5-服務(wù)器安全加固軟件Deep Security

服務(wù)器安全加軟件DeepSecurity動(dòng)態(tài)數(shù)據(jù)中心的安全I(xiàn)T安全旨在促進(jìn)業(yè)務(wù)，而非阻礙業(yè)務(wù)，但是IT安全所面臨的挑戰(zhàn)性和復(fù)雜性正與日俱增。合規(guī)性要求使得服務(wù)器上的數(shù)據(jù)和應(yīng)用程序必須遵循一些安全標(biāo)準(zhǔn)。用虛擬機(jī)替代物理服務(wù)器，不但經(jīng)濟(jì)環(huán)保，還能提高可擴(kuò)展性。云計(jì)算促進(jìn)了傳統(tǒng)IT基礎(chǔ)架構(gòu)的發(fā)展，不但節(jié)約了成本，還提升了靈活性、容量和選擇空間。服務(wù)器不再阻隔在外圍防御之后，如同筆記本電腦一樣，服務(wù)器也在安全外圍之外移動(dòng)，因此需要最后一道防線。深度防御安全策略的當(dāng)務(wù)之急是部署一個(gè)服務(wù)器和應(yīng)用程序防護(hù)系統(tǒng)，通過該系統(tǒng)提供全面的安全控制，同時(shí)也支持當(dāng)前及未來的IT環(huán)境。面對(duì)這些挑戰(zhàn)，趨勢(shì)科技提出了相應(yīng)的解答，其中包括DeepSecurity解決方案務(wù)器虛擬服務(wù)器云計(jì)算PHYSICALgVE育￡VIRTUALIZEDSERVERSCLOUDCOMPVTlMG■■■月艮務(wù)器正處于壓力之下根據(jù)VerizonBusiness風(fēng)險(xiǎn)小組2008年度的數(shù)據(jù)泄露調(diào)查報(bào)告，在最近的數(shù)據(jù)泄露事件中，59%由黑客攻擊和入侵導(dǎo)致。TJX和Hannaford的數(shù)據(jù)泄露事件凸顯了系統(tǒng)危害對(duì)于任何企業(yè)的信譽(yù)和運(yùn)營都會(huì)產(chǎn)生嚴(yán)重負(fù)面影響的潛在可能性。各組織正不斷努力取得一種平衡，希望在保護(hù)資源的同時(shí)，又能保證更多業(yè)務(wù)合作伙伴和客戶能夠訪問這些資源。當(dāng)前的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)認(rèn)識(shí)到，傳統(tǒng)的外圍防御已經(jīng)不足以保護(hù)數(shù)據(jù)使其免受最新威脅，如今需要的是遠(yuǎn)遠(yuǎn)超過基于硬件的防火墻以及入侵檢測(cè)和防御系統(tǒng)(IDS/IPS)的多層保護(hù)。無線網(wǎng)絡(luò)、加密攻擊、移動(dòng)資源和易受攻擊的Web應(yīng)用程序，所有這些因素加在一起，便促成了企業(yè)服務(wù)器的脆弱性，使其面臨滲透和危害的威脅。在過去的五年中，一直以來都高度依賴物理服務(wù)器的數(shù)據(jù)中心計(jì)算平臺(tái)經(jīng)歷了一場(chǎng)重大的技術(shù)變革。傳統(tǒng)數(shù)據(jù)中心的空間不斷縮減，希望通過整合服務(wù)器實(shí)現(xiàn)成本節(jié)約和“綠色”IT的目的。幾乎每個(gè)組織都已經(jīng)將他們的部分或全部數(shù)據(jù)中心工作負(fù)載虛擬化，實(shí)現(xiàn)了物理服務(wù)器的多租戶使用模式，取代了此前的單租戶或單用途模式。Gartner集團(tuán)預(yù)計(jì)，從現(xiàn)在到2011年，虛擬機(jī)的安裝量將會(huì)擴(kuò)大十倍以上-到2012年，絕大多數(shù)x86服務(wù)器的工作負(fù)載將會(huì)在虛擬機(jī)內(nèi)運(yùn)行。

