Micro Focus reingegnerizza l’architettura della piattaforma SIEM ArcSight ESM e introduce la correlazione distribuita, che garantisce protezione uniforme e omogenea tra ambienti ibridi
Acquisire informazioni legate agli eventi di sicurezza può risultare inutile se non si predispone, parallelamente, un’adeguata capacità di stabilire quali dati raccogliere e di effettuare un’analisi contestuale attraverso capacità di correlazione in tempo reale.
A queste esigenze risponde Micro Focus ArcSight, una piattaforma SIEM (Security Information and Event Management) di nuova generazione che permette di individuare possibili minacce prima che queste possano avere impatto sul business aziendale e che consente di predisporre contromisure adeguate in tempi rapidi migliorando la gestione del rischio.
Il fulcro tecnologico dell’offerta ArcSight è Enterprise Security Manager (ESM), una soluzione software che effettua la raccolta, l’analisi e la correlazione delle informazioni di sicurezza per identificare minacce ad alta priorità all’interno dell’intero ambiente aziendale, correlando minacce esterne, violazioni provenienti dall’interno, rischi legati ai flussi applicativi, modifiche della configurazione e problemi di compliance.
ESM 7.0 per una protezione coerente tra cloud e ambienti on-premises
L’affermarsi di modelli cloud di tipo ibrido ha complicato ulteriormente la possibilità di disporre di una vista unificata e omogenea della sicurezza. Con il rilascio dell’ultima versione, siglata 7.0, ESM ha compiuto un significativo balzo in avanti, risultato di un processo di sviluppo degli ultimi due anni, superando questo problema.
“L’integrabilità con il cloud è un punto strategico per Micro Focus – spiega Pierpaolo Alì, Director Southern Europe di Micro Focus Security -. Con la versione 7.0 di ArcSight ESM è stato introdotto un nuovo livello di “data ingestion”, che permette la correlazione distribuita degli eventi di sicurezza. Grazie alla revisione architetturale che abbiamo effettuato sulla soluzione, quello che prima offrivamo on-premises lo rendiamo disponibile in modo uniforme e coerente anche per i flussi di lavoro che si estendono al cloud”.
Grazie a queste caratteristiche, ArcSight ESM 7.0 permette di:
monitorare i sistemi aziendali e le infrastrutture in tempo reale alla ricerca di potenziali minacce alla sicurezza;
identificare migliaia di minacce alla sicurezza con precisione, consentendo di attenuare gli attacchi prima che abbiano un impatto sui sistemi critici;
comprendere informazioni contestuali avanzate e dettagliate degli eventi così da poter prendere decisioni in modo più rapido e consapevole;
semplificare i processi e i flussi di lavoro all’interno del SOC e ridurre i tempi di contenimento delle minacce alla sicurezza.
Le novità della release 7.0 interessano anche l’interfaccia utente, resa più semplice e arricchita con nuove funzionalità grafiche.
Inoltre, sono stati migliorati i flussi di lavoro, introdotte nuove funzionalità indirizzate alle esigenze di audit e abilitata l’integrazione con i servizi di ServiceNow.
L’unione fa la sicurezza
ESM 7.0 è integrabile con le altre soluzioni della famiglia ArcSight, tra cui ADP (ArcSight Data Platform) Event Broker e Investigate, per creare un ambiente di sicurezza aperto unificato e ad alte prestazioni.
ADP consente ai team che operano all’interno dei SOC di raccogliere dati praticamente da ogni tipo di fonte esistente: log, sensori, flussi di rete, apparati di sicurezza, Web server, applicazioni custom, social media, servizi cloud e altre.
L’integrazione con ArcSight Investigate aggiunge capacità di “hunt and investigation” basate sulla piattaforma di analytics Vertica, portata in dote da HPE Security a seguito dello spin-merge che ha interessato le due aziende nel 2017.
L’integrazione nativa con un altro tassello della sicurezza Micro Focus, la soluzione NetIQ Change Guardian, permette di chiudere il cerchio ottimizzando il livello di monitoraggio e protezione preventiva degli endpoint.