HPE ArcSight ESM
Security Information and Event Management, SIEM

Продукт
Разработчики: ArcSight, Micro Focus
Дата последнего релиза: 2014/12/02
Технологии: ИБ - Межсетевые экраны,  ИБ - Предотвращения утечек информации,  ИБ - Управление информацией и событиями в системе безопасности (SIEM)

Содержание

О продукте

Решение по управлению событиями информационной безопасности ArcSight ESM (Security Information and Event Management, SIEM). ArcSight ESM контролирует все события по всему предприятию, применяет мощные инструменты для анализа и корреляции с целью выявления деловых и технологических угроз. Решение ESM построено на гибкой масштабируемой платформе, обеспечивающей перемещение информации с одного аппаратного обеспечения на другое внутри организации.

Контекстное решение

ArcSight ESM предоставляет инфраструктуру корреляции, которая позволяет определить значение каждого конкретного события, помещая его в контекст, т.е. показывая кто, что, где, когда и почему обусловил появление данного события. Это помогает выявить влияние события на бизнес-риск.

Широкий спектр обработки

Инфраструктура сбора информации ESM обеспечивает расширенные возможности для получения данных из широкого набора источников — журналов более 275 устройств и источников событий, включая операционные системы, сетевые устройства (маршрутизаторы, коммутаторы), сетевые анализаторы (мониторы сети и анализаторы трафика, NAC, NBA), системы безопасности (системы обнаружения и предотвращения вторжений, межсетевые экраны, виртуальные частные сети, сканеры уязвимости), а также журналы аудита приложений, баз данных, решений для управления идентификацией, веб-серверов и Интернет-приложений.

События из других устройств аналогичного семейства (например, маршрутизаторы) унифицируются с целью проведения сводного мониторинга и анализа.


Кто и что

ESM позволяет точно узнать кто находится в сети, какие данные ими просматриваются и какие действия предпринимаются. Сообщения, генерируемые в реальном времени, информируют администраторов о наиболее важных событиях, а также предоставляют всю необходимую сопутствующую информацию для дальнейшего анализа и устранения угрозы.


Отчетность

Решение ArcSight ESM предоставляет широкий спектр функций, которые обеспечивают быстрый и удобный доступ к необходимой информации. Настраиваемые панели управления с прекрасной графикой обеспечивают бизнес и технический обзор информации, необходимой конкретным сотрудникам организации. Консоль ESM обеспечивает единый обзор текущего уровня безопасности компании и предоставляет информацию о выявленных атаках и бизнес-рисках. Имеющиеся сетевые и географические карты позволяют пользователям выявить угрозы, которые находятся в их компетенции. Решение ArcSight ESM предоставляет комплексные технические, операционные и трендовые отчеты, в которых содержится информация о текущем уровне безопасности. Эти отчеты полностью удовлетворяют требованиям к подготовке контрольной отчетности. Система подготовки отчетов упрощает задачу подготовки отчетности на уровне бизнеса благодаря наличию стандартных и пользовательских шаблонов для отчетов о соответствии требованиям регуляторов, отчетов о бизнес-рисках и параметрах пользователей.


Дополнения

В дополнение к встроенным, система позволяет пользователям создавать собственные отчеты и шаблоны для формирования дополнительных отчетов и отчетов формируемых по расписанию. Система обеспечивает комплексный обзор актуальной коррелированной информации, позволяя заинтересованным сторонам выявить факторы риска, целесообразность и эффективность мероприятий по обеспечению безопасности, а также помогая найти ответы на ключевые вопросы бизнеса. Периодические отчеты позволяют проследить появление событий за определенный промежуток времени, а также определить их влияние на безопасность. Благодаря наличию технологии корреляции, трендовые отчеты могут также использоваться при анализе вероятностных сценариев, которые помогают прогнозировать влияние изменения той или иной политики на общую безопасность и риски.

2017

Открытие исходного кода России

В начале октября 2017 года стало известно о том, что Hewlett Packard Enterprise (HPE) позволила российскому Минобороны исследовать систему киберзащиты Пентагона, которая использует программное обеспечение компании. В Белом доме назвали это событие угрозой безопасности, интеллектуальной собственности и интернету.

Речь идет о программном обеспечении HPE ArcSight. Хотя исходный код этого софта тщательно охраняется, Москва получила доступ к нему во время сертификации системы для продажи ее российскому государственному сектору.

Здание Пентагона

Разработчики ArcSight и сотрудники американских спецслужб рассказали агентству Reuters о том, что изучив код, российская сторона могла обнаружить уязвимости в программном обеспечении. При этом выявленные уязвимости могут помочь хакерам скрыть кибератаку от американских военных.

Как сообщает CNBC со ссылкой на координатора по кибербезопасности администрации президента США Роба Джойса (Rob Joyce), позволение другим странам видеть исходные коды программного обеспечения, которое строго защищается внутренними службами безопасности, в качестве условия для использования этого продукта на рынке является протекционистской мерой определенных режимов, которая угрожает «свободному и открытому интернету», и может препятствовать развитию функций безопасности и конфиденциальности в продукте.

«
Есть некоторые аспекты безопасности подобных раскрытий данных, и они проблемные… Если вы дадите свой исходный код Китаю, выполняя тем самым условие выхода продукта на этот рынок, вам стоит задуматься над тем, будут ли конкуренты тогда начинать внедрять эти функции. Ряд таких примеров мы видели в прошлом, и это действительно беспокоит нас, — заявил Джойс на мероприятии, организованном HPE.
»

Несмотря на потенциальные риски для Пентагона, как отмечает Reuters, никто из собеседников агентства не указал на какие-либо утечки или случаи кибершпионажа после анализа Минобороны России системы киберзащиты американского ведомства.[1]

Попадание в реестр российского ПО

24 августа 2017 года стало известно о вхождении «русской» версии HP ArcSight в реестр российского программного обеспечения, в результате чего продукт смогут закупать государственные органы. Об этом, как пишет РБК, компания Hewlett-Packard Enterprise (HPE) рассказала своим клиентам и контрагентам в России.

В письме HPE, с которым ознакомилось издание, дана ссылка на программу Ankey SIEM, которая была зарегистрирована в реестре 23 июля 2017 года. Система Ankey SIEM, как сказано в сопроводительной документации, разработана компанией «Газинформсервис», выполняющей в основном заказы «Газпрома».

Штаб-квартира HPE

На сайте «Газинформсервиса» говорится, что Ankey SIEM используется для выявления атак и киберинцидентов, анализа и управления событиями информационной безопасности ИТ-инфраструктуры. При этом нет каких-либо упоминаний о том, что продукт основан на HP ArcSight.

Ранее директор по продажам HPE Security Russia Артем Медведев упомянул изданию CRN о «локализованном ОЕМ-производстве Ankey SIEM на базе технологий HPE Arcsight».

Как заявила РБК представитель «Газинформсервиса» Анастасия Тунык, компания является разработчиком продукта Ankey SIEM, который полностью соответствует требованиям для размещения в реестре отечественного ПО. Она также рассказала, что отчисления в пользу HPE от продаж Ankey SIEM не превышают 30%. 

По мнению исполнительного директора ассоциации «Отечественный софт» и члена экспертного совета по российскому ПО (рассматривает заявки на включение в реестр Минкомсвязи) Евгении Василенко, если иностранная компания, которой является HPE, заявляет о включении «русской» версии своего продукта в реестр, то это повод для повторной проверки этого ПО.

Представитель Минкомсвязи после публикации РБК заявил, что ведомство запросило у «Газинформсервиса» дополнительные пояснения.[2] 

2016: ArcSight ESM завершила сертификацию ФСТЭК

19 августа 2016 года компания IT Guard сообщила о сертификации ФСТЭК платформы ArcSight ESM от компании Hewlett Packard Enterprise (HPE).

Сертификат свидетельствует о соответствии ПО ArcSight ESM требованиям руководящего документа «Защита от несанкционированного доступа к информации части 1 - Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий АГРД.509001-03 ТУ при выполнении ограничений по применению, указанных в формуляре АГРД.509001-03 ФО[3].

Сертификат выдан на основании результатов сертификационных испытаний, проведенных испытательной лабораторией научно-производственного объединения «Эшелон» (аттестат аккредитации от 03.06.2009 №СЗИ RU.2321.Б011.033) — техническое заключение от 23.06.2016, и экспертного заключения органа по сертификации ФАУ Государственный научно-исследовательский испытательный институт проблем технической защиты информации ФСТЭК России от 04.07.2016 (аттестат аккредитации от 05.05.2016 № СЗИ RU.0001.01БИ00.А002).

2014

HP ArcSight ESM 6.8c

2 декабря 2014 года HP представила новую версию HP ArcSight ESM.

В составе данной версии несколько инноваций, улучшающих быстродействие решения. HP Application Defender, первое в отрасли средство самозащиты приложений, предлагаемое в виде сервиса SaaS, использует возможности HP Haven для эффективной защиты производственных приложений от атак.

Ключевые обновления HP ArcSight ESM 6.8c включают в себя:

  • Углубленный анализ, позволяющий аналитикам быстрее и эффективнее выявлять и изучать угрозы
  • Увеличенный объем хранилища, позволяющий кластерно анализировать безопасность до 600 Тбайт онлайн-данных 1
  • Улучшенная скорость поиска, возросшая в 1000 раз по сравнению с предыдущей версией1
  • Инструменты анализа Больших Данных платформы HP Haven, обеспечивающие улучшение корреляции и обнаружения угроз в режиме реального времени

ArcSight ESM 5.2

Компания IT Guard («АйТи Гард»), специализирующаяся на дистрибьюции решений в области информационной безопасности, объявила летом 2014 года о том, что решение HP ArcSight ESM успешно прошло сертификацию ФСТЭК России.

Проведенная сертификация подтвердила, что система мониторинга и корреляции событий информационной безопасности HP ArcSight ESM (версия 5.2) компании Hewlett-Packard является средством сбора и анализа событий безопасности, реализующим функции мониторинга (просмотра, анализа) результатов регистрации событий безопасности и реагирования на них, идентификации и аутентификации пользователей, управления доступом пользователей к информационным ресурсам, и соответствует требованиям технических условий АГРД.509000-02 ТУ.

Сертификат выдан на основании результатов сертификационных испытаний, которые были проведены НПО «Эшелон» (аккредитованной в качестве испытательной лаборатории Минобороны России, ФСБ России и ФСТЭК России) по заказу «АйТи Гард».

2013

ArcSight ESM 6.5

16 декабря 2013 года компания Hewlett-Packard сообщила о выходе новой версии ArcSight ESM 6.5.


Новая версия SIEM с встроенным контекстным поиском в 30 раз быстрее с CORRe.

Поиск в ESM как в Logger

  • Быстрое

расследование

  • Текстовый поиск

как в Logger

Новая версия SIEM с встроенным контекстным поиском в 30 раз быстрее с CORRe

  • Эффективное хранение логов
  • Интеграция с open source
  • 5 поколение CORRe – в 30 раз быстрее
  • Упрощенная веб-консоль
  • Поиск, отчетность, администрирование и оценка рисков из одной консоли
  • Централизованное управление настройками и правилами
  • Импорт и экспорт контента
  • Контент для контроля приложений AppView

Смотрите также



ПРОЕКТЫ (11) ПРОЕКТЫ НА БАЗЕ (9) ИНТЕГРАТОРЫ (7)
РЕШЕНИЕ НА БАЗЕ (9) СМ. ТАКЖЕ (29) ОТРАСЛИ (5)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (144)
  ESET (ИСЕТ Софтвеа) (65)
  Инфосистемы Джет (64)
  ДиалогНаука (56)
  Информзащита (41)
  Другие (1203)

  Смарт-Софт (Smart-Soft) (5)
  Card Security (Кард Сек) (4)
  R-Vision (Р-Вижн) (4)
  Softline (Софтлайн) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Другие (72)

  Солар (ранее Ростелеком-Солар) (8)
  А-Реал Консалтинг (6)
  Softline (Софтлайн) (3)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  Аксофт (Axoft) (2)
  Другие (55)

  Инфосистемы Джет (6)
  UserGate, Юзергейт (ранее Entensys) (5)
  Уральский центр систем безопасности (УЦСБ) (4)
  Национальный аттестационный центр (НАЦ) (3)
  Compliance Control (Комплаенс контрол) (3)
  Другие (55)

  Positive Technologies (Позитив Текнолоджиз) (5)
  Уральский центр систем безопасности (УЦСБ) (5)
  Инфосистемы Джет (4)
  ИВК (4)
  А-Реал Консалтинг (3)
  Другие (55)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (22, 170)
  ESET (ИСЕТ Софтвеа) (11, 79)
  Positive Technologies (Позитив Текнолоджиз) (13, 68)
  Смарт-Софт (Smart-Soft) (5, 47)
  Доктор Веб (Dr.Web) (7, 45)
  Другие (720, 500)

  Смарт-Софт (Smart-Soft) (1, 5)
  R-Vision (Р-Вижн) (1, 4)
  Ngenix (Современные сетевые технологии, ССТ) (2, 3)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  Trend Micro (2, 3)
  Другие (13, 12)

  Солар (ранее Ростелеком-Солар) (3, 7)
  А-Реал Консалтинг (3, 6)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Лаборатория Касперского (Kaspersky) (2, 4)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Другие (12, 12)

  UserGate, Юзергейт (ранее Entensys) (3, 8)
  Лаборатория Касперского (Kaspersky) (1, 3)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
  А-Реал Консалтинг (1, 2)
  Check Point Software Technologies (1, 1)
  Другие (6, 6)

  UserGate, Юзергейт (ранее Entensys) (6, 9)
  Positive Technologies (Позитив Текнолоджиз) (4, 5)
  ИВК (1, 4)
  А-Реал Консалтинг (2, 3)
  Вебмониторэкс (ранее WebmonitorX) (1, 2)
  Другие (7, 8)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Kaspersky Endpoint Security - 82 (82, 0)
  ESET NOD32 Business Edition - 51 (51, 0)
  Dr.Web антивирус - 48 (12, 36)
  MaxPatrol SIEM - 35 (33, 2)
  Kaspersky Enterprise Space Security - 34 (34, 0)
  Другие 569

  Смарт-софт: Traffic Inspector Next Generation - 5 (5, 0)
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
  FortiOS - 2 (0, 2)
  StormWall: Многоуровневая распределенная система фильтрации - 2 (2, 0)
  Ngenix Облачная платформа - 2 (2, 0)
  Другие 12

  Solar MSS - 3 (3, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  Solar JSOC - 3 (3, 0)
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Другие 19

  UserGate UTM - 4 (4, 0)
  UserGate C-серия Межсетевые экраны - 3 (3, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3 (3, 0)
  А-Реал Консалтинг: Межсетевой экран ИКС - 2 (2, 0)
  Другие 7

  ИВК Кольчуга - 4 (4, 0)
  А-Реал Консалтинг: Межсетевой экран ИКС - 3 (3, 0)
  UserGate UTM - 3 (3, 0)
  MaxPatrol SIEM - 2 (2, 0)
  PT Application Firewall - 2 (0, 2)
  Другие 19