服務(wù)器正迅速增加且飛快發(fā)展IT虛擬化為組織帶來的顯著優(yōu)勢(shì)使其得到廣泛采用。虛擬化提高了容量以及對(duì)于企業(yè)需求的響應(yīng)能力，而硬件和軟件許可的更有效使用促進(jìn)了服務(wù)器工作負(fù)載的繼續(xù)不斷整合。在虛擬環(huán)境中，網(wǎng)絡(luò)設(shè)備和服務(wù)器之間不再?zèng)芪挤置?如今在虛擬化平臺(tái)中二者已進(jìn)行組合。但是，由于網(wǎng)絡(luò)安全設(shè)備無法看到在虛擬機(jī)之間發(fā)送的通信流，因此，敏感度各不相同的托管工作負(fù)載使得攻擊者有了可乘之機(jī)。移動(dòng)工具（對(duì)于管理計(jì)劃內(nèi)停機(jī)時(shí)間、有效利用虛擬化資源以及應(yīng)用程序可用性而言至關(guān)重要）導(dǎo)致服務(wù)器上出現(xiàn)額外的工作負(fù)載共享，從而影響合規(guī)性歷史記錄管理和虛擬安全設(shè)備。虛擬機(jī)不可避免的“蔓延”還增加了未安裝最新補(bǔ)丁的虛擬機(jī)受到惡意通信流攻擊的可能性。IT人員必須仔細(xì)檢查保護(hù)企業(yè)服務(wù)器虛擬實(shí)例所使用的方法。1.3.云端服務(wù)器開放云計(jì)算提高了企業(yè)滿足日常操作計(jì)算需求的能力。隨著越來越多的組織采用云計(jì)算以及服務(wù)提供商構(gòu)建公共云，對(duì)于能否有效托管這些虛擬化工作負(fù)載，安全模式面臨著進(jìn)一步挑戰(zhàn)。在考慮是否將業(yè)務(wù)工作負(fù)載移到公共云中時(shí)，安全性往往是組織最為關(guān)心甚至因此產(chǎn)生疑慮的一個(gè)問題。IDC最近調(diào)查了244位IT主管/CIO及其業(yè)務(wù)范圍（LOB）內(nèi)的同事，以衡量他們的意見并了解其公司對(duì)IT云服務(wù)的使用情況，最后結(jié)果是，安全性位列第一，成為云計(jì)算面臨的最大挑戰(zhàn)。當(dāng)服務(wù)器移到公共云資源時(shí)，由于這些虛擬化服務(wù)器現(xiàn)在直接通過Internet提供管理訪問，數(shù)據(jù)中心外圍就無法提供任何防護(hù)。因此，數(shù)據(jù)中心本來就已經(jīng)面臨的一些問題，如補(bǔ)丁管理和合規(guī)性報(bào)告，現(xiàn)在也變得更為復(fù)雜。由于一個(gè)組織的工作負(fù)載靠近另一組織的工作負(fù)載一起托管在服務(wù)器上，云端唯一的相關(guān)防護(hù)就只是供應(yīng)商可以在其外圍提供的最低一般水平防護(hù)，或者組織為進(jìn)行自我防御而為其虛擬機(jī)部署的任何措施。問：請(qǐng)對(duì)“云計(jì)算”或按需服務(wù)所面臨的各種問題按重要性進(jìn)行評(píng)價(jià)（1*不重要5*非常重要）回答評(píng)分為4或5的百分比“到目前為止，關(guān)于云服務(wù)我們最為關(guān)心的就是安全性。由于業(yè)務(wù)信息和關(guān)鍵IT資源都在防火墻之外，客戶擔(dān)心這些信息和資源容易受到攻擊?！?IDC高級(jí)副總裁兼首席分析師FrankGens安全性性能可用性難以與組織內(nèi)部的IT集成自定義能力不足擔(dān)心按需模式成本更高帶回組織內(nèi)部可能有困難法規(guī)要求禁止云回答評(píng)分為4或5的百分比“到目前為止，關(guān)于云服務(wù)我們最為關(guān)心的就是安全性。由于業(yè)務(wù)信息和關(guān)鍵IT資源都在防火墻之外，客戶擔(dān)心這些信息和資源容易受到攻擊?！?IDC高級(jí)副總裁兼首席分析師FrankGens1.4.趨勢(shì)科技的解決方案TrendMicroDeepSecurity解決方案是一種在虛擬、云計(jì)算和傳統(tǒng)的數(shù)據(jù)中心環(huán)境之間統(tǒng)一安全性的服務(wù)器和應(yīng)用程序防護(hù)軟件。它幫助組織預(yù)防數(shù)據(jù)泄露和業(yè)務(wù)中斷，符合包括PCI在內(nèi)的關(guān)鍵法規(guī)和標(biāo)準(zhǔn)，并有助于應(yīng)當(dāng)今經(jīng)濟(jì)形勢(shì)之要求降低運(yùn)營成本。DeepSecurity解決方案使系統(tǒng)能夠自我防御，并經(jīng)過優(yōu)化，能夠幫助您保護(hù)機(jī)密數(shù)據(jù)并確保應(yīng)用程序的可用性。趨勢(shì)科技的基于服務(wù)器的安全防護(hù)軟件主要在服務(wù)器群上實(shí)現(xiàn)以下6大模塊的安全控制：基于主機(jī)的IDS/IPS防護(hù)未知漏洞，被未知攻擊防護(hù)已知攻擊防護(hù)零日攻擊，確保未知漏洞不會(huì)被利用Web應(yīng)用防護(hù)防護(hù)web應(yīng)用程序的弱點(diǎn)和漏洞防護(hù)Web應(yīng)用程序的歷史記錄支持PCI規(guī)范。應(yīng)用程序控制偵測(cè)通過非標(biāo)準(zhǔn)端口進(jìn)行通訊相關(guān)協(xié)議限制和設(shè)定哪些應(yīng)用程序能通過網(wǎng)絡(luò)被訪問偵測(cè)和阻斷惡意軟件通過網(wǎng)絡(luò)進(jìn)行訪問基于主機(jī)的防火墻一致性檢查和監(jiān)控重要的操作系統(tǒng)和應(yīng)用程序文件控制（文件，目錄，注冊(cè)表以及鍵值等等）監(jiān)控制定的目錄靈活并且主動(dòng)實(shí)用的監(jiān)控審計(jì)日志和報(bào)表日志檢查和審計(jì)搜集操作系統(tǒng)和應(yīng)用程序的日志，便于安全檢查和審計(jì)可疑行為偵測(cè)搜集安全行為相關(guān)的管理員設(shè)定

產(chǎn)品特點(diǎn)數(shù)據(jù)中心服務(wù)器安全架構(gòu)必須解決不斷變化的IT架構(gòu)問題，包括虛擬化和整合、新服務(wù)交付模式以及云計(jì)算。對(duì)于所有這些數(shù)據(jù)中心模式，DeepSecurity解決方案可幫助:通過以下方式預(yù)防數(shù)據(jù)泄露和業(yè)務(wù)中斷2.1.通過以下方式預(yù)防數(shù)據(jù)泄露和業(yè)務(wù)中斷在服務(wù)器自身位置提供一道防線-無論是物理服務(wù)器、虛擬服務(wù)器還是云服務(wù)器針對(duì)Web和企業(yè)應(yīng)用程序以及操作系統(tǒng)中的已知和未知漏洞進(jìn)行防護(hù)，并阻止對(duì)這些系統(tǒng)的攻擊幫助您識(shí)別可疑活動(dòng)及行為，并采取主動(dòng)或預(yù)防性的措施通過以下方式實(shí)現(xiàn)合規(guī)性■滿足六大PCI合規(guī)性要求（包括Web應(yīng)用程序安全、文件完整性監(jiān)控和服務(wù)器日志收集）及其他各類合規(guī)性要求■提供記錄了所阻止的攻擊和策略合規(guī)性狀態(tài)的詳細(xì)可審計(jì)報(bào)告，縮短了支持審計(jì)所需的準(zhǔn)備時(shí)間通過以下方式支持降低運(yùn)營成本■提供漏洞防護(hù)，以便能夠?qū)Π踩幋a措施排定優(yōu)先級(jí)，并且可以更具成本效益地實(shí)施未預(yù)定的補(bǔ)丁■為組織充分利用虛擬化或云計(jì)算并實(shí)現(xiàn)這些方法中固有的成本削減提供必要的安全性■以單個(gè)集中管理的軟件代理提供全面的防護(hù)-消除了部署多個(gè)軟件客戶端的必要性及相關(guān)成本全面易管理的安全性DeepSecurity解決方案使用不同的模塊滿足了關(guān)鍵服務(wù)器和應(yīng)用程序的防護(hù)要求:DeepSecurity模塊據(jù)中心要求服務(wù)器防護(hù)-預(yù)防已知攻擊和零日攻擊-安裝補(bǔ)丁之前對(duì)漏洞進(jìn)行防護(hù)Web應(yīng)用程序防護(hù)-預(yù)防SQL注入、跨站點(diǎn)腳本攻擊及強(qiáng)力攻擊等深度數(shù)據(jù)包檢查防火墻完整性監(jiān)控日志審計(jì)IDS/IPSWeb應(yīng)用程序防護(hù)應(yīng)用程序控制???O??O?Internet攻擊-滿足PCIDSS6.5要求-Web應(yīng)用程序防火墻虛擬化安全-預(yù)防已知攻擊和零日攻擊-安裝補(bǔ)丁之前對(duì)漏洞進(jìn)行防護(hù)-VMwarevCenter集成增強(qiáng)了可見性和管理?o??o可疑行為檢測(cè)-預(yù)防偵察掃描-檢測(cè)是否在不合適的端口上使用允許的協(xié)議-針對(duì)可能發(fā)出攻擊信號(hào)的操作系統(tǒng)及應(yīng)用程序錯(cuò)誤發(fā)出警報(bào)-針對(duì)關(guān)鍵操作系統(tǒng)及應(yīng)用程序更改發(fā)出警報(bào)o????云計(jì)算安全-使用防火墻策略隔離虛擬機(jī)器-預(yù)防已知攻擊和零日攻擊-安裝補(bǔ)丁之前對(duì)漏洞進(jìn)行防護(hù)?o???合規(guī)性報(bào)告-有關(guān)對(duì)關(guān)鍵服務(wù)器所做的所有更改的可見性和審計(jì)記錄-檢查和關(guān)聯(lián)重要安全事件并將其轉(zhuǎn)發(fā)到日志記錄服務(wù)器，以便進(jìn)行補(bǔ)救、報(bào)告和存檔-有關(guān)配置、檢測(cè)到的活動(dòng)及已阻止的活動(dòng)的報(bào)告o?oo???=基本o=優(yōu)勢(shì)產(chǎn)品模塊及功能DeepSecurity解決方案使您能夠部署一個(gè)或多個(gè)防護(hù)模塊，提供恰好適度的防護(hù)以滿足不斷變化的業(yè)務(wù)需求。您可以通過部署全面防護(hù)創(chuàng)建自我防御的服務(wù)器和虛擬機(jī)，也可以從完整性監(jiān)控模塊著手發(fā)現(xiàn)可疑行為。所有模塊功能都通過單個(gè)DeepSecurity代理部署到服務(wù)器或虛擬機(jī)，該DeepSecurity代理由DeepSecurity管理器軟件集中管理，并在物理、虛擬和云計(jì)算環(huán)境之間保持一致。3.1.深度數(shù)據(jù)包檢查(DPI)引擎實(shí)現(xiàn)入侵檢測(cè)和防御、Web應(yīng)用程序防護(hù)以及應(yīng)用程序控制該解決方案的高性能深度數(shù)據(jù)包檢查引擎可檢查所有出入通信流(包括SSL通信流)中是否存在協(xié)議偏離、發(fā)出攻擊信號(hào)的內(nèi)容以及違反策略的情況。該引擎可在檢測(cè)或防御模式下運(yùn)行，以保護(hù)操作系統(tǒng)和企業(yè)應(yīng)用程序的漏洞。它可保護(hù)Web應(yīng)用程序，使其免受應(yīng)用層攻擊，包括SQL注入攻擊和跨站點(diǎn)腳本攻擊。詳細(xì)事件提供了十分有價(jià)值的信息，包括攻擊者、攻擊時(shí)間及意圖利用的漏洞。發(fā)生事件時(shí)，可通過警報(bào)自動(dòng)通知管理員°DPI用于入侵檢測(cè)和防御、Web應(yīng)用程序防護(hù)以及應(yīng)用程序控制。入侵檢測(cè)和防御(IDS/IPS)在操作系統(tǒng)和企業(yè)應(yīng)用程序安裝補(bǔ)丁之前對(duì)其漏洞進(jìn)行防護(hù)，以提供及時(shí)保護(hù)，使其免受已知攻擊和零日攻擊漏洞規(guī)則可保護(hù)已知漏洞(如Microsoft披露的漏洞)，使其免受無數(shù)次的漏洞攻擊。DeepSecurity解決方案對(duì)超過100種應(yīng)用程序(包括數(shù)據(jù)庫、Web、電子郵件和FTP服務(wù)器)提供開箱即用的漏洞防護(hù)。在數(shù)小時(shí)內(nèi)即可提供可對(duì)新發(fā)現(xiàn)的漏洞進(jìn)行防護(hù)的規(guī)則，無需重新啟動(dòng)系統(tǒng)即可在數(shù)分鐘內(nèi)將這些規(guī)則應(yīng)用到數(shù)以千計(jì)的服務(wù)器上：智能規(guī)則通過檢測(cè)包含惡意代碼的異常協(xié)議數(shù)據(jù)，針對(duì)攻擊未知漏洞的漏洞攻擊行為提供零日防護(hù)。漏洞攻擊規(guī)則可停止已知攻擊和惡意軟件，類似于傳統(tǒng)的防病毒軟件，都使用簽名來識(shí)別和阻止已知的單個(gè)漏洞攻擊。由于趨勢(shì)科技是Microsoft主動(dòng)保護(hù)計(jì)劃(MAPP)的現(xiàn)任成員，DeepSecurity解決方案可在每月安全公告發(fā)布前提前從Microsoft收到漏洞信息。這種提前通知有助于預(yù)測(cè)新出現(xiàn)的威脅，并通過安全更新為雙方客戶快速有效地提供更及時(shí)的防護(hù)。