一般问题
问:什么是思科安全监控、分析和响应系统 (MARS)?
答:思科安全监控、分析和响应系统 (MARS) 是一系列高性能、可扩展的威胁抵御设备,其中结合了网络智能、ContextCorrelation、SureVector 分析和 AutoMitigate 功能,可加强已部署的网络设备和安全对策,使企业能更加有力和轻松地识别、管理和消除网络攻击并保持规范符合性。
思科安全 MARS 系统超越了第一代和第二代安全信息管理 (SIM) 系统,能更加高效地汇聚和减少来自常见网络设备和安全对策的极大量网络和安全数据。通过实现网络智能,它可以通过成熟的事件关联和威胁鉴别有效识别网络和应用威胁。验证后的攻击可通过直观而详细的拓扑结构图以图形方式显示出来,因此可加强事件识别、调查和工作流程。一旦发现攻击,该系统可通过将具体抵御命令上推到网络执法设备,使操作员能实时预防、抑制或阻止攻击。该系统支持以客户为中心的规则创建、威胁通知、事件调查乃至一系列安全状况和趋势报告。
整个解决方案能够以较好的成本效益交付到设备平台上,采纳成本较低且使用非常灵活。思科安全 MARS 设备采用了配备可通过基于Web的用户界面访问的可靠性特性的标准英特尔平台、硬化 OS、嵌入式 Oracle 数据库、专有逻辑和可扩展架构,可提供不同的性能特性和价位,能支持多种不同规模的客户和部署情况。
问:有没有其他软件可供选择?
答:没有,思科安全 MARS 是一种硬化和定制的设备,其中包括了 Oracle 数据库、OS 以及用于可扩展、高性能 SIM 和安全威胁-管理解决方案的所有必要组件。
问:思科安全 MARS 都监控哪些类型的信息?
答:思科安全 MARS 可集中汇聚来自多种不同的常见网络设备(如路由器和交换机)、安全设备和应用(如防火墙、入侵检测、漏洞扫描器和防病毒等)、主机(如 Windows、Solaris 和 Linux 系统日志)、应用(如数据库、Web服务器和身份验证服务器)以及网络流量(如 Cisco Netflow)的日志和事件。
问:思科安全 MARS 所监控的每个防火墙、NIDS 或其他设备是否另外收费?
答:思科安全 MARS 对代理不收费。客户对一种设备只支付一个价格。只要该设备还能满足性能要求,客户就不必支付任何额外费用。实际上,这种解决方案也可以不用代理。
问:思科安全 MARS 设备的容量是多大?
答:该设备有五种型号:
- 思科安全 MARS 20 可支持每秒 500 个事件和每秒 15,000 个 NetFlow 流
- 思科安全 MARS 50 可支持每秒 1,000 个事件和每秒 25,000 个 NetFlow 流
- 思科安全 MARS 100e 可支持每秒 3000 个事件和每秒 75,000 个 NetFlow 流
- 思科安全 MARS 100 可支持每秒 5000 个事件和每秒 150,000 个 NetFlow 流
- 思科安全 MARS 200 可支持每秒 10,000 个事件和每秒 300,000 个 NetFlow 流
注:上述 Netflow 数字表示每秒流量,而非每秒分组数。
注:上述数字是使用持续速率测量所得;该系统还能管理超过这些数字的峰值速度。
问:如果每秒事件速率高于所支持的速率,那么会发生什么?
答:如果事件载荷高于系统所能支持的限度,则一个队列将对需要处理的事件排定优先次序,严重性较低的事件被丢弃,而严重性较高的事件仍得到处理。
系统正式支持的事件速率是针对一段持续时间而测量的。如果峰值超过这些数字,则事件不会被丢弃。在网络攻击过程中,思科安全 MARS 有很强的能力可保持较高的每秒事件峰值。
问:除设备之外,我是否还需要额外的许可证?
答:目录价格中已经包括了所有必要的组件和许可证。
问:如果我有多个思科安全 MARS 设备,有没有推荐的部署架构?
答:全局控制器 (Global Controller) 可为多设备解决方案提供中央控制台。在 Global Controller 架构中,“本地控制器”(Local Controller) 将汇总数据转发给 Global Controller,后者则可显示所有组合后的“区域”(zones) (如拓扑结构、事件等)。所有管理访问和控制均可在 Global Controller 上进行。
对于那些将所有设备都以本地方式部署在一个地点的客户,或者那些不在乎用 Syslog、Netflow 和简单网络管理协议 (SNMP) 数据淹没自己的 WAN 链路的客户,我们可以提供独立解决方案。
对于地理位置较分散的站点和客户不想淹没自己的 WAN 链路的情况而言,客户应考虑分布式解决方案。
问:什么是区域?
答:区域是客户网络中与一个本地控制器相关的地方。每个本地控制器都代表一个特定区域。
问:设备安全吗?
答:思科安全 MARS 设备本身就采用了安全硬化。简单邮件传输协议 (SMTP) 等所有不必要的服务均已取消。
设备支持
问:思科安全 MARS 中所支持设备的列表是什么?
答:表 1 列出了所支持的设备。
问:我添加设备和配置网络的最佳办法是什么?
答:有很多不同的方法可在思科安全 MARS 中添加设备:
注:有关如何创建种子文件和如何添加每台设备的更多详细介绍,请参见用户指南中“添加报告设备”(Adding Reporting Devices) 一章。
问:思科安全 MARS 能从不被正式支持的设备接收事件吗?
答:能。可通过两种方法来实现:
- 使用“定制分析程序”(custom parser) 创建一个特定分析程序,使思科安全 MARS 能理解不被正式支持的设备的系统日志 (Syslog)。
- 思科安全 MARS不能理解的所有事件均被存储在名为“未知”的数据库中。您可使用关键词选项来查询这些事件。在这种情况下,系统也会搜索“未知”事件,如果字符串与关键词匹配,则结果中就会报告这些事件。
问:我怎样输出所有已添加设备的列表?
答:您可选择“报告设备排名”(Reporting Device Ranking) 作为显示格式来运行查询。在“查询事件数据表”(Query event data table) 中,点击“显示格式”(Display format) 列中的“事件类型”(Event Type)。选择“报告设备排名”(reporting device ranking),然后点击“应用”(Apply) 按钮。对于查询输出,可选择 CSV 格式。
问:思科安全 MARS 是如何收集日志和事件的?
答:根据设备本身的具体情况,它可通过上推或下拉来收集事件。
多数设备都能发送事件或系统日志 (Syslog),而只有思科安全访问控制服务器 (ACS) 或主机服务器等少数设备需要让思科安全 MARS 从服务器直接获得日志文件。
问:思科安全 MARS 在哪些设备上能进行抵御?
答:思科安全 MARS 可为 Cisco、NetScreen 和 CheckPoint 等类设备生成抵御命令。在任何能支持 SNMP MIB II 的设备上都能进行第二层抵御。然而,我们仅对思科设备进行过测试。
对于第三层设备而言,思科安全 MARS 会建议一个命令和一个它应放置的设备。用户只需复制该命令并将其粘贴到指定设备的命令行界面 (CLI) 中即可。
问:某些特定主机是否会被标记为比其他主机更脆弱(例如,假如它们没有安装最新补丁的话)?如果是这样,这是如何实现的?
答:不会,思科安全 MARS 不是漏洞评估工具。然而,您可以使用思科安全 MARS 来访问所支持的漏洞评估工具所收集的信息,然后就能获得有关 OS 运行、服务包、补丁等级和其他数据的信息。
