Архитектура HP Arcsight

HP Arcsight состоит из следующих компонент:

  • ArcSight Manager – основной серверный компонент, «ядро» системы, обеспечивающее корреляцию событий и их обработку;
  • ArcSight DB – база данных (на основе СУБД Oracle 11g), предназначенная для хранения информации;
  • ArcSight Console – консоль для управления и работы с системой, представляющая собой приложение, устанавливаемое на клиентское рабочее место администратора или пользователя системы;
  • ArcSight Web – серверный компонент web-консоли для мониторинга и получения отчетности. Для доступа к информации используется любой современный web-браузер;
  • ArcSight SmartConnectors – компоненты системы, обеспечивающие сбор событий с источников, их предварительную фильтрацию и агрегацию, а также передачу событий в ArcSight Manager.

ArcSight Manager

Компонент ArcSight Manager является центральным компонентом, ядром системы. Manager представляет собой сервер приложений, написанный на языке Java, и управляющий всеми процессами обработки данных в ESM – корреляцией, анализом, документооборотом и прочими внутренними сервисами. Компонент Manager записывает обработанные события в СУБД, одновременно пропуская все события через механизм корреляции, который сопоставляет события с данными о сетевой модели и данными об уязвимостях, тем самым, выявляя потенциал угрозы, представляемой событием, и проставляя приоритет событий и угроз.

ArcSight DB

Все события, поступающие от коннекторов SmartConnectors в компонент ArcSight Manager, записываются в базу данных с использованием нормализованной схемы события для дальнейшего анализа и обработки, а также отчетности.

База данных ArcSight DB основана на СУБД Oracle 11g (11.2.0.2). В состав компонента ArcSight DB входит набор программного обеспечения (скриптов), позволяющего эффективно управлять данными, архивировать события и получать статус обработки данных и работы СУБД Oracle для самодиагностики системы.

ArcSight Console

Компонент ArcSight Console представляет собой отдельное приложение, устанавливаемое на АРМ Администратора или оператора системы, и предназначенное для выполнения всех операций по взаимодействию пользователя с системой – от мониторинга событий до построения сложных правил корреляции и администрирования всех компонентов системы. В зависимости от имеющихся привилегий пользователя, при запуске консоли ему доступны те или иные возможности по взаимодействию с системой.

ArcSight Web

Компонент ArcSight Web является независимым и имеющим возможность отдельной установки на web-сервер, предоставляющим собой защищенный графический интерфейс для взаимодействия с системой посредством web-браузера.

ArcSight Web предназначен для использования в качестве основного интерфейса мониторинга для операторов системы и бизнес-пользователей системы. ArcSight Web позволяет производить мониторинг событий и работы компонентов, расследование и анализ инцидентов, а также просмотр отчетов.

ArcSight SmartConnectors

SmartConnectors (коннекторы) – это программные компоненты СУСИБ, обеспечивающие взаимодействие системы с источниками событий. Они получают информацию от источников событий в информационной системе, а затем производят нормализацию и категоризацию данных следующим образом:

  • нормализация значений, таких как критичность события, приоритет и временная зона;
  • нормализация структуры данных – приведение данных к единому формату.

После нормализации коннекторы производят фильтрацию и агрегацию событий с целью уменьшения объема передаваемых для дальнейшей обработки событий в ArcSightManager, тем самым, увеличивая производительность и эффективность системы мониторинга, а также уменьшая время обработки событий.

Основными функциями, выполняемыми компонентами SmartConnectors, являются:

  • сбор всех необходимых событий с источников событий;
  • фильтрация ненужных для анализа событий («информационного шума») для  минимизации объемов сетевого трафика и нагрузки на подсистему хранения событий;
  • обработка событий и приведение их к единой схеме события, используемой в ESM;
  • агрегация повторяющихся событий для минимизации количества событий, отправляемых в ArcSight Manager для обработки;
  • категоризация событий, используемая для облегчения восприятия событий оператором системы и упрощения построения фильтров, правил и отчетов при дальнейшей обработке событий;
  • кэширование событий, полученных от источника событий в период недоступности основного компонента ArcSight Manager, при этом потери событий не происходит: события сохраняются и пересылаются в ArcSight Manager после восстановления связи с ним;
  • пересылка событий в ArcSight Manager для дальнейшей обработки, используя защищенное соединение.