WEB應(yīng)用程序安全DeepSecurity解決方案符合有關(guān)保護(hù)Web應(yīng)用程序及其處理數(shù)據(jù)的PCI要求6.6。Web應(yīng)用程序防護(hù)規(guī)則可防御SQL注入攻擊、跨站點(diǎn)腳本攻擊及其他Web應(yīng)用程序漏洞攻擊，在代碼修復(fù)完成之前對(duì)這些漏洞提供防護(hù)。該解決方案使用智能規(guī)則識(shí)別并阻止常見的Web應(yīng)用程序攻擊。根據(jù)客戶要求進(jìn)行的一項(xiàng)滲透測(cè)試，我們發(fā)現(xiàn)，部署DeepSecurity的SaaS數(shù)據(jù)中心可對(duì)其Web應(yīng)用程序和服務(wù)器中發(fā)現(xiàn)的99%的高危險(xiǎn)性漏洞提供防護(hù)。應(yīng)用程序控制應(yīng)用程序控制規(guī)則可針對(duì)訪問網(wǎng)絡(luò)的應(yīng)用程序提供更進(jìn)一步的可見性控制能力。這些規(guī)則也可用于識(shí)別訪問網(wǎng)絡(luò)的惡意軟件或減少服務(wù)器的漏洞。防火墻減小物理和虛擬服務(wù)器的受攻擊面DeepSecurity防火墻軟件模塊具有企業(yè)級(jí)、雙向性和狀態(tài)型特點(diǎn)。它可用于啟用正確的服務(wù)器運(yùn)行所必需的端口和協(xié)議上的通信，并阻止其他所有端口和協(xié)議，降低對(duì)服務(wù)器進(jìn)行未授權(quán)訪問的風(fēng)險(xiǎn)。其功能如下：■虛擬機(jī)隔離：使虛擬機(jī)能夠隔離在云計(jì)算或多租戶虛擬環(huán)境中，無需修改虛擬交換機(jī)配置即可提供虛擬分段。■細(xì)粒度過濾：通過實(shí)施有關(guān)IP地址、Mac地址、端口及其他內(nèi)容的防火墻規(guī)則過濾通信流?？蔀槊總€(gè)網(wǎng)絡(luò)接口配置不同的策略?！龈采w所有基于IP的協(xié)議：通過支持全數(shù)據(jù)包捕獲簡化了故障排除，并且可提供寶貴的分析見解，有助于了解增加的防火墻事件-TCP、UDP、ICMP等?！鰝刹鞕z測(cè)：檢測(cè)端口掃描等活動(dòng)。還可限制非IP通信流，如ARP通信流?！鲮`活的控制：狀態(tài)型防火墻較為靈活，可在適當(dāng)時(shí)以一種受控制的方式完全繞過檢查。它可解決任何網(wǎng)絡(luò)上都會(huì)遇到的通信流特征不明確的問題，此問題可能出于正常情況，也可能是攻擊的一部分。■預(yù)定義的防火墻配置文件：對(duì)常見企業(yè)服務(wù)器類型（包括Web、LDAP、DHCP、FTP和數(shù)據(jù)庫）進(jìn)行分組，確保即使在大型復(fù)雜的網(wǎng)絡(luò)中也可快速、輕松、一致地部署防火墻策略?！隹刹僮鞯膱?bào)告：通過詳細(xì)的日志記錄、警報(bào)、儀表板和靈活的報(bào)告，DeepSecurity防火墻軟件模塊可捕獲和跟蹤配置更改（如策略更改內(nèi)容及更改者），從而提供詳細(xì)的審計(jì)記錄。3.6.完整性監(jiān)控監(jiān)控未授權(quán)的、意外的或可疑的更改DeepSecurity完整性監(jiān)控軟件模塊可監(jiān)控關(guān)鍵的操作系統(tǒng)和應(yīng)用程序文件（如目錄、注冊(cè)表項(xiàng)和值），以檢測(cè)可疑行為。其功能如下：■按需或預(yù)定檢測(cè)：可預(yù)定或按需執(zhí)行完整性掃描?！鰪V泛的文件屬性檢查：使用開箱即用的完整性規(guī)則可對(duì)文件和目錄針對(duì)多方面的更改進(jìn)行監(jiān)控，包括：內(nèi)容、屬性（如所有者、權(quán)限和大小）以及日期與時(shí)間戳。還可監(jiān)控對(duì)Windows注冊(cè)表鍵值、訪問控制列表以及日志文件進(jìn)行的添加、修改或刪除操作，并提供警報(bào)。此功能適用于PCIDSS10.5.5要求?！隹蓪徲?jì)的報(bào)告：完整性監(jiān)控模塊可顯示DeepSecurity管理器儀表板中的完整性事件、生成警報(bào)并提供可審計(jì)的報(bào)告。該模塊還可通過Syslog將事件轉(zhuǎn)發(fā)到安全信息和事件管理（SIEM）系統(tǒng)。■安全配置文件分組：可為各組或單個(gè)服務(wù)器配置完整性監(jiān)控規(guī)則，以簡化監(jiān)控規(guī)則集的部署和管理?！龌鶞?zhǔn)設(shè)置：可創(chuàng)建基準(zhǔn)安全配置文件用于比較更改，以便發(fā)出警報(bào)并確定相應(yīng)的操作。■靈活實(shí)用的監(jiān)控：完整性監(jiān)控模塊提供了靈活性和控制性，可針對(duì)您的獨(dú)特環(huán)境優(yōu)化監(jiān)控活動(dòng)。這包括在掃描參數(shù)中包含/排除文件或通配符文件名以及包含/排除子目錄的功能。此外，還可根據(jù)獨(dú)特的要求靈活創(chuàng)建自定義規(guī)則。3.7.日志審計(jì)查找日志文件中隱藏的重要安全事件并了解相關(guān)信息使用DeepSecurity日志審計(jì)軟件模塊可收集并分析操作系統(tǒng)和應(yīng)用程序日志，以查找安全事件。日志審計(jì)規(guī)則優(yōu)化了對(duì)多個(gè)日志條目中隱藏的重要安全事件進(jìn)行識(shí)別的能力。這些事件隨后會(huì)轉(zhuǎn)發(fā)到一個(gè)SIEM系統(tǒng)或集中式的日志記錄服務(wù)器，以便進(jìn)行關(guān)聯(lián)、報(bào)告和存檔。DeepSecurity代理還會(huì)將事件信息轉(zhuǎn)發(fā)到DeepSecurity管理器。日志審計(jì)模塊的部分優(yōu)勢(shì)如下：■可疑行為檢測(cè)：該模塊可檢測(cè)服務(wù)器上可能發(fā)生的可疑行為。■收集您的整個(gè)環(huán)境中的事件：DeepSecurity日志審計(jì)模塊能夠收集許多事件并將其關(guān)聯(lián)起來，這些事件包括：MicrosoftWindows>Linux和Solaris平臺(tái)間的事件；來自Web服務(wù)器、郵件服務(wù)器、SSHD、Samba、MicrosoftFTP等的應(yīng)用程序事件；自定義應(yīng)用程序日志事件?！鲫P(guān)聯(lián)不同事件：收集各種警告、錯(cuò)誤和信息事件并將其關(guān)聯(lián)起來，包括系統(tǒng)消息（如磁盤已滿、通信錯(cuò)誤、服務(wù)事件、關(guān)機(jī)和系統(tǒng)更新）、應(yīng)用程序事件（如帳戶登錄/注銷/故障/鎖定、應(yīng)用程序錯(cuò)誤和通信錯(cuò)誤）、管理員操作（如管理員登錄/注銷/故障/鎖定、策略更改和帳戶更改）。■有關(guān)合規(guī)性的可審計(jì)報(bào)告：可生成安全事件的完整審計(jì)記錄，以幫助滿足合規(guī)性要求，如PCI10.6。產(chǎn)品原理及架構(gòu)DeepSecurity解決方案架構(gòu)包含三個(gè)組件：DeepSecurity代理，部署在受保護(hù)的服務(wù)器或虛擬機(jī)上。DeepSecurity管理器，提供集中式策略管理、發(fā)布安全更新并通過警報(bào)和報(bào)告進(jìn)行監(jiān)控?？纱_定對(duì)服務(wù)器分配哪些規(guī)則，此過程將掃描服務(wù)器上已安裝的軟件并建議需要采用哪些規(guī)則保護(hù)服務(wù)器。對(duì)所有規(guī)則監(jiān)控活動(dòng)都創(chuàng)建事件，隨后這些事件將發(fā)送到DeepSecurity管理器，或者同時(shí)也發(fā)送到SIEM系統(tǒng)。DeepSecurity代理和DeepSecurity管理器之間的所有通信都受到相互驗(yàn)證的SSL所保護(hù)。DeepSecurity管理器對(duì)安全中心發(fā)出輪詢，以確定是否存在新的安全更新。存在新的更新時(shí)，DeepSecurity管理器將獲取該更新，然后便可通過手動(dòng)或自動(dòng)方式將該更新應(yīng)用于需要其額外保護(hù)的服務(wù)器。DeepSecurity管理器和安全中心之間的通信也受到相互驗(yàn)證的SSL所保護(hù)。DeepSecurity管理器還連接到IT基礎(chǔ)架構(gòu)的其他元素，以簡化管理。DeepSecurity管理器可連接到VMwarevCenter，也可連接到MicrosoftActiveDirectory等目錄，以獲取服務(wù)器配置和分組信息。DeepSecurity管理器還擁有Web服務(wù)API，可用于程式化地訪問功能。安全中心對(duì)漏洞信息的公共和私有源都進(jìn)行監(jiān)控，以保護(hù)客戶正在使用的操作系統(tǒng)和應(yīng)用程序。DeepSecurity管理器DeepSecurity解決方案提供實(shí)用且經(jīng)過驗(yàn)證的控制，可解決棘手的安全問題。有關(guān)操作且具有可行性的安全不僅讓您的組織獲知安全事件，還可幫助了解安全事件。在許多情況下，這種安全就是提供有關(guān)事件發(fā)起者、內(nèi)容、時(shí)間和位置的信息，以便組織可以正確理解事件然后執(zhí)行相應(yīng)操作，而不僅僅是告訴組織安全控制本身執(zhí)行了什么操作。DeepSecurity管理器軟件滿足了安全和操作雙重要求，其功能如下：集中式的、基于Web的管理系統(tǒng)：通過一種熟悉的、資源管理器風(fēng)格的用戶界面創(chuàng)建和管理安全策略，并跟蹤記錄威脅以及為響應(yīng)威脅而采取的預(yù)防措施。詳細(xì)報(bào)告：內(nèi)容詳盡的詳細(xì)報(bào)告記錄了未遂的攻擊，并提供有關(guān)安全配置和更改的可審計(jì)歷史記錄。建議掃描：識(shí)別服務(wù)器和虛擬機(jī)上運(yùn)行的應(yīng)用程序，并建議對(duì)這些系統(tǒng)應(yīng)用哪些過濾器，從而確保提供事半功倍的正確防護(hù)。風(fēng)險(xiǎn)排名：可根據(jù)資產(chǎn)價(jià)值和漏洞信息查看安全事件?；诮巧脑L問：可使多個(gè)管理員（每個(gè)管理員具有不同級(jí)別的權(quán)限）對(duì)系統(tǒng)的不同方面進(jìn)行操作并根據(jù)各自的角色接收相應(yīng)的信息?？勺远x的儀表板：使管理員能夠?yàn)g覽和追溯至特定信息，并監(jiān)控威脅及采取的預(yù)防措施?？蓜?chuàng)建和保存多個(gè)個(gè)性化視圖。預(yù)定任務(wù)：可預(yù)定常規(guī)任務(wù)（如報(bào)告、更新、備份和目錄同步）以便自動(dòng)完成。DeepSecurity代理DeepSecurity代理是DeepSecurity解決方案中的一個(gè)基于服務(wù)器的軟件組件，實(shí)現(xiàn)了IDS/IPS、Web應(yīng)用程序防護(hù)、應(yīng)用程序控制、防火墻、完整性監(jiān)控以及日志審計(jì)。它可通過監(jiān)控出入通信流中是否存在協(xié)議偏離、發(fā)出攻擊信號(hào)的內(nèi)容或違反策略的情況，對(duì)服務(wù)器或虛擬機(jī)實(shí)行防御。必要時(shí)，DeepSecurity代理會(huì)通過阻止惡意通信流介入威脅并使之無效。安全中心安全中心是DeepSecurity解決方案中不可或缺的一部分。它包含一支由安全專家組成的動(dòng)態(tài)團(tuán)隊(duì)，這些專家在發(fā)現(xiàn)各種新的漏洞和威脅時(shí)便提供及時(shí)快速的響應(yīng)，從而幫助客戶對(duì)最新威脅做到防患于未然；同時(shí)，安全中心還包含一個(gè)用于訪問安全更新和信息的客戶門戶。安全中心專家采用一套由復(fù)雜的自動(dòng)化工具所支持的嚴(yán)格的六步快速響應(yīng)流程：監(jiān)控：對(duì)超過100個(gè)公共、私有和政府?dāng)?shù)據(jù)源進(jìn)行系統(tǒng)化的持續(xù)監(jiān)控，以識(shí)別新的相關(guān)威脅和漏洞，并將其關(guān)聯(lián)起來。安全中心研究人員利用與不同組織的關(guān)系，獲取有關(guān)漏洞的早期（有時(shí)是預(yù)發(fā)布）信息，從而向客戶提供及時(shí)、準(zhǔn)確的防護(hù)。