Jiří Vařecha Security Solution Architect varecha@logmanager.cz
Co jsou logy, události, strojová data? Zákaznická data Click stream data Shopping cart data Online transaction data Velká data Mimo datacentrum Manufacturing, Logistics CDRs & IPDRs Power consumption RFID Data GPS Data IoT Windows Linux/Unix Virtualizace & Cloud Aplikace Databáze Networking Registry Event logs File system Sysinternals Configurations Syslog File system Ps,iostat,top Hypervisor Guest OS, Apps Cloud Web logs Log4J, JMS, JMX.Net Events Code and scripts Configurations Audit Tables Schemas Configurations Syslog SNMP Netflow
Nějak se nám to tady množí Roků k další miliardě Světová populace Rok Miliard obyvatel - 1800 1 127 1927 2 33 1960 3 14 1974 4 13 1987 5 12 1999 6 12 2011 7 14 2025* 8 *optimistický výhled Zdroj: wikipedia.org
Nějak se nám to tady množí Česká televize 2910 zaměstnanců 1200 zdrojů / 3500+ EPS / 200-500 GB logů denně Miliarda logů za týden
Proč se pochopením logů zabývat? Praktické / provozní důvody Nejde centrálně vyhledávat Jazyk zdroje nerozumíme? Rotace LOG souboru Bezpečnostní důvody Nebezpečí modifikace logů Analýzy statistické, bezpečnostní Přehled o anomáliích, incidentech Zákonné důvody Zákon o kybernetické bezpečnosti - 5 General Data Protection Regulation od května 2018 PDF na www.logmanager.cz
Příklady použití
LOG management Drill-down v událostech Sledování přístupu ke službám (adresářovým / db / souborovým) Analýzy, reporty, dohled, monitoring, audit Sledování konfiguračních změn GDPR Kdo, kdy a jakým způsobem přistupoval k systémům s osobními daty
ACT PROCESS COLLECT Blokovaný účet v AD Síťová Systémy Bezpečnostní Aplikace Přepínače Routery Email FlowMon FW IPS WLAN Stanice Servery VPN SandBox Anti Web aplikace Databáze Virtualizace AD CRM V grafickém rozhraní dashboard Windows Logon Event najít logon fail příslušného uživatele Identifikovat službu, která používá lokálního uživatele Předat překvapenému administrátorovi informaci, že na serveru XY běží pod lokálním uživatelem danou službu
Rychlá diagnostika
ACT PROCESS COLLECT Kdo smazal data? Síťová Systémy Bezpečnostní Aplikace Přepínače Routery Email FlowMon FW IPS WLAN Stanice Servery VPN SandBox Anti Web aplikace Databáze Virtualizace AD CRM V grafickém rozhraní dashboard Windows File Access najít Logy ztracených souborů Zobrazit uživatele operující s danými soubory Sdělit překvapenému uživateli, kdo data smazal Vytvořit auditní report
Vyhledávání jako v Google
Generování auditu na vyžádání CSV Export
ACT PROCESS COLLECT Audit ext. uživatelů VPN Síťová Systémy Bezpečnostní Aplikace Přepínače Routery Email FlowMon FW IPS WLAN Stanice Servery VPN SandBox Anti Web aplikace Databáze Virtualizace AD CRM V grafickém rozhraní dashboard najít log eventy pro uživatele z dané skupiny Provést rychlý drill-down v datech a vybrat důležité události Vytvořit Dashboard zobrazující přihlášení a odhlášení externích uživatelských účtů Obohatit Dashboard o informace, kam uživatel z VPN přistupoval Vytvořit Alert při opakovaném selhaném přihlášení
Snímek obrazovky z akce Zobrazí přihlášení a odhlášení Identifikuje cíle komunikace z VPN Zobrazí týdenní data za uživatele Provede Audit všech přihlášení do CSV Provede Alert při uzamknutí účtu Zobrazí IP adresu a Geolokaci v mapě
Představení
Schéma LOG manager Malý LOGmanager nebo Forwarder WAN vzdálený sběr s šifrováním, QoS a bufferem LAN přímý sběr REST-API Syslog -out Prezentační rozhraní Aplikační engine Syslog Syslog NG WES Windows Event Sender UDP JSON TCP CEF File Buffer Parser 12/40/100TB db DB Log4j/XML CheckPoint, VMWARE, SQL LOGmanager
Technická specifikace LOGmanager Appliance CPU Memory DB Capacity Data Retency (Average EPS*-days) MAX Constant EPS* Peak EPS* Cluster Support XL LOGmanager (5 years NBD RMA, 1 year SW renewal, 1x Virtual Forwarder) 2x14core Intel Xeon 2.4GHz 128GB 100TB 3500EPS*-470days 7000 14000/10min Yes, 2 units Big LOGmanager (5 years NBD RMA, 1 year SW renewal, 1x Virtual Forwarder) 2x10core Intel Xeon 2.2GHz 64GB 40TB 3000EPS*-220days 6000 12000/10min Yes, 2 units Small LOGmanager (3 years NBD RMA, 1 year SW renewal, 1x Virtual Forwarder) 1x10core Intel Xeon 2.2GHz 64GB 12TB 1000EPS*-220days 2000 4000/10min Yes, 2 units Micro LOGmanager (3 years RMA, 1 year SW renewal, 1x Virtual Forwarder), only as LMDemo01 box or with large deal, not to be sold separately. 1x2core Intel i5 16GB 0,5TB 250EPS*-30days 500 1000/10min Yes, 2 units LOGmanager Forwarder CPU Memory DB Capacity Data Retency (Average EPS*-days) EPS* Peak EPS* Cluster LOGmanager Virtual Forwarder; 8, 16 or 128GB disk space (For VMWARE and Hyper-V); (1 year SW renewal) 2*vCPU 16GB 8/16/128GB N/A; act as remote buffer 9000 18000/10min N/A 1*vCPU 16GB 8/16/128GB N/A; act as remote buffer 6000 12000/10min N/A LOGmanager Forwarder HW (PC type Intel NUC - 3 years RMA, 1 year SW renewal) 1x2core Intel i5 16GB 0,5TB N/A; act as remote buffer 9000 18000/10min N/A EPS* - Average Events Per Second RAW log size 700Byte; Data Retency - counted for Average 24*7 Constant EPS rate
LOGmanager rozhraní
Radikální jednoduchost Dashboardy Alerty Reporty Databáze zařízení Systém oprávnění Vestavěné i zákaznicky vytvářené parsery logů Metadata, integrace (např. MS AD, Turris Greylist) Uživatelské fórum
Parametry, Reference
Podporované systémy Infrastruktura: Brocade SAN, Cisco (IOS, ASA, WLC), Dell FortiNet (FG, FML, FA), FlowMon Huawei, H3C, HPE, CheckPoint, Juniper Kernun, Trapeze UBNT (Rocket, Unifi) PaloAlto Networks Mikrotik, Extreme Sophos, Trend Micro Software: AV (Eset, Avast, Kaspersky, AVG) Apache web server, Tomcat Novell edirectory, CompuNet GAMA HPE imc, Kerio Connect, SAP SQL (MySQL, MSSQL, Oracle, Postgres) Vmware, Microsoft: Windows Vista, 7, 8, 10 Server 2008, 2012, 2016 Sharepoint, Exchange, MS-SQL Microsoft Windows IIS, Windows firewall Windows any text logs Linux/Unix: Amavis, Freeradius ISC Bind, ISC DHCP NGiNX Postfix SSH & DropBear a všechny systémy, co používají JSON, CEF a LEEF formát logů
Parametry 01 Trvalý příjem až 7.000 logů za sekundu 02 Workload akcelerátor pro Velký a XL LOGmanager 06 Zdroje Výkon 01 05 03 V základu uložení až 100TB logů WES Výkon+ 02 04 Nativní podpora clusteringu 05 Vlastní centrálně řízený klient pro Windows Výdrž Data 06 Neomezený počet zdrojů 04 03
Parametry 10 07 Snadný a přehledný systém licencování. ŽÁDNÉ LICENCE Fórum Licence 07 08 Přímá technická podpora výrobcem v českém jazyce 09 Dokumentace a rozhraní v češtině, angličtině a pokud bude zájem tak i v jakémkoliv jiném + + 10 Moderované uživatelské fórum + Nové funkce - nasloucháme zákazníkům 09 Docs+ Čeština 08
Vybrané reference v ČR Česká televize možnost návštěvy Česká zemědělská univerzita Ostravská univerzita Magistrát Hlavního Města Prahy Státní zemědělský intervenční fond ZZS Olomouckého kraje Ministerstva (Zdravotnictví, Kultury, Dopravy) Vojenské lesy a.s. Panasonic AVC Plzeň ČEZ
Další akce online https://www.veracomp.cz/cz/kalendar-akci
LOGmanager Souhrn Centrální přehled s grafickou prezentací Intuitivní a rychlé vyhledávání Audit a forenzní analýza Inteligentní alerty a snadné reporty Sjednocení formátu a retence logů Dlouhodobé online uložení dat Podpora clusteru Řešení Kritických IT Incidentů Řešení Kritických IT Incidentů Plní požadavky Zákona o kybernetické Plní požadavky bezpečnosti, Zákona o GDPR ISO/IEC kybernetické 27001 bezpečnosti, a PCI-DSS. GDPR a ISO/IEC 27001. Uschování logů pro předložení organizacím Uschování logů zabývajících pro předložení se bezpečností organizacím nebo zabývajících Policii ČR. se bezpečností nebo Policii ČR. Centrální úložiště logů s obrovskou kapacitou A to vše bez licencí, v češtině a na výkonném hardware s výměnou do příštího pracovního dne.
Děkuji za pozornost Jiří Vařecha Security Solution Architect varecha@logmanager.cz