Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect knapovsky@logmanager.cz
Co jsou logy, události, strojová data Customer data Click stream data Shopping cart data Online transaction data Jsou./Big_data všude { Diagnostics } Config management User activity audit Out of datacentrum Manufacturing, Logistics CDRs & IPDRs Power consumption RFID Data GPS Data IoT Windows Linux/Unix Virtualization & Cloud Applications Databases Networking Registry Event logs File system Sysinternals Configurations Syslog File system Ps, iostat, top Hypervisor Guest OS, Apps Cloud Web logs Log4J, JMS, JMX.Net Events Code and scripts Configurations Audit Tables Schemas Configurations Syslog SNMP Netflow
Nějak se nám to tady množí Zdroj http://www.worldometers.info 10/2018 Roků k další miliardě Světová populace Rok Miliard obyvatel - 1800 1 127 1927 2 33 1960 3 14 1974 4 13 1987 5 12 1999 6 12 2011 7 14 2025* 8 *optimistický výhled Zdroj: wikipedia.org
Nějak se nám to tady množí Konzervativní odhad logů ve firmě Zaměstnanců EPS Dní do Miliardy logů 250 350 100 500 600 45 1000 900 30 3000 1800 14 Plánování kapacity? Czech TV 3500+ IT uživatelů 1200 zdrojů / 3500+ EPS / 270-610 GB logů denně Miliarda logů za týden Zdroj ČT:05/2018
Proč se pochopením logů zabývat? Praktické / provozní důvody Nejde centrálně vyhledávat Jazyk zdroje nerozumíme? Rotace LOG souboru Bezpečnostní důvody Nebezpečí modifikace logů Analýzy statistické, bezpečnostní Přehled o anomáliích, incidentech Zákonné důvody Zákon o kybernetické bezpečnosti - 5 General Data Protection Regulation od května 2018 PDF na www.logmanager.cz
Příklady použití
LOG management a IT Incident Kritický IT Incident zažije občas většina organizací Nastane, když je nefunkční business aplikace nebo infrastruktura. Obvyklý čas vyřešení je v hodinách Dva důležité pojmy MTTR a RCA pro CIO však platí že čas jsou peníze Snížit MTTR/RCA umožňuje IT Operations Intelligence Základem IT OPS je vhodný nástroj na sběr logů - Viditelnost - Koordinace - Produktivita při řešení incidentu
Nedostatek globálního pohledu Networking Virtualization Applications A Databases Windows Linux / Unix Security Storage Scada / IoT Cloud Kdo čemu rozumí? X
Unikátní dohledové nástroje Networking Virtualization Applications Databases Windows Linux / Unix Security Storage Scada / IoT Cloud Každý nástroj je samozřejmě špičkou ve svém oboru, ale co globální pohled?
LOGmanager a IT incident Nalezení a odstranění příčiny Generování upozornění Doplnění kontextu a vizualizace Sledování změn Sběr všech strojových dat
ACT PROCESS COLLECT Kdo smazal data? Síťová Systémy Bezpečnostní Aplikace Přepínače Routery Email FlowMon FW IPS WLAN Stanice Servery VPN SandBox Anti Web aplikace Databáze Virtualizace AD CRM V grafickém rozhraní dashboard Windows File Access najít Logy ztracených souborů Zobrazit uživatele operující s danými soubory Sdělit překvapenému uživateli, kdo data smazal Vytvořit auditní report
Vyhledávání jako v Google
Generování auditu na vyžádání CSV Export
Upozornění s limitem raz-dva-tři 1. Zabudovaný vzor na 20 smazaných souborů Detekce promazávání Exclude Temporary souborů Exclude Úprav, přepsání souborů Notifikace omezena na 1x za context Snadný dashboard na dohled 2. 3.
Představení
Schéma LOG manager Malý LOGmanager nebo Forwarder WAN vzdálený sběr s šifrováním, QoS a bufferem LAN přímý sběr REST-API Syslog -out Prezentační rozhraní Aplikační engine Syslog Syslog NG WES Windows Event Sender UDP JSON TCP CEF File Buffer Parser 12/40/100TB db DB Log4j/XML CheckPoint, VMWARE, SQL LOGmanager
LOGmanager rozhraní
Radikální jednoduchost Dashboardy Alerty, thresholdy Reporty Databáze zařízení Systém oprávnění Vestavěné i zákaznicky vytvářené parsery logů Metadata, integrace (např. MS AD, Turris Greylist) Uživatelské fórum
Opravdu umí každý programovat? <xml xmlns="http://www.w3.org/1999/xhtml"> <variables> <variable type="" id="w*2yw:/ln:v{]=0z5a;9">delete_limit</variable> </variables> <block type="def" id=":t+xul#!6j5od2-z~-i9" x="63" y="-137"> <statement name="stack"> <block type="comment" id="~.g8yvaan;kxdv(j]^^f"> <field name="text">many deleted files by single user</field> <next> <block type="controls_if" id=";[xyy,9}?l_$xgds2nl-"> <value name="if0"> <block type="logic_operation" id="a0#,dhj}kd,gho(}moe." inline="false"> <field name="op">and</field> <value name="a"> <block type="message_has_tag" id="dg(0jcct!{*r*ogsa=bp"> <field name="tag">f28e96de-edc6-4371-9c69-ea71aa045384</field> <value name="var"> <block type="message" id="h~$q-;iof u_h(-0bv$m"> <field name="object">meta</field> </block>
Každý umí programovat LOGmanager 1. -> Google: blockly games
Okamžitá kontrola programu
Alerty s thresholdy a korelace 10 selhaných přihlášení privilegovaného uživatele za 15 minut od prvního neúspěšného přihlášení Vzory budou v docs a jsou v uživatelském fóru
Parametry a Roadmapa, Reference
Podporované systémy Víc než 120 zdrojů v základu Infrastruktura: Brocade SAN, Cisco (IOS, ASA, WLC), Dell FortiNet (FG, FML, FA), FlowMon Huawei, H3C, HPE, CheckPoint, Juniper Kernun, Trapeze UBNT (Rocket, Unifi) PaloAlto Networks Mikrotik, Extreme Sophos, Trend Micro Software: AV (Eset, Avast, Kaspersky, AVG) Apache web server, Tomcat Novell edirectory, CompuNet GAMA HPE imc, Kerio Connect, SAP SQL (MySQL, MSSQL, Oracle, Postgres) Vmware, Microsoft: Windows Vista, 7, 8, 10 Server 2008, 2012, 2016 Sharepoint, Exchange, MS-SQL Microsoft Windows IIS, Windows firewall Windows any text logs Linux/Unix: Amavis, Freeradius ISC Bind, ISC DHCP NGiNX Postfix SSH & DropBear a všechny systémy, co používají JSON, CEF a LEEF formát logů
Parametry 01 Trvalý příjem až 10.000 logů za sekundu 02 Workload akcelerátor pro L a XL LOGmanager 06 SIEM Výkon 01 05 03 V základu uložení až 100TB logů WES Výkon+ 04 Nativní podpora clusteringu 02 05 Vlastní centrálně řízený klient pro Windows Výdrž Data 06 Alerty s limitní hodnotou a korelace 04 03
Parametry 10 07 Snadný a přehledný systém licencování. ŽÁDNÉ LICENCE Fórum Licence 07 08 Přímá technická podpora výrobcem v českém jazyce 09 Dokumentace a rozhraní v češtině, angličtině a pokud bude zájem tak i v jakémkoliv jiném + + 10 Moderované uživatelské fórum + Nové funkce - nasloucháme zákazníkům 09 Docs+ Čeština 08
Vývoj LOGmanageru Máme tah na branku nové funkce 4x ročně Databázový stroj Parser engine Databáze zařízení Podpora JSON WES Windows Event Sender s filtrací irelevantních událostí DNS Resolver Alerty Reporty Podpora CEF Přístupová práva Kategorizace zařízení Kategorizace událostí Šifrování disků Alerty v reálném čase Uživatelské parsery Export událostí v JSON Forwarder Podpora LEEF Retence dat + Virtuální konektory Integrace do SIEM Nové databázové konektory Základní SIEM funkce Vylepšené alertování IPv4/IPv6 Dual Stack Nový design Nové REST-API Spouštění scriptů Sjednocení identit Statistika Strojové učení...? PARSERY průběžné aktualizace a doplňování SYSTÉM zvyšování výkonu a optimalizace Security Event Management Affordable SIEM 2015 2016 2017 2018 2019+
Schváleno k uvádění v referencích: Média Firmy Univerzity Magistráty Více než 130 zákazníků v ČR Česká televize možnost návštěvy Panasonic AVC Plzeň, ČEZ, Arcelor Mittal VŠE, ČZU, Ostravská Univ., ČVUT Praha, Ostrava, Karviná, Beroun, Zdravotnictví ZZS, HZS, Zdravotní pojišťovna OZP, Nemocnice různých velikostí Ministerstva ČR (5x) Doprava Další VIP Slovensko ČD Cargo, Dopravní podnik hl.m, ČAH Správa Pr. Hradu, PS Parlamentu ČR, GŘC, Vojenské lesy a.s., Kooperativa 6 zákazníků
Další akce online https://www.veracomp.cz/cz/kalendar-akci https://youtube.com/logmanager https://forum.logmanager.cz
LOGmanager Souhrn Centrální přehled s grafickou prezentací Intuitivní a rychlé vyhledávání Audit a forenzní analýza Inteligentní alerty a snadné reporty Sjednocení formátu a retence logů Dlouhodobé online uložení dat Podpora clusteru Řešení Kritických IT Incidentů Řešení Kritických IT Incidentů Plní požadavky Zákona o kybernetické Plní požadavky bezpečnosti, Zákona o GDPR ISO/IEC kybernetické 27001 bezpečnosti, a PCI-DSS. GDPR a ISO/IEC 27001. Uschování logů pro předložení organizacím Uschování logů zabývajících pro předložení se bezpečností organizacím nebo zabývajících Policii ČR. se bezpečností nebo Policii ČR. Centrální úložiště logů s obrovskou kapacitou A to vše bez licencí, v češtině a na výkonném hardware s výměnou do příštího pracovního dne.
Děkuji za pozornost Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect knapovsky@logmanager.cz