Infraskope Server 2008 R2 Tanıtım
Transkript
Infraskope Server 2008 R2 Tanıtım
Infraskope Server Murat Eraydın Karmasis Manşet Haberler Log Yönetiminin Önemi 5651 Sayılı Yasa ve Yönetmelikler Senaryo #1 Kullanıcı DHCP ile aldığ IP adresini izinde olan müdürünün IP adresi ile değiştirdi Kullanıcı www.gazete.com.tr adresini ziyaret etti Başbakan hakkında bir habere “uygun olmayan” bir yorum yazdı Kullanıcı IP adresini DHCP’ye geri ayarladı 10.0.1.241 10.0.1.30 10.0.1.30 10.0.1.241 Başbakanlık dava açtı Gazete.com.tr gelen ip adresini “siz” olarak bildirdi Savcılık sizden ilgili işlemi kimin yaptığını bildirmenizi istedi Senaryo #2 Domain admin geçici bir kullanıcı oluşturdu Yeni kullanıcı ile oturum açtı Genel Müdür veya diğer üst düzey yöneticilerin makinasına erişti (C$) İstediği bilgiyi aldı/değiştirdi/sildi Oturum kapattı ve tekrar domain admin ile oturum açtı Logları temizledi Senaryo #3 Bir kullanıcı hakkında soruşturma yapılıyor Kullanıcının geçtiğimiz ay içinde aşağıdaki işlemlerinin raporlanması istendi (savcı) Hangi bilgisayarlardan oturum açtığı USB diskine kopyaladığı dosyalar Yazdırdığı dokümanlar Attığı Epostalar Girdiği web siteleri Bir bakışta Infraskope Gerçek zamanlı alarmlar ve saklama Windows Event Log SysLog, W3C Logs, Uygulama logları... Kullanıcı tanımlı kurallar Görsel alarmlar, SMS gönderme, e-posta, … Parametrik alanların sorgulanabilmesi Kurumsal Envanter Kurumsal Yönetim Merkezde tek konsol Uzaktan yükleme/silme Kullanıcı / Yönetici tarafından durdurulamama Birçok uzak yönetim fonksiyonu Yazılım ve Donanım Lisans Uyumluluğu Yasak uygulamaların tesbiti Demirbaş takibi* Genişleyebilir ve Açık Mimari Mevcut uygulamalarınıza bilgi aktarma Standart ara birimler (Database, WebServices, ...) Sensorler sayesinde diğer log kaynaklarının toplanması (SysLog, CEF, DHCP, MSN, vs) Log Kaynakları İşletim Sistemleri Uygulama Logları Windows 2000/XP/Vista IAS (VPN), DHCP SysLog ISA Server / WebSense / Juniper etc Exchange 2003 Proventia** SQL Server Windows Server 2000/2003/2008 IIS 6/7 (W3C) SNMP CISCO PIX / CheckPoint Exchange 2007 SNORT (via SysLog) Oracle UNIX / LINUX Türevleri* Apache (via SysLog) Labris / i-Bekçi Exchange 2010 (Custom) BlueCoat / Squid SendMail / Qmail ve benzer *NIX tabanlı sistemler NAS Cihazları (NETAPP) Network Cihazları Firewall / Proxy Generic Web Sniffer* * Ajanlı ve ajansız E-Mail IDS / IPS Database Kullanıcılardan Log Toplamanın Önemi İzlenmek istemeyen kullanıcılar IP adresi değiştirmek IM uygulamalarında şifreli trafik kullanmak Remote Control uygulamaları Password attack Kullanıcı insan kaynakları (veya genel müdürün) bilgisayarının şifresini kırmaya çalışıyor Network trafiğini izleyen uygulamalar Log-Me-In, Hamachi, TeamViewer, Radmin, … Ethereal, WireShark, … USB / DVDROM gibi cihazlarla gelen uygulamalar Yazıcı ile alınan belgeler Kullanıcının İzlenmesi Infraskope Agent Kural tabanlı merkezi log toplama Sadece Windows tarafından loglananları değil! USB cihazların ve USB’ye kopyalanan dosyaların takibi Yazıcı çıktı takibi* PrintScreen ve diğer uygulamalarla alınan görüntülerin takibi Kablosuz ağlara yapılan bağlantılar 3G modem bağlantılarının takibi Sniffer uygulamalarının takibi Uygulama yasaklama / raporlama Kafe, havaalanı v.s. Dosya adına göre MD5 hash’e göre Sistem yöneticisi hesabı ile bile durdurulamama * Infraskope Print Audit ile Infraskope Server Fiziksel veya sanal makine desteği Kalıcı ve EPS bağımsız lisanslama Şube sunucuları için ücretsiz «Staging Server» 2 soket (8 core) / 8 GB sunucu ile 15000+ EPS veri işleme Scale-Up / Scale-Out kurulum senaryoları Cluster SQL Server desteği Infraskope Server Alarm Yönetimi Haber verme hizmetleri (Notification) E-posta gönderme Güvenlik yöneticisine/grubuna Kullanıcının kendisine Kullanıcının müdürüne Pop-up (görsel) mesaj SMS gönderme Komut çalıştırma (Command Execution) Tüm olaylarda dinamik (oluşan olay hakkında) parametre yollayabilme «Kullanıcı yaratıldı» «admin tarafından stajyer kullanıcısı oluşturuldu» Korelasyon Modülü (2011 Q4) Farklı olayların ilişkilendirilmesi Sekans tespiti Event X Event Y in 5 min Event Z missing(Event W) Eksik olayların tespiti Her t sürede olması gereken bir olayın gerçekleşmemesi Infraskope – Dashboard Uygulama Yönetimi Websense’in desktop karşılığı 2 dakika içinde etkinleştirme Merkezi olarak belirlenen uygulamaların raporlanması ve durdurulması MSN, GoogleTalk, YahooMessenger, vs Remote Control programları Encryption yazılımları Tunneling yazılımları Device Control Bir veya daha fazla bilgisayar için depolama aygıtlarının kontrol edilmesi Kurum dışına çıkartılan bilgisayarların kapatılması desteği Yazılım ve Donanım Envanteri Kurumsal yazılım/donanım envanteri WMI tarafından raporlanmayan bilgilerin kaydı İşletim sistemi ve Office uygulamalarının kurulum anahtarı Kullanıcı bilgisayarlarındaki grupların üyelerinin kontrolü WebCam / Scanner tespiti 3G modem tespiti Hiyerarşik Alarm Yönetimi Active Directory ile entegre site yapılandırma Oluşan olayların üst siteye de gönderilmesi olanağı İstenmeyen zaman dilimlerinde hattı meşgul etmeme özelliği Referanslarımızdan bazıları Milli Eğitim Bakanlığı 3000 kullanıcı Hedef: 17000 kullanıcı Emniyet İstihbarat 4500 kullanıcı KİK, Kültür Bakanlığı, TOFAŞ, OPET, ASELSAN, Deniz Kuvvetleri, Gölcük Donanma, Sheraton, GAMA Holding, Nurol Holding, EUAŞ, … 70+ Kurumsal müşteri Teşekkürler! murat.eraydin @ karmasis.com Teknik İnceleme •Infraskope Server •Infrskope WebService •Infraskope Agents •Infraskope Sensors •Infraskope Reports Genel Yapı Agent 800KB MSI paketi (Group Policy veya diğer yöntemlerle dağıtım) Düşük bellek kullanımı 2000,XP,Vista) ortalama 700 KB 2003 / 2008 Server 15-30 MB Ağ problemi veya FrontEnd ile bağlantıya geçememe durumunda oluşan olaylar yerel olarak biriktirilir ve bağlantı gerçekleştiğinde yollar Merkezi kurallara göre envanter yollama Kritik sistem bileşenlerindeki değişikliklerin raporlanması (CPU, RAM, Disk, DVD, vs) Merkezi olarak belirlenen kurallara göre Windows eventlog’a yazılan olayları gerçek zamanlı olarak yakalamak USB kullanımını tesbit etmek Network kartında meydana gelen değişiklikleri tesbit etmek (IP, MAC adresi, gateway, DNS) Bilgisayar adı değişikliklerini takip etmek Sniffer kullanımını tesbit etmek Karaliste uygulamalarını tesbit etmek ve/veya durdurmak/çalıştırmak Event Repository Microsoft SQL Server 2005 / 2008 HA fonksiyonları (mirroring, clustering, vs) Şifreli saklama seçenekleri Hot Database (AuditDB) Genellikle 1-2 haftalık (değiştirilebilir) olayları içinde barındırır Belirlenen süreden sonraki olaylar AuditReportDB’ye otomatik olarak aktarılır Report Database (AuditReportDB) AuditDB’nin kopyası Geriye dönük sorgulamadan TempDB olarak kullanılabilmektedir. Raporlama performansı açısından ayrı bir filegroup yapılabilir Longterm Archive to File system Günlük log kayıtları import edilebilecek şekilde tanımlanan dizin altında sıkıştırılarak ve imzalanarak saklanır. Infraskope Frontend Infraskope bileşenleri (Agent, Server, Console) tarafından kullanılan orta katman .NET Framework 2.0 ile geliştirildi SOAP / XML WebService arayüzü sayesinde diğer uygulamalardan erişim olanağı NLB ile yatay büyüme olanağı Basit Firewall yapılandırması (TCP 80/443) Kesintisiz çalışma için MSMQ kullanımı Gelen olaylar MSMQ’ya gönderilir, böylece olay kaybı yaşanmaz Infraskope Server FrontEnd tarafından MSMQ’ya yazılan olayları veritabanına aktarır Alarm kurallarına göre uyarıları oluşturur Visual (Console) E-mail Run application SMS* Agent’ların son bağlantı zamanını kaydeder (online-offline kararı için) Console’da bir alarm kuralı değiştirilirse servisi tekrar başlatma gereği yoktur Infraskope Management Console Tüm yapılandırma IMC ile yapılır Gerçek zamanlı dashboard, olay ve alarmlar Geçmiş tarihli olayların araştırılması Toplama kuralları (Agent’lar kullanır) Alarm kuralları (Server tarafından kullanılır) Bir event geldiğinde uyarı verilmesi Uygulama (Karaliste) kuralları Agent’lar tarafından hangi kuralların FE’lere gönderileceği / gönderilmeyeceği Acil durumlarda agent’lar tarafından ilgili uygulamaların durdurulması/çalıştırılması sağlanır Policy kuralları Registry veya dosya sisteminde olması/olmaması gereken nesneler Sensör’ler Özel log kaynaklarını yakalamak için geliştirilen Windows Service uygulamalarıdır. SysLog sensor (Unix/Linux/Network Devices) DHCP Sensor (Windows Server 200x) Rouge DHCP Sensor (Tüm DHCP cihazları/sunucuları) Wireless Access Point Sensor NetApp Sensor Internet Information Services (IIS) Sensor Web Listener (Infraskope Web Listener) Websense Sensor ISA Log Sensor MSN Sensor MS Exchange 2003/2007 logger SMTP MailLogger : Ekran Görüntüleri Infraskope Management Console Dashboard – Büyük Resmi Görmek Realtime Dashboard – Büyük Resmi Görmek Kullanıcı kodu paylaşımı Realtime Alerts Realtime Events Toplama Kuralları Alarm Kuralları Alarm Kuralı Session Tracker Event Repository Security/528 için örnek ekranlar Security/528 Template Her event içinde alanlar parse edilmiştir. %1..%15 olarak görülen alanlar kurallarda kullanılabilir (param1..Param15) Örnek alarm kuralı: EventID=528 and Source=‘Security’ and Param4=7 or Param4=10 Her event için param sayısı farklı olabilir Security/528 Knowledge Base Raporlar SQL Server 2008 Reporting Services Adli (forensics)raporlar Yönetim raporları (trend analysis, summary reports) Uyumluluk raporları (27001, SOX, HIPAA, vs) SQL ReportBuilder ile anında rapor tanımlama Tanımlı sürelerde otomatik rapor üretimi Değişik yayınlama yöntemleri Web portal E-posta File Share Esnek dosya formatlarına aktarma HTML PDF Excel … Rapor Ekranı (Web Arayüzü de kullanılabilir) Diğer Log Kaynaklarının Toplanması Infraskope ile toplanabilen kaynaklar Syslog (unix/linux, ağ vegüvenlik cihazları, vs) Rogue DHCP sunucuların tesbiti DHCP logları MSN File Transfer logları ISA Server logları Websense logları WebListener (Infraskope URL Logger) Labris logları Checkpoint logları Yetkisiz Wireless Access Point logları Metin tabanlı (text based log) log toplama (*) Firewall IDS/IPS Non-Microsoft mail servers vs Database Activity File System Audit (Delete / Rename / Create) Windows Security Auditing Eğitimi Detaylı Windows Security Log analiz eğitimi Log ve denetim (auditing) arasındaki farklar Logon / Logoff olayları Authentication (NTLM/Kerberos) olayları Çalıştırılan uygulamaların takibi Kullanıcı yönetimi olaylarının takibi Active Directory Group Policy olaylarının takibi Sistem olaylarının takibi Kullanabileceğiniz araç ve scriptler ISO 17799/27001 için kontrol edilmesi gereken alanlar Uyumlu olmak için gerekli raporlar Eğitimde işlenecek konular Windows Güvenlik Denetimi (Security Auditing) Denetleme (Auditing) ve Log arasındaki farklar Denetleme Politikalarının Ayarlanması Hangi Kategoriler İzlenmeli? Olay Günlükleri (EventLog) Yapısı Olay Günlüğü İzleme Araçları (Event Viewer, Script, diğer ürünler) Olay Günlüğü Kaynakları(Event Source) Kayıt (Log) Dosya Büyüklüğü Kayıt Tutma (Logging) Seçenekleri Logon ve Kimlik Doğrulama Olayları Logon Tipleri DOMAIN LOGON LOCAL LOGON Domain Kimlik Doğrulama Başarısız Logon Olayları Downgrade Attack nedir? NTLM Kimlik Doğrulama İşlemi Yerel Kimlik Doğrulama Kullanıcı Aktivitesinin Gözetlenmesi Nesne Erişim Olayları (Object Access) İşlemlerin takibi (Process Tracking) Hesap Yönetimi ve Sistem Yöneticilerinin yaptığı kullanıcı işlemlerin izlenmesi Kullanıcı ve Grup Olayları Kullanıcı Yaratma Kullanıcı Silme Grup İşlemleri (Yaratma / Silme / Değişiklik) Bilgisayarı Etki Alanına Dahil Etme (Domain Join) Active Directory Service Erişim Denetimi Group Policy Nesnelerinin Denetimi Organizational Unit işlemlerinin denetimi Audit Ayarlarının Yapılması Yapılan Auditing ayarının test edilmesi NTLM Hata Kodları Group Policy Nesneleri Üzerinde Yapılan İşlemlerin Denetimi Kullanıcı Hakları (Privilege Use) Denetimi Sistem Aktivitesinin Denetimi Teşekkürler! murat.eraydin @ karmasis.com