Cisco MARS: система мониторинга, анализа и ответной реакции.
Система мониторинга, анализа и ответной реакции Cisco MARS (Cisco Security Monitoring, Analysis, and Response System) - комплексная аппаратная платформа, дающая уникальные возможности тщательного наблюдения, контроля и оперативного реагирования в системе безопасности корпоративной сети.
Cisco MARS даёт ИТ-персоналу возможность обнаруживать и отражать все виды сетевых угроз безопасности: система обнаруживает и изолирует элементы, нарушающие нормальную работу сети, а также предоставляет администраторам рекомендации по их полному устранению.
О преимуществах решений по мониторингу безопасности на основе системы Cisco MARS читайте в разделе «Решения».
Семейство устройств серии Cisco MARS
Устройства семейства Cisco MARS имеют различные характеристиками производительности и стоимости в зависимости от требований организаций и сценариев применения (см. таблицу 1).
Таблица 1. Системы Cisco MARS.
Локальные контроллеры
|
| Название модели и каталожный номер |
Событий/сек1 |
NetFlow/сек |
Объем
дисковой
памяти |
Размеры
в стойке
(Rack Unit) |
Мощность БП
|
Cisco Security MARS 25R
(CS-MARS-25R-K9) |
75 |
1500 |
250 Гбайт.
(без RAID-массива) |
Высота: 1 RU Глубина: 20"
Ширина: 19" |
350 Вт.
120/240 В
|
Cisco Security MARS 25
(CS-MARS-25-K9) |
750 |
15,000 |
250 Гбайт.
(без RAID-массива) |
Высота: 1 RU Глубина: 20"
Ширина: 19" |
350 Вт.
120/240 В
|
Cisco Security MARS 55
(CS-MARS-55-K9) |
1500 |
30,000 |
500 Гбайт.
RAID 1 |
Высота: 1 RU Глубина: 25.5"
Ширина: 19"
|
350 Вт.
120/240 В
|
Cisco Security MARS 110R
(CS-MARS-110R-K9) |
4500 |
75,000 |
1500 Гбайт.
RAID 10,
с заменой под напряжением
(hot swap)
|
Высота: 2 RU (3.44") Глубина: 27.75"
Ширина: 19" |
2x 750 Вт.
Дважды резервированый блок питания,
120/240 В
|
Cisco Security MARS 110
(CS-MARS-110-K9) |
7500 |
150,000 |
1500 Гбайт
RAID 10,
с заменой под напряжением
(hot swap)
|
Высота: 2 RU (3.44") Глубина: 27.75"
Ширина: 19"
|
2x 750 Вт.
Дважды резервированый блок питания,
120/240 В |
Cisco Security MARS 210
(CS-MARS-210-K9) |
15,000 |
300,000 |
2000 Гбайт,
RAID 10,
с заменой под напряжением
(hot swap)
|
Высота: 2 RU (3.44") Глубина: 27.75"
Ширина: 19"
|
2x 750 Вт.
Дважды резервированый блок питания,
120/240 В |
Глобальные контроллеры
|
| Поддерживаемые модели |
Поддерживаемые локальные контроллеры
|
Максимальное число соединений |
Объем
дисковой
памяти |
Размеры
в стойке
(Rack Unit) |
Мощность БП
|
Cisco Security MARS GC2R
(CS-MARS-GC2R-K9) |
Только
Cisco MARS 20R/20/50 и MARS 25R/25/55 |
5
|
2 ТБайт,
RAID 10,
с заменой под напряжением
(hot swap) |
Высота: 2 RU (3.44") Глубина: 27.75"
Ширина: 19"
|
2x 750 Вт.
Дважды резервированый блок питания,
120/240 В |
Cisco Security MARS GC2
(CS-MARS-GC2-K9) |
Все модели Cisco MARS |
Не
ограничено |
2 ТБайт,
RAID 10,
с заменой под напряжением
(hot swap)
|
Высота: 2 RU (3.44") Глубина: 27.75"
Ширина: 19" |
2x 750 Вт.
Дважды резервированый блок питания,
120/240 В |
Примечание 1: Максимальное число событий в секунду при динамической корреляции и включении всех функций системы.
