网络安全：Cisco Security Monitoring, Analysis, and Response System 4.2(1)

Cisco® Security Monitoring, Analysis, and Response System是基于设备的全方位解决方案，可使您获得对现有安全部署的无与伦比的洞察力和控制力。作为思科安全管理生命周期的关键组成部分，Cisco Security Monitoring,Analysis, and Response System使您的安全和网络机构能够识别、管理并抵御安全威胁。它能与您的现有网络和安全部署协作，以识别并隔离不良网元，同时提供准确的清除建议。它还有助于遵从内部策略，是您的整个制度遵从解决方案中不可或缺的组成部分。

安全和网络管理员面临着大量的挑战，包括：

过量的安全和网络信息

低劣的攻击和故障识别、优先级分配和响应能力

攻击手段越来越高明、速度越来越快、补救成本越来越高

满足制度和审计要求

从事安全工作的人手和预算受到限制

Cisco Security Monitoring, Analysis, and Response System通过以下方式迎接这些挑战：

集成网络智能，以便通过先进的方法将网络异常与安全事件相关联

显示得到确认的事故并进行自动调查

充分利用您的现有网络和安全基础设施，从而抵御攻击

监视系统、网络和安全系统，以帮助遵从策略要求

以最低的TCO提供易于部署和使用的可扩展的产品

Cisco Security Monitoring, Analysis, and Response System可将原始的网络和安全数据转变成情报，以便终止实际的安全事故并保证遵从安全策略要求。这个易用的威胁抵御产品系列允许操作人员使用基础设施中现有的网络和安全设备来集中、检测、抵御并按严重性来报告威胁。

深层防御的尴尬

信息安全实践已从最初的互联网外围保护发展到了深层防御模式，在此，多种对策分层部署在整个基础设施中，以应对安全漏洞和攻击。这种发展是非常必要的，因为攻击的频率越来越高、手段越来越高明、速度越来越快 — 模糊了网络内部防御与外围防御之间的界限。

为了发现安全漏洞，攻击者每天数千次探查网络接入点和系统。先进的混合型攻击使用多种欺骗性的方法从组织内外部非法访问并控制系统。即便是最牢固的基础设施也难以应付蠕虫、零时差攻击、病毒、特洛伊木马、间谍软件以及攻击工具的激增，导致响应时间的缩短和故障停机，同时也增加了补救成本。

除了少量的服务器和网络设备外，每个安全组件都提供单独的事件日志和告警特性，用于检测异常情况，响应并分析威胁。遗憾的是，这种机制生成大量的噪音、告警、日志文件和误报现象，操作人员必须进行辨别或有效使用 — 假设时间和资源允许分析并了解此类信息。此外，为了遵守法律法规，公司必须严格保证数据的私密性、提高运行安全性并维护审计流程。

先进的安全信息管理

从逻辑上看，安全信息和事件管理产品似乎能够抵御这些问题 — 帮助您评估威胁以便管理它们。这些产品使操作人员能够将安全事件和日志汇聚在一起，通过有限的关联和查询技术分析这些数据、并针对被隔离的事件生成告警和报告。

遗憾的是，许多第一代和第二代安全信息和事件管理产品都无法提供充分的网络智能和性能属性来更准确地识别并验证相关事件、更好地发现攻击路径、干净利落地清除威胁、或者维持较高的事件负载水平。思科系统公司® 提供了可扩展的企业威胁抵御产品来解决这些安全问题和管理不足。Cisco Security Monitoring, Analysis, and Response System提供易于部署和使用的经济高效的安全命令和控制解决方案，补充了您的网络和安全基础设施投资。Cisco Security Monitoring, Analysis, and Response System是高性能、可扩展的威胁抵御产品系列，将网络智能、ContextCorrelation™ 特性、SureVector™分析功能以及 AutoMitigate™ 功能结合在一起，进一步巩固了企业现有的网络产品和安全防范措施，使公司能够随时识别、管理并消除网络攻击，同时保证遵从制度要求。

CS-MARS还与思科外围安全管理套件Cisco Security Manager (CSM)紧密集成。这种集成可将与流量相关的系统日志消息映射到CSM中定义的防火墙策略中，以触发事件。策略查找功能支持快速的端到端分析，以便排除与防火墙配置相关的网络故障和策略配置错误，并对定义好的策略进行进一步的调整。

特性和优势

网络智能事件汇聚与性能处理

Cisco Security Monitoring, Analysis, and Response System提供了网络智能，能够获知路由器、交换机和防火墙的拓扑和产品配置并整理网络流量。系统的集成网络发现功能可构建拓扑图，包括产品配置和现有安全策略等，进而能够模拟穿过网络的分组流。鉴于产品不在线内运行且极少使用现有的软件代理，因此，只对网络或系统性能产生极低的影响。

产品可将大量的常用网络产品(如交换机和路由器)、安全设备和应用(如防火墙、入侵检测系统[IDS]、安全漏洞扫描仪和防病毒应用)、主机(如Windows、Solaris 和Linux系统日志)、应用(如数据库、Web服务器和验证服务器)及网络流量产品(如Cisco NetFlow)提供的日志和事件集中在一起。

