Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

JSA 架构概述

在规划或创建 JSA 部署时,最好对 JSA 架构有很好的了解,以评估 JSA 组件如何在您的网络中运行,然后规划和创建 JSA 部署。

JSA 实时收集、处理、聚合和存储网络数据。 JSA 通过提供实时信息和监控、警报和攻击以及网络威胁响应来使用这些数据来管理网络安全。

JSA 是一种模块化架构,提供 IT 基础架构的实时可见性,可用于威胁检测和优先级划分。您可以扩展 JSA 以满足日志和流收集以及分析需求。您可以将集成模块添加到 JSA 平台,如 JSA Risk ManagerJSA 漏洞管理器

JSA 安全智能平台的操作由三层组成,适用于任何 JSA 部署结构,无论其规模和复杂程度如何。下图显示了构成 JSA 架构的层。

图 1:JSA 架构 JSA Architecture

无论部署中组件的大小或数量如何, JSA 架构的工作方式相同。图中表示的以下三个层表示任何 JSA 系统的核心功能。

数据采集

数据收集是第一层,其中从网络收集事件或流等数据。一体化设备可直接用于从网络收集数据,也可以使用 JSA 事件收集器JSA 流处理器 等收集器来收集事件或流数据。在将数据传递到处理层之前,对数据进行解析和规范化。解析原始数据时,会进行规范化,使其以结构化和可用格式呈现。

JSA 的核心功能侧重于事件数据收集和流收集。

事件数据表示在用户环境中的某个时间点发生的事件,例如用户登录、电子邮件、VPN 连接、防火墙拒绝、代理连接以及您可能想要登录设备日志的任何其他事件。

流数据是网络上两个主机之间的网络活动信息或会话信息, JSA 将其转换为流记录。 JSA 将原始数据转换为 IP 地址、端口、字节和数据包计数以及其他信息,从而有效地表示两个主机之间的会话。

数据处理

数据收集后,第二层或数据处理层是事件数据和流数据通过自定义规则引擎 (CRE) 运行的位置,该引擎会生成攻击和警报,然后将数据写入存储。

事件数据和流数据可由一体化设备处理,无需添加 事件处理器流处理器。如果一体化设备的处理能力超出,则可能需要添加 事件处理器流处理器 或任何其他处理设备,以处理附加要求。您可能还需要更大的存储容量,这可以通过添加 数据节点来处理。

JSA Risk ManagerJSA 漏洞管理器等其他功能可以收集不同类型的数据并提供更多功能。

JSA Risk Manager 会收集网络基础架构配置,并提供您的网络拓扑图。您可以通过更改配置并在网络中实施规则来模拟各种网络场景,从而使用数据来管理风险。

使用 JSA 漏洞管理器 扫描您的网络并处理漏洞数据,或管理从其他扫描仪(如 Nessus 和 Rapid7)收集的漏洞数据。收集的漏洞数据用于识别网络中的各种安全风险。

数据搜索

在第三层或顶层,用户可以使用 JSA 收集和处理的数据,用于搜索、分析、报告和警报或犯罪调查。用户可以在 JSA 控制台上的用户界面中搜索和管理其网络的安全管理任务。

在一体化系统中,所有数据均在一体式设备上收集、处理和存储。

在分布式环境中, JSA 控制台 不执行事件和流处理或存储。 JSA 控制台 主要用作用户界面,用户可以在其中使用它进行搜索、报告、警报和调查。