В этой статье я подробно расскажу о развертывании среднего размера, охватывающем компоненты как для основного центра данных, так и для центра аварийного восстановления, работающих в активно-пассивной конфигурации.
Gartner определяет небольшое развертывание как развертывание с примерно 300 источниками журналов и 1500 EPS. Средним считается развертывание до 1000 источников журналов и 7000 EPS. Наконец, крупное развертывание обычно охватывает более 1000 источников журналов и около 15000 EPS. Конечно, могут быть и более крупные развертывания с более чем 15000 EPS, но с точки зрения архитектуры их можно рассматривать как очень "большие" развертывания.
Эталонная архитектура для развертывания среднего размера предназначена для сценария, когда компании требуется как решение для долгосрочного хранения журналов, так и управление событиями безопасности и возможности SOC.
На приведенной ниже схеме показано, как настраиваются различные компоненты архитектуры, на базе HP ArcSight.
- В этой настройке для сбора журналов используются программные SmartConnectors. На сервере может быть настроено до 8 программных коннекторов, и для каждого экземпляра коннектора на сервере должно быть выделено 1 ГБ памяти, помимо той, которая необходима серверу для работы.
- Если устройства не используются, обратите внимание на использование специализированных аппаратных серверов, ресурсы которых не разделяются, поскольку, как и другие решения для больших данных, эти системы жадны до ресурсов (CPU, память, скорость IOPS) и плохо работают в виртуальных средах.
- Источники отправляют журналы только на один SmartConnector. Избыточность на уровне SmartConnector возможна только для Syslog-коннекторов, и то, когда коннекторы размещены за балансировщиком нагрузки. Это также обеспечивает распределение нагрузки и масштабируемость и является лучшей практикой. Коннекторы DB и File не имеют таких возможностей, поскольку они получают журналы из источников.
- Когда коллектор DB или File не работает, журнал не теряется до тех пор, пока коллектор не восстановится, поскольку журналы продолжают записываться на локальные ресурсы источника.
- Для хранения и поиска журналов SmartConnectors в каждом центре данных отправляют свои журналы на соответствующее устройство Logger, расположенное в том же месте, что обеспечивает значительную экономию полосы пропускания. Каждое устройство регистрации создает резервную копию другого устройства, используя опцию отказоустойчивых пунктов назначения, настроенную на SmartConnectors. Благодаря пиринговой конфигурации между устройствами регистрации, журналы могут быть запрошены через любое из устройств регистрации без необходимости подключения на каждом устройстве.
- DC ESM является основным ESM для обоих центров данных. DRC ESM используется только в случае DR.
- Журналы и оповещения архивируются ежедневно как на ESM, так и на регистраторе.
- В случае DR отсутствует RPO. Конфигурации для ESM и Logger планируется синхронизировать вручную. Ожидается, что ESM и Logger будут работать мгновенно.
- Резервные копии конфигураций для SmartConnectors и Logger собираются с помощью Arcsight Management Center (Arc MC).
- Статистика и состояние SmartConnector также легко отслеживаются с помощью Arc MC. Обновление SmartConnector также рекомендуется выполнять через Arc MC с помощью графического интерфейса пользователя.
Опции конфигурации уровня SmartConnector (агрегация, отфильтровывание, пакетная обработка и т.д.) легче настраивать с помощью Arc MC. - Наконец, настоятельно рекомендуется использовать тестовую систему ESM для тестирования всех фильтров, правил, активных списков и других объектов конфигурации перед их применением в производственных системах, так как неправильная конфигурация в этих настройках может привести к сбою ESM и потере очень ценных данных.