Справочные сведения о продукте
Начальное представление о платформе RSA
enVision™
Система управления журналами регистрации событий 3-в-1
Что это такое?
Аналитики, в том числе Gartner, соглашаются с тем, что
платформа RSA enVision™ является лидирующей технологией
на рынке продуктов управления информационной
безопасностью (Security Information and Event Management -
SIEM). Эта технология позволяет организации построить
единую, интегрированную систему управления журналами
регистрации событий по типу «три в одном», упрощая
соблюдение отраслевых нормативных требований, повышая
безопасность и снижая риски, а также оптимизируя ИТ
инфраструктуру и ее обслуживание. Все эти преимущества
достигаются благодаря автоматическому сбору, анализу,
оповещению об инцидентах, аудиту журналов регистрации
событий, подготовке отчетов и надежному хранению всех
журнальных файлов.
Оптимизация функционирования IT- и сетевой
инфраструктуры. Обработка журнальных файлов - лучший
источник информации о производительности различных
элементов инфраструктуры и поведении пользователей.
Специалисты службы технической поддержки могут
использовать платформу RSA enVision для контроля за
серверами, сетевыми устройствами и системами хранения, а
также для мониторинга сетевых ресурсов, доступности и
статуса пользователей, аппаратного обеспечения и бизнес-
приложений. Платформа также предоставляет развитый
аналитический инструментарий для диагностики сбоев в ИТ-
инфраструктуре и защиты сетевых ресурсов, а также
значительно упрощает работу ИТ-менеджеров службы «горячей
линии», и может до мельчайших деталей показать действия
пользователей.
Назначение
Как это работает?
Платформа RSA enVision обеспечивает сбор всех журнальных
файлов со всех IP-устройств Вашей сети, при этом постоянно
архивирует копии всех полученных данных, обрабатывает
журналы в режиме реального времени и генерирует
оповещения при обнаружении подозрительного поведения
пользователей или устройств. Администраторы через
интуитивно понятную инструментальную панель управления
могут делать запросы по всему объему сохраненных данных, а
развитое аналитическое программное обеспечение преобразует
совокупную массу неструктурированных исходных данных в
структурированную информацию, формализуя происходящее с
целью помочь администраторам в трех главных областях:
Упрощение соблюдения отраслевых нормативов.
Администраторы обладают возможностью автоматического
сбора данных о событиях в сети, доступе к файлам,
приложениям и активности пользователя, что может помочь в
подтверждении соответствия отраслевым нормативным
требованиям. Для этого заготовлено свыше 1100 встроенных
отчетов практически по каждому разделу нормативных
требований. Более того, данное решение упрощает достижение
соответствия вновь появляющимся требованиям, т.к. сохраняет
полный объем данных журналов без какой-либо их фильтрации
и нормализации, защищая информацию от намеренного
искажения и являясь, таким образом, достоверным источником
архивированных данных.
Повышение безопасности и снижение рисков. Оповещение
об инцидентах в режиме реального времени, мониторинг и
возможность проведения детализированного расследования
дают администраторам ясное представление о важных
событиях. Благодаря возможности видеть возможные риски и
угрозы, а также понимать их значение, они могут
предпринимать более эффективные действия по снижению этих
рисков.
Платформа RSA enVision позволяет извлекать журнальные
файлы одновременно из десятков тысяч устройств, включая
Windows
®
-серверы, межсетевые экраны Checkpoint
®
и
маршрутизаторы Cisco
®
без установки на них агентов. Это
гарантирует, что все данные (All the Data
™) собираются
непрерывно и в полном объеме. В то же время набор
функциональных возможностей по мониторингу базовых
уровней эксплуатации, тенденций, а также генераторы отчетов
предоставляют администраторам ретроспективные (в том числе
графические) обзоры сетевой производительности и событий
безопасности, благодаря чему улучшается эффективность
планирования и одновременно снижается трудоемкость данного
процесса. Вы можете развернуть платформу RSA enVision либо
как автономное «plug-and play» решение, либо как часть
масштабируемой отказоустойчивой распределенной
архитектуры, характерной для крупномасштабной
корпоративной сети. Вне зависимости от выбранного решения,
оно будет включать в себя все необходимое программное
обеспечение и не потребует каких-либо дополнительных затрат.
Удобный Web-интерфейс управления и технология Event
Explorer™ - чрезвычайно развитого аналитического
инструмента, обеспечивают интуитивный контроль и
возможность углубленного и тщательного расследования
инцидентов. Будучи развернутым в качестве автономного
решения (серия ES), один функционально полный и
защищенный аппаратно-программный комплекс (АПК)
обеспечивает выполнение всех функций, включая сбор,
обработку, анализ и хранение данных. При развертывании в
рамках распределенной архитектуры (серия LS), в требуемых
местах устанавливаются специализированные АПК, каждый из
которых выполняет свою ключевую задачу: локальные и
удаленные сборщики осуществляют сбор данных, серверы
данных осуществляют управление собранными данными, а
прикладные серверы выполняют анализ данных и генерацию
отчетов. Сами данные могут храниться в разработанной
компанией EMC непосредственно подключенной системе
хранения, находящейся в режиме он-лайн, либо в горячем или
холодном резерве.