Víme, co se děje aneb Log Management v praxi Petr Dvořák, GAPP System 7. 4. 2016
Trendy v ICT bezpečnosti v roce 2016 Ransomware Spear phishing Známé zranitelnosti Cloudové služby Stále více automatizace Mobilní aplikace Mobilní bankovnictví Internet of Things (IoT) Hactivism Interní ohrožení
Jak se této situaci účinně bránit?
Investice do ICT bezpečnosti a vzdělávání
Dílčí oblasti zajištění ICT bezpečnosti Next-Gen Firewall (NGFW) Deep packet inspection Operational Monitoring Log Management Secure Remote Access Network Security SIEM Security Information and Event Management BYOD Mobile Workspaces Mobility Management Enterprise Mobility ICT env. mgmt. Patch management Vulnerability mgmt. Identity management Access Management
Bezpečnostní politika organizace Business Impact Analysis (BIA) Rozhodnutí o zvládání rizik Formulace bezpečnostní strategie / politiky Zpracování dílčích politik Návrh opatření Realizace opatření ISO 27001
Next Generation Firewall - Dell SonicWall Network security Secure mobile access Email security Management and reporting Dell Networking Integration
Next Generation Firewall - Sophos
Next Generation Firewal Sophos Těsná integrace s Endpoint řešením Sophos Vybrané security funkce jsou k dispozici i při připojení k jiné síti Snadné řešení pobočkové konektivity Zařízení typu Remote Ethernet Device (RED) umožňuje snadno a efektivně připojit vzdálená pracoviště Vysoká míra konfigurovatelnosti Uživatelský portál pro přizpůsobení mnoha aspektů fungování řešení
NGFW a data pro Log Management Výstupy security funkcí Content Filtering Service Client Anti-Virus Gateway Anti-Virus Intrusion Prevention Service Anti-Spyware RBL Filter Geo-IP Filter Anti-spam Detaily síťového provozu NetFlow v5, v9 IPFIX, IPFIX with extensions
Log management Log management (LM) comprises an approach to dealing with large volumes of computergenerated log messages (also known as audit records, audit trails, event-logs, etc.). LM covers: log collection centralized aggregation long-term retention log rotation log analysis (in real-time and in bulk after storage) log search and reporting. Concerns about security, system and network operations (such as system or network administration) and regulatory compliance drive log management. Zdroj: https://en.wikipedia.org/wiki/log_management
Zdroje dat pro Log Management Aplikace Infrastruktura Souborové systémy Záznamy o přístupu k souborům a datům v IS Log Management Auditní záznamy ze správy infrastruktury: - Vytváření objektů - Změny objektů - Mazání objektů - Rekonfigurace - atd. NGFW Záznamy o datové komunikaci (NetFlow) Síťová infrastruktura
Jak vstupují data do Log Managementu? 1. Základním vstupem je 1 řádka logu. 2. Ta je převedena do strukturované informace (parsing). 3. Strukturovaná informace je uložena do databáze, kde jsou vybrané sloupce indexovány pro potřeby rychlého vyhledávání.
Příklad Zdrojová řádka logu var/log/nginx/exchange.log:37.188.224.159 - gapp\\x5condra [30/Sep/2015:14:58:59 +0200] "POST /Microsoft-Server- ActiveSync?Cmd=Sync&User=gapp%5Condra&DeviceId=SEC1F3282DE84471&Device Type=SAMSUNGGTI9300 HTTP/1.1" 200 0 "-" "SAMSUNG-GT-I9300/101.403"\x00 Interpretovaná informace
Architektura řešení GAPP Log Management Ukládání dat do databáze Vytěžování databáze Elasticsearch User and administration GUI Decoding and Parsing Engine Vytěžování systému a konfigurace Vznik nových událostí a jejich ukládání do systému Uživatel a administrátor Zdroje logů
Příklad podporovaných systémů Operační systémy Windows (winlogbeat), vč. Hyper-V Linux (rsyslog) UNIX (rsyslog) VMware vsphere Aplikační systémy Microsoft Exchange Microsoft SQL Server Microsoft Sharepoint SAP a další Infrastrukturní zařízení SNMP Syslog Např.: Cisco, HP, IBM, Dell, Brocade, APC Síťový provoz Netflow, IPFIX Např. Dell SonicWall, Fortinet Fortigate
GAPP Log Management Praktická ukázka
Typizované řešení pro běh GAPP Log Managementu Unifikovaná samostatná appliance Zajišťuje plné oddělení od provozního prostředí Poskytuje dostatečnou kapacitu i výkonnost Typizovaná platforma: Dell R730xd + MD1400 Licenční model Subscription based licence Dílčí softwarové komponenty GLM Databázový Engine Elastic Search Prezentační vrstva Kibana Integrační a parser engine GLM Podporované prostředí Systémy Windows (agent + agentless - WMI) Systémy Linux / UNIX / infastruktura (syslog) SNMP Netflow, IPFIX (např. Dell SonicWall) Jakékoli strojově čitelné logy
Děkuji za pozornost. Petr Dvořák, petr.dvorak@gapp.cz, +420 602 150 352