Bonasus plus bilgi_güvenliği_yönetimi
60
2011 Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ANET Bonasus Plus
-
Upload
ertugrul-akbas -
Category
Technology
-
view
1.658 -
download
2
Transcript of Bonasus plus bilgi_güvenliği_yönetimi
2011
Ertuğrul AKBAS[ANET YAZILIM]09.04.2011
ANET Bonasus Plus
Bonasus Plus
Bonasus Plus İşlevleri:
•Log Yönetimi
•5651 ve Diğer Standartlara Uyumluluk:
•Sox, Cobit, HIPAA, GLBA, ISO 27001 ve diğerleri
•Güvenlik standartlarına ve ilgili yasalara uyumluluk
•Kurumsal politikaların daha etkili kullanılması
•Kurumsal kurallara aykırı davrananların tespiti
•Toplam sahip olma maliyetinin azaltılması
Bonasus Plus
Log Yönetiminin Önemi ve Bonasus Plus
Son zamanlarda birçok şirket sistemlere yapmış oldukları yatırımlardan daha cok verim alabilmek icin
Log Yonetimi üzerine yogunlaşmiş durumdadırlar ve bu şirketlerdeki IT departmanları da Log Yonetimi
sayesinde verimliliği arttırmaktadırlar.
Son zamanlarda birçok şirket sistemlere yapmış oldukları yatırımlardan daha cok verim alabilmek icin
Log Yonetimi üzerine yogunlaşmiş durumdadırlar ve bu şirketlerdeki IT departmanları da Log Yonetimi
sayesinde verimliliği arttırmaktadırlar.
Son zamanlarda kanunlar da Log Yonetimi konusuna onem vermektedirler. Log Yonetimi ornegin PCI
denetimi sirasindaki yukumluluklerin karsilanmasi konusunda gereklidir. Sorumlu olduklari denetimler
icin Log Yonetimi yapan sirketler bu loglar sayesinde sistemlerinde farkinda olmadiklari
bir cok sorunu da tespit etmektedirler.
Yonetim seviyesinde duyarliligin artmasina faydali olan Log Yonetimi sayesinde sirketler daha verimli
ve saglikli bir ag yapisina sahip olurlar.Sonuc olarak Log Yonetimi sistemlerin cokmesine sebebiyet
veren sorunlarin evvelden tespit edilerek sistemlerin daha guvenli calismasina ve sistemlerin daha az
cokmesini firsat verir.
Referans
SANS Log Survey Raporları
Bonasus Plus- Bilgi Güvenliği
•Bilgi güvenliği ihlalleri ve vakaları
arttıkça log yönetiminin önemi ve
gerekliliği daha iyi anlaşılmaktadır.
•ISO 27001, Bilgi Güvenliği(BG)
Yönetim Standardında log(iz kaydı)
yönetimin önemi vurgulanmaktadır.
•COBIT, ISO-27001 ve PCI log
yönetimine özel vurgu yapmaktadır
Bonasus Plus- Bilgi Güvenliği
Büyük ölçekli şirketlerin 2009 yılı güvenlik bütçesindeki en
büyük payın loglama sistemlerine ait olduğu bilgisi log
yönetiminin gittikçe artan önemini kanıtlar niteliktedir.
Bonasus Plus- Bilgi Güvenliği
kullanıcılar ve
sistemler için
Erişim Denetimi
kullanıcılar ve
sistemler için
Politika Belirle
ve Uygula
Sıradışı durumları
ve
saldırıları
Tespit Et
Merkezi
Komuta
ve
Kontrol
Güvenli BTAltyapısıSaldırılara ve ihlallere
karşı
Proaktif Koruma
Belirlenen
saldırıları
Yanıtla ve
Çöz
Temel Log Yönetimi Aktiviteleri
• Üretim
• Toplama
• Depolama
• Raporlama
• İlişkilendirme
• Özetleme
• Alarm üretimi
• Arşivleme
Bonasus Plus
Bonasus Plus
Teknik Özellikleri:
•Dağıtık mimariye sahip
•Herhangi bir etmen(agent) kurulumu gerektirmez. Ürün herhangi bir
ajan/etmen ihtiyacı olmadan Windows event loglarını toplar
•Platform Bağımsız .
