Cisco MARS

Система мониторинга, анализа и ответной реакции Cisco MARS (Cisco Security Monitoring, Analysis, and Response System) — комплексная аппаратная платформа, дающая уникальные возможности тщательного наблюдения, контроля и оперативного реагирования в системе безопасности корпоративной сети.

Cisco MARS даёт ИТ-персоналу возможность обнаруживать и отражать все виды сетевых угроз безопасности: система обнаруживает и изолирует элементы, нарушающие нормальную работу сети, а также предоставляет администраторам рекомендации по их полному устранению.

 

Функции систем Cisco MARS

Динамическая сеансовая корреляция

 

  • Обнаружение аномалий, включая анализ информации, получаемой по Cisco NetFlow
  • Корреляция событий как на основе правил, так и анализа «поведения» объектов сети
  • Встроенные и определяемые администратором правила
  • Автоматическая нормализация транслированных сетевых адресов (NAT normalization)

Построение топологической схемы сети

  • Обнаружение маршрутизаторов, коммутаторов и межсетевых экранов уровня 2 и 3
  • Обнаружение отдельных систем IDS (сетевых систем обнаружения вторжений)
  • Построение топологической схемы сети по запросу администратора или регулярно по графику
  • SSH, SNMP, Telnet и зависящие от конкретного устройства взаимодействия

Анализ уязвимостей

  • При обнаружении аномалий или угроз безопасности производится снятие следов нарушений в масштабе сети или на отдельном узле
  • Анализ конфигурации коммутаторов, маршрутизаторов, межсетевых экранов и NAT
  • Автоматическая обработка данных сканирования уязвимостей
  • Анализ ложных срабатываний: автоматический или настраиваемый администратором

Анализ нарушений и ответная реакция

  • Инструментальная панель управления отдельными событиями безопасности
  • Объединение данных сеансовых событий с контекстом всех правил
  • Графическое представление пути атаки с подробным анализом
  • Профили устройств на пути атаки с определением MAC-адресов конечных узлов
  • Графическое и подробное последовательное представление типа атаки
  • Подробные данные нарушения, включая правила, необработанные события, общие уязвимости и способы воздействия на сеть, а также варианты отражения
  • Мгновенный анализ нарушений и определение ложных срабатываний
  • Определение правил с помощью графического интерфейса пользователя для поддержки собственных правил и анализа по ключевым словам
  • Оценка нарушений с выдачей по пользователям рабочего листа с описанием пошаговых действий
  • Оповещение, включая электронную почту, пейджер, системный журнал и SNMP

Формирование запросов и отчетов

  • Графический интерфейс пользователя, поддерживающий большое число стандартных и настраиваемых запросов
  • Более 80 распространенных отчетов, включая отчеты по управлению, эксплуатации и контролю нормативного соответствия
  • Генератор отчетов с наглядным интерфейсом, позволяющим создавать неограниченное число пользовательских отчетов
  • Текстовый, графический и общий формат отчетов, поддерживающий экспорт в файлы HTML и CSV
  • Создание готовых к печати, групповых, типовых и пр. отчетов
  • Централизованное создание отчетов для параметров NAC фазы 2

Администрирование

  • Web-интерфейс HTTPS; ролевое администрирование с заданными полномочиями
  • Иерархическое управление несколькими системами Cisco MARS с помощью глобального контроллера
  • Автоматические обновления, включая поддержку устройств, новых правил и функций
  • Постоянный перенос архивов необработанных данных нарушений в автономные хранилища NFSПоддержка устройств
  • Сетевое активное оборудование: Программное обеспечение Cisco IOS, версии 11.x и 12.x; ОС Cisco Catalyst версии 6.x; Cisco NetFlow версии 5.0 и 7.0; Extreme Extremeware версии 6.x.
  • Межсетевые экраны/VPN: Cisco Adaptive Security Appliance версии 7.0, программное обеспечение для устройств защиты Cisco PIX версии 6.x и 7.0; межсетевой экран Cisco IOS версии 12.2(T) или выше; модуль функций межсетевого экрана Cisco (FWSM) версии 1.x, 2.1 и 2.2; программное обеспечение для Cisco VPN 3000 версии 4.0; межсетевой экран Checkpoint Firewall-1 NG FP-x и VPN-1 версии FP3, FP4 и AI; межсетевой экран NetScreen версии 4.x и 5.x; межсетевой экран Nokia версии FP3, FP4 и AI.
  • Системы IDS: Система Cisco IDS версии 3.x, 4.x и 5.0; модуль Cisco IDS версии 3.x и 4.x; система Cisco IOS IPS версии 12.2; система Enterasys Dragon NIDS версии 6.x; сетевой сенсор ISS RealSecure версии 6.5 и 7.0; система Snort NIDS версии 2.x; система McAfee Intrushield NIDS версии 1.5 и 1.8; система NetScreen IDP версии 2.x; ОС версии 4.x и 5.x; система Symantec MANHUNT.
  • Системы оценки уязвимости: система eEye REM версии 1.x и FoundStone FoundScan версии 3.x.
  • Системы безопасности конечных узлов: программа-агент Cisco Security Agent версии 4.x; система McAfee Entercept версии 2.5 и 4.x; датчик для конечных узлов ISS RealSecure Host Sensor версии 6.5 и 7.0.
  • Антивирусное ПО: Symantec Antivirus версии 9.x.
  • Серверы аутентификации: Сервер Cisco ACS версии 3.x и 4.x.
  • Операционные системы конечных узлов: ОС Windows NT, 2000 и 2003 (с агентами и без); ОС Solaris версии 8.x, 9.x и 10.x; ОС Linux версии 7.x.
  • Приложения: Web-серверы (ISS, iPlanet и Apache); Oracle 9i и 10g; NetCache.
  • Универсальная поддержка устройств для объединения и мониторинга системных журналов любых приложений.

Дополнительные аппаратные характеристики

  • Устройства специального назначения, монтаж в стойку 19 дюймов; сертификация UL.
  • ОС с усиленной защитой; межсетевой экран с сокращенным набором функций.
  • Два интерфейса Ethernet 10/100/1000.
  • DVD-ROM с дисках для восстановления.

Cisco MARS сочетает в себе следующие возможности:


возможность интеграции с Cisco Security Manager для централизованного управления средствами обеспечения информационной безопасности;

преобразование предоставляемых агентами необработанных данных о нормальной и аномальной активности в понятную информацию;

корреляция сетевых аномалий и событий безопасности на основе технологии NetFlow;

визуализация подтвержденных нарушений безопасности на графе с топологией сети и автоматизация их расследования;

отражение атак за счет использования существующей инфраструктуры сети;

генерация отчетов о работе конечных узлов, сети и операций службы безопасности для обеспечения соответствия нормативным документам.