首页| 新闻活动

护航安全!ArcSight ESM为SOC服务提供高可靠平台

来源:Micro Focus时间:2021-04-30浏览数:39

Rostelecom-Solar是一家安全托管服务提供商(MSSP),并实施漏洞检测(MDR),通过构建ArcSight ESM平台,为其客户提供高效的SOC服务。

Rostelecom-Solar大展宏图
image.png

Rostelecom-Solar (Solar Security LLC)是一家国家级供应商,致力于提供信息资产保护、定向监控和信息安全管理等相关服务与技术。这家企业成立于2015年,前身为俄罗斯系统集成商Jet Infosystems 的信息安全系统实施部门。Solar Security还拥有俄罗斯首个商用JSOC。该中心于2013年投入使用,当时Solar Security JSOC 在莫斯科的下诺夫哥罗德设有办事处。2018年,俄罗斯最大的数字解决方案和服务综合提供商 Rostelecom 收购了 Solar Security;同年,又在萨马拉和哈巴罗夫斯克设立了办事处,并于2019年在 Rostov-on-Don设立了办事处。

为MSSP/MDR而生的SIEM系统

SJSOC建立之初,本是在MSSP/MDR模式下运行的信息安全(IS)事件监控和检测服务供应商。因此,企业需要一个能够在私有云和混合云环境中运行的安全信息和事件管理(SIEM)系统,作为该服务的支持平台。


专家们正在寻找这样一个产品:它只需要一单独的虚拟机实例单一SIEM许可证,就可以同时为多个客户提供服务;同时对被监测的事件提供足够等级的访问控制;还能在相同的SIEM系统实例中运行来自不同客户的脚本;以及具有MSSP/MDR所需的其他功能……


另一个重要因素是,该产品需要具备事件相关机制。产品必须足够地灵活,以实现客户可能需要的各种SIEM 系统用例。


我们调查了我们在2012年为商业 SOC 创建的所有 SIEM 系统选择,只有 ArcSight 符合上述标准。在俄罗斯市场中,再没有其它类似的解决方案了。”

Rostelecom-Solar 

首席JSOC 服务分析师

Maxim Zhevnerev


这一解决方案的供应商Micro Focus在俄罗斯广受青睐,且享有盛名。当然,ArcSight还有一大优势:JSOC 专家对这个产品非常熟悉,并且已经拥有使用经验。

JSOC的独家秘笈

JSOC 计划建立一个托管内容等级制度。该一制度能够保证不同客户使用着一套相同的规则,并且能够为每个客户制定不同的个性化条款;通过使用单一事件分类,最小化创建和运行新的发现场景的成本。


Rostelecom-Solar JSOC 网络攻击监测和反应中心主任 Vladimir Dryukov表示,他与团队仔细研究了一些全球知名SOC的经验。在对这些公司的方案进行分析后,他们发现,这些方式因为各种各样的原因无法在俄罗斯奏效。


“我们所有的现行方案都是先在项目中开发出来,然后经过实践反复测试的。”Maxim Zevnerev 表示。


ArcSight ESM 的内容开发也很简单: 遵循内容创建的一般原则,就能够轻松地为特定任务定义特定规则;而这些规则可以用于几乎任何客户。


唯一需要满足的国际标准是2015年获得认证的PCI DSS 支付卡标准。在 JSOC 诞生之初,俄罗斯还没有关于 SOCs 的标准和规范。此后的2015年底,State System for the Detection、Prevention and Elimination of the Consequences of Computer Attacks问世之后,这些标准才随之出现。


SIEM解决方案及其生态系统

随着客户数量的增加,SIEM的生态系统也在发展: 它被用作备份工具,作为ArcSight附件用于创建和测试参考内容,以及用于集成、处理和可视化单个 SIEM 系统的脚本和模块等。


如今,在 JSOC,实现ArcSight ESM转变的途径有二,客户仅需择一即可。第一个选项是,客户将所有需要审计的事件转发到 SIEM JSOC 云基础架构。另一种选择是混合云,专为希望保留自己的SIEM系统的组织设计。此类客户可以购买 ArcSight ESM 许可证,由供应商帮助在客户端口部署产品,同步 SecOps 流程和两个系统的内容,然后开始向客户提供 MSSP/MDR 服务。


JSOC 中有十多个 ArcSight ESM 实例,这些都集成到了一个基础架构中。这使得从构建流程到向新客户提供服务,整个过程更加快捷、方便。JSOC 私有云使用三个 ArcSight 实例为客户提供服务。此外,还有一些混合动力装置。


迈向发展新阶段

加入 Rostelecom 为企业服务发展提供了额外的机会 :  获得新数据、扩大基础设施资源、拓展与外部服务整合的方法,当然还开拓了新的客户。


Micro Focus

ArcSight 解决方案技术专家

Vladimir Dryukov

随着团队不断壮大,JSOC 的基础设施也不断扩展。但为了应对增长,并成功地向更多客户提供服务,我们必须改变服务的流程和架构,包括我们集成和自动化操作的方式。”


据Vladimir Dryukov所言,Rostelecom-Solar 现在为 Rostelecom 100多个外部客户提供服务。ArcSight ESM 也用于为40多个客户提供服务。


Micro Focus在俄罗斯和独联体(CIS)地区的 ArcSight 解决方案技术专家 Vyacheslav Tupikov 补充说: “ JSOC本身也利用ArcSight ESM 来保障自身安全,这非常有创意。”


成功的秘诀——超凡架构

在谈到 ArcSight ESM 的优势时,Rostelecom-Solar 的专家强调了它精巧的架构,能够在产品层面实现功能丰富、快速便捷的事件关联和处理机制,并将事件解析和分类则迁移到连接器级。这种架构提供了为特定客户定制解决方案的灵活性,通过修改连接器和使用外部数据丰富事件,允许根据客户需求进行规范化和分类。


“多亏了 ArcSight ESM 的这些功能,我们能够创建统一内容,并分发给我们的客户,” Maxim Zevnerev 说。“在许多其他 SIEM 系统中设计不甚完善的活动列表机制,在ArcSight中则非常高效ーー它们易于管理,运行也非常稳定。几乎所有客户场景配置都在 ArcSight ESM 活动列表中呈现。现有的 API 集成功能允许我们开发这个功能,并将服务管理从 SIEM 控制台迁移到各种外部系统,从而更易进行管理。”


 ArcSight ESM 是一个框架,” Maxim 表示。“高达99% 的工作都是通过内置的 SIEM 系统工具完成的。我们认为,不需要开发额外的代码、脚本或集成模块成为了一个巨大优势。有了 ArcSight ESM,我们几乎可以实现任何 SIEM 用例。”


便捷可靠的平台——商业SoC

JSOC 非常看好 Micro Focus SIEM 系统的稳定性。


“在八年的运营中,我们已经进行了五六次版本更新。没有任何意外发生, ArcSight ESM始终正常运行。”Maxim Zevnerev 说。“此外,我们只有过一次从备份恢复SIEM 系统的经历。”


Maxim 说:“事实证明,ArcSight ESM 的资源消耗回报率很高。” 例如,ArcSight部署在拥有128GB RAM 的32核服务器上,每秒能够处理50-55,000个事件。由于该系统的简单和可靠,JSOC 的工作人员仅需花费最少的时间就可以支持现有的 ArcSight ESM 安装,而不是专注于客户服务和内容扩展。


更重要的是,对于 MSSP/MDR 来说,ArcSight ESM 已经被证明是为客户提供服务的便捷工具。通过使用 ArcSight ESM,JSOC 专家可以迅速地连接新客户——这一过程通常只需要三天。如果新客户已有其成熟的SecOps流程,那么完成他们的服务连接仅需1-2周(包括对所有必需的资源的集成、定制和运行正确的脚本)。


“在与 JSOC 开始合作后的第二年年底,企业 MSSP/MDR 完全实现了投资回报。


“针对 MSSPs的 ArcSight ESM 许可模型是直接、透明和可预测的。在我看来,这是目前市场上最成熟的产品之一。通过它,供应商可以轻松创建自己的定价方案。许多其他 SIEM 供应商则不具备这种便捷的 MSSP/MDR 许可模式。”


有了ArcSight, 未来会更好!

JSOC 专家正在利用许多解决方案的特性,并希望在未来扩大 ArcSight 产品线中可利用的特性的数量。


该公司也正在考虑采用 ArcSight SOAR 解决方案。JSOC专家希望将其整合到现有的操作流程中。


由于JSOC已经达到了需要单个数据总线来跨系统分布数据流的程度,技术发展的另一个可能的方向是实现ArcSight转型中心解决方案。该公司的专家目前正在对其进行测试。


JSOC 也将继续开发ArcSight的生态系统,重点将组织 SIEM 系统所有现有实例的单一集中存储和内容更新。


Micro Focus软件培训认证中心

广州赛辰认证服务有限公司

联系我们

广州赛辰认证服务有限公司

电话:020-32200125

邮编:510663

地址:广州高新技术产业开发区科学城彩频路9号501E/F/G