Crypttech LOG SIEM 2015
-
Upload
mustafa-kugu -
Category
Technology
-
view
159 -
download
13
Transcript of Crypttech LOG SIEM 2015
![Page 1: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/1.jpg)
CryptTech Co.Information Security Intelligence
Teknik Ürün SunumuCRYPTOLOG
CRYPTOSIM
![Page 2: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/2.jpg)
A
2
Ajanda
CryptTech, tarihçe ve kilometre
taşları, iletişim bilgileri
Log, log yönetimi ve SIEM
CryptoLOG, log yönetim ürünü Log kaynakları, log toplama yöntemleri
Plug-in’ler, ayrıştırıcılar (parser)
Veri doğrulama
CryptoLOG’un yönetimi - Göstergeler
- Forensik analiz
- İstatistiksel raporlar
- Uyumluluk ve resmi düzenlemeler
- Depolama
Kurulum senaryoları- Ölçeklendirilebilirlik
- Esneklik
- Erişilebilirlik
A
CryptoSIM, SIEM çözümü
uygulamasıCryptoSIM özellikleri
Korelasyon (ilişkilendirme)- Korelasyon motorları
- Korelasyon kuralları
Risk değerleme
Olay yönetimi
![Page 3: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/3.jpg)
A
3
Şirket ProfiliCryptTech
Türkiye’nin önde gelen bilgi güvenliği çözümleri üreten Ar-Ge firması
Türkiye’de +500 kurumsal müşteri ve KOBİ
Hizmetlerimiz
Log yönetimi
Bilgi güvenliği ve Olay yönetimi
Hotspot çözümleri
Açık ve penetrasyon testleri
Ürünlerimiz
CRYPTOLOG – Log yöneticisi
CRYPTOSIM – Bilgi güvenliği ve Olay yönetimi çözümü
CRYPTOSPOT – HOTSPOT çözümü
A
![Page 4: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/4.jpg)
A
4
CryptTechDönüm noktaları
CryptTech
kuruldu
CRYPTOLOG
log yönetim çözümü
CRYPTOSPOT
Hotspot çözümü
CRYPTOSIM
SIEM çözümü
Türkiye çapında
+500 müşteri
A
![Page 5: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/5.jpg)
A
5
İletişim
www.crypttech.com
+90 212 217 7017
http://support.crypttech.com
www.facebook.com/crypttech
www.twitter.com/crypttech
A
![Page 6: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/6.jpg)
6
ALog, Log Yönetimi ve SIEM
Log nedir? Neden Log
yönetimi?
SIEM
nedir?Sunucular, ağ cihazları,
işletim sistemleri ve
uygulamaların tüm işlem
kayıtları.
Log yönetimi ile loglar
yorumlanabilir, ve işlenebilir,
raporlanabilir hale getirilir.
Bilgi Güvenliği ve Olay
Yönetimi (SIEM). Logların
ilişkilendirilmesi ile risk ve
gerçek zamanlı olay yönetimi.
A
![Page 7: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/7.jpg)
ALog, Log Yönetimi ve SIEM
7
Log toplama
Logların toplanması,
taşınması, ayrıştırılması,
kategorize edilerek
depolanması.
Analiz
Log üzerinde arama,
uyumluluk ve istatistik
raporları, logların
sıkıştırılması ve
depolanması.
Korelasyon
Olay ilişkilendirme, risk
değerleme, alarm ve olay
yönetimi.
Log Toplama
LOGs
CRYPTOLOG
CRYPTOSIM
Korelasyon
Analiz
A
![Page 8: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/8.jpg)
8
-Log toplama,
-Log filtreleme
-Log Ayrıştırma, kategorilendirme
-Analiz (forensik, uyumluluk raporları)
-Depolama
-Korelasyon kuralları motoru
-Alarm üretme
-Otomatik script çalıştırma
-Gerçek zamanlı eylem alma
VERİ
BİLGİ
ZEKA
EYLEM
A
A
Log, Log Yönetimi ve SIEM
![Page 9: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/9.jpg)
CRYPTOLOGYazılım tabanlı log yönetim ürünü
![Page 10: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/10.jpg)
10
CRYPTOLOG
Log Toplama ve
Log iletimi
Analiz, Log
imzalama, Log
arama, ve raporlama
Log ayrıştırma ve
sınıflandırma
Log sıkıştırma ve
depolama
ACRYPTOLOG- Log Yönetim Çözümü
Tüm kaynak çeşitleri ve log formatları
ile uyumlu
Kullanıcı dostu yönetim arayüzü
Gelişmiş arama seçenekleri ile
zenginleştirilmiş güçlü forensik analizi
Kurum yapısına ve gereksinizmlerine
göre ölçeklendirilebilirlik
Yüksek performans
Değişen yasal düzenlemelere en hızlı
uyum desteği
Esnek depolama ve arşivleme
seçenekleri
Olay yönetimi için CryptoSIM ile tam
uyumluluk
A
![Page 11: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/11.jpg)
11
ALog KaynaklarıLog toplama yöntemleri
Güvenlik
çözümleri
Uygulamalar
Sunucular
Web
Sunucular
Dosya
Sunucular
Veritabanları
Ağ cihazlarıA
SyslogSSH/Paylaşım
Odbc
Jdbc
SNMP
OPSEC
FTP
Dinleme
Flow
CRYPTOLOG
CryptTech
Windows
Ajanı
![Page 12: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/12.jpg)
12
ACRYPTOLOG Pluginler
A
Parser
< / >SQL
query
- Odbc/Jdbc
entegrasyonu
için
,…,Ayraç
(Delimiter)
- Pek çok kaynakta
kullanılır
RegEx
- En sık kullanılan
ayrıştırma
yöntemi
[^…]
C#C# / Visual Basic
- Metin kütüphaneleri
![Page 13: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/13.jpg)
Tüm dosyalar anlık olarak
dijital olarak imzalanