Sourcefire 3D System：DISCOVER、DETERMINE與DEFEND

Sourcefire 3D系統透過威脅、端點、網路以及使用者關聯資訊...等方式，是目前ETM市場中首款完整度最高的資訊安全解決方案。Sourcefire 3D系統能夠做到：

• Discover：搭配Sourcefire IPS、Sourcefire RNA(Real-Time Network Awareness)與Sourcefire RUA(Real-Time User Awareness)，能夠清楚了解企業內部網路上的任何風險、系統弱點、威脅與使用者資訊。Sourcefire 3D使用SNORT政策基礎偵測引擎，最高可達每秒4Gigabits掃描，幫助企業執行系統弱點、通訊協定流量分析與網路異常檢測。此外，RNA被動式監控企業網路，並提供企業詳細、即時的網路結構、行為、弱點分析及相關的影響分析資訊。
• Determine：主動發現違反政策與系統弱點，可能造成企業經營的風險或損失。整合與串聯IPS以獲得相關威脅資訊，透過RNA獲取端點與網路資訊，使用RUA以掌控使用者資訊，最後搭配Sourcefire DC(Defense Center)篩選百萬筆以上的關鍵安全事件，並採取相關應對措施。
• Defend：保護企業內部資產，即時的阻擋或以警告方式，降低威脅風險。警告支援email、SNMP、Syslog與TTS(Trouble Ticket System)寄送，或是在防火牆、IPS、Switch與Router端進行阻擋，透過更新與設備管理，將所有的威脅影響到最低。

Sorecefire 3D System組成核心

ETM的架構由Sourcefire 3D系統的四款核心產品所組成：Sourcefire IPS、Sourcefire RNA、Sourcefire RUA與Sourcefire DC所組成。Sourcefire提供這些產品，可當作完整的資訊安全整合系統，或以單一套件搭配現有產品的方式，以滿足不同的資訊安全預算與需求。

Sourcefire IPS -- 降低惱人的誤判事件警報

有效的預防來自絕佳的監測與實力背景，透過市場佔有率最高以及最受歡迎的Snort，與Sourcefire IPS，一起來享受高效能的攻擊監測與預防，簡單的使用Sourcefire政策基礎偵測引擎來管理與制定企業的安全政策。

Snort使用政策基礎語言 - 這是一種強大的整合系統弱點、通訊協定與異常分析為基礎的監測方法，檢查IP協定與應用層級的所有封包，輕鬆地發現特定攻擊事件，所使用的通訊協定或條件。使用Snort靈活地制定政策語言，可以警告、封鎖或隔離嚴重的威脅與無用的網路流量、設備間不完整的Session，或結合企業內部的防火牆、IPS、Switch與Router...等設備。當佈署in-line模式，Sourcefire 3D System允許您以合法的內容替換惡意的內容，並可搭配靈活的政策制定與不同的選擇(埠號範圍、網路介面類型、部署模式)，讓企業簡單地制定新的威協分析、預防，針對所屬的網路環境，施行自訂的安全政策。

Sourcefire IPS支援5Mbps至4Gbps，並針對不同的需求，採取多樣化的設計，無論是部署Sourcefire IPS於企業網路架構核心、網路週邊、DMZ區、分公司或遠端...等，Sourcefire IPS都能因應各種方式，提供最好的部署選擇。而大部份的Sourcefire設備也提供Hot-Swap與高可用性，包含Power Supplies、Interface Cards、Disk Drives、CPU...等的選擇替換，以及<100microsecond的延遲優勢。

Sourcefire RNA -- 全年無休的資訊收集器

Sourcefire RNA(Real-time Network Awareness)利用被動式網路監測，提供企業即時網路行為分析(類似軍艦的被動式聲納)。基於被動式網路監測，不需要另外安裝Agent，更能減少無用網路流量與正確的企業內部資產的行為監測。

• 即時資訊提供企業掌握、分析內部網路的流量資訊及網路組成，並提供異常行為及趨勢分析。
• 提供完整的網路資訊，例如作業系統與版本、服務、網路埠號、MAC與IP位址。
• 內部資產的行為概況，包括現行中的流量以及類型資訊。
• 現行網路狀態，追蹤訊息及路由(Hop Count)、TTL參數與安全性弱點。
• 新增、變更、異常行為的資產事件記錄。

             以上這些資訊，再加上Sourcefire RNA弱點分析資料庫，可以讓企業清楚瞭解，內部網路有那些可能的弱點，並依據企業政策即時地自動回應，依照這些資訊，在面臨威脅攻擊前、後，來調整您的Sourcefire IPS，提高資訊安全的效率，並減少多餘的誤判警報。

Sourcefire RUA -- 連結使用者安全與政策事件

Sourcefire 3D System為企業的端點與網路現狀，提供被動式網路監測、目標攻擊掃描與網路流量分析。透過Sourcrfire RUA，您可以掌握企業內部即時的使用者身份資訊，Sourcefire IPS自動提供的威脅事件，與Sourcefire RNA提供的政策事件記錄，與Sourcefire RUA的使用者資訊產生關聯。Sourcefire RUA能幫助您偵測異常的使用這與偽裝使用者的異常行為，即時的反應；這不僅能提高辨識的可信度，也增進了安全政策的落實，更加提昇企業資訊安全的有效性。

Sourcefire DC -- 完整的威脅資訊解析

Sourcefire DC (Defense Center)為Sourcefire 3D System的神經中樞。整合所有的威脅攻擊、端點、網路及使用者資訊，集中管理網路安全模組，包括事件監控、關聯資訊、緊急事件的優先反應順序、訊息分析、趨勢分析與管理報告，讓您可以充份掌握ETM系統。

對規模越大的企業體來說，更需要Sourcefire DC來協助企業長期處理，數以億計的資訊安全事件分析，同時也需要更徹底的、個別網路封包等級的訊息分析。

事件關聯性

結合Sourcefire IPS提供的威脅資訊，Sourcefire RNA收集的端點、網路現況資訊、Sourcefire DC即時完成資訊整合與分析回應。

• 違反內部政策與系統弱點解析。
• 內部網路事件記錄所延伸的影響。
• 採取因應的行動。

自動回應，並實行政策

Sourcefire Defense Center的政策與回應引擎，提供強大的功能，制定企業自動施行政策。Defense Center協助企業，使用即時事件分析與相應的ABC(Alert、Block、Correct)自動防禦政策，保護企業內部網路。

網路存取控制 -- Network Access Control (NAC)

Sourcefire DC提供NAC 24x7時的網路監控與政策施行，我們稱此為NUC(Network Usage Control)。與NUC您可以針對威脅、網路與系統弱點、施行、管理、提高或修改您的安全政策基礎，NUC可以讓您採取多樣化的反應，來面對多變化的網路威脅。