Sistema de Monitorao, Anlise e Respostas de Segurana da Cisco

Introduo

Cisco Security Monitoring Analysis and Response System

O Cisco MARS (Sistema de Monitorao, Anlise e Respostas de Segurana) uma famlia de dispositivos de alto desempenho e escalveis para gerenciamento, monitorao e mitigao de ameaas que permite utilizar com eficincia os dispositivos de segurana e rede, combinando a monitorao de eventos de segurana tradicional com inteligncia de rede, correlao contextual, anlise de vetores, deteco de anomalias, identificao de hotspots e capacidades de mitigao automatizadas. Combinando esses recursos, o Cisco Security MARS identifica com mais preciso e elimina os ataques rede e, ao mesmo tempo, mantm a conformidade da rede.

Figura 1. Implementao altamente escalvel

Figura 3. Relatrios Avanados

Cisco Security MARS GC, Gerenciamento de VLAN

Cisco Security MARS 50, Zona 7, Filial Cisco Security MARS 100, Zona 3, Departamento

Principais benefcios
Monitorao centralizada O Cisco MARS fornece informaes detalhadas sobre a infra-estrutura da rede, incluindo roteadores, switches, firewalls, concentradores de VPN e dispositivos de ponto terminal atravs de diversos registros de dispositivos, alertas e comunicaes do NetFlow. Ele permite que o Cisco Security MARS processe as informaes das ameaas at o endereo IP e MAC, e a porta de switch mais prxima, alm de fornecer um caminho para ataque atravs da rede. Repositrio de eventos central O Cisco Security MARS serve como repositrio central para todos os eventos gerados por dispositivos de segurana, como firewalls, servidores de autenticao, servios de preveno e deteco de invaso da rede, e servidores proxy. Os eventos de dispositivos de rede e os registros de estaes de trabalho e servidores tambm so coletados. Todos os eventos coletados so inter-relacionados em tempo real. Reduo de dados O Cisco Security MARS pode reduzir milhes de eventos de segurana a alguns poucos incidentes de rede. Mitigao de ataque oportuna O desempenho e a especializao do sistema permitem reconhecer e recomendar aes para reduo dos ataques antes que eles consigam derrubar toda a rede.

Cisco Security MARS 200, Zona 2, Matriz

Figura 2. Otimiza investimento para minimizar
n-10.4.4.0/24 InterRouter Sakwall switch_server

Conscientizao de rede total Utilizando as configuraes completas de todos os tipos de dispositivos e sistemas da rede, o Cisco Security MARS integra o NAT/PAT (Network Address Translation/Port Address Translation) e informaes de endereos MAC para identificar invasores, alvos e hotspots da rede em formato grfico possibilitando uma reao rpida. Endereos pr e ps-NAT podem ser exibidos. Avaliao de vulnerabilidade integrada O Cisco Security MARS determina se um possvel ataque rede genuno ou um falso positivo, reduzindo ainda mais o nmero de alarmes. Reduo dos custos de implementao e operao Aps o bootstrapping e conexo rede, o sistema identifica e mapeia a topologia. O sistema torna-se operacional em muito pouco tempo.

Roteador

n-66.1.2.8.6/29

Switch

Firewall
Gateway-3

Vpn-2

H-10.3.1.7

Sistema de Monitorao, Anlise e Respostas de Segurana da Cisco

Introduo

Mitigao automtica O recurso de mitigao automtica identifica os dispositivos de gargalo disponveis ao longo do caminho do ataque e capacita o usurio a automatizar comandos apropriados dos dispositivos para mitigar a ameaa. Alm disso, muitos atributos essenciais, como endereos MAC, nome de estao de trabalho do Windows, nome de usurio de VPN e primeira porta switch fsica de um ataque so automaticamente identificados. Os resultados podem ser usados para impedir ataques e minimizar danos com rapidez e preciso.

Correlao inteligente dos eventos da rede O Cisco Security MARS obtm inteligncia de rede compreendendo a topologia e as configuraes dos dispositivos roteadores, switches, ferramentas de anlise de vulnerabilidade e firewalls, e criando um perfil do trfego da rede. A funo integrada de descoberta da rede do sistema cria um mapa da topologia com a configurao dos dispositivos e as polticas de segurana atuais, permitindo que o Cisco Security MARS modele os fluxos de pacotes na rede. Como o dispositivo no opera inline e usa muito pouco os agentes de software existentes, isso no afeta o desempenho da rede e do sistema.

