ArcSight
ArcSight — это семейство программных продуктов для управления информацией и событиями безопасности (SIEM), разрабатываемое американской компанией Micro Focus (ранее Hewlett Packard Enterprise, до этого ArcSight Inc.). Системы ArcSight предназначены для сбора, нормализации, корреляции и анализа данных о событиях безопасности из различных источников (сетевые устройства, серверы, приложения, базы данных) в режиме реального времени, а также для долгосрочного хранения логов и формирования отчётности.
История
Компания ArcSight Inc. была основана в 2000 году в городе Купертино (Калифорния, США). Первоначально она специализировалась на разработке решений для обнаружения кибератак и управления инцидентами. В 2010 году компания была приобретена корпорацией Hewlett-Packard (HP) за 1,5 миллиарда долларов США, после чего продукты ArcSight стали частью портфолио HP Enterprise Security. В 2017 году подразделение программного обеспечения HP Enterprise (HPE) было выделено в отдельную компанию Micro Focus, которая продолжила развитие и поддержку ArcSight. В 2022 году Micro Focus была приобретена компанией OpenText, однако бренд ArcSight сохранился как часть её продуктовой линейки.
Архитектура и компоненты
Система ArcSight строится на модульной архитектуре, включающей несколько ключевых компонентов:
ArcSight ESM (Enterprise Security Manager)
Центральный компонент, отвечающий за корреляцию событий в реальном времени. ESM получает данные от различных источников, нормализует их в единый формат (Common Event Format, CEF) и применяет правила корреляции для выявления аномалий, атак и инцидентов. Правила могут быть как встроенными (например, от сообщества ArcSight), так и настраиваемыми.
ArcSight Logger
Система для долгосрочного хранения и поиска по логам. Logger обеспечивает индексацию, сжатие и быстрый поиск по миллиардам записей. Данные могут храниться как на локальных дисках, так и в облачных хранилищах. Logger часто используется как дополнение к ESM для ретроспективного анализа.
ArcSight SmartConnectors
Программные или аппаратные коннекторы, которые собирают события из различных источников: операционных систем (Windows, Linux, Unix), сетевых устройств (Cisco, Juniper), межсетевых экранов, систем обнаружения вторжений (IDS/IPS), антивирусов, баз данных и приложений. SmartConnectors преобразуют сырые логи в формат CEF и передают их в ESM или Logger. Насчитывается более 500 типов коннекторов.
ArcSight Management Center
Веб-интерфейс для централизованного управления всеми компонентами ArcSight: конфигурация коннекторов, мониторинг состояния системы, управление лицензиями и обновлениями.
ArcSight Investigate
Инструмент для расследования инцидентов, предоставляющий графический интерфейс для визуализации связей между событиями, пользователями и активами. Позволяет строить таймлайны и диаграммы атак.
Функциональные возможности
Сбор и нормализация данных
ArcSight способен обрабатывать до нескольких миллионов событий в секунду (EPS — Events Per Second) в зависимости от конфигурации. Нормализация в CEF позволяет унифицировать разнородные логи, что упрощает корреляцию и поиск.
Корреляция в реальном времени
Система использует правила корреляции (Correlation Rules), написанные на языке ArcSight Correlation Language. Правила могут учитывать последовательность событий, временные окна, пороговые значения и контекст (например, критичность актива). Примеры правил: «обнаружение множественных неудачных попыток входа в систему с последующим успешным входом» или «одновременный вход с разных IP-адресов».
Управление инцидентами
При срабатывании правила ESM создаёт инцидент (Incident), который содержит все связанные события, активы, пользователей и рекомендации по реагированию. Инциденты могут автоматически назначаться аналитикам, эскалироваться или блокироваться (например, через интеграцию с системами SOAR).
Отчётность и дашборды
ArcSight предоставляет гибкие инструменты для построения отчётов (как по расписанию, так и по запросу) и интерактивных дашбордов. Отчёты могут включать статистику по типам атак, топ-10 источников угроз, временные тренды и т.д.
Интеграция с Threat Intelligence
Система поддерживает импорт внешних списков угроз (IP-адреса, домены, хэши файлов) в форматах STIX/TAXII и их использование в правилах корреляции. Это позволяет выявлять атаки, связанные с известными вредоносными объектами.
Применение
ArcSight используется в организациях различного масштаба: от крупных корпораций и государственных учреждений до операторов критической информационной инфраструктуры. Основные сценарии применения:
- Мониторинг безопасности — непрерывный сбор и анализ событий со всех ИТ-систем.
- Обнаружение вторжений — выявление попыток несанкционированного доступа, вирусных атак, атак типа «отказ в обслуживании» (DDoS).
- Расследование инцидентов — ретроспективный анализ логов для выяснения причин и последствий атак.
- Соответствие требованиям — автоматизация сбора и хранения логов для выполнения нормативов (например, PCI DSS, SOX, GDPR, Федеральный закон «О персональных данных» в РФ).
- Анализ поведения пользователей (UEBA) — выявление аномалий в действиях легитимных пользователей (например, доступ к данным в нерабочее время).
Преимущества и недостатки
Преимущества
- Масштабируемость — возможность обработки десятков тысяч EPS на одной инсталляции.
- Гибкость настройки — мощный язык правил корреляции и возможность создания собственных коннекторов.
- Богатая библиотека контента — готовые правила, дашборды и отчёты от сообщества и вендора.
- Долгая история развития — зрелая платформа с большим количеством интеграций.
Недостатки
- Сложность внедрения и эксплуатации — требует высокой квалификации персонала (администраторов и аналитиков).
- Высокая стоимость — лицензирование на основе EPS и объёма хранимых данных может быть дорогим для небольших организаций.
- Устаревший интерфейс — некоторые компоненты (например, ESM Console) имеют консольный или настольный интерфейс, что снижает удобство по сравнению с современными веб-решениями.
- Зависимость от формата CEF — не все источники могут быть корректно нормализованы без доработки коннекторов.
Конкуренты
На рынке SIEM ArcSight конкурирует с такими продуктами, как:
- Splunk — более гибкая платформа с мощным языком поиска, но часто дороже.
- IBM QRadar — фокус на корреляцию и интеграцию с другими продуктами IBM.
- LogRhythm — ориентирован на средние и крупные предприятия, удобный интерфейс.
- Microsoft Sentinel — облачная SIEM, интегрированная с Azure.
- Open Source-решения (например, Elastic Stack, Wazuh) — бесплатны, но требуют значительной настройки.
Интересные факты
- ArcSight был одним из первых коммерческих SIEM-продуктов, получивших широкое распространение в банковском секторе и государственных структурах США.
- В 2013 году компания HP выпустила версию ArcSight 6.0, которая впервые поддерживала обработку более 100 000 EPS на одном узле.
- Формат CEF (Common Event Format) был разработан ArcSight и впоследствии стал де-факто стандартом для многих SIEM-систем, хотя официально не стандартизирован.
Источники
- Официальная документация Micro Focus ArcSight (архив).
- Статья «ArcSight» в англоязычной Википедии (по состоянию на 2023 год).
- Книга «Security Information and Event Management (SIEM) Implementation» by David Miller, 2011.
- Отчёты аналитических агентств Gartner и Forrester по рынку SIEM (2015–2023).
- Материалы конференций по информационной безопасности (RSA Conference, Black Hat).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →