Система мониторинга, анализа и ответных мер (Cisco MARS)
Программно-аппаратный комплекс CISCO MARS предназначен для управления угрозами безопасности. В качестве источников информации о них могут выступать: сетевое оборудование (маршрутизаторы и коммутаторы), средства защиты (межсетевые экраны, антивирусы, системы обнаружения атак и сканеры безопасности), журналы регистрации ОС (Solaris, Windows NT, 2000, 2003, Linux) и приложений (СУБД, web и т.д.), а также сетевой трафик (например, Cisco Netflow). Cisco MARS поддерживает решения различных производителей – Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft и т.д.
Механизм ContextCorrelationTM позволяет проанализировать и сопоставить события от разнородных средств защиты. Визуализация их на карте сети в реальном времени достигается с помощью механизма SureVectorTM. Данные механизмы позволяют отобразить путь распространения атаки в режиме реального времени. Автоматическое блокирование обнаруженных атак достигается с помощью механизма AutoMitigateTM, который позволяет реконфигурировать различные средства защиты и сетевое оборудование.
Основные возможности
- Обработка до 10 000 событий в секунду и свыше 300 000 событий Netflow в секунду
- Возможность создания собственных правил корреляции
- Уведомление об обнаруженных проблемах по e-mail, SNMP, через syslog и на пейджер
- Визуализация атаки на канальном и сетевых уровнях
- Поддержка Syslog, SNMP, RDEP, SDEE, Netflow, системных и пользовательских журналов регистрации в качестве источников информации
- Возможность подключения собственных средств защиты для анализа
- Эффективное отсечение ложных срабатываний и шума, а также обнаружение атак, пропущенных отдельными средствами защиты
- Обнаружение аномалий с помощью протокола NetFlow
- Создание и автоматическое обновление карты сети, включая импорт из CiscoWorks и других систем сетевого управления
- Поддержка IOS 802.1x, NAC (фаза 2)
- Мониторинг механизмов защиты коммутаторов (Dynamic ARP Inspection, IP Source Guard и т.д.)
- Интеграция с Cisco Security Manager (CSM Police Lookup)
- Интеграция с системами управления инцидентами с помощью
- Аутентификация на RADIUS-сервере
- Мониторинг работоспособности компонентов Cisco MARS
- Syslog forwarding
- Динамическое распознавание новых сигнатур атак на Cisco IPS и загрузках их в Cisco MARS
- Система Cisco Adaptive Security Device Manager
- Система мониторинга, анализа и ответных мер (Cisco MARS)
- Средства защиты в маршрутизаторах
- Решение по анализу и классификации трафика (Cisco SCE)
- Криптографический модуль Cisco NME-RVPN
- Система централизованного управления средствами защиты CISCO Security Manager