Программно-аппаратный комплекс Cisco MARS предназначен для управления угрозами безопасности. В качестве источников информации о них могут выступать: сетевое оборудование (маршрутизаторы и коммутаторы), средства защиты (межсетевые экраны, антивирусы, системы обнаружения атак и сканеры безопасности), журналы регистрации ОС (Solaris, Windows NT, 2000, 2003, Linux) и приложений (СУБД, web и т. д.), а также сетевой трафик (например, Cisco Netflow). Cisco MARS поддерживает решения различных производителей - Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft и т. д.
Механизм ContextCorrelationTM позволяет проанализировать и сопоставить события от разнородных средств защиты. Визуализация их на карте сети в реальном времени достигается с помощью механизма SureVectorTM. Данные механизмы позволяют отобразить путь распространения атаки в режиме реального времени. Автоматическое блокирование обнаруженных атак достигается с помощью механизма AutoMitigateTM, который позволяет реконфигурировать различные средства защиты и сетевое оборудование.
Основные возможности:
- Обработка до 10 000 событий в секунду или свыше 300 000 событий Netflow в секунду
- Возможность создания собственных правил корреляции
- Уведомление об обнаруженных проблемах по e-mail, SNMP, через syslog и на пейджер
- Визуализация атаки на канальном и сетевом уровнях
- Поддержка Syslog, SNMP, RDEP, SDEE, NetFlow, системных и пользовательских журналов регистрации в качестве источников информации
- Возможность подключения собственных средств защиты для анализа
- Эффективное отсечение ложных срабатываний и шума, а также обнаружение атак, пропущенных отдельными средствами защиты
- Обнаружение аномалий с помощью протокола NetFlow
- Создание и автоматическое обновление карты сети, включая импорт из CiscoWorks и других систем сетевого управления
- Поддержка IOS 802.1x, NAC (фаза 2)
- Мониторинг механизмов защиты коммутаторов (Dynamic ARP Inspection, IP Source Guard и т. д.)
- Интеграция с Cisco Security Manager (CSM Policy Lookup)
- Интеграция с системами управления инцидентами с помощью XML Incident Notification
- Слежение за состоянием контролируемых устройств Интеграция с Cisco Incident Control System (ICS) Аутентификация на RAD I US-сервере Мониторинг работоспособности компонентов Cisco MARS Syslog forwarding
- Динамическое распознавание новых сигнатур атак на Cisco IPS и загрузка их в Cisco MARS
Внимание! Программно-аппаратный комплекс Cisco MARS снят с производства в июне 2011 года.