這些來源包括Microsoft、Oracle及其他供應(yīng)商顧問、SANS、CERT、Bugtraq、VulnWatch、PacketStorm以及Securiteam。確定優(yōu)先級(jí)：然后根據(jù)客戶風(fēng)險(xiǎn)評(píng)估及服務(wù)等級(jí)協(xié)議確定漏洞的優(yōu)先級(jí)，以作進(jìn)一步分析。分析：對(duì)漏洞執(zhí)行深入分析，確定需要采取的必要防護(hù)措施。開發(fā)和測(cè)試：然后開發(fā)出可對(duì)漏洞實(shí)行防護(hù)的軟件過濾器以及可推薦過濾器的規(guī)則，并進(jìn)行廣泛的測(cè)試，以便最大限度地降低誤測(cè)率，并確?？蛻裟軌蚩焖?、順利地部署這些過濾器和規(guī)則。交付：將新過濾器作為安全更新交付給客戶。當(dāng)新的安全更新發(fā)布時(shí)，客戶將通過DeepSecurity管理器中的警報(bào)立即收到通知。然后就可以將這些過濾器自動(dòng)或手動(dòng)應(yīng)用于相應(yīng)的服務(wù)器。通信：通過可提供有關(guān)新發(fā)現(xiàn)安全漏洞的詳細(xì)描述的安全顧問，可實(shí)現(xiàn)與客戶之間的持續(xù)通信。主動(dòng)研究進(jìn)一步增強(qiáng)防護(hù)此外，安全中心團(tuán)隊(duì)還執(zhí)行持續(xù)不斷的研究，以改進(jìn)總體防護(hù)機(jī)制。該項(xiàng)工作受到漏洞和威脅響應(yīng)過程中發(fā)現(xiàn)的結(jié)果和趨勢(shì)的強(qiáng)烈影響。這些結(jié)果還影響新過濾器和規(guī)則的創(chuàng)建方式，以及現(xiàn)有防護(hù)機(jī)制的質(zhì)量，最終改進(jìn)總體防護(hù)。4.6.保護(hù)各種漏洞安全中心開發(fā)并提供可保護(hù)商業(yè)現(xiàn)成應(yīng)用程序和自定義Web應(yīng)用程序的過濾器。漏洞攻擊和漏洞過濾器是被動(dòng)式的，因?yàn)樗鼈冇糜谠诎l(fā)現(xiàn)已知漏洞時(shí)做出響應(yīng)。相反，智能過濾器提供主動(dòng)式的防護(hù)。完整性監(jiān)控過濾器檢查各種系統(tǒng)組件及其特定屬性，并在達(dá)到特定觸發(fā)條件時(shí)向管理員發(fā)出警報(bào)?？杀O(jiān)控的部分組件包括系統(tǒng)目錄、文件、Windows注冊(cè)表、用戶帳戶、端口和網(wǎng)絡(luò)共享。日志審計(jì)過濾器解析來自操作系統(tǒng)和第三方應(yīng)用程序的日志，并在發(fā)生了特定事件時(shí)向管理員發(fā)出警報(bào)。4.7.安全中心門戶安全中心門戶向客戶提供對(duì)產(chǎn)品相關(guān)信息和支持的單個(gè)安全訪問點(diǎn)，這些信息和支持包括：安全更新安全顧問漏洞中的CVSS評(píng)分信息MicrosoftTuesday的警報(bào)摘要漏洞高級(jí)搜索漏洞（包括那些未受ThirdBrigade保護(hù)的漏洞）的完全披露每個(gè)漏洞的補(bǔ)丁信息RSS提要故障票據(jù)軟件下載產(chǎn)品文檔產(chǎn)品部署和集成DeepSecurity解決方案專為快速的企業(yè)部署而設(shè)計(jì)。它利用現(xiàn)有基礎(chǔ)架構(gòu)并與之集成，以幫助實(shí)現(xiàn)更高的操作效率，并支持降低運(yùn)營成本。VMware集成：與VMwarevCenter和ESXServer的緊密集成，使得組織和操作信息可以從vCenter和ESX節(jié)點(diǎn)導(dǎo)入到DeepSecurity管理器，并將詳細(xì)完備的安全應(yīng)用于企業(yè)的VMware基礎(chǔ)架構(gòu)。SIEM集成：通過多個(gè)集成選項(xiàng)向SIEM提供詳細(xì)的服務(wù)器級(jí)安全事件，這些選項(xiàng)包括ArcSight、Intellitactics、NetIQ、RSAEnvision、Q1Labs、LogLogic及其他系統(tǒng)。目錄集成：與企業(yè)目錄集成，包括MicrosoftActiveDirectory