На данной странице приведены ориентировочные требования к аппаратному или виртуальному обеспечению необходимого для размещения компонент системы.

Представленные данные не являются окончательными, а служат лишь ориентиром для выбора аппаратной платформы. Для детальной проработки спецификации аппаратного решения необходимо провести обследование КИС для получения информации о текущем уровне логирования источников событий безопасности. Только в этом случае можно гарантированно обеспечить корректный расчет необходимой производительности системы.

Установка

Компонент

Appliance

Установка на сервер

Виртуальная среда

ArcSight DataBase да да не рекомендуется
ArcSight Manager да да не рекомендуется
ArcSight Web нет да не рекомендуется
ArcSight Express да нет нет
ArcSight Logger да да не рекомендуется
ArcSight SmartConnector да да да
ArcSight Console нет да да

Основными параметрами для расчета является количество событий в единицу времени, период времени хранения событий в прямом доступе, период времени хранения событий в архиве.

Расчет разделов дисковой стойки выполнялся исходя из требований: хранить данные 365 дней, включая 30 дней в прямом доступе для анализа.

500 eps

Для реализации решения HP ArcSight с производительностью 500 событий в секунду рекомендуется следующая аппаратная конфигурация:

1) Серверная часть

a) ArcSight Manager. Сервер на платформе Intel: 2 ядра Xeon 3.0GHz, Оперативная память 6 GB

b) ArcSight DB. Сервер на платформе Intel: 4 ядра Xeon 3.0GHz, Оперативная память 12 GB

c) ArcSight SmartConnectors. Сервер на платформе Intel: 2 ядра Xeon 3.0GHz, Оперативная память 12 GB — количество серверов зависит от топологии сети, количества и расположения источников в КИС и инфраструктуры в целом. Если все источники находятся в одной подсети, достаточно одного сервера.

2) Дисковая стойка:

a) Раздел Database – 819 GB, с учетом избыточности RAID 1+0 2044 GB

b) Раздел Redo Logs – 6 GB, с учетом избыточности RAID1  292 GB

c) Раздел Archived Partitions – 1042GB, с учетом избыточности RAID5   1314 GB

ИТОГО: 1867 GB, с учетом избыточности RAID — 3796 GB

2000 eps

Для реализации решения HP ArcSight с производительностью 2000 событий в секунду рекомендуется следующая аппаратная конфигурация:

1) Серверная часть

a) ArcSight Manager. Сервер на платформе Intel: 8 ядер Xeon 3.0GHz(ArcSight будет использовать только 6 из 8 ядер), Оперативная память 16 GB

b) ArcSight DB. Сервер на платформе Intel: 8 ядер Xeon 3.0GHz, Оперативная память 24 GB

c) ArcSight SmartConnectors. Сервер на платформе Intel: 2 ядра Xeon 3.0GHz, Оперативная память 12 GB — количество серверов зависит от топологии сети, количетсва расположения источников в КИС и инфраструктуры в целом. Если все источники находятся в одной подсети, достаточно одного сервера.

2) Дисковая стойка:

a) Раздел Database – 3084 GB, с учетом избыточности RAID 1+0 6176 GB

b) Раздел Redo Logs – 6 GB, с учетом избыточности RAID1  292 GB

c) Раздел Archived Partitions – 3930 GB, с учетом избыточности RAID5   4380 GB

ИТОГО: 7020 GB, с учетом избыточности RAID — 11534 GB

 

5000 eps

Для реализации решения HP ArcSight с производительностью 5000 событий в секунду рекомендуется следующая аппаратная конфигурация:

1) Серверная часть

a) ArcSight Manager. Сервер на платформе Intel: 8 ядер Xeon 3.0GHz, Оперативная память 16 GB

b) ArcSight DB. Сервер на платформе Intel: 16 ядер Xeon 3.0GHz, Оперативная память 32 GB

c) ArcSight SmartConnectors. Сервер на платформе Intel: 2 ядра Xeon 3.0GHz, Оперативная память 12 GB — количество серверов зависит от топологии сети, количества и расположения источников в КИС и инфраструктуры в целом. Если все источники находятся в одной подсети, достаточно одного сервера.

2)    Дисковая стойка:

a)    Раздел Database – 7459 GB, с учетом избыточности RAID 1+0 16060 GB

b)    Раздел Redo Logs – 6 GB, с учетом избыточности RAID1  292 GB

c)    Раздел Archived Partitions – 9100GB, с учетом избыточности RAID5   9928 GB

ИТОГО: 16565 GB, с учетом избыточности RAID — 26426 GB