Juniper STRM to scentralizowany system zarządzania bezpieczeństwem realizujący funkcje Security Information and Events Management (SIEM) i Network Behavior Anomalny Detection (NBAD) oraz utrzymujący zabezpieczone kryptograficznie, centralne repozytorium logów. Moduł SIEM pobiera logi z wielu różnych elementów systemu informatycznego, poddaje je korelacji i na tej podstawie przedstawia administratorom wiarygodne informacje na temat stanu bezpieczeństwa i wykrytych incydentów. Moduł NBAD na podstawie statystyk i opisu ruchu (np. NetFlow) pobieranych bezpośrednio z urządzeń sieciowych (ruterów, przełączników) dokonuje analizy stanu i efektywności pracy sieci, w tym wykrywania sytuacji nieprawidłowych (anomalii).

System zarządzania Juniper STRM dostarczany jest w formie „gotowych do użycia” urządzeń Appliance o różnej wydajności i przestrzeni dyskowej – STRM 500, STRM 2500 i STRM 5000. Urządzenia działają na bazie odpowiednio „utwardzonego” systemu operacyjnego klasy Linux (CentOS), umożliwiającego łatwą integracje z zewnętrznymi repozytoriami danych (m.in. iSCSI SAN i NAS).

Juniper STRM obsługuje incydenty bezpieczeństwa na podstawie korelacji wielu źródeł informacji, m.in.:

• zdarzenia i logi z systemów zabezpieczeń (Firewall, Intrusion Prevention System VPN, Anti-Virus, itd.), systemów operacyjnych (Linux, Solaris, Windows, itd.) oraz aplikacji i baz danych,
• informacje na temat stanu chronionych systemów (rodzaju systemu operacyjnego, dostępnych aplikacji) oraz ich słabości bezpieczeństwa odczytywane za pomocą Juniper IDP Profiler oraz skanerów zabezpieczeń jak NMAP, Nessus, nCircle, Qualys, Foundstone, itd.
• statystyki i opis ruchu sieciowego odbierane z urządzeń za pomocą NetFlow, J-Flow, S-Flow i Packeteer oraz odczytywane bezpośrednio z sieci (switch span port).

Zdarzenia i logi pobierane są przez STRM za pomocą różnych metod, m.in. Syslog – standardowy format logów (TCP, UDP), SNMP - wiadomości o zdarzeniach (SNMP Trap, v3), Windows Agent - zdarzenia z systemów MS Windows, JuniperNSM – integracja z systemem zarządzania Juniper NSM, JDBC:SiteProtector – integracja z IBM SiteProtector, Log Export API (LEA) – integracja z systemem zarządzania Check Point, Security Device Event Exchange (SDEE) - protokół używany w urządzeniach Cisco, oparty na SOAP, a także Java Database Connectivity API (JDBC) - zdalny dostęp do baz danych. 

Zawarty w Juniper STRM moduł NBAD dokonuje wykrywania anomalii w systemie informatycznym za pomocą analizy behawioralnej. Na bieżąco budowane są profile normalnego stanu i zachowania sieci oraz identyfikowane odchylenia, m.in. zmiany stanu, nagłe zwiększenia lub zmniejszenia natężenia ruchu i przekroczenie wartości progowych. Funkcje NBAD umożliwiają wykrywanie nowych obiektów w systemie informatycznym (hostów, aplikacji, protokołów, itd.) i dzięki temu identyfikowanie zagrożeń i incydentów, m.in. Trojanów nawiązujących połączenia zwrotne z intruzami, wirusów propagujących się przez email oraz serwisów nielegalnie uruchomionych w sieci. Moduł NBAD może zostać także użyty do wykrywania awarii ważnych biznesowo systemów, które powinny być dostępne 24/7, m.in.: zablokowanych/uszkodzonych serwerów i aplikacji, niewykonania operacji backup, urządzeń blokujących ruch.

Administratorzy bezpieczeństwa korzystają z STRM za pomocą dedykowanych, graficznych narzędzi uruchamianych z wykorzystaniem standardowej przeglądarki Web. Nie ma potrzeby instalowania do tego celu dodatkowych aplikacji. System zarządzania Juniper STRM może zostać wdrożony w architekturze scentralizowanej (wszystkie funkcje na jednym Appliance) oraz rozproszonej, złożonej z wielu urządzeń. Struktura rozproszona STRM budowana jest w celu zwiększenia wydajności systemu. Także w przypadku rozproszonej struktury STRM zarządzanie całości systemu odbywa się z jednej konsoli.

Role i uprawnienia administratorów STRM mogą zostać dostosowane do potrzeb organizacji. Istnieje możliwość ograniczenia poszczególnym administratorom dostępu do ustalonego obszaru systemu informatycznego oraz limitowania operacji w systemie zarządzania STRM. Tożsamość administratorów STRM może być weryfikowana poprzez lokalne konto oraz zewnętrzne systemy uwierzytelniania (m.in. RADIUS, TACACS, LDAP/Active Directory).

STRM oferuje wiele typów raportów tworzonych zgodnie z kryteriami ustalonymi przez administratorów oraz raportów predefiniowanych (ponad 200), w tym na zgodność ze standardami (m.in. PCI, SOX, FISMA, GLBA, HIPAA). Do dyspozycji administratorów STRM dostępny jest intuicyjny kreator raportów. Raporty mogę być tworzone w wielu formatach (m.in. PDF, HTML, RTF, CVS, XML).

ZOBACZ WIĘCEJ

• Broszura w języku polskim ( 640KB)
• Warsztaty STRM
• Notatka prasowa

W ofercie NetScreen znajdują się dwa systemy centralnego zarządzania zabezpieczeń - NetScreen-Global PRO oraz NetScreen-Global PRO Express. Dostarczane są one jako oprogramowanie oraz pre-instalowana cześć serwerowa na maszynie SUN Fire V100. NetScreen-Global PRO jest dedykowany dla bardzo dużych instalacji zabezpieczeń, zwykle u operatorów telekomunikacyjnych i międzynarodowych korporacji (do 10.000 urządzeń zabezpieczeń). NetScreen-Global PRO Express jest formą uproszczoną systemu NetScreen-Global PRO i jest przeznaczony do zarządzania zabezpieczeń NetScreen o mniejszej wielkości (do 100 urządzeń zabezpieczeń).

NetScreen-Global PRO składa się z dwóch komponentów - Policy Manager i Report Manager. Na pre-instalowanej maszynie SUN dostarczana jest serwerowa część Policy Manager. Graficzna konsola Policy Manager powinna zostać zainstalowana na Windows NT/2000/XP. Drugi komponent, Report Manager jest dostarczany jako oprogramowanie. Służy on do monitorowania i raportowania zdarzeń rejestrowanych w systemie zabezpieczeń. Report Manager składa się z różnych komponentów - Master Controller, Data Collector, Historical Reports Server oraz bazy danych PostgreSQL. Do wdrożenia Report Manager wymagane są co najmniej dwa komputery SUN. Data Collector i Historical Reports Server mogą zostać zainstalowane na jednej maszynie. Master Controller może funkcjonować razem z bazą danych. Zamiast dostarczanej w pakiecie bazy PostgreSQL może zostać użyta baza Oracle lub MS-SQL. Komponenty serwerowe Report Manager należy zainstalować na dedykowanych maszynach SUN. Konsola graficzna Report Manager instalowana jest na Windows NT/2000/XP.

Komponenty NetScreen-Global PRO w zależności od potrzeb mogą zostać wdrożone w konfiguracji odpornej na awarie.

Zobacz więcej:

• Ulotka w języku angielskim ()