•Motor (Engine)Java ve Arayüz PHP
•WEB Tabanlı
•Çok Kullanıcılı
•Yetki Tabanlı Kullanıcılar
•Sistem Auto Control
•Sistem log kaynaklarından log toplamada yada gelen logların EPS
değerlerinde değişiklik olması durumunu algılayıp uyarabilir
•Tanınmayan logları algılayıp uyarabilme
Teknik Özellikleri:
•Güvenlik ve Network Cihazları ile AD entegrasyonu sağlar
•Firewall loglarını Kullanıcı Adı ve Bilgisayar adı ile birlikte görüntüleyip
rapor oluşturabilir ve filtreleyebilir
•Gelişmiş Korelasyon Yeteneği
Olaylar ile ilgili log toplama, ilişkilendirme, normalleştirme ve
sınıflandırma işlemlerini yapabilir
Olay tipleri hızlıca ortak değerlere göre sınıflandırılabilir tamamen
farklı kaynaklardan gelen bilgilerde ilişkilendirme yapılabilmelidir.
(Örn: Farklı üreticilerin saldırı tespit sistemlerinden ve güvenlik
duvarlarından gelecek olan port taraması, tek bir port taraması olarak
değerlendirip, sınıflandırılabilir)
Teknoloji:
•Uzun seneler yapılan AR-GE ile oluşturulan bilgi birikimi:•Ertuğrul Akbaş, Yerel Alan Ağlarında Paket Analizi ile Güvenlik Taraması, ",
Ağ ve Bilgi Güvenliği Ulusal Sempozyumu, Mayıs,2008, Girne, KKTC.
•Ertuğrul Akbaş "Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama
Yöntemi", ISC'07 Bilgi Güvenliği ve Kriptoloji Konferansı, 13-14
Aralık,2007, Ankara, Turkiye.
•Ertuğrul Akbaş , Hata Yönetimi için Zeki Keşif ve Topoloji Oluşturma
Yöntemi ", Ağ ve Bilgi Güvenliği Ulusal Sempozyumu, pp 157-163, 9-11
Haziran,2005, Istanbul, Turkiye.
•Ertuğrul Akbaş, Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama
Yöntemi, http://www.olympos.org
Teknoloji:
•AR-GE•E. Akbas, "System Independent And Distributed Fault Management System",
The Eighth IEEE Symposium on Computers and Communications,30 June-3
July 2003, Antalya, Turkey.
•E. Akbas, "Web Based Management: A Novel Architecture ", The Sixteenth
International Symposium on Computer and Information Sciences (ISCIS
XVI), October, 29-31, 2001, Antalya, Turkey
•E. Akbas, E. Murat Esin, "SEAMLESS INTEGRATION OF NETWORK
MANAGEMEN PROTOCOL WITH DISTRIBUTED CONTROL", The
IJISIP Proceedings (ISSN: 1304-2386), Volume: 1, Number :1, July 2003,
International XII. Turkish Symposium of Artificial Intelligence and Neural
Networks (TAINN' 2003).
Teknoloji:
•AR-GE•H. Gümüskaya, T. Dursun, E. Akbas, O. Davulcu, "A CORBA and Java
Mobile Agent Based Network Management Architectures", International
Symposium on Computer and Information Sciences XIV (ISCIS'14), pp. 975-
982, October 18-20, 1999, Kusadasi, Izmir.
•H. Gümüskaya, E. Akbas, T. Dursun, O. Davulcu, "Utilization of CORBA,
Mobile Agents, Java, and Web Technologies for Network Management",
Reginal Conference on Millitary Communication and Information Systems
'99, October 6-8 , 1999, Zegrze, Poland.
