惠普白皮书：战胜网络威胁和风险

ArcSight 可综合利用不同技术的优点来监控网络威胁和风险

尽管有多种有效技术可用于监控特定信息风险领域，但最终目的则是将这些技术整合在一起，针对当前风险级别、安全威胁和运营活动提供一个统一的全面视角。ArcSight SIEM 平台通过对整个企业范围内的活动数据进行汇集、分析和显示，提供了这种统一的“视图”。

这一全面的实时视图可通知管理员危险活动何时超出了特定级别（如，某数据库管理员在试图登录到客户支付卡数据库时，五分钟内失败了五次）。此外，ArcSight 的关联功能还能够重点突出多个单独看似安全、但综合起来则会构成风险的活动。例如，数据库管理员可能在正常时间之外查询客户支付卡数据库，也可能访问包含客户 PIN 码的表格。以上这些行为单独执行都没问题，但一起进行则表明该数据库管理员的证书被盗，有人正在用他的账户窃取客户数据。

ArcSight 提供了多项重要功能，能够帮助深入洞察整个企业范围内的活动。

广泛采集数据：ArcSight 架构经过专门设计，能够通过企业中的所有信息来源收集数据，包括防火墙、员工卡读卡器、笔记本电脑、VOIP 电话、数据库和目录等。因此，ArcSight 可“洞察一切”。

标准化和分类：这一广泛的数据集分为多种数据格式，在保持各自格式的情况下将毫无用处。ArcSight 可将所有数据标准化为单一的通用格式，然后将其进行分类，以便于进行人工和机器分析。

使用特定业务规则进行分析：ArcSight 可利用内置的规则及针对每个不同企业定制的规则将各种业务活动关联起来。例如，银行可能希望应用风险衡量标准（如 MCC 码、付款地点、账户地点、付款趋势）来确定交易是否存在欺诈。而医院可能希望分析患者情况、护理科室及之前的病历来发现可能的患者健康信息泄露情况。因此，ArcSight 能够根据每个企业定义的规则，大海捞针地找到可能带来业务风险的活动。

调查：通过存储海量数据，ArcSight 可在发现风险时进行取证分析。ArcSight 能够支持轻松查出某危险活动进行了多久，以及还有哪些人员涉入。反过来，当问题被纠正时，ArcSight 可轻松地将这些信息上报给内部和外部审计人员。

警告、报告和显示：最后，实时仪表板和按需或定期报告可确保正确的相关方在合适的时间收到其需要的信息。ArcSight 可根据每个利益相关方的需求来显示信息，让安全管理员可对问题作出迅速的响应，同时审计人员可对结果进行签字确认，管理人员可借助有用指标对业务进行指导。

ArcSight SIEM 平台可帮助企业了解谁在访问网络、他们在查看什么信息以及他们对该信息进行了何种操作。借助这种级别的可见性，ArcSight 客户可在保护业务的同时降低运营成本。如今，ArcSight 产品在全球范围内得到广泛应用，用于预防威胁和保护信息安全。