Datasys ELISA. Log management řízený Zabbixem. Lukáš Malý, DiS. IT konzultant bezpečnost a monitoring.

Podobné dokumenty
Log management ELISA. Konference LinuxDays 2018

Příloha č. 1 - ke Smlouvě na dodávku software dle GDPR pro počítačovou síť nedílná součást zadávací dokumentace k podmínkám výzvy VZ 145.

IBM Tivoli Storage Manager 6.2 a IBM Tivoli Storage Manager FastBack 6.1.1

Nástroje pro korelace a vyhodnocování bezpečnostních událostí

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o.

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Reporting a Monitoring

Systémová administrace portálu Liferay

Víme, co se děje aneb Log Management v praxi. Petr Dvořák, GAPP System

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Compatibility List. GORDIC spol. s r. o. Verze

Projekt JetConf REST API pro vzdálenou správu

Technologie. Osnovy kurzu: Školení správců systému. 1. den, dopolední blok

Státní ICT jak to zvládáme na NKÚ. Jan Mareš

nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing.

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

FlowMon Vaše síť pod kontrolou

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

w w w. u l t i m u m t e c h n o l o g i e s. c z Infrastructure-as-a-Service na platformě OpenStack

PDS. Obsah. protokol LDAP. LDAP protokol obecně. Modely LDAP a jejich funkce LDIF. Software pro LDAP. Autor : Petr Štaif razzor_at

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

Specifikace funkcionalit bezpečnostního softwaru Varonis

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Koncept centrálního monitoringu a IP správy sítě

Co je (staro)nového v DSpace

Úvod. Klíčové vlastnosti. Jednoduchá obsluha

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

FlowMon Monitoring IP provozu

Vývoj software pro Linuxové distribuce. Installfest Praha,

CS monitorovací jednotky. Edice: Vytvořil: Luboš Fistr

RadioBase 3 Databázový subsystém pro správu dat vysílačů plošného pokrytí

Současný svět Projekt č. CZ.2.17/3.1.00/32038, podpořený Evropským sociálním fondem v rámci Operačního programu Praha adaptabilita

Novell Identity Management. Jaromír Látal Datron, a.s.

přes webový prohlížeč pomocí Ing. Tomáš Petránek

Allegro framework. Podstatné vlastnosti. Allegro Business Solution Framework

CYCLOPE PRINT MANAGEMENT SOFTWARE- UŽIVATELSKÁ PŘÍRUČKA

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

Monitorovací systém Zabbix. Lukáš Malý

Projekt implementace OS Linux do výuky informačních technologií

Integrované řešení přípojných počítačů MOXA pro IoT

CDS Invenio v NTK. V NTK využíváme CDS Invenio pro repozitář šedé literatury v rámci projektu NUŠL

Michal Andrejčák, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, SDM600 Stručný popis a reference.

Serverové systémy Microsoft Windows

CS monitorovací jednotky. Edice: Vytvořil: Luboš Fistr

Microsoft Day Dačice - Rok informatiky

Zabezpečení kolejní sítě

Microsoft SharePoint Portal Server Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text.

Jádrem systému je modul GSFrameWork, který je poskytovatelem zejména těchto služeb:

Flow monitoring a NBA

Závěrečná zpráva projektu FR CESNET 468R1/2012. Optimalizace správy síťových aplikací a zařízení AMU

Dobrý SHOP Popis produktu a jeho rozšíření

1. Integrační koncept

Korporátní identita - nejcennější aktivum

MBI - technologická realizace modelu

I/O a SCADA systémy. iologik I/O Servery. iologik iologik 2000

Zabbix monitorovací systém Vlastnosti aktuální verze 2.0.9

Použití programu WinProxy

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

NÁCHOD JIHOČESKÝ KRAJ ING. PETR VOBEJDA

Národní archivní portál - brána k digitálnímu archivu

Téma bakalářských a diplomových prací 2014/2015 řešených při

Příloha č. 1. k zadávací dokumentaci veřejné zakázky DATOVÝ SKLAD. Technická specifikace

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Sledování výkonu aplikací?

Představení Kerio Control

PRODUKTY. Tovek Tools

Střední průmyslová škola elektrotechnická Praha 10, V Úžlabině 320 M A T U R I T N Í T É M A T A P Ř E D M Ě T U

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Extrémně silné zabezpečení mobilního přístupu do sítě.

Internetové služby isenzor

DETEKCE DOPRAVY KLASIFIKACE VOZIDEL MONITORING DOPRAVNÍHO PROUDU

Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman

Představuje. Technický Informační Systém nové generace

IntraVUE Co je nového

Prezentace platebního systému PAIMA

UDS for ELO. Univerzální datové rozhraní. >> UDS - Universal Data Source

Tomáš Kantůrek. IT Evangelist, Microsoft

PB169 Operační systémy a sítě

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

ProjectWise V8 XM Edition

Tovek Tools. Tovek Tools jsou standardně dodávány ve dvou variantách: Tovek Tools Search Pack Tovek Tools Analyst Pack. Připojené informační zdroje

SSL Secure Sockets Layer

Systém detekce a pokročilé analýzy KBU napříč státní správou

Automatizace správy linuxové infrastruktury pomocí Katello a Puppet LinuxDays

Připojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE

Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect

nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná

TECHNICKÁ DOKUMENTACE

Střední průmyslová škola elektrotechnická Praha 10, V Úžlabině 320

FIO API PLUS. Verze 1.1.1

TÉMATICKÝ OKRUH Softwarové inženýrství

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Uživatelský manuál WEB SERVICE V3.0 IP kamer Dahua

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Transkript:

Datasys ELISA Log management řízený Zabbixem Lukáš Malý, DiS IT konzultant bezpečnost a monitoring maly@datasys.cz

Co je ELISA? ELISA - Event Log Interception Storage and Analysis NÁSTROJ PRO SBĚR A VYHODNOCENÍ KYBERNETICKÝCH BEZPEČNOSTNÍCH UDÁLOSTÍ ( 21 a 23 vyhlášky k ZoKB) Poskytuje sběr logů a událostí Operační systémy Windows, Linux Systémové logy eventlog, syslog Sledování logů služeb např. DHCP, RADIUS, webové a aplikační servery Síťové prvky Přepínače, Routery, VPN, WiFi AP syslog, SNMP Trap, Netflow Poskytuje nahlížení na zaznamenaná data Podporuje přístupové role s autentizací vůči LDAP Active Directory.

Co je ELISA? ELISA Portál Úvodní rozcestník systému ELISA

Obecný popis ELISA LM/SIEM Svobodný software s podporou výrobce - Datasys s.r.o. Robustní nosql databázové jádro Podpora standardních protokolů Nízké pořizovací i provozní náklady Zachovává strukturu původních událostí Líbivé webové uživatelské rozhraní - Kibana Extrémní škálovatelnost a HA Vysoký výkon (až 5000 eps)

Open Source komponenty ELISA LM/SIEM ELISA je postaven na komponentách, které díky propracované konfiguraci dílčích komponent tvoří funkční celek. Elasticsearch - slouží pro střednědobé nebo dlouhodobé ukládání dat (logů). Logstash - vstupní brána pro ukládání dat do Elasticsearch. NXlog a Dslog - multiplatformní agent, který zajišťuje sběr dat. Xlog - klíčová komponenta mechanismu centrální správy konfigurace agentů. Kibana uživatelské rozhraní pro nahlížení na uložená data pomocí předdefinovaných dashboardů. Využívá webový server Apache. Zabbix - provozní monitorovací systém, který je integrován s ELISA. JasperReport - komponenta pro vytváření reportů.

Architektura sběru dat

Architektura sběru dat Elisa Server Elasticsearch úložiště dat Kibana nahlížení na data - logy Elisa Proxy Server pro příjem logů, které předává do Elisa Server Zpracovává přicházející zprávy dle konfigurace Poskytuje instalace a autoregistrace NXLog a DSlog agentů Poskytuje Zabbix API pro komponentu Xlog

ELISA vstupní data Hlavními vstupními kanály systému ELISA jsou: binární protokol pro přenos strukturovaných událostí syslog (udp i tcp) s možností SSL BSD standard RFC 3164 IETF standard RFC 5424-5426 SNMP trapy snmptrapd (NET-SNMP) Netflow data v9 a v5 (logstash plugin)

ELISA vstupní data

Logstash & Elasticsearch Staví na projektu Apache Lucene Nejrychlejší Open Source implementace fulltext vyhledávání Disponuje velkou rychlostí vyhledávání Elasticsearch umožňuje instalaci velkého množství rozšíření ELISA používá Elasticsearch + Elastic HQ Site Plugin Plugin poskytuje statistické údaje o Elasticsearch Poskytuje správu a údržbu indexů Ukládá data do indexů oddělených po jednotlivých dnech

Struktura datového záznamu v ELISA Normalizované atributy @message výstižný stručný popis události @msghost identifikace zařízení, na kterém událost vznikla (hostname, IP) @msgsource bližší identifikace zdroje, který událost vygeneroval @msgseverity klasifikace závažnosti události dle pravidel zpracování DEBUG, INFO, NOTICE, WARNING, MA JOR, CRITICAL, FATAL @msgusername identifikátor identity, se kterou je událost spojena @timestamp časová značka uložení události do datového úložiště ELISA

Proč používat agenta? Agent usnadňuje možnosti, jak se dostat k logům různých aplikací Umí převzít lokální syslog zprávy Používá modulární architekturu Je nenáročný na systémové zdroje, je psán v C++ Poskytuje podporu pro různé formáty událostí Syslog (BSD a IETF), CSV, JSON, XML, GELF, Windows EventLog Umí ukládat zprávy do bufferu a odeslat později Umí detekovat znakové sady Poskytuje bezpečnou komunikaci pomocí TLS/SSL

Agent NXlog a DSlog NXlog Multiplatformní aplikace - Windows, Unix, Linux, BSD, Android NXLog Community Edition Volně dostupná verze klienta i v podobě src NXLog Enterprise Edition Placená verze, doplňkové funkce DSlog Fork NXlog 2.5 s přidanými funkcemi (zejména remote eventlog ) Používán zejména pro instalace na Windows ve formě bezobslužného instalačního MSI balíčku před konfigurován pro konkrétní prostředí

Agentem podporované systémy NXlog podporuje množství operačních systémů Windows 32bit, 64bit CentOS / RHEL 32bit, 64bit Debian / Ubuntu 32bit, 64bit

Centrální správa agentů Centrální správu tvoří tři komponenty NXlog a DSlog Instalace agenta obsahuje konfiguraci, která se umí sama zaktualizovat. Xlog aplikace v PHP využívající Zabbix API Sestavuje konfiguraci pro jednotlivé agenty. Zabbix monitorovací systém Vytváření a přiřazovaní konfigurace pomocí šablon.

Princip centrální správy Po instalaci agenta se provede první spojeni s Xlog komponentou Provede se autoregistrace hosta v ramci Zabbix vygeneruje se unikátní autentizační řetězec (zabezpečení další komunikace) host je zařazen do skupiny Discovered host přiřadí se základní konfigurační šablona pro danou platformu další šablony přiřazuje administrátor manuálně dle požadované funkcionality V pravidelných intervalech si agent aktualizuje svou konfiguraci Defaultně 1x za hodinu Lze (centrálně) přenastavit Každý agent se může aktualizovat v jiném intervalu

