原文網址http://www.sti.com.tw/eportal/html/index9505all.htm

SIM平台簡介-Cisco MARs(Monitoring, Analysis, and Response System)

MARs的全名為Mitigation And Response System而現在被Cisco改為Monitoring, Analysis, and Response System。Cisco的MARs是收購原有Protego Networks的產品，MARs能夠收集各種網?裝置（防火牆、IDS、路由器、交換器等）所產生的日誌檔，然後利用獨特的 Sessionization及Session Based Active Correlation（主動式對話關聯分析）技術進行資料交叉比對，驗證是否有可疑活動或攻擊，並且降低誤判與處理不必要的資料。

MARs 本身是一個硬体裝置(appliance)，由於產品是硬體裝置，安裝和建置都非常簡易，整個導入時間約3~4個星期，不像軟體系統需要經過複雜的安裝與設定。系統的準確率與提供資料的裝置有關，如果一開始所提供的資料是錯誤的，那之後的分析結果當然也會是錯的，所以在剛開始建置時，需要重新設定安全裝置，以提供正確的資訊。

MARs的特點如下：

內建網路智慧學習機制：
MARs本身有一個學習機制可以去了解網路拓樸、設備設定、流量等資訊。MARs不但支援這些網路設備同時也支援windows、Unix及Linux等主機，可以將這些主機的log放入MARs來進行分析；MARs也支援弱點掃描的工具可以對這些設備進行交叉分析；MARs同時也支援應用程式如 database、web server等。

高效能的分析平台：
由於MARs本身為硬体式的架構，因此在效能方面相當的優易，每秒超過10,000的事件或是每秒超過300,000的Cisco NetFlow事件。

視覺化事件：
MARs會收集來自網路及資安設備的事件並且利用聚合的方式將記錄變成一個事件。然後，利用視覺化的方式來展示事件，讓我們可以很快的了解這事件的起源及原因，這樣可以有助我們可以去處理這樣的事情，甚至可以畫出整個攻擊路徑(如圖)。

自動化事件調查及完整報表：
MARs本身支援分析模組外，同時內含工作流程可以做事件分配、處理等。提供一些符合資安標準的報表如Sarbanes-Oxley,GLBA, the Health Insurance Portability and Accountability Act (HIPAA), and the Federal Information Security Management Act (FISMA) in the United States, and the EU's Revised BaselCapital Framework (Basel II)。

支援Cisco NAC(Network Admission Control)：
可以協助我們去分析802.1X事件包含交換器、認證系統及ACS等，讓我們全面了解NAC的狀態，不會讓使用者端產生問題。

減少佈置成本及時間：
由於本身是硬体因此在佈置上可以減少成本及建置的時間，MARs在計價上不像其它的SIM的設備方式，大多數SIM的計價是採前端收集數目來定，例如我們要收集的5個防火牆及2個入侵偵測，這樣的話我們就必需買7個license的錢；但Mars是用設備的型號來決定，因此並沒有前端設備的license 的限制，所以，相對成本的建置費用較省。

最後，SIM的平台所著重的能力是在於正規劃、交叉分析、聚合、視覺化等四大項。正規劃的能力是在於如何將前端送出的資料能夠快速拆解並寫入自已的資料庫內相對應的欄位，讓資料分析的速度能夠加快；交叉分析表達的是如何在大量的事件中找出一些相關連的資訊或是潛在關聯的問題，讓管理者能夠很快的了解並處理，例如我們可以利用IDP來找出攻擊的來源，但是過多的攻擊事件會讓我們忽略我們必需要優先處理的事項，因此，我們可以藉由弱點掃描來掃描一些重要主機並將這些資訊與IDP的攻擊事件進行交叉分析。如此，我們就可以知道那一些主機是必需優先處理，如此就可以達到事件優先處理的功效；聚合能力表現的是在大量的事件中能夠將重覆的事件消除掉，藉此來將相同的事件的前後因果表達出來。