Уровень развития современной информационно-технической инфраструктуры требует от компаний более эффективного управления и мониторинга — как на уровне отдельных ресурсов сети, так и всей ИТ-инфраструктуры в целом. В то же время усиливается контроль со стороны регулирующих органов, требующих от компаний повысить прозрачность ИТ-инфраструктуры.
Компания Novell разработала гибкий набор масштабируемых механизмов обработки событий, который обеспечивает централизованный мониторинг всей информационной инфраструктуры, состоящей из различного сетевого оборудования, серверных и настольных ОС, СУБД, антивирусных систем, систем обнаружения вторжения, брандмауэров и др. Эти механизмы, объединенные в рамках решения Sentinel, могут значительно уменьшить затраты и риски, связанные с нарушениями функционирования приложений и информационной безопасности предприятия.Архитектура решения
Платформу Sentinel составляет ряд компонентов: шина обмена данными, корреляционный механизм, подсистема обработки инцидентов, база данных, подсистема сбора и первичного анализа событий (коннекторы, коллекторы, менеджеры коллекторов) и источники событий. Функциональные компоненты опираются на набор слабо сопряженных служб, которые могут работать в распределенной топологии сервисно-ориентированной архитектуры. Такая архитектура содержит комплекс механизмов, служб и API, которые совместно обеспечивают линейное масштабирование решения при увеличении объема данных или повышении рабочей нагрузки.
Службы Sentinel работают в специализированных контейнерах, допускают независимую обработку и масштабирование, поскольку оптимизированы для передачи и обработки с применением механизма сообщений. В Sentinel Server содержатся следующие основные службы:
• Связь с удаленными объектами (Remoting Service)
• Доступ к данным (Data Access Service)
• Управление запросами (Query Manager Service)
• Сопоставления (Correlation Service)
• Служба рабочих потоков (Workflow Service)
• Визуализация событий (Event Visualization)
• Реагирование на инциденты (Incident Response)
• Отчетность (Reporting)
• Рекомендации (Advisor)
Шина обмена информацией о событиях iSCALE
В основе iSCALE лежит архитектура «издатель — подписчик» Message Bus, которая позволяет независимо масштабировать отдельные компоненты Sentinel. Все компоненты связаны через Message Bus, и ни одна пара компонентов не связана друг с другом непосредственно. Такая структура позволяет гибко наращивать компоненты системы в зависимости от нагрузки, легко адаптируясь под среду каждого заказчика: одна организация может использовать большее число устройств с малым количеством событий, а другая — меньшее количество устройств, но с интенсивными потоками событий. Поскольку в каждом из случаев плотность событий будет разной, Message Bus допускает согласованное наращивание с учетом нагрузки.
Такая архитектура позволяет распределять и настраивать обработку задач за пределами базы данных, что повышает производительность и масштабируемость. В других СУБД-ориентированных системах база данных становится узким местом экономически эффективной масштабируемости. Она влияет почти на все аспекты системы, поскольку каждое обновление экрана и детализация, сопоставление, запрос или обращение к сопутствующей информации требуют чтения, вставки или редактирования записей базы данных. iSCALE позволяет эффективнее справляться со всплесками интенсивности поступления данных от устройств защиты, что гарантирует более быструю реакцию на события.
Кроме того, архитектура iSCALE Message Bus использует разнообразные службы очередей, которые обеспечивают надежность связи в дополнение к безопасности и производительности самой платформы. Используя очереди с краткосрочным и долговременным хранением, система обеспечивает повышенную устойчивость к отказам.
Сбор, предварительная обработка и нормализация потока событий
События ИТ-инфраструктуры предприятия обрабатываются при помощи набора гибких коллекторов — агрегаторов данных о событиях, поступающих от определенных источников. Sentinel поддерживает главным образом дистанционные «безагентные» соединения с источниками. Однако в случаях, когда дистанционный подход менее эффективен, коллекторы могут устанавливаться непосредственно на устройства. Управление коллекторами осуществляется из Sentinel Control Center, который выполняет анализ, сопоставление и реагирование на инциденты в режиме реального времени. Коннектор — это концентратор или мультиплексированный адаптер, который соединяет механизм коллектора с контролируемыми устройствами.
Collector Manager управляет коллекторами, проверяет сообщения о состоянии системы и по мере необходимости выполняет фильтрацию событий. В число основных функций Collector Manager входят преобразование событий, добавление деловой информации посредством нормализации, выполнение глобальной фильтрации событий, маршрутизация событий и передача сообщений о состоянии на сервер Sentinel.
На этом же уровне функционирует служба Exploit Detection, позволяющая немедленно сообщать об атаках на уязвимые системы и предоставляющая средства реагирования. Она обеспечивает связь между сигнатурами IDS и результатами сканирования уязвимостей в режиме реального времени, немедленно оповещая администраторов.