Anlise do Netflow O Cisco Security MARS coleta dados do NetFlow de roteadores que chegam a atingir uma velocidade de 300.000 fluxos por segundo. Os registros do NetFlow e do firewall so usados para analisar o uso da rede por cada estao de trabalho especfica. Isso permite que os administradores detectem e reajam a anomalias, como a presena de vrus e worms.

Tabela 1. Linha de produto Cisco Security MARS

Modelos de controlador local

Cisco Security MARS 20R (CS-MARS-20R-K9) Cisco Security MARS 20 (CS-MARS-20-K9) Cisco Security MARS 50 (CS-MARS-50-K9) Cisco Security MARS 100e (CS-MARS-100e-K9) Cisco Security MARS 100 (CS-MARS-100-K9) Cisco Security MARS 200 (CS-MARS-200-K9) Cisco Security MARS 110R (CS-MARS-110R-K9) Cisco Security MARS 110 (CS-MARS-110-K9) Cisco Security MARS 210 (CS-MARS-210-K9)

Eventos/ seg1
50 500 1.000 3.000 5.000 10.000 4.500 7.500 15.000

NetFlows/ seg
1.500 15.000 30.000 75.000 150.000 300.000 75.000 150.000 300.000

Armazenamento
120 GB (no-RAID) 120 GB (no-RAID) 240 GB RAID 0 750 GB RAID 10 de troca ativa 750 GB RAID 10 de troca ativa 1.000 GB RAID 10 de troca ativa 1.500 GB RAID 10 de troca ativa 1.500 GB RAID 10 de troca ativa 2.000 GB RAID 10 de troca ativa

Unidade de rack
1 UR x 16 pol. 1 UR x 16 pol. 1 UR x 25,6 pol. 3 UR x 25,6 pol. 3 UR x 25,6 pol. 4 UR x 25,6 pol. 2 UR x 27 pol. (P); 3,44 pol (A); 19 pol. (L) 2 UR x 27 pol. (P); 3,44 pol (A); 19 pol. (L) 2 UR x 27 pol. (P); 3,44 pol (A); 19 pol. (L)

Tipo de controlador global

GC, GCm GC, GCm GC, GCm GC, GCm GC, GCm GC, GCm GC2 GC2 GC2

Potncia
Autoswitch 300W, 120/240V Autoswitch 300W, 120/240V Autoswitch 300W, 120/240V Autoswitch de 500W de dupla redundncia, 120/240V Autoswitch de 500W de dupla redundncia, 120/240V Autoswitch de 500W de dupla redundncia, 120/240V Autoswitch de 2x750 W de dupla redundncia, 120/240V Autoswitch de 2x750 W de dupla redundncia, 120/240V Autoswitch de 2x750 W de dupla redundncia, 120/240V

Modelos de controladores globais

Cisco Security MARS GCm (CS-MARS-GCm-K9) Cisco Security MARS GC (CS-MARS-GC-K9) Cisco Security MARS GC2 (CS-MARS-GC2-K9)

Modelos aceitos
Cisco Security MARS 20R/20 & 50 apenas Cisco Security MARS 20R/20, 50, 100e/100, 200 Cisco Security MARS 110R/110 & 210 apenas

Mximo de conexes
5 No restrito No restrito

Armazenamento
1 TB RAID 10 de troca ativa 1 TB RAID 10 de troca ativa 2 TB RAID 10 de troca ativa

Unidade de rack
4 UR x 25,6 pol (P); 19 pol. (L). 4 UR x 25,6 pol. 2 UR x 27 pol. (P); 3,44 pol (A); 19 pol. (L)

Potncia
Autoswitch de 2x500 W de dupla redundncia, 120/240V Autoswitch de 2x500W de dupla redundncia, 120/240V Autoswitch de 2x750 W de dupla redundncia, 120/240V

No segundo trimestre de 2007, o Cisco Security MARS liberar modelos de dispositivos atualizados. Esses novos dispositivos so os modelos 110R, 110, 210 e GC2 . Os novos modelos fornecero mais recursos de desempenho e armazenamento. Esses novos modelos usaro software verses 5.2.4 e superior, enquanto o 20R, 20, 50, 100e 100, 210, GC e GCm continuaro a usar as verses de software 4.x. A paridade dos recursos gerais ser mantida entre os releases 4.x e 5.x, incluindo (mas no limitado) suporte a dispositivo, suporte a assinaturas, correes de problemas e recursos no afetados por diferenas de hardware das duas plataformas.
1

Eventos por segundo: Mximo de eventos por segundo com uma correo dinmica e todos os recursos ativados.

