[摘要]Cisco Security Monitoring, Analysis, and Response System是基于设备的全方位解决方案，可使您获得对现有安全部署的无与伦比的洞察力和控制力...

[关键字]Cisco 路由器

安全和网路管理员面临着大量的挑战，包括：

过量的安全和网路信息

低劣的攻击和故障识别、优先权分配和回响能力

攻击手段越来越高明、速度越来越快、补救成本越来越高

满足制度和审计要求

从事安全工作的人手和预算受到限制

Cisco Security Monitoring, Analysis, and Response System通过以下方式迎接这些挑战：

集成网路智慧型，以便通过先进的方法将网路异常与安全事件相关联

显示得到确认的事故并进行自动调查

充分利用您的现有网路和安全基础设施，从而抵御攻击

监视系统、网路和安全系统，以帮助遵从策略要求

以最低的TCO提供易于部署和使用的可扩展的产品

Cisco Security Monitoring, Analysis, and Response System可将原始的网路和安全数据转变成情报，以便终止实际的安全事故并保证遵从安全策略要求。这个易用的威胁抵御产品系列允许操作人员使用基础设施中现有的网路和安全设备来集中、检测、抵御并按严重性来报告威胁。

信息安全实践已从最初的网际网路外围保护髮展到了深层防御模式，在此，多种对策分层部署在整个基础设施中，以应对安全漏洞和攻击。这种发展是非常必要的，因为攻击的频率越来越高、手段越来越高明、速度越来越快 — 模糊了网路内部防御与外围防御之间的界限。

为了发现安全漏洞，攻击者每天数千次探查网路接入点和系统。先进的混合型攻击使用多种欺骗性的方法从组织内外部非法访问并控制系统。即便是最牢固的基础设施也难以应付蠕虫、零时差攻击、病毒、特洛伊木马、间谍软体以及攻击工具的激增，导致回响时间的缩短和故障停机，同时也增加了补救成本。

除了少量的伺服器和网路设备外，每个安全组件都提供单独的事件日誌和告警特性，用于检测异常情况，回响并分析威胁。遗憾的是，这种机制生成大量的噪音、告警、日誌档案和误报现象，操作人员必须进行辨别或有效使用 — 假设时间和资源允许分析并了解此类信息。此外，为了遵守法律法规，公司必须严格保证数据的私密性、提高运行安全性并维护审计流程。

先进的安全信息管理

从逻辑上看，安全信息和事件管理产品似乎能够抵御这些问题 — 帮助您评估威胁以便管理它们。这些产品使操作人员能够将安全事件和日誌汇聚在一起，通过有限的关联和查询技术分析这些数据、并针对被隔离的事件生成告警和报告。

遗憾的是，许多第一代和第二代安全信息和事件管理产品都无法提供充分的网路智慧型和性能属性来更準确地识别并验证相关事件、更好地发现攻击路径、乾净利落地清除威胁、或者维持较高的事件负载水平。思科系统公司reg; 提供了可扩展的企业威胁抵御产品来解决这些安全问题和管理不足。Cisco Security Monitoring, Analysis, and Response System提供易于部署和使用的经济高效的安全命令和控制解决方案，补充了您的网路和安全基础设施投资。Cisco Security Monitoring, Analysis, and Response System是高性能、可扩展的威胁抵御产品系列，将网路智慧型、ContextCorrelation™ 特性、SureVector™分析功能以及 AutoMitigate™ 功能结合在一起，进一步巩固了企业现有的网路产品和安全防範措施，使公司能够随时识别、管理并消除网路攻击，同时保证遵从制度要求。

CS-MARS还与思科外围安全管理套件Cisco Security Manager (CSM)紧密集成。这种集成可将与流量相关的系统日誌讯息映射到CSM中定义的防火墙策略中，以触发事件。策略查找功能支持快速的端到端分析，以便排除与防火墙配置相关的网路故障和策略配置错误，并对定义好的策略进行进一步的调整。

特性和优势

网路智慧型事件汇聚与性能处理

Cisco Security Monitoring, Analysis, and Response System提供了网路智慧型，能够获知路由器、交换机和防火墙的拓扑和产品配置并整理网路流量。系统的集成网路发现功能可构建拓扑图，包括产品配置和现有安全策略等，进而能够模拟穿过网路的分组流。鑒于产品不线上内运行且极少使用现有的软体代理，因此，只对网路或系统性能产生极低的影响。

产品可将大量的常用网路产品(如交换机和路由器)、安全设备和套用(如防火墙、入侵检测系统[IDS]、安全漏洞扫瞄器和防病毒套用)、主机(如Windows、Solaris 和Linux系统日誌)、套用(如资料库、Web伺服器和验证伺服器)及网路流量产品(如Cisco NetFlow)提供的日誌和事件集中在一起。

Cisco ContextCorrelation

当收到事件和数据时，产品可根据拓扑、已发现的设备配置、相同的源和目的地套用(跨越NAT边界)以及相似的攻击类型对信息进行标準化，并将类似的事件实时分成多组会话。随后对多个会话套用系统或用户定义的关联规则以识别事故。Cisco Security Monitoring, Analysis, and Response System产品在供货时附带预定义规则的全面补遗，由思科系统公司定期更新，用于识别大多数混合攻击、零时差攻击和蠕虫。基于图形的规则定义框架可简化为任何套用创建用户定义的定製规则的流程。ContextCorrelation特性大幅度减少了原始的事件数据，促进了按优先权回响攻击，并最大限度地提高了已部署的应对措施的功效。

分散式威胁抵御

CS-MARS的分散式威胁抵御(DTM)特性与思科IPS产品结合在一起，可识别检测到的最活跃的网路攻击，随后生成并向网路上的所有Cisco IOS IPS 产品公布最新的签名定义档案(SDF)。这个特性可确保将网路上资源有限的IOS IPS产品集中用于针对资源更为宽鬆的IPS产品的签名。

高性能的汇聚与合併

Cisco Security Monitoring, Analysis, and Response System可捕获数千个原始事件，以前所未有的数据缩减率对这些事件进行有效分类，并压缩此类信息以便归档。管理如此大量的安全事件需要安全稳定的集中日誌记录平台。Cisco Security Monitoring, Analysis, and Response System产品经过安全加固，专门用于接收高事件流量 — 每秒超过10,000个事件或每秒超过300,000个 Cisco NetFlow事件。产品通过线内处理逻辑以及嵌入式Oracle系统来实现这种高性能的关联性。所有的资料库功能和调整对用户都是透明的。Cisco Security Monitoring, Analysis, and Response System允许在主机板上保存历史数据卷宗并将其持续压缩到NFS备用存储产品中，因此是可靠的安全日誌/事件汇聚解决方案。