Функции систем Cisco MARS
Динамическая сеансовая корреляция
- Обнаружение аномалий, включая анализ информации, получаемой по Cisco NetFlow
- Корреляция событий как на основе правил, так и анализа «поведения» объектов сети
- Встроенные и определяемые администратором правила
- Автоматическая нормализация транслированных сетевых адресов (NAT normalization)
Построение топологической схемы сети
- Обнаружение маршрутизаторов, коммутаторов и межсетевых экранов уровня 2 и 3
- Обнаружение отдельных систем IDS (сетевых систем обнаружения вторжений)
- Построение топологической схемы сети по запросу администратора или регулярно по графику
- SSH, SNMP, Telnet и зависящие от конкретного устройства взаимодействия
Анализ уязвимостей
- При обнаружении аномалий или угроз безопасности производится снятие следов нарушений в масштабе сети или на отдельном узле
- Анализ конфигурации коммутаторов, маршрутизаторов, межсетевых экранов и NAT
- Автоматическая обработка данных сканирования уязвимостей
- Анализ ложных срабатываний: автоматический или настраиваемый администратором
Анализ нарушений и ответная реакция
- Инструментальная панель управления отдельными событиями безопасности
- Объединение данных сеансовых событий с контекстом всех правил
- Графическое представление пути атаки с подробным анализом
- Профили устройств на пути атаки с определением MAC-адресов конечных узлов
- Графическое и подробное последовательное представление типа атаки
- Подробные данные нарушения, включая правила, необработанные события, общие уязвимости и способы воздействия на сеть, а также варианты отражения
- Мгновенный анализ нарушений и определение ложных срабатываний
- Определение правил с помощью графического интерфейса пользователя для поддержки собственных правил и анализа по ключевым словам
- Оценка нарушений с выдачей по пользователям рабочего листа с описанием пошаговых действий
- Оповещение, включая электронную почту, пейджер, системный журнал и SNMP
Формирование запросов и отчетов
- Графический интерфейс пользователя, поддерживающий большое число стандартных и настраиваемых запросов
- Более 80 распространенных отчетов, включая отчеты по управлению, эксплуатации и контролю нормативного соответствия
- Генератор отчетов с наглядным интерфейсом, позволяющим создавать неограниченное число пользовательских отчетов
- Текстовый, графический и общий формат отчетов, поддерживающий экспорт в файлы HTML и CSV
- Создание готовых к печати, групповых, типовых и пр. отчетов
- Централизованное создание отчетов для параметров NAC фазы 2
Администрирование
- Web-интерфейс HTTPS; ролевое администрирование с заданными полномочиями
- Иерархическое управление несколькими системами Cisco MARS с помощью глобального контроллера
- Автоматические обновления, включая поддержку устройств, новых правил и функций
- Постоянный перенос архивов необработанных данных нарушений в автономные хранилища NFSПоддержка устройств
- Сетевое активное оборудование: Программное обеспечение Cisco IOS, версии 11.x и 12.x; ОС Cisco Catalyst версии 6.x; Cisco NetFlow версии 5.0 и 7.0; Extreme Extremeware версии 6.x.
- Межсетевые экраны/VPN: Cisco Adaptive Security Appliance версии 7.0, программное обеспечение для устройств защиты Cisco PIX версии 6.x и 7.0; межсетевой экран Cisco IOS версии 12.2(T) или выше; модуль функций межсетевого экрана Cisco (FWSM) версии 1.x, 2.1 и 2.2; программное обеспечение для Cisco VPN 3000 версии 4.0; межсетевой экран Checkpoint Firewall-1 NG FP-x и VPN-1 версии FP3, FP4 и AI; межсетевой экран NetScreen версии 4.x и 5.x; межсетевой экран Nokia версии FP3, FP4 и AI.
- Системы IDS: Система Cisco IDS версии 3.x, 4.x и 5.0; модуль Cisco IDS версии 3.x и 4.x; система Cisco IOS IPS версии 12.2; система Enterasys Dragon NIDS версии 6.x; сетевой сенсор ISS RealSecure версии 6.5 и 7.0; система Snort NIDS версии 2.x; система McAfee Intrushield NIDS версии 1.5 и 1.8; система NetScreen IDP версии 2.x; ОС версии 4.x и 5.x; система Symantec MANHUNT.
- Системы оценки уязвимости: система eEye REM версии 1.x и FoundStone FoundScan версии 3.x.
- Системы безопасности конечных узлов: программа-агент Cisco Security Agent версии 4.x; система McAfee Entercept версии 2.5 и 4.x; датчик для конечных узлов ISS RealSecure Host Sensor версии 6.5 и 7.0.
- Антивирусное ПО: Symantec Antivirus версии 9.x.
- Серверы аутентификации: Сервер Cisco ACS версии 3.x и 4.x.
- Операционные системы конечных узлов: ОС Windows NT, 2000 и 2003 (с агентами и без); ОС Solaris версии 8.x, 9.x и 10.x; ОС Linux версии 7.x.
- Приложения: Web-серверы (ISS, iPlanet и Apache); Oracle 9i и 10g; NetCache.
- Универсальная поддержка устройств для объединения и мониторинга системных журналов любых приложений.
Дополнительные аппаратные характеристики
- Устройства специального назначения, монтаж в стойку 19 дюймов; сертификация UL.
- ОС с усиленной защитой; межсетевой экран с сокращенным набором функций.
- Два интерфейса Ethernet 10/100/1000.
- DVD-ROM с дисках для восстановления.
|
