Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect

Podobné dokumenty
Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect

Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect

Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect

Jiří Vařecha Security Solution Architect

Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect

Jiří Vařecha

PŘÍPADOVÁ STUDIE ÚŘAD MĚSTSKÉ ČÁSTI PRAHA 3

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Představení Kerio Control

Kupní smlouva. č. j.: USTR 427-2/2016 uzavřená podle 2079 a násl. zákona č. 89/2012 Sb., občanský zákoník. Smluvní strany

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Monitorování datových sítí: Dnes

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Flow Monitoring & NBA. Pavel Minařík

Příloha č. 1 - ke Smlouvě na dodávku software dle GDPR pro počítačovou síť nedílná součást zadávací dokumentace k podmínkám výzvy VZ 145.

Microsoft Day Dačice - Rok informatiky

Závěrečná zpráva projektu FR CESNET 468R1/2012. Optimalizace správy síťových aplikací a zařízení AMU

Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

Kybernetické hrozby - existuje komplexní řešení?

SIEM a 6 let provozu Od požadavků ČNB přes Disaster Recovery až k Log Managementu. Peter Jankovský, Karel Šimeček, David Doležal AXENTA, PPF banka

Víme, co se děje aneb Log Management v praxi. Petr Dvořák, GAPP System

PB169 Operační systémy a sítě

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Firewall, IDS a jak dále?

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

FlowMon Monitoring IP provozu

LOGmanager a soulad s požadavky GDPR

FlowMon Vaše síť pod kontrolou

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

LINUX - INSTALACE & KONFIGURACE

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Aktivní bezpečnost sítě

Firewall, IDS a jak dále?

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Zákon o kybernetické bezpečnosti: kdo je připraven?

Technické aspekty zákona o kybernetické bezpečnosti

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Log management ELISA. Konference LinuxDays 2018

Nástroje pro korelace a vyhodnocování bezpečnostních událostí

PETR MAZÁNEK Senior systemový administrátor C# Developer

Koncept. Centrálního monitoringu a IP správy sítě

Z á k l a d n í š k o l a V s e t í n, T r á v n í k y

Koncept centrálního monitoringu a IP správy sítě

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..)

Petr Vlk KPCS CZ. WUG Days října 2016

Flow monitoring a NBA

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Úvod. Klíčové vlastnosti. Jednoduchá obsluha

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Bezpečnost sítí

Není cloud jako cloud, rozhodujte se podle bezpečnosti

IBM InfoSphere Guardium - ochrana databází

Upřesnění předmětu smlouvy

Koncept BYOD. Jak řešit systémově? Petr Špringl

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Co vše přináší viditelnost do počítačové sítě?

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

IPv6 v CESNETu a v prostředí akademických sítí

Bezpečnostní projekt Případová studie

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

M Administrace Microsoft SQL Server Popis: Absolvent kurzu bude umět: Požadavky pro absolvování kurzu: Kurz určen pro: Literatura:

Produktové portfolio

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Zkušenosti z průběhu nasazení virtualizace a nástrojů pro správu infrastruktury v IT prostředí České správy sociálního zabezpečení

Michal Andrejčák, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, SDM600 Stručný popis a reference.

2. Nízké systémové nároky

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Od virtualizace serverů k virtualizaci desktopů. Nebo opačně? Jaroslav Prodělal, OldanyGroup VMware VCP, consultant

Střední uměleckoprůmyslová škola a Vyšší odborná škola Turnov, Skálova 373 příspěvková organizace. ICT plán školy na školní roky 2016/2018

Státní ICT jak to zvládáme na NKÚ. Jan Mareš

Smlouva o dílo. uzavřená podle ustanovení 2586 a násl. zákona č. 89/2012 Sb.; občanský zákoník, v platném znění, (dále jen Občanský zákoník")

O b s a h ÚVOD. Kapitola 1 HARDWAROVÉ PRVKY SÍTÍ

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text.

FlowMon chytré české řešení pro bezpečnostní a provozní monitoring sítí. Jiří Tobola, Petr Špringl, INVEA-TECH

Data Protection Delivery Center, s. r. o. JEDNODUCHOST, SPOLEHLIVOST a VÝKONNOST. DPDC Protection. zálohování dat

Z á k l a d n í š k o l a V s e t í n, T r á v n í k y

Praha, Martin Beran

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

parametrů služeb elektronických komunikací

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

SW pro správu a řízení bezpečnosti

Z á k l a d n í š k o l a V s e t í n, T r á v n í k y

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Řešení ochrany databázových dat

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Transkript:

>Jak se neztratit v záplavě logů 1. listopadu 2016 - Anect Security Day Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect knapovsky@logmanager.cz

Nějak se nám to tady množí Roků k další miliardě Světová populace Rok Miliard obyvatel - 1800 1 127 1927 2 33 1960 3 14 1974 4 13 1987 5 12 1999 6 12 2011 7 14 2025* 8 *optimistický výhled Zdroj: wikipedia.org 4. listopadu 2016 / Strana 2

Nějak se nám to tady množí Množství logů ve firmě Zaměstnanců EPS Dní do Miliardy logů 250 200 125 500 500 50 1000 700 35 3000 1500 15 Plánování kapacity? > ~ 3000 zaměstnanců > ~ 1000 zdrojů / 3000+ EPS / 120 GB logů denně > ~ Miliarda logů za týden Zdroj: ČT 09/16 4. listopadu 2016 / Strana 3

Proč se sběrem/pochopením logů zabývat? >Praktické / provozní důvody Logy uložené na různých zařízeních nebo vůbec Velikost jednotlivých log souborů a jejich rotace Nejde centrálně vyhledávat >Bezpečnostní důvody Korelace statistické, bezpečnostní Nebezpečí modifikace logů Přehled o anomáliích, incidentech >Zákonné důvody Zákon o kybernetické bezpečnosti - 23 General Data Protection Regulation od května 2018 4. listopadu 2016 / Strana 4

LOGmanager představení

Schéma LOGmanager Forwarder Prezentační rozhraní WAN vzdálený sběr s šifrováním, QoS a bufferem LAN přímý sběr Aplikační engine Syslog Syslog NG WES Windows Event Sender UDP JSON TCP CEF File Buffer Parser 12/40TB Database DB Log4j/XML CheckPoint, VMWARE, SQL LOGmanager 4. listopadu 2016 / Strana 6

LOGmanager rozhraní 4. listopadu 2016 / Strana 7

Přehled funkcí >Dashboardy >Alerty >Reporty >Databáze zařízení >Systém práv >Vestavěné i zákaznicky vytvářené parsery logů >Agent pro Windows s filtrací irelevantních událostí 4. listopadu 2016 / Strana 8

LOGmanager příklady použití

LOGmanager příklady použití SHODA S PŘEDPISY Organizace vzhledem ke svému působení potřebuje centrální systém správy, analýzy a reportování výstupů z bezpečnostních zařízení, operačních systémů a aplikací. MONITORING BEZPEČNOSTNÍCH ZAŘÍZENÍ SÍŤOVÁ BEZPEČNOST Sledování a korelace výstupů ze zařízení pro síťovou bezpečnost jako jsou firewally, IDS/IPS systémy, bezdrátové sítě, systémy na vzdálený přístup, proxy a podobně. Statistiky VPN, konfigurace VPN, aktivita připojování. Statistiky a reporty Web Content Filtering. SLEDOVÁNÍ KONFIGURAČNÍCH ZMĚN Kdo, kdy a s jakým výsledkem provedl nebo se pokoušel provést konfigurační změny v zařízeních. 4. listopadu 2016 / Strana 10

LOGmanager příklady použití 2 ZATÍŽENÍ FIREWALLU A KONTROLA EFEKTIVITY POUŽITÝCH PRAVIDEL Která pravidla nejvíce zasahují. Která pravidla jsou neefektivní. Kde jsou slabá místa zabezpečení audit existujících FW pravidlech. Identifikace komunikačních toků a podklady pro úpravu pravidel. INFORMACE SOUVISEJÍCÍ S OVĚŘOVÁNÍM DO SÍTĚ NETWORK LOGIN DLE 802.1X Operační analýza podpory nasazování a provozování ověřování přístupu do sítě. Audit logy úspěšných a neúspěšných přihlášení. PORUŠENÍ BEZPEČNOSTNÍCH PRAVIDEL Komunikace s nepovolenými SMTP servery Monitoring P2P sítí. Přístup uživatelů na nepovolené weby WebFiltering. Podezřelé aktivity s otvíráním příliš velkého počtu spojení (SSH. Web. SMTP). Kontrola přístupu mimo proxy (servery, lidé) Dodržování komunikační politiky mezi segmenty sítě. Pokusy o přístup mimo povolené služby, protokoly. 4. listopadu 2016 / Strana 11

ACT PROCESS COLLECT Blokovaný účet správce AD Síťová Systémy Bezpečnostní Aplikace Přepínače Routery Email FlowMon FW IPS WLAN Stanice Servery VPN SandBox Anti Web aplikace Databáze Virtualizace AD CRM V grafickém rozhraní dashboard Windows Logon Event najít logon fail příslušného uživatele Identifikovat službu, která používá lokálního uživatele Předat překvapenému administrátorovi informaci, že na serveru XY běží pod lokálním uživatelem danou službu

Snímek obrazovky z akce

LOGmanager parametry, konkurence a roadmap

Podporovaná zařízení HARDWARE: SOFTWARE: WINDOWS: LINUX: Brocade SAN, Cisco (ASA, WLC), FortiNet (FG, Apache web server, Cisco IOS, CEF, CEF ESET Remote Administrator, Microsoft Windows Freeradius, ISC Bind, ISC DHCP, SSH FML, FA), H3C, HP (ComWare i ProCurve), TippingPoint SMS, Novell edirectory, CompuNet IIS, Microsoft Windows firewall, Windows Avast CheckPoint, Juniper SRX, Kernun, Trapeze wifi, GAMA, HP ilo 4, HP imc, Kerio Connect, SAP, Antivirus, Windows 7, 8, Server 2008, 2012 audit UBNT (Rocket, Unifi) AV (Eset, Avast, AVG), VMware log (WES), Windows any logs from Event Viewer, Windows any text log from file 4. listopadu 2016 / Strana 15

Parametry >Trvalý příjem 2.000 nebo 6.000 eventů za sekundu (dle modelu) >Podpora clusteringu. >Neomezený počet zdrojů. >V základu uložení 12/40TB logů se snadným škálováním výkonu i úložné kapacity. >Snadný a přehledný systém licencování. Ž Á D N É >Přímá technická podpora výrobcem v českém jazyce. L I C E N C E 4. listopadu 2016 / Strana 16

Vývoj LOGmanageru Databázový stroj Parser engine Databáze zařízení Podpora CEF WES Windows Event Sender s filtrací irelevantních událostí DNS Resolver Alerty Reporty Přístupová práva Kategorizace zařízení Kategorizace událostí Šifrování uložených dat Event correlator v reálném čase Uživatelské parsery Archivace na externí úložiště Export událostí v CEF, JSON, LEEF Retence dat Rozšíření Event Correlator Příjem SNMP událostí Virtuální konektory Behaviorální analýza Detekce vzorů (útoky) Datacenter security Spouštění skriptů dle události Sjednocování identit Filtrace Statistiky PARSERY průběžné aktualizace a doplňování SYSTÉM zvyšování výkonu a optimalizace SEM SIEM 2014 2015 2016 2017 2018 4. listopadu 2016 / Strana 17

Srovnání s konkurencí LOGMANAGER hardware a implementace v ceně pořízení žádné licenční omezení rychlá implementace (dny) nízké náklady na provoz základní funkce SIEM uživatelsky přehlednější a intuitivnější ovládání předfiltrování a forward logů v nativním formátu ArcSight/Qradar (CEF/LEEF) ARCSIGHT, QRADAR vysoká pořizovací cena složitá licenční politika zdlouhavá implementace (měsíce) vysoké náklady na provoz rozšířené funkce SIEM, omezený výkon náročné ovládací rozhraní vyžadující velké znalosti administrátora www.logmanager.cz / Strana 18

Srovnání s konkurencí konkurenční systémy postavené na ElasticSearch LOGMANAGER žádné licenční omezení rychlá implementace (dny) All in one řešení základní funkce SIEM neumožňuje mazání logů vlastní klient pro Windows - jednoduchá správa KONKURENČNÍ SYSTÉMY různé licenční podmínky složitá implementace (týdny) systémy nefungují jako appliance, ale jako dodělej/dokonfiguruj si sám pouze logmanagement lze mazat logy www.logmanager.cz / Strana 19

Srovnání s konkurencí konkurenční systémy postavené na ElasticSearch LOGMANAGER jedno uživatelské rozhraní široké možnosti filtrování, reportů a alertů přístupová práva předpřipravené dashboardy propracovaný systém standardizace logů široký počet podporovaných zařízení RAID 6 ochrana dat KONKURENČNÍ SYSTÉMY systémy jsou složeny z více softwarových aplikací, které mají jiné ovládací rozhraní absence alertů, reportů absence přístupových práv absence dashboardů Konfigurační chybou správce je systém možno rozbít Virtuál - nízký výkon, cena HW www.logmanager.cz / Strana 20

Reference Česká televize možnost referenční návštěvy Česká zemědělská univerzita Ostravská univerzita Městská část Praha 3 Státní zemědělský intervenční fond Krajská zdravotní a.s. Vojenské lesy a.s. 4. listopadu 2016 / Strana 21

LOGmanager poslední slide ;-)_ >Plní požadavky Zákona o kybernetické bezpečnosti, GDPR a ISO/IEC 27001. >Uschování logů pro předložení organizacím zabývajících se bezpečností CESNET CERST a CIRST nebo Policii ČR. >Sběr logů pro řešení bezpečnostních incidentů i provozních problémů. >Centrální přehled s grafickou prezentací Dashboardy. >Intuitivní a rychlé vyhledávání. >Forenzní analýza. >Alerty, reporty. >Korelace událostí. >Sjednocení formátu logů. >Dlouhodobé uložení se zálohováním do NFS >Podpora clusteru v základu. >Centrální úložiště logů. A to vše bez licencí, v češtině a na výkonném hardware s výměnou do příštího pracovního dne. www.compunet.cz 4. listopadu 2016 / Strana 22

Děkuji za pozornost Miroslav Knapovský CISSP, CEH, CCSK Security Solution Architect knapovsky@logmanager.cz Vývojář: Sirwisa a. s. www.sirwisa.cz Distribuce: Veracomp s. r. o. www.veracomp.cz www.logmanager.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář