HPE ArcSight

原创

wx622073a5650c4 2022-03-04 14:47:35 ©著作权

©著作权归作者所有：来自51CTO博客作者wx622073a5650c4的原创作品，如需转载，请与作者联系，否则将追究法律责任

ArcSight
ESM 是专为安全信息和事件管理（SIEM）而设计的产品。慧与的 ArcSight ESM 从企业的安全技术、操作系统、应用程序和其他日志源收集安全日志数据，并分析这些数据是否存在入侵、攻打或其他恶意活动的迹象。如果检测到恶意内容，交流、咨询需求V：Zz-1711v。产品会通过向安全管理员生成警报或启动自动响应来阻止恶意活动来采取相应的行动。

产品版本

HPE
ArcSight ESM 套件提供五种基于服务器的软件型号，这些型号以每天可处理的安全日志数据总千兆字节
（GB/d）命名：

ESM
20 GB/d，平均每秒 1000 个事件，最多 100 个网络设备

ESM
50 GB/d，平均每秒 2500 个事件，最多 250 个网络设备

ESM
100 GB/d，平均每秒 5000 个事件，最多 500 个网络设备

ESM
150 GB/d，平均每秒 7500 个事件，最多 500 个网络设备

ESM
250 GB/d，平均每秒 12，500 个事件，最多 500 个网络设备

其他安全功能

ArcSight
ESM 提供所有基本的 SIEM 安全功能。此外，它还支持使用来自Norse等供应商的第三方威胁情报源，以提高威胁检测的准确性。其他额外的安全功能，例如网络取证功能和对现有主机日志记录功能的补充，无法通过慧与的 ArcSight ESM 获得。

ArcSight包含的产品及模块较多，有些需单独付费才能启用。ArcSight产品框架如下所示

（一）数据采集

ArcSight的数据采集由采集软件（Connector）实现，目前支持近400种日志类型，日志获取的方式支持数据库、文本文件、Syslog、SNMP、REST API，日志记录支持单行、多行，日志内容支持文本、XML、JSON。

由ArcSight开发、维护、支持的日志采集器称为SmartConnector，用户自定义开发、维护、支持的日志采集器称为FlexConnector，两种Connector使用完全相同的框架，是同一个软件安装包。

Connector本身是个软件，ArcSight也可以硬件形式提供Connector Appliance，它按EPS划分规格，设备包括了Linux操作系统、基于Web的管理界面，适合一体化解决方案的用户。

HPE ArcSight_关联分析

（二）数据汇聚

Connector采集后，经过规范、补充后的数据可以直接发送至后台的关联分析软件ESM或/和发送给日志存留/查询软件Logger，这是以前传统的做法。2016年ArcSight发布了基于Kafka技术名为Event Broker的产品，它可以适应超大数据量的场景，支持伸缩、高可用、多Consumer，Connector可以作为Producers将数据以CEF格式输入Event Broker中，ArcSight ESM、Logger、Hadoop及其它支持Kafka的Consumer可以从中获取CEF格式数据。

（三）数据存储

Logger是个类似Splunk的产品，可以接收Connector发送的格式化日志，也可以直接作为Syslog服务器或通过SCP、SFTP、FTP获取非结构化的数据，但其性能和部分细节功能没有Splunk强，它出身也就是ArcSight为了应对Splunk，评测版可以直接下载，官网下载链接：https://software.microfocus.com/en-us/products/siem-data-collection-log-management-platform/download，日数据量不大于750M的情况下可以免费使用1年。

Logger主要是满足日志的长期存储，快速检索，快速出具简单报表的需求，不具备真正意义上的实时分析的功能，它可以将日志分类分别设置最多6个存储组，每个存储组可以设置不同的保留期限以满足不同的日志存留需求。

（四）数据分析

ESM是ArcSight的真正核心，我认为当前在SIEM的实时关联分析领域它应该是排名第一的。

ESM本身包含了很多组件/模块，有些还是要单独付费的，以下就常见的做个简介：

1、Manager是整个ESM的核心，它是基于Java的处理软件，主要完成信息的实时关联、分析工作，其中包含19大类30多种小类的功能（ArcSight称之为Resource），Manager只能处理Connector发送来的规范了的结构化日志。

2、CORRE其实就是一个Logger的存储引擎，它具备Logger的所有关键功能，在6.0版本之前ESM使用的存储引擎是Oracle，但这种通用关系型数据库成为了整个ESM的性能瓶颈，因此现在新购ESM版本全是基于CORRE的，基于Oracle的ESM最高版本自2015年以来一直停滞在5.6，该模块无需单独付费。

3、Command Center是基于Web的ESM管理控制台，它设计的功能主要针对ESM的平台系统管理员、SOC的一线运维值班人员及日志源设备管理员，Command Center的Web界面相对比较简洁并且以查看功能为主，该模块无需单独付费。

4、Pattern Discovery是个单独付费的功能，它主要解决历史数据挖掘的问题，ESM Manager在实时关联分析上功能很强，但是对历史数据的挖掘能力就很差，因此ArcSight开发了这个模式发现的功能，此功能需要在ESM Console上使用，另外ArcSight还OEM了一个离线的模式发现软件AID（ArcSight
Interactive Discovery），这个产品在中国大陆地区仅有极少数用户购买过，真正要用起来对分析员的功力要求非常高，在大数据技术没有出现前这等工具还有点意义，大数据工具越来越多、越来越成熟后这两个模式发现的功能/产品基本就没人需要了。

5、Solution & Use
Case是需要单独付费的资源包，ESM实现的所有实时关联分析功能都是通过之前介绍过的19大类30多种小类的功能组合实现的，而Solution
& Use Case就是ArcSight基于一些常见的合规性规范定制好的资源包功能组合，例如PCI、HIPPA、SOX，但实际上将这些资源包落地成符合本机构需求的功能也是需要耗费很多精力的。