Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect

Transkript

1 >Jak se neztratit v záplavě logů 1. listopadu Anect Security Day Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect knapovsky@logmanager.cz

2 Nějak se nám to tady množí Roků k další miliardě Světová populace Rok Miliard obyvatel * 8 *optimistický výhled Zdroj: wikipedia.org 4. listopadu 2016 / Strana 2

3 Nějak se nám to tady množí Množství logů ve firmě Zaměstnanců EPS Dní do Miliardy logů Plánování kapacity? > ~ 3000 zaměstnanců > ~ 1000 zdrojů / EPS / 120 GB logů denně > ~ Miliarda logů za týden Zdroj: ČT 09/16 4. listopadu 2016 / Strana 3

4 Proč se sběrem/pochopením logů zabývat? >Praktické / provozní důvody Logy uložené na různých zařízeních nebo vůbec Velikost jednotlivých log souborů a jejich rotace Nejde centrálně vyhledávat >Bezpečnostní důvody Korelace statistické, bezpečnostní Nebezpečí modifikace logů Přehled o anomáliích, incidentech >Zákonné důvody Zákon o kybernetické bezpečnosti - 23 General Data Protection Regulation od května listopadu 2016 / Strana 4

5 LOGmanager představení

6 Schéma LOGmanager Forwarder Prezentační rozhraní WAN vzdálený sběr s šifrováním, QoS a bufferem LAN přímý sběr Aplikační engine Syslog Syslog NG WES Windows Event Sender UDP JSON TCP CEF File Buffer Parser 12/40TB Database DB Log4j/XML CheckPoint, VMWARE, SQL LOGmanager 4. listopadu 2016 / Strana 6

7 LOGmanager rozhraní 4. listopadu 2016 / Strana 7

8 Přehled funkcí >Dashboardy >Alerty >Reporty >Databáze zařízení >Systém práv >Vestavěné i zákaznicky vytvářené parsery logů >Agent pro Windows s filtrací irelevantních událostí 4. listopadu 2016 / Strana 8

9 LOGmanager příklady použití

10 LOGmanager příklady použití SHODA S PŘEDPISY Organizace vzhledem ke svému působení potřebuje centrální systém správy, analýzy a reportování výstupů z bezpečnostních zařízení, operačních systémů a aplikací. MONITORING BEZPEČNOSTNÍCH ZAŘÍZENÍ SÍŤOVÁ BEZPEČNOST Sledování a korelace výstupů ze zařízení pro síťovou bezpečnost jako jsou firewally, IDS/IPS systémy, bezdrátové sítě, systémy na vzdálený přístup, proxy a podobně. Statistiky VPN, konfigurace VPN, aktivita připojování. Statistiky a reporty Web Content Filtering. SLEDOVÁNÍ KONFIGURAČNÍCH ZMĚN Kdo, kdy a s jakým výsledkem provedl nebo se pokoušel provést konfigurační změny v zařízeních. 4. listopadu 2016 / Strana 10

11 LOGmanager příklady použití 2 ZATÍŽENÍ FIREWALLU A KONTROLA EFEKTIVITY POUŽITÝCH PRAVIDEL Která pravidla nejvíce zasahují. Která pravidla jsou neefektivní. Kde jsou slabá místa zabezpečení audit existujících FW pravidlech. Identifikace komunikačních toků a podklady pro úpravu pravidel. INFORMACE SOUVISEJÍCÍ S OVĚŘOVÁNÍM DO SÍTĚ NETWORK LOGIN DLE 802.1X Operační analýza podpory nasazování a provozování ověřování přístupu do sítě. Audit logy úspěšných a neúspěšných přihlášení. PORUŠENÍ BEZPEČNOSTNÍCH PRAVIDEL Komunikace s nepovolenými SMTP servery Monitoring P2P sítí. Přístup uživatelů na nepovolené weby WebFiltering. Podezřelé aktivity s otvíráním příliš velkého počtu spojení (SSH. Web. SMTP). Kontrola přístupu mimo proxy (servery, lidé) Dodržování komunikační politiky mezi segmenty sítě. Pokusy o přístup mimo povolené služby, protokoly. 4. listopadu 2016 / Strana 11

12 ACT PROCESS COLLECT Blokovaný účet správce AD Síťová Systémy Bezpečnostní Aplikace Přepínače Routery FlowMon FW IPS WLAN Stanice Servery VPN SandBox Anti Web aplikace Databáze Virtualizace AD CRM V grafickém rozhraní dashboard Windows Logon Event najít logon fail příslušného uživatele Identifikovat službu, která používá lokálního uživatele Předat překvapenému administrátorovi informaci, že na serveru XY běží pod lokálním uživatelem danou službu

13 Snímek obrazovky z akce

14 LOGmanager parametry, konkurence a roadmap

15 Podporovaná zařízení HARDWARE: SOFTWARE: WINDOWS: LINUX: Brocade SAN, Cisco (ASA, WLC), FortiNet (FG, Apache web server, Cisco IOS, CEF, CEF ESET Remote Administrator, Microsoft Windows Freeradius, ISC Bind, ISC DHCP, SSH FML, FA), H3C, HP (ComWare i ProCurve), TippingPoint SMS, Novell edirectory, CompuNet IIS, Microsoft Windows firewall, Windows Avast CheckPoint, Juniper SRX, Kernun, Trapeze wifi, GAMA, HP ilo 4, HP imc, Kerio Connect, SAP, Antivirus, Windows 7, 8, Server 2008, 2012 audit UBNT (Rocket, Unifi) AV (Eset, Avast, AVG), VMware log (WES), Windows any logs from Event Viewer, Windows any text log from file 4. listopadu 2016 / Strana 15

16 Parametry >Trvalý příjem nebo eventů za sekundu (dle modelu) >Podpora clusteringu. >Neomezený počet zdrojů. >V základu uložení 12/40TB logů se snadným škálováním výkonu i úložné kapacity. >Snadný a přehledný systém licencování. Ž Á D N É >Přímá technická podpora výrobcem v českém jazyce. L I C E N C E 4. listopadu 2016 / Strana 16

17 Vývoj LOGmanageru Databázový stroj Parser engine Databáze zařízení Podpora CEF WES Windows Event Sender s filtrací irelevantních událostí DNS Resolver Alerty Reporty Přístupová práva Kategorizace zařízení Kategorizace událostí Šifrování uložených dat Event correlator v reálném čase Uživatelské parsery Archivace na externí úložiště Export událostí v CEF, JSON, LEEF Retence dat Rozšíření Event Correlator Příjem SNMP událostí Virtuální konektory Behaviorální analýza Detekce vzorů (útoky) Datacenter security Spouštění skriptů dle události Sjednocování identit Filtrace Statistiky PARSERY průběžné aktualizace a doplňování SYSTÉM zvyšování výkonu a optimalizace SEM SIEM listopadu 2016 / Strana 17

18 Srovnání s konkurencí LOGMANAGER hardware a implementace v ceně pořízení žádné licenční omezení rychlá implementace (dny) nízké náklady na provoz základní funkce SIEM uživatelsky přehlednější a intuitivnější ovládání předfiltrování a forward logů v nativním formátu ArcSight/Qradar (CEF/LEEF) ARCSIGHT, QRADAR vysoká pořizovací cena složitá licenční politika zdlouhavá implementace (měsíce) vysoké náklady na provoz rozšířené funkce SIEM, omezený výkon náročné ovládací rozhraní vyžadující velké znalosti administrátora / Strana 18

19 Srovnání s konkurencí konkurenční systémy postavené na ElasticSearch LOGMANAGER žádné licenční omezení rychlá implementace (dny) All in one řešení základní funkce SIEM neumožňuje mazání logů vlastní klient pro Windows - jednoduchá správa KONKURENČNÍ SYSTÉMY různé licenční podmínky složitá implementace (týdny) systémy nefungují jako appliance, ale jako dodělej/dokonfiguruj si sám pouze logmanagement lze mazat logy / Strana 19

20 Srovnání s konkurencí konkurenční systémy postavené na ElasticSearch LOGMANAGER jedno uživatelské rozhraní široké možnosti filtrování, reportů a alertů přístupová práva předpřipravené dashboardy propracovaný systém standardizace logů široký počet podporovaných zařízení RAID 6 ochrana dat KONKURENČNÍ SYSTÉMY systémy jsou složeny z více softwarových aplikací, které mají jiné ovládací rozhraní absence alertů, reportů absence přístupových práv absence dashboardů Konfigurační chybou správce je systém možno rozbít Virtuál - nízký výkon, cena HW / Strana 20

21 Reference Česká televize možnost referenční návštěvy Česká zemědělská univerzita Ostravská univerzita Městská část Praha 3 Státní zemědělský intervenční fond Krajská zdravotní a.s. Vojenské lesy a.s. 4. listopadu 2016 / Strana 21

22 LOGmanager poslední slide ;-)_ >Plní požadavky Zákona o kybernetické bezpečnosti, GDPR a ISO/IEC >Uschování logů pro předložení organizacím zabývajících se bezpečností CESNET CERST a CIRST nebo Policii ČR. >Sběr logů pro řešení bezpečnostních incidentů i provozních problémů. >Centrální přehled s grafickou prezentací Dashboardy. >Intuitivní a rychlé vyhledávání. >Forenzní analýza. >Alerty, reporty. >Korelace událostí. >Sjednocení formátu logů. >Dlouhodobé uložení se zálohováním do NFS >Podpora clusteru v základu. >Centrální úložiště logů. A to vše bez licencí, v češtině a na výkonném hardware s výměnou do příštího pracovního dne listopadu 2016 / Strana 22

23 Děkuji za pozornost Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect Vývojář: Sirwisa a. s. Distribuce: Veracomp s. r. o.