Teknoloji:
•AR-GE•Ertuğrul Akbaş, Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama
Yöntemi, http://www.olympos.org
•Ertuğrul Akbaş , Bilgi Güvenliği, http://www.olympos.org
•Ertuğrul Akbaş, Yerel Alan Ağlarında Paket Analizi ile Güvenlik Taraması,
http://www.olympos.org
•E. Akbas, C. Ersoy, "Multi Constarint Path Finder Algorithm", The Fifteenth
International Symposium on Computer and Information Sciences ( ISCIS
XV), October, 11-13, 2000, ISTANBUL, Turkey .
•
•H. Gümüskaya, T. Dursun, E. Akbas, O. Davulcu, "A CORBA and Java
Mobile Agent Based Network Management Architectures", International
Symposium on Computer and Information Sciences XIV (ISCIS'14), pp. 975-
982, October 18-20, 1999, Kusadasi, Izmir.
•
•H. Gümüskaya, E. Akbas, T. Dursun, O. Davulcu, "Utilization of CORBA,
Log Kaynakları?
•İşletim Sistemleri:
•Windows XP/Vista/7
•Windows Server 2000/2003/2008/R2
•Unix/Linux Türevleri
•Nas Cihazları (NetApp)
•Uygulamalar:
•Dhcp
•IIS 6/7/7.5 (W3C)
•Apache (Syslog)
•Text-Based Log (Csv/Tsv/W3C/Txt/Custom )
•Dansguardain
•Postfix
Log Kaynakları?
•Firewall / Proxy:
•ISA/TMG Server
•BlueCoat
•3Com
•Astaro
•CheckPoint
•Cisco Systems
•Clavister
•CyberGuard
•D-Link
•Fortinet
•FreeBSD
•IPCop
•Juniper
•Drytek
•Kerio
•Lucent
•McAfee-Secure
Computing
•NetApp
•NetFilter
•Snort
•SonicWALL
•Netopia
•Network-1
•St. Bernard Software
•Sun Microsystems
•WatchGuard
•Zywall
•Anchiva
•Applied Identity
•ARKOON
•Aventail
•AWStats
•Cimcor
•DP Firewalls
•Electronic Consultants
•Global Technologies
•Ingate
•Inktomi
•Lenovo Security
Technologies
•NetASQ
Log Kaynakları?
•Network Cihazları:
•Syslog Gönderen Cihazlar
•SNMP Trap Gönderen Cihazlar
•Email:
•Exchange 2003
•Exchange 2007
•Exchange 2010
•IIS SMTP
•SendMail/Qmail ve Bezeri *nix Tabanlı Sistemler
•Veritabanları
•Oracle
•MSSQL (*)
Mimari?
•Motor (Engine): Logları Toplayıp verileri veritabanına
kaydeder ve önceden tanımlı otomatik faaliyetleri yerine getirir
•Yönetim Konsolu: WEB Tabanlı Kullanıcı grafik arayüzü ile
veritabanına ve engine ‘e bağlanarak genel sistemin yönetilmesini
bilgilerin gösterilmesini ve analiz edilmesini sağlar
Mimari?
Mimari?
•Performans
•İşlenecek kayıt sayısına (EPS) e göre fiziksel kapasite
arttırılabileceği gibi
Motor
Veritabanı
Arayüz
Farklı fiziksel veya sanal sunuculara eğitimli teknisyenlerce
dağıtılarak performans optimizasyonu sağlamaya açık bir mimariye
sahiptir.
Mimari?
Raporlar?
