A Symantec Security Management System fő alkotórészei a Symantec Event Managerek (eseménykezelők), a Symantec Incident Manager (incidenskezelő) és a szabálymegfeleltetést szolgáló Symantec ESM.
A Symantec Event Managerek
A Symantec az olyan vállalati ügyfeleinek, akik csak egyetlen konkrét védelmi terület teljes áttekintését igénylik, bevezeti a Symantec Event Manager for Anti-Virus és a Symantec Event Manager for Firewall nevű termékeit. Ezek az eseménykezelők a Symantec és más gyártók védelmi megoldásai által szolgáltatott adatok összevonásából biztosítják a vírus- és tűzfalesemények teljes áttekintését. Rendezni lehet velük a más gyártók védelmi termékei által szolgáltatott adatokat, így a Network Associates víruselhárítási adatait vagy a Check Point tűzfalakét. A decemberben kezdődő pénzügyi negyedévben további eseménygyűjtők megjelenése várható.
A Symantec a hivatalosan 2003 első negyedévében bejelentésre kerülő partnerprogramja keretében más gyártókkal is együttműködik az eseménygyűjtők létrehozása érdekében. Ennek a programnak már most is részese a TippingPoint, az aktív hálózatvédelmi rendszerek fejlesztője és az Entercept, mely behatolást megakadályozó szoftvert fejleszt. A TippingPoint és az Entercept a termékeikhez tartozó eseménygyűjtőket a 2002 decemberében kezdődő pénzügyi negyedévre ígérik.
A Symantec Incident Manager
A nagy hálózattal rendelkező és azon nap mint nap nagy mennyiségben keletkező védelmi eseménnyel szembe kerülő vállalati vevőknek nagy szükségük van arra, hogy a hálózati rétegekben és védelmi eljárások által keletkező védekezési adatokat valós időben, összesítetten és összefüggéseikben tekinthessék át. A Symantec Incident Manager nyitott, valós idejű, a vállalatok védelmi eljárásainak teljes mértékű kihasználását, a védelem megsértésének észlelését és a rá adott gyors választ elősegítő incidenskezelést biztosít.
A Symantec Incident Manager észleli, összevonja és egymással összefüggésbe hozza a több gyártótól származó különféle egyedi termékek és védelmi eljárások által jelzett védelmi eseményeket. A Symantec Incident Manager az incidensek felismerése érdekében elemzi és összevonja az eseményeket, majd azok megoldását nyomon követi a lezárásig. Az incidensek elsőbbségi rendje az üzletmenetre gyakorolt befolyásuk mértéke szerint állítható be. Ez az elsőbbségi rend az egyes incidensek lefolyása által dinamikusan változik.
Az észlelést követően a Symantec Incident Manager az incidens jellemzőinek megfelelő szakértői útmutatással szolgál. Az útmutatás az SANS-CERT elismert incidens megválaszolási keretrendszerén alapul. Az útmutatás a felhasználói szabályrendszer irányításával vállvetve segíti a védelemmel foglalkozó személyzetet az incidens gyors és hatékony megoldásában. A rendszer által nyújtott útmutatás a tágabb értelemben vett informatikai személyzetnek kiadandó, az egyes incidensek megoldását célzó egyértelmű és hiánytalan utasítások kiadásában is segíti a védelmi személyzetet.
A Symantec Incident Manager hatékony kockázatelemző egységet is tartalmaz, amely a rendszer értékeinek viszonylagos titkossága, sértetlensége és hozzáférhetősége alapján meghatározza az egyes incidensek kihatását. A kockázatelemző figyelembe veszi az incidens megoldása érdekében tett lépéseket és dinamikusan rangsorolja minden egyes incidensnek az összes többi, folyamatban levő incidenshez viszonyított elsőbbségét. Ezáltal a személyzet a legkritikusabb incidens mielőbbi megoldására összpontosíthat.
A Symantec Incident Manager figyelmeztetéseket és értesítéseket küld az incidens fennállása alatt. A védelmi személyzetet az incidens felbukkanásakor értesíti és folyamatosan figyeli minden incidens elhárításának folyamatát. Előre figyelmeztet a számos szervezetnél használatos Security-Level Agreement (SLA - biztonsági szint szerződés) határidőire, amelyek előírják, hogy valamennyi fázisra meghatározott időn belül reagálni kell.
A Symantec Incident Manager emellett az incidens felismerése és megoldása érdekében tett összes tevékenységet naplózza, és nemcsak a veszélyek jellegét és súlyosságát, hanem a szervezet reagálásnak hatékonyságát is megmutató jelentést is készít. Ezzel felbecsülhetetlen segítséget nyújt az ellenőrzéshez és a válaszeljárások jobbításához.
A Symantec Incident Manager hátterét a Symantec Security Response adja, amely leírja az ismert sérülékenységeket és felvilágosítással szolgál a felfedezett és megoldásra váró incidensek esetén. Ennek az értékes szellemi tulajdonnak része egy, az új támadásjellemzőket, sérülékenységeket, védelmi és megoldási útmutatókat tartalmazó, a védelmi információk legnagyobb és legalaposabb gyűjteményéből rendszeresen frissített, átfogó adatbázis is.
A Symantec külső közvetítőket is készít ahhoz, hogy a Symantec Security Management Systemből könnyen juthasson el az információ más hálózati és rendszerfelügyeleti termékekhez. Az IBM Tivoli Risk Managerhez készülő, a Tivoli Enterprise Console-t tartalmazó közvetítő a decemberben kezdődő pénzügyi negyedévben lesz hozzáférhető.
A Symantec ESM
A szélesebb körű védelemfelügyeletet igénylő vállalati ügyfelek számára az ágazat egyik élenjáró szabályvégrehajtó és sérülékenységkezelő megoldása, a Symantec ESM a felismert, a szabályok be nem tartásából eredő incidensek megoldásának nyomon követésére integrálható a Symantec Incident Managerrel. A Symantec ESM, mint önálló védelmi alkalmazás lehetővé teszi, hogy a vállalatok igényüknek megfelelő védelmi szabályokat hozzanak létre, és egyetlen helyről tarthassák kézben a vállalat létfontosságú üzleti alkalmazásainál és szervereinél a szabályok betartását. A Symantec Incident Manager és a Symantec ESM közösen átfogó, összhangban működő megoldást biztosít a vállalat egészében a védelem kezelésére.