Система мониторинга, анализа и ответных мер (Cisco MARS)

Программно-аппаратный комплекс CISCO MARS предназначен для управления угрозами безопасности. В качестве источников информации о них могут выступать: сетевое оборудование (маршрутизаторы и коммутаторы), средства защиты (межсетевые экраны, антивирусы, системы обнаружения атак и сканеры безопасности), журналы регистрации ОС (Solaris, Windows NT, 2000, 2003, Linux) и приложений (СУБД, web и т.д.), а также сетевой трафик (например, Cisco Netflow). Cisco MARS поддерживает решения различных производителей – Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft и т.д.
            Механизм ContextCorrelationTM позволяет проанализировать и сопоставить события от разнородных средств защиты. Визуализация их на карте сети в реальном времени достигается с помощью механизма SureVectorTM. Данные механизмы позволяют отобразить путь распространения атаки в режиме реального времени. Автоматическое блокирование обнаруженных атак достигается с помощью механизма AutoMitigateTM, который позволяет реконфигурировать различные средства защиты и сетевое оборудование.
 
Основные возможности
  • Обработка до 10 000 событий в секунду и свыше 300 000 событий Netflow в секунду
  • Возможность создания собственных правил корреляции
  • Уведомление об обнаруженных проблемах по e-mail, SNMP, через syslog и на пейджер
  • Визуализация атаки на канальном и сетевых уровнях
  • Поддержка Syslog, SNMP, RDEP, SDEE, Netflow, системных и пользовательских журналов регистрации в качестве источников информации
  • Возможность подключения собственных средств защиты для анализа
  • Эффективное отсечение ложных срабатываний и шума, а также обнаружение атак, пропущенных отдельными средствами защиты
  • Обнаружение аномалий с помощью протокола NetFlow
  • Создание и автоматическое обновление карты сети, включая импорт из CiscoWorks и других систем сетевого управления
  • Поддержка IOS 802.1x, NAC (фаза 2)
  • Мониторинг механизмов защиты коммутаторов (Dynamic ARP Inspection, IP Source Guard и т.д.)
  • Интеграция с Cisco Security Manager (CSM Police Lookup)
  • Интеграция с системами управления инцидентами с помощью
  • Аутентификация на RADIUS-сервере
  • Мониторинг работоспособности компонентов Cisco MARS
  • Syslog forwarding
  • Динамическое распознавание новых сигнатур атак на Cisco IPS и загрузках их в Cisco MARS