В Sentinel входит также конструктор коллекторов Collector Builder, который применяется для создания, конфигурирования и отладки коллекторов. Это приложение служит интегрированной средой разработки, которая позволяет создавать новые коллекторы для анализа данных из исходных устройств с применением специального языка-интерпретатора. Эта возможность — одно из уникальных отличий Sentinel от аналогичных разработок.
Оценка связанности событий
Компоненты решения в реальном времени обеспечивают агрегирование и анализ связанности тысяч событий в секунду. Запатентованный алгоритм сопоставления сравнивает события, анализируя поток данных в режиме реального времени, сообщая о взаимосвязанных событиях по задаваемым правилам, прежде чем эти события поступают в базу данных. Правила, заданные в механизме сопоставления, помогают выявить определенные шаблоны (образцы) поведения в каждом единичном событии. При обнаружении совпадения механизм сопоставления генерирует событие корреляции, описывающее найденную взаимосвязь, и может создать инцидент или автоматически запустить процесс реагирования посредством iTRAC. Кроме того, механизм сопоставления дает следующие преимущества по сравнению с механизмами, основанными на базах данных:
• Опираясь на внутреннюю обработку, а не на запросы к базе данных, механизм сопоставления работает при высокой постоянной интенсивности потоков, в том числе во время всплесков событий при атаках — когда высокая скорость сопоставления особенно важна;
• Процесс сопоставления не замедляет работы других компонентов системы, отклик пользовательского интерфейса остается на высоком уровне и при высокой интенсивности событий;
• Организации могут развернуть множество механизмов сопоставления (Correlation Engine) без необходимости копировать конфигурации или добавлять базы данных. Независимое масштабирование компонентов обеспечивает экономически эффективное наращивание;
• После определения инцидентов механизм сопоставления может добавлять к ним новые события. Эта возможность гарантирует более полный и подробный анализ событий.
Автоматизация разрешения выявленных инцидентов
Многие системы могут выполнять сбор и обработку информации, но не предлагают автоматической реакции на выявленные нарушения. В отличие от схожих разработок, Sentinel позволяет в автоматическом режиме устранять инциденты, связанные с нарушением функционирования ИТ-ресурсов, благодаря централизованному сбору и анализу информации и соблюдению установленных правил и маршрутов обработки. Служба iTRAC меняет пассивную роль «сигнализации и наблюдения» за инцидентами на активную роль «действенного реагирования».
iTRAC принимает сигналы о создании инцидента (от оператора или системы оценки связанности событий) и инициирует рабочие процессы по заранее определенным шаблонам, управляя жизненным циклом процессов, генерируя рабочие элементы или исполняя действия. Sentinel iTRAC может работать совместно с популярными системами сервисного обслуживания Remedy Help Desk и HP OpenView Service Desk, организуя единое информационное поле обо всех происшествиях в ИТ-инфраструктуре.
Представление информации, управление, отчётность
Уровень представления информации в Sentinel реализован в виде удобного пользовательского интерфейса на основе инструмента Sentinel Control Center, осуществляющего централизованный анализ (в реальном времени или в заданный период) и графическое отображение состояния отдельных ресурсов сети или всей инфраструктуры целиком. Это позволяет оценить степень соответствия заданным критериям и нормам безопасности предприятия (в частности, Sarbanes-Oxley, HIPAA, GLBA и др.).
Sentinel Control Center представляет собой набор интегрированных информационных панелей управления событиями. Интуитивно понятное представление информации позволяет аналитикам быстро выявить новые тенденции или атаки, управлять графической информацией реального времени и реагировать на инциденты.
Наиболее часто используемым инструментом является Active Views — интерактивный графический интерфейс пользователя для визуализации событий с мощным набором инструментов анализа и обнаружения угроз. Пользователи могут контролировать события в режиме реального времени и немедленно получать детализацию прошлых событий на интервалах длительностью от секунд до часов.
Active Views обеспечивает прямой доступ к данным о событиях из оперативной памяти сервера, управляя тысячами событий в секунду. Данные содержатся в памяти и по мере необходимости записываются в базу данных. Такое непрерывное представление данных важно и в случае атак, и в стандартном рабочем состоянии.
Компоненты отчетности Sentinel (в число которых входит также Crystal Report Server) содержат десятки встроенных шаблонов отчетов и механизмы построения собственных отчетов для более гибкого анализа данных. Это позволяет формировать оперативные и консолидированные статистические данные, необходимые руководству компании для оценки качества функционирования ИТинфраструктуры предприятия.
В результате компания получает:
• Непрерывный мониторинг всех систем
• Актуальную информацию о состоянии безопасности ИТ-инфраструктуры
• Упрощение принятия решений и ответных мер при возникновении угрозы
• Минимизацию рутинных операций и человеческих ошибок
• Прозрачность деятельности ИТслужбы для руководства, акционеров и внешних аудиторов.