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Инфосистемы Джет (66)
  Softline (Софтлайн) (57)
  SearchInform (СёрчИнформ) (54)
  ДиалогНаука (44)
  Информзащита (40)
  Другие (923)

  Инфосистемы Джет (5)
  Softline (Софтлайн) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Солар (ранее Ростелеком-Солар) (4)
  R-Vision (Р-Вижн) (4)
  Другие (62)

  Солар (ранее Ростелеком-Солар) (8)
  SearchInform (СёрчИнформ) (4)
  Информзащита (3)
  А-Реал Консалтинг (3)
  Makves (Маквес) (2)
  Другие (44)

  Инфосистемы Джет (7)
  Softline (Софтлайн) (4)
  Compliance Control (Комплаенс контрол) (3)
  Inspect (3)
  МСС Международная служба сертификации (3)
  Другие (42)

  SearchInform (СёрчИнформ) (15)
  Уральский центр систем безопасности (УЦСБ) (6)
  Softline (Софтлайн) (5)
  Инфосистемы Джет (4)
  Перспективный мониторинг (3)
  Другие (42)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  SearchInform (СёрчИнформ) (19, 58)
  InfoWatch (ИнфоВотч) (14, 49)
  Солар (ранее Ростелеком-Солар) (4, 48)
  FalconGaze (Фалконгейз) (1, 38)
  Positive Technologies (Позитив Текнолоджиз) (8, 37)
  Другие (408, 310)

  R-Vision (Р-Вижн) (1, 4)
  Солар (ранее Ростелеком-Солар) (2, 2)
  Инфосекьюрити (Infosecurity) (2, 2)
  Tele Link Soft (TLS) PTE. Ltd (1, 2)
  SETERE Group (быв. Security Technology Research -ТБИ (Технологии Безопасность Исследования)) (1, 2)
  Другие (10, 13)

  Солар (ранее Ростелеком-Солар) (2, 7)
  SearchInform (СёрчИнформ) (2, 4)
  А-Реал Консалтинг (1, 3)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  Makves (Маквес) (1, 2)
  Другие (5, 6)

  SearchInform (СёрчИнформ) (2, 2)
  Softscore UG (1, 1)
  Инфосистемы Джет (1, 1)
  Перспективный мониторинг (1, 1)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Другие (8, 8)

  SearchInform (СёрчИнформ) (2, 16)
  Перспективный мониторинг (1, 4)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  Crosstech Solutions Group (Кросстех Солюшнс Групп) (1, 1)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 1)
  Другие (3, 3)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 54 (52, 2)
  InfoWatch Traffic Monitor Enterprise (IWTM) - 47 (46, 1)
  FalconGaze SecureTower - 38 (38, 0)
  MaxPatrol SIEM - 33 (33, 0)
  DeviceLock Endpoint DLP Suite - 31 (31, 0)
  Другие 308

  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
  Kickidler Система учета рабочего времени - 2 (2, 0)
  SETERE: ПК ИСУ Терминал (Интегрированная система управления терминалами защищенного доступа) - 2 (2, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Makves DCAP (Data-Centric Audit and Protection) - 2 (2, 0)
  Другие 11

  Solar Dozor DLP-система - 4 (4, 0)
  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4 (4, 0)
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
  Solar JSOC - 3 (3, 0)
  SearchInform FileAuditor - 2 (2, 0)
  Другие 9

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2 (2, 0)
  Jet CyberCamp - 1 (1, 0)
  Cloud4Y Стахановец аренда и хостинг - 1 (1, 0)
  ARinteg: 1С УПДН. Учет персональных данных (расширение для 1С:ЗУП) - 1 (1, 0)
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1 (0, 1)
  Другие 7

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 16 (16, 0)
  SearchInform FileAuditor - 5 (5, 0)
  Перспективный мониторинг: Ampire Киберполигон - 4 (4, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Makves DCAP (Data-Centric Audit and Protection) - 1 (1, 0)
  Другие 3