Cisco ContextCorrelation

当收到事件和数据时，产品可根据拓扑、已发现的设备配置、相同的源和目的地应用(跨越NAT边界)以及相似的攻击类型对信息进行标准化，并将类似的事件实时分成多组会话。随后对多个会话应用系统或用户定义的关联规则以识别事故。Cisco Security Monitoring, Analysis, and Response System产品在供货时附带预定义规则的全面补遗，由思科系统公司定期更新，用于识别大多数混合攻击、零时差攻击和蠕虫。基于图形的规则定义框架可简化为任何应用创建用户定义的定制规则的流程。ContextCorrelation特性大幅度减少了原始的事件数据，促进了按优先级响应攻击，并最大限度地提高了已部署的应对措施的功效。

分布式威胁抵御

CS-MARS的分布式威胁抵御(DTM)特性与思科IPS产品结合在一起，可识别检测到的最活跃的网络攻击，随后生成并向网络上的所有Cisco IOS IPS 产品公布最新的签名定义文件(SDF)。这个特性可确保将网络上资源有限的IOS IPS产品集中用于针对资源更为宽松的IPS产品的签名。

高性能的汇聚与合并

Cisco Security Monitoring, Analysis, and Response System可捕获数千个原始事件，以前所未有的数据缩减率对这些事件进行有效分类，并压缩此类信息以便归档。管理如此大量的安全事件需要安全稳定的集中日志记录平台。Cisco Security Monitoring, Analysis, and Response System产品经过安全加固，专门用于接收高事件流量 — 每秒超过10,000个事件或每秒超过300,000个 Cisco NetFlow事件。产品通过线内处理逻辑以及嵌入式Oracle系统来实现这种高性能的关联性。所有的数据库功能和调整对用户都是透明的。Cisco Security Monitoring, Analysis, and Response System允许在主板上保存历史数据卷宗并将其持续压缩到NFS备用存储产品中，因此是可靠的安全日志/事件汇聚解决方案。
事故的显示与抵御

Cisco Security Monitoring, Analysis, and Response System可加速并简化威胁识别、调查、验证和抵御流程。安全工作人员常需要耗费大量的时间来分析并处理呈报上来的安全事件。Cisco Security Monitoring, Analysis, and Response System提供了强大的互动安全管理显示板。操作人员GUI提供了由实时热点、事故、攻击路径、具体调查结果和全面事故信息组成的拓扑图，允许即刻验证实际威胁。

Cisco SureVector分析特性可分析类似的事件会话，以便通过评估整条攻击路径（直到端点MAC地址）来决定威胁是有效的还是已得到抵御。这个自动流程的执行方法是：分析防火墙和入侵防护应用以及第三方安全漏洞评估数据等产品日志，并通过Cisco Security Monitoring, Analysis, and Response System端点扫描来消除误报现象。用户可快速调节系统以便进一步减少误报现象。

任何安全计划都是为了保持系统的持续在线及适当运行 — 是防止披露安全信息、抵御事故和促进补救的关键。通过Cisco Security Monitoring, Analysis, and Response System，操作人员可快速了解与攻击相关的全部组件，包括不良的以及受到威胁的系统MAC地址。Cisco AutoMitigate功能能够识别攻击路径上的现有“瓶颈”产品，并提供适当的设备命令以供用户抵御威胁，帮助用户快速准确地防止或抵御攻击。

实时调查和制度遵从报告

Cisco Security Monitoring, Analysis, and Response System采用了易用的分析框架，以简化传统的安全工作流，为日常的运行和特定的审计提供自动的案例分配、调查、上报、通知和注释支持。它可从图形上重放攻击并检索已保存的事件数据，以分析以前的事件。系统全面支持特殊查询，用于实时和随后的数据挖掘工作。

Cisco Security Monitoring, Analysis, and Response System提供大量预定义的报告来满足运行要求和制度要求，包括Sarbanes-Oxley、Gramm-Leach Bliley法案 (GLBA)、健康保险便携与责任法案(HIPAA)、美国政府信息安全管理法案 (FISMA) 及欧盟新巴塞尔资本协定(Basel II)等。直观的报告生成工具可修改超过80个标准报告或生成新报告，为创建行动和补救方案、事故和网络活动、安全状态和审计以及部门报告提供无限的方法 — 采用数据、趋势分析和图表等格式。此外，系统还提供批量和电子邮件报告。

网络准入控制 (NAC) 支持

Cisco Security Monitoring, Analysis, and Response System可同时从第2层交换机和思科安全访问控制服务器(ACS)分析、标准化、关联并报告802.1x验证事件。Cisco Security Monitoring, Analysis, and Response System也可使用可扩展的验证协议 (EAP)对第3层路由器和Cisco VPN 3000系列集中器进行同样的操作。这将允许客户确定交换机、思科安全ACS、正在被验证的端点、以及Active Directory或NIS等外部验证源之间的连接链，从而对设备验证方法进行排障。Cisco Security Monitoring, Analysis, and Response System还同时为第1和第2阶段的NAC参数提供集中报告，指出设备及状态验证失败的原因。此类报告举例如下：

用户报告

用户详情报告

端点详情报告

被拒绝的端点报告

端点状态查询失败报告

应用状态令牌分配报告

前十大端点和前十大用户违规报告

按端点划分的补救时间报告