Komponenta Xlog Komponenta psaná v PHP Používá Zabbix API - JSON Komponenta zajištuje komunikaci s NXlog agenty Sestavuje konfigurace individuálně pro konkrétní servery Dle items a maker přiřazených danému hostu v Zabbixu Využívá kvalit řízení konfigurace v Zabbix Monitorovací šablony Typizované konfigurace pro různé aplikace (logy) Pružné přiřazování jednotlivým hostům Makra Přizpůsobení typizované konfigurace konkrétním serverům

Zabbix Xlog šablony Definování pravidel sběru a zpracování logů Využíváme položky (items) typu Zabbix Trapper Konfigurační bloky v syntaxi NXlogu zapisujeme do pole Comment Pružné použití všech direktiv podporovaných programem NXlog Pro pojmenování položek používáme standardizovanou konvenci xlog.config[agent,extension,infilexlogrotation] xlog.config[agent,input,insysloglocal,001,normalizeattribs] xlog.config[agent,input,insysloglocal,015,rules-ssh] xlog.config[agent,input,insysloglocal,999,finalstatements] xlog.config[agent,output,outtcpxlog] xlog.config[agent,route,sysloglocal2collector]

Zabbix Item

ELISA výstupní data Hlavními výstupními kanály systému ELISA jsou: Kibana uživatelské rozhraní pro nahlížení na události JasperReport reporting systém pro zasílání periodických reportů JasperReports Server, Tomcat aplikace využívající MySQL Jaspersoft Studio, založeno na Eclipse IDE Jasper Reports ElasticSearch plugin od Wedjaa Open Source Initiative Elasticsearch API přístup dalších komponent k datům ELISA Perl - Search::ElasticSearch DRTECH/Search-Elasticsearch-2.00.tar.gz Python - elasticsearch (2.1.0) Java, JS, Groovy, PHP, Ruby,.NET atd.

ELISA GUI - Kibana Umožnuje tvorbu vlastních pohledů na zaznamenaná data ELISA Dashboard - umožňuje reprezentovat informace Vzhledné grafy Přehledy událostí na časové ose Filtrování Analýza logovaných informací Snadné sdílení Uživatelské role

ELISA GUI - Kibana

ELISA GUI - Kibana

ELISA GUI Analýza dat

ELISA - JasperReports Server Robustní reportovací nástroj od společnosti - TIBCO Jaspersoft Umožňuje tvorbu reportů a grafů zaznamenaných událostí Pro tvorbu reportů je používána aplikace Jaspersoft Studio Studio i Server se pomocí DataSource napojí na data Elasticsearch Reporty mohou být vytvářeny v mnoha formátech PDF, RTF, XML, XLS, CSV, HTML, XHTML, text, DOCX, nebo OpenOffice mohou být periodicky zasílány na E-Mail nebo ukládány na nastavený FTP server.

ELISA - JasperReports Server Přihlašovací obrazovka

ELISA - JasperReports Server

ELISA - Jaspersoft Studio Designer studio pro tvorbu reportů Export reportů na JasperReport Server Grafy, obrázky, sestavy a tabulky Napojení na Elasticsearch Používá plugin ElasticSearch

Detekce incidentů Bezpečnostní události jsou v systému ELISA vyhodnocovány na dvou úrovních: 1) na vstupu při prvotním zpracování událostí detekce výskytu konkrétních událostí korelace mezi událostmi opakované výskyty relace mezi různými událostmi kontextové korelace

Detekce incidentů Bezpečnostní události jsou v systému ELISA vyhodnocovány na dvou úrovních: 2) definovanými periodickými dotazy do databáze statistické anomálie first události apod.

Závěrem Log management systém ELISA ocení nejen bezpečnostní správci, ale i správci odpovědní za provoz systémů. Vyhledávání v událostech vznikajících v informačních systémech už prakticky nemůže být jednodušší! http://www.logmanagement.cz/

Děkuji za pozornost Lukáš Malý, DiS IT konzultant bezpečnost a monitoring maly@datasys.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář