Открыть сервис

ArcSight

ArcSight — это семейство программных продуктов для управления информацией и событиями безопасности (SIEM), разрабатываемое американской компанией Micro Focus (ранее Hewlett Packard Enterprise, до этого ArcSight Inc.). Системы ArcSight предназначены для сбора, нормализации, корреляции и анализа данных о событиях безопасности из различных источников (сетевые устройства, серверы, приложения, базы данных) в режиме реального времени, а также для долгосрочного хранения логов и формирования отчётности.

История

Компания ArcSight Inc. была основана в 2000 году в городе Купертино (Калифорния, США). Первоначально она специализировалась на разработке решений для обнаружения кибератак и управления инцидентами. В 2010 году компания была приобретена корпорацией Hewlett-Packard (HP) за 1,5 миллиарда долларов США, после чего продукты ArcSight стали частью портфолио HP Enterprise Security. В 2017 году подразделение программного обеспечения HP Enterprise (HPE) было выделено в отдельную компанию Micro Focus, которая продолжила развитие и поддержку ArcSight. В 2022 году Micro Focus была приобретена компанией OpenText, однако бренд ArcSight сохранился как часть её продуктовой линейки.

Архитектура и компоненты

Система ArcSight строится на модульной архитектуре, включающей несколько ключевых компонентов:

ArcSight ESM (Enterprise Security Manager)

Центральный компонент, отвечающий за корреляцию событий в реальном времени. ESM получает данные от различных источников, нормализует их в единый формат (Common Event Format, CEF) и применяет правила корреляции для выявления аномалий, атак и инцидентов. Правила могут быть как встроенными (например, от сообщества ArcSight), так и настраиваемыми.

ArcSight Logger

Система для долгосрочного хранения и поиска по логам. Logger обеспечивает индексацию, сжатие и быстрый поиск по миллиардам записей. Данные могут храниться как на локальных дисках, так и в облачных хранилищах. Logger часто используется как дополнение к ESM для ретроспективного анализа.

ArcSight SmartConnectors

Программные или аппаратные коннекторы, которые собирают события из различных источников: операционных систем (Windows, Linux, Unix), сетевых устройств (Cisco, Juniper), межсетевых экранов, систем обнаружения вторжений (IDS/IPS), антивирусов, баз данных и приложений. SmartConnectors преобразуют сырые логи в формат CEF и передают их в ESM или Logger. Насчитывается более 500 типов коннекторов.

ArcSight Management Center

Веб-интерфейс для централизованного управления всеми компонентами ArcSight: конфигурация коннекторов, мониторинг состояния системы, управление лицензиями и обновлениями.

ArcSight Investigate

Инструмент для расследования инцидентов, предоставляющий графический интерфейс для визуализации связей между событиями, пользователями и активами. Позволяет строить таймлайны и диаграммы атак.

Функциональные возможности

Сбор и нормализация данных

ArcSight способен обрабатывать до нескольких миллионов событий в секунду (EPS — Events Per Second) в зависимости от конфигурации. Нормализация в CEF позволяет унифицировать разнородные логи, что упрощает корреляцию и поиск.

Корреляция в реальном времени

Система использует правила корреляции (Correlation Rules), написанные на языке ArcSight Correlation Language. Правила могут учитывать последовательность событий, временные окна, пороговые значения и контекст (например, критичность актива). Примеры правил: «обнаружение множественных неудачных попыток входа в систему с последующим успешным входом» или «одновременный вход с разных IP-адресов».

Управление инцидентами

При срабатывании правила ESM создаёт инцидент (Incident), который содержит все связанные события, активы, пользователей и рекомендации по реагированию. Инциденты могут автоматически назначаться аналитикам, эскалироваться или блокироваться (например, через интеграцию с системами SOAR).

Отчётность и дашборды

ArcSight предоставляет гибкие инструменты для построения отчётов (как по расписанию, так и по запросу) и интерактивных дашбордов. Отчёты могут включать статистику по типам атак, топ-10 источников угроз, временные тренды и т.д.

Интеграция с Threat Intelligence

Система поддерживает импорт внешних списков угроз (IP-адреса, домены, хэши файлов) в форматах STIX/TAXII и их использование в правилах корреляции. Это позволяет выявлять атаки, связанные с известными вредоносными объектами.

Применение

ArcSight используется в организациях различного масштаба: от крупных корпораций и государственных учреждений до операторов критической информационной инфраструктуры. Основные сценарии применения:

Преимущества и недостатки

Преимущества

Недостатки

Конкуренты

На рынке SIEM ArcSight конкурирует с такими продуктами, как:

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →