>Jak se neztratit v záplavě logů 1. listopadu 2016 - Anect Security Day Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect knapovsky@logmanager.cz
Nějak se nám to tady množí Roků k další miliardě Světová populace Rok Miliard obyvatel - 1800 1 127 1927 2 33 1960 3 14 1974 4 13 1987 5 12 1999 6 12 2011 7 14 2025* 8 *optimistický výhled Zdroj: wikipedia.org 4. listopadu 2016 / Strana 2
Nějak se nám to tady množí Množství logů ve firmě Zaměstnanců EPS Dní do Miliardy logů 250 200 125 500 500 50 1000 700 35 3000 1500 15 Plánování kapacity? > ~ 3000 zaměstnanců > ~ 1000 zdrojů / 3000+ EPS / 120 GB logů denně > ~ Miliarda logů za týden Zdroj: ČT 09/16 4. listopadu 2016 / Strana 3
Proč se sběrem/pochopením logů zabývat? >Praktické / provozní důvody Logy uložené na různých zařízeních nebo vůbec Velikost jednotlivých log souborů a jejich rotace Nejde centrálně vyhledávat >Bezpečnostní důvody Korelace statistické, bezpečnostní Nebezpečí modifikace logů Přehled o anomáliích, incidentech >Zákonné důvody Zákon o kybernetické bezpečnosti - 23 General Data Protection Regulation od května 2018 4. listopadu 2016 / Strana 4
LOGmanager představení
Schéma LOGmanager Forwarder Prezentační rozhraní WAN vzdálený sběr s šifrováním, QoS a bufferem LAN přímý sběr Aplikační engine Syslog Syslog NG WES Windows Event Sender UDP JSON TCP CEF File Buffer Parser 12/40TB Database DB Log4j/XML CheckPoint, VMWARE, SQL LOGmanager 4. listopadu 2016 / Strana 6
LOGmanager rozhraní 4. listopadu 2016 / Strana 7
Přehled funkcí >Dashboardy >Alerty >Reporty >Databáze zařízení >Systém práv >Vestavěné i zákaznicky vytvářené parsery logů >Agent pro Windows s filtrací irelevantních událostí 4. listopadu 2016 / Strana 8
LOGmanager příklady použití
LOGmanager příklady použití SHODA S PŘEDPISY Organizace vzhledem ke svému působení potřebuje centrální systém správy, analýzy a reportování výstupů z bezpečnostních zařízení, operačních systémů a aplikací. MONITORING BEZPEČNOSTNÍCH ZAŘÍZENÍ SÍŤOVÁ BEZPEČNOST Sledování a korelace výstupů ze zařízení pro síťovou bezpečnost jako jsou firewally, IDS/IPS systémy, bezdrátové sítě, systémy na vzdálený přístup, proxy a podobně. Statistiky VPN, konfigurace VPN, aktivita připojování. Statistiky a reporty Web Content Filtering. SLEDOVÁNÍ KONFIGURAČNÍCH ZMĚN Kdo, kdy a s jakým výsledkem provedl nebo se pokoušel provést konfigurační změny v zařízeních. 4. listopadu 2016 / Strana 10
LOGmanager příklady použití 2 ZATÍŽENÍ FIREWALLU A KONTROLA EFEKTIVITY POUŽITÝCH PRAVIDEL Která pravidla nejvíce zasahují. Která pravidla jsou neefektivní. Kde jsou slabá místa zabezpečení audit existujících FW pravidlech. Identifikace komunikačních toků a podklady pro úpravu pravidel. INFORMACE SOUVISEJÍCÍ S OVĚŘOVÁNÍM DO SÍTĚ NETWORK LOGIN DLE 802.1X Operační analýza podpory nasazování a provozování ověřování přístupu do sítě. Audit logy úspěšných a neúspěšných přihlášení. PORUŠENÍ BEZPEČNOSTNÍCH PRAVIDEL Komunikace s nepovolenými SMTP servery Monitoring P2P sítí. Přístup uživatelů na nepovolené weby WebFiltering. Podezřelé aktivity s otvíráním příliš velkého počtu spojení (SSH. Web. SMTP). Kontrola přístupu mimo proxy (servery, lidé) Dodržování komunikační politiky mezi segmenty sítě. Pokusy o přístup mimo povolené služby, protokoly. 4. listopadu 2016 / Strana 11
ACT PROCESS COLLECT Blokovaný účet správce AD Síťová Systémy Bezpečnostní Aplikace Přepínače Routery Email FlowMon FW IPS WLAN Stanice Servery VPN SandBox Anti Web aplikace Databáze Virtualizace AD CRM V grafickém rozhraní dashboard Windows Logon Event najít logon fail příslušného uživatele Identifikovat službu, která používá lokálního uživatele Předat překvapenému administrátorovi informaci, že na serveru XY běží pod lokálním uživatelem danou službu
Snímek obrazovky z akce
LOGmanager parametry, konkurence a roadmap
