單位。隨時快速查詢企業中產生的日誌資料的功能可以在需要時為分析提供相關資訊，直觀地洞察網路，瞭解系統和應用程式的狀況以及可用性，並提升網路和系統的故障排除能力。

二、ArcSight Logger日誌管理解決方案

ArcSight Logger作為統合式多功能的硬體解決方案，不但滿足了收集、儲存和分析企業範圍的日誌資料的需求，而且可以快速對各種來源的日誌高效率進行收集，並儲存成高度壓縮的格式(10:1壓縮比)。ArcSight Logger 可以作為一個獨立的日誌收集與稽核系統使用，也可與SOC進行完整的整合。

ArcSight Logger 日誌收集與管理系統的核心功能包括：

1. 高效能的日誌聚合

ArcSight Logger 以穩定的速度捕獲原始日誌，每台硬體日誌採集速度最高可達每秒收集100，000（EPS，每秒事件數）日誌。

2. 廣泛的設備支援

ArcSight Logger 支援從任何原始 Syslog 或日誌檔源收集資料。此外，它還支持多種的ArcSight SmartConnectors ，能夠從超過300種不同的日誌來源中進行收集、儲存、集中產製報表等。ArcSight FlexConnector 技術還可以將那些為了滿足法律法規的要求而使用的其他自訂源和內部應用程式的日誌資料整合在單一系統。

3. 具備高度壓縮能力的儲存空間

日誌資料是壓縮儲存在ArcSight Logger的硬碟中，ArcSight Logger設備最多可以儲存約 50 TB 的原始資料(Raw Data)。

4. 可擴充性

資安維運服務供應商（SOC MSSP）和資料中心位置分散以及辦公地點在遠端位置的大型企業可以分層或對等的方式部署多個 ArcSight Logger 設備，以便收集本地和遠端的資料。如果部署 32 個 ArcSight Logger 設備，則可以以大約 2，000，000 EPS 速率進行收集，還可以儲存 500 TB 的原始日誌資料。分散在不同位置的 ArcSight Logger 設備以堆疊方式運行，這樣使用者就能夠根據具體的存取控制要求有選擇地或統一地查詢設備中的日誌資料。

5. 動態和分佈查詢

ArcSight Logger 的 Web 搜索介面簡單易用，通過有善的操作介面可執行簡單搜索，也可以輸入規則運算式和布林邏輯符執行複雜查詢。使用者透過Drill-down）和Peer Search功能可以對儲存在任意數量的 ArcSight Logger 設備中的資料進行查詢。

6. 易於部署

ArcSight Logger具備日誌統合收集功能、效能佳的硬體式架構、高度壓縮的儲存能力，和內建的監控功能。無需資料庫管理專業技術，完全透過 Web的圖形化使用者介面，無需安裝Client Console，進一步簡化了部署與後續維運的工作。

7. 審核日誌資料

ArcSight Logger 中統合了大量的審核最佳實例(Compliance Best Practice)。從企業收集的原始日誌資料應該在接收時進行完整性檢查，並透過由 NIST 800-92（日誌管理標準）批准的 SHA-1 雜湊函數演算法。另外，ArcSight Logger更提供了基於角色的存取控制(Role-based Access Control)能力，可以保護系統和事件資料。

8. 自動化保存策略

ArcSight Logger可以將不同來源的日誌類型定義多個保存政策，以滿足監管部門提出的資料保存期限的要求。這些策略自動執行，無需手動處理資料或進行清除。

9. 與SIEM系統的結合

ArcSight Logger 可以與 ArcSight 領先的資訊安全和事件管理（SIEM）產品 ArcSight ESM 高度整合。這種整合能力可以使 ArcSight Logger 有效的將收集到的日誌轉發到 ArcSight ESM，即時進行跨設備的關聯、視覺化呈現資安事件內容和威脅檢測。ArcSight ESM 也可以將關聯後的警報發送回 ArcSight Logger用於集中搜索、長期保存與報表產製。