Sistema de Monitorao, Anlise e Respostas de Segurana da Cisco

Introduo

Correlao contextual A correlao contextual usa inteligncia de rede para agrupar vrios eventos de segurana e comportamento de rede atravs de limitaes NAT nas sesses e identifica incidentes vlidos aplicando regras de correlao definidas pelo usurio e pelo sistema a vrias sesses. O Cisco Security MARS fornecido com um conjunto completo de regras predefinidas, freqentemente atualizadas pela Protego, que identificam a grande maioria dos cenrios de ataques compostos, ataques de dia zero e worms. Uma estrutura de definio de regras grficas simplifica a criao de regras personalizadas definidas pelo usurio para qualquer aplicativo. A Correlao Contextual reduz consideravelmente os dados de eventos noprocessados , facilita a priorizao de respostas e maximiza os resultados das medidas preventivas implementadas. Arquitetura de alto desempenho e escalvel O Cisco Security MARS captura eventos com uma rapidez de at 10.000 por segundo em uma nica caixa. Quando a necessidade se estende alm de uma nica caixa, o Cisco Security MARS Global Controller pode ser implementado no ponto central. O Global Controller agrega os incidentes dos controladores locais individuais. O controle local responsvel pela maior parte do trabalho nesta arquitetura e, portanto, obtm-se um aumento de desempenho praticamente linear a cada controlador local implementado.

Relatrio de conformidade e investigao em tempo real

O Cisco Security MARS oferece uma estrutura de anlise fcil de usar que simplifica o fluxo de trabalho de segurana convencional, automatizando a atribuio de casos, investigao, escala, notificao e anotao para operaes dirias e auditorias especializadas. Ele pode reproduzir graficamente os ataques e recuperar os dados dos eventos armazenados para analisar eventos anteriores. O sistema oferece total suporte a consultas especiais para esforos de data-mining (extrao de dados) em tempo real e subseqentes. O Cisco Security MARS traz inmeros relatrios predefinidos para satisfazer os requisitos operacionais e auxiliar nos esforos de conformidade com as regulamentaes, incluindo SOX, GLBA, HIPAA, FISMA e Basel II. Um gerador de relatrio intuitivo permite modificar mais de 100 relatrios padro ou gerar uma quantidade ilimitada de novos relatrios para: planos de ao e correo, incidentes e atividades de rede, postura de segurana e auditoria, alm de relatrios por departamentos e, formatos de dados, tendncias e grficos. O sistema tambm fornece relatrios em lote e por e-mail.

Consulta e Relatrios

A GUI oferece suporte a diversos padres e consultas personalizadas Mais de 100 relatrios populares: administrativos, operacionais e de regulamentaes Gerao de relatrios intuitivos para relatrios personalizados ilimitados Formatos de dados, grficos e tendncia que oferecem suporte a HTML e exportao de CSV Sistema de relatrios: especial, em lote, por modelo e com encaminhamento por e-mail Camada 3 e Camada 2: roteadores, switches, firewalls IDS de rede: componentes e dispositivos Descoberta manual e agendada SSH, SNMP, Telnet e comunicaes especficas de cada dispositivo Arquivo semente, em vez de descoberta

Identificao da topologia

Administrao

Interface da Web segura (HTTPS), administrao por funo, trilha de auditoria de usurio completa Escala de incidentes, fluxo de trabalho e notificao por email, pager, syslog e SNMP (Simple Network Management Protocol) Gerenciamento hierrquico do Cisco Security MARS GC de vrios dispositivos Cisco Security MARS Suporte a atualizaes: suporte de dispositivo, novas regras e recursos Dados de incidentes e dados no-processados compactados so armazenados continuamente em arquivo do NFS (Network File Sharing) off-line

Especificaes de hardware

Dispositivos montveis em rack de 19 pol. para fins especficos; UL, FCC, CE e VCCI aprovados Sistema operacional fortalecido com segurana, com a maioria dos servios de rede desativada Duas interfaces 10/100/1000 Ethernet e DVD-ROM com mdia para recuperao Armazenamento: RAID 0 para Cisco Security MARS 50; RAID 10 de troca ativa para Cisco Security MARS 100, 200 e Global Controller (GC) Potncia de 500 watts (W) compartilhando carga redundante; autoswitch de 120/240 volts para os modelos 100e/110R e superiores

Copyright 2007 Cisco Systems, Inc. Todos os direitos reservados. Cisco, Cisco IOS, Cisco Systems e o logotipo da Cisco Systems so marcas registradas ou comerciais da Cisco Systems, Inc. e/ou afiliadas nos EUA e em determinados outros pases.

C45-394060-00 2/07