Anahtar kontrol noktalarının raporlanması
– Kullanıcı erişimleri
– Kabul edilmemiş, sistem tarafından reddedilmiş erişimler, (bunlar uygulamalar,
dosyalar gibi nesneler üzerinde de gerçekleşebilir,
– Öncelikli yetkilere sahip kullanıcılar, (Administative, Root Access),
– Yetkilendirme yetkisine sahip kullanıcı erişimleri,
– Uzaktan bağlantılar (VPN, Uzaktan ve/veya kablosuz erişimler),
– Sistem veya uygulama parametrelerinin değişimi,
– Erişim yetki seviyelerinin değişimi,
– Sistem özelliklerinin değişimi,
– Sistem güvenlik yapısının bir parçası olan (AUDIT) mekanizmasının aktive
edilmesi, kaldırılması
– Log kayıtlarına erişimler
Raporlar?
Raporlar?
•Logon/logoff takibi
•Başarısız oturum açma girişimi
•Logların silinmesi
•Kullanıcı hesabındaki değişikliklerin takibi
•Kimlerin ağ üzerinden oturum açtığının belirlenmesi
•Web sunucu üzerinde bulunan index.html dosyasında
gerçekleşecek değişiklik,
•Dhcp sunucu servisinin durması
•v.b. 100 lerce hazır rapor
Raporlar?
•Tamamen Görsel Raporlar
•100 lerce Hazır rapor
•Toplist Raporları
Raporlar?
•Hazır Raporlar
•Trafik Raporları
•Firewall Raporları
•Saldırı Raporları
•Anti-virus Raporları
•VPN Raporları
•URL Raporları
•Mail Raporları
•WEB Sunucu Raporları
•Proxy Raporları
•DHCP Raporları
Raporlar?
•Hazır Raporlar
•Printer Raporlar
•USB Raporları
•Dosya Erişim Raporları
•Logon/Logoff Raporları
•Başarısız Logon Denemeleri
Raporlar?
Raporlar?
•Hazır Raporlar
•Veritabanı Raporları
•Oracle, MSSQL(*)
•HIPAA Uyumluluk Raporları
•Kullanıcı Oturum Raporları (User Logon Report)
•Başarısız Oturum Açma Raporları (Logon Failure Reports)
•Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports)
•Nesne Erişim Raporları (Object Access Reports)
•Sistem Olayları Raporu (System Events Report)
•Oturum Durum Raporu (Host Session Status Report)
•Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Reports
•Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Failures
•Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
Raporlar?
•SOX Uyumluluk Raporları
•Kullanıcı Oturum Raporları (User Logon Report)
•Başarısız Oturum Açma Raporları (Logon Failure Reports)
•Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports)
•Nesne Erişim Raporları (Object Access Reports)
•Sistem Olayları Raporu (System Events Report)
•Oturum Durum Raporu (Host Session Status Report)
•Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
•Oturum Durum Raporu (Host Session Status Report)
•Hesap Yönetim Olaylarının Takibi
•Kullanıcı Grup Değişikliklerinin Takibi
Raporlar?
Raporlar?
•SOX Uyumluluk Raporları-Devam
•Kullanıcı Grup Değişikliklerinin Takibi
•Denetim Politikalarında Yapılan Değişikliklerin Takibi
•Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Reports
•Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Failures
•Kullanıcı Hareketlerinin Takibi
•Uygulama Çalıştırma Olaylarının Takibi
•Dizin/Dosya Erişim Takibi
Raporlar?
Raporlar?
•GLBA Uyumluluğu
•Kullanıcı Oturum Raporları (User Logon Report)
•Başarısız Oturum Açma Raporları (Logon Failure Reports)
•Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports)
•Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
Raporlar?
•Hazır raporların hepsinde tek tıkla
•En çok … kullanıcılar
•En çok …. URL ler
•En çok … IP ler
•En çok … makine isimleri
•En çok yapılan saldırı tipleri
•En çok saldıran virüsler
•Seçilen tarihler arasında rapor ve filtreleri oluşturma
•Seçilen herhangi bir siteye ulaşanlar
•Seçilen herhangi virüsün saldırdığı tarihler ve UTM yada
AV sunucu tarafından yapılan işlemler
•Vb…
Raporlar?
•Bütün Raporlar
•Liste
•Grafik olarak alınabilir
•Bütün Raporlar
•CSV
•TXT
•HTML
•Ayrıca Bazı Raporlar
•Crystal Reports
•MS Word
•Rich Text
olarak kaydedilebilir
Raporlar?
Raporlar?
•Hazır Raporlar Haricinde Kullanıcı Kendi Raporlarını Tanımlayabilir
Örnek Raporlar
Logon-Logoff
Örnek Raporlar
Logon-Logoff
Örnek Raporlar
Logon-Logoff-Addon
Örnek Raporlar
Saldırı Raporları
Örnek Raporlar
Saldırı Raporları-Grafiksel
Örnek Raporlar
URL Raporları-Grafiksel
Örnek Raporlar
5651-İmza
Yeni Rapor Tasarlama
Örnek: Uygulama Çalıştırma Olaylarının Takibi
Yeni Rapor Tasarlama
Örnek: Uygulama Çalıştırma Olaylarının Takibi
ANET Bonasus Plus-Addon
Addon
Bonasus Plus Eklentileri-Addon
•Yazılım - Donanım Envanteri
•Sistem Yönetimi ve Kullanıcı Raporları
•Olay Günlüğü Yönetimi Eklentisi
•Güvenlik Analizi
Addon
Bonasus Plus Eklentileri-Addon
•Bu modüller Etki alanı (Aktive Directory/Domain)
olmadan kurulamazlar
•Bonasus Plus kurulu sunucudan erişilebilen (Desktop based GUI)
arayüze sahiptirler
Addon
Envanter
Addon
Kullanıcı Yönetimi
Addon
Sistem Yönetimi
Addon
Sistem Yönetimi
•Server Yönetimi
•Bilgisayar Yönetimi
•Uzak Makinede Bütün Olayların
Yönetimi
•Uzak Masaüstü Desteği
•Diğer Komutlar
•Server Monitoring
Addon
Olay Günlüğü Yönetimi Eklentisi
Addon
Olay Günlüğü Yönetimi Eklentisi•Gelişmiş raporlama özelliği sayesinde ağınız hakkında derinlemesine
raporlar hazırlayabilirsiniz.
•Üzerinde gelen yüzlerce hazır kural ve filtre anında kurulum ve
kullanıma başlama imkanı sağlar.
•Tüm loglar içerisinde büyük kısmı oluşturan önemsiz logların
otomatik olarak silinebilmesi
•Ağın durumunun grafiksel olarak gözlemlenmesi
•Oluşan logların “event browser “ üzerinde hangi bilgileri görmek
istiyorsak o alanlar seçilerek, daha sade ve anlaşılabilir hale getirebiliriz.
Addon
Güvenlik Analizi
Addon
Güvenlik Analizi •Cisco Pix/ASA , Cisco IPS, Snort IDS ve
Microsoft Windows 2008/2003/Vista/XP loglarının görsel analizi
ile saldırılar ve bu saldırı lokasyonlarını haritalar üzerinde
Görebilirsiniz
Örnek:
Snort loglarını analiz ederek:<33> snort: [1:1421:11] SNMP AgentX/tcp request [Classification: Attempted Information Leak] [Priority: 2]: {TCP} XX.YY.XXX.YYY:39381 -> ZZ.XXX.YY.Y:7054
Saldırının geldiği Ülke
Saldırı tipi [SNMP SCAN]
Ayrıca aynı saldırıyı yapan başka adresler var mı?
ANET YAZILIM
Doğu Mah. Bilge Sok. No:2 Kat 5
Daire 4
Pendikİstanbul
T: 0216 3540580
F: 0216 3540580
www.anetyazilim.com.tr
www.anetyazilim.com