Podporovaná zařízení HARDWARE: SOFTWARE: WINDOWS: LINUX: Brocade SAN, Cisco (ASA, WLC), FortiNet (FG, Apache web server, Cisco IOS, CEF, CEF ESET Remote Administrator, Microsoft Windows Freeradius, ISC Bind, ISC DHCP, SSH FML, FA), H3C, HP (ComWare i ProCurve), TippingPoint SMS, Novell edirectory, CompuNet IIS, Microsoft Windows firewall, Windows Avast CheckPoint, Juniper SRX, Kernun, Trapeze wifi, GAMA, HP ilo 4, HP imc, Kerio Connect, SAP, Antivirus, Windows 7, 8, Server 2008, 2012 audit UBNT (Rocket, Unifi) AV (Eset, Avast, AVG), VMware log (WES), Windows any logs from Event Viewer, Windows any text log from file 4. listopadu 2016 / Strana 15
Parametry >Trvalý příjem 2.000 nebo 6.000 eventů za sekundu (dle modelu) >Podpora clusteringu. >Neomezený počet zdrojů. >V základu uložení 12/40TB logů se snadným škálováním výkonu i úložné kapacity. >Snadný a přehledný systém licencování. Ž Á D N É >Přímá technická podpora výrobcem v českém jazyce. L I C E N C E 4. listopadu 2016 / Strana 16
Vývoj LOGmanageru Databázový stroj Parser engine Databáze zařízení Podpora CEF WES Windows Event Sender s filtrací irelevantních událostí DNS Resolver Alerty Reporty Přístupová práva Kategorizace zařízení Kategorizace událostí Šifrování uložených dat Event correlator v reálném čase Uživatelské parsery Archivace na externí úložiště Export událostí v CEF, JSON, LEEF Retence dat Rozšíření Event Correlator Příjem SNMP událostí Virtuální konektory Behaviorální analýza Detekce vzorů (útoky) Datacenter security Spouštění skriptů dle události Sjednocování identit Filtrace Statistiky PARSERY průběžné aktualizace a doplňování SYSTÉM zvyšování výkonu a optimalizace SEM SIEM 2014 2015 2016 2017 2018 4. listopadu 2016 / Strana 17
Srovnání s konkurencí LOGMANAGER hardware a implementace v ceně pořízení žádné licenční omezení rychlá implementace (dny) nízké náklady na provoz základní funkce SIEM uživatelsky přehlednější a intuitivnější ovládání předfiltrování a forward logů v nativním formátu ArcSight/Qradar (CEF/LEEF) ARCSIGHT, QRADAR vysoká pořizovací cena složitá licenční politika zdlouhavá implementace (měsíce) vysoké náklady na provoz rozšířené funkce SIEM, omezený výkon náročné ovládací rozhraní vyžadující velké znalosti administrátora www.logmanager.cz / Strana 18
Srovnání s konkurencí konkurenční systémy postavené na ElasticSearch LOGMANAGER žádné licenční omezení rychlá implementace (dny) All in one řešení základní funkce SIEM neumožňuje mazání logů vlastní klient pro Windows - jednoduchá správa KONKURENČNÍ SYSTÉMY různé licenční podmínky složitá implementace (týdny) systémy nefungují jako appliance, ale jako dodělej/dokonfiguruj si sám pouze logmanagement lze mazat logy www.logmanager.cz / Strana 19
Srovnání s konkurencí konkurenční systémy postavené na ElasticSearch LOGMANAGER jedno uživatelské rozhraní široké možnosti filtrování, reportů a alertů přístupová práva předpřipravené dashboardy propracovaný systém standardizace logů široký počet podporovaných zařízení RAID 6 ochrana dat KONKURENČNÍ SYSTÉMY systémy jsou složeny z více softwarových aplikací, které mají jiné ovládací rozhraní absence alertů, reportů absence přístupových práv absence dashboardů Konfigurační chybou správce je systém možno rozbít Virtuál - nízký výkon, cena HW www.logmanager.cz / Strana 20
Reference Česká televize možnost referenční návštěvy Česká zemědělská univerzita Ostravská univerzita Městská část Praha 3 Státní zemědělský intervenční fond Krajská zdravotní a.s. Vojenské lesy a.s. 4. listopadu 2016 / Strana 21
LOGmanager poslední slide ;-)_ >Plní požadavky Zákona o kybernetické bezpečnosti, GDPR a ISO/IEC 27001. >Uschování logů pro předložení organizacím zabývajících se bezpečností CESNET CERST a CIRST nebo Policii ČR. >Sběr logů pro řešení bezpečnostních incidentů i provozních problémů. >Centrální přehled s grafickou prezentací Dashboardy. >Intuitivní a rychlé vyhledávání. >Forenzní analýza. >Alerty, reporty. >Korelace událostí. >Sjednocení formátu logů. >Dlouhodobé uložení se zálohováním do NFS >Podpora clusteru v základu. >Centrální úložiště logů. A to vše bez licencí, v češtině a na výkonném hardware s výměnou do příštího pracovního dne. www.compunet.cz 4. listopadu 2016 / Strana 22
Děkuji za pozornost Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect knapovsky@logmanager.cz Vývojář: Sirwisa a. s. www.sirwisa.cz Distribuce: Veracomp s. r. o. www.veracomp.cz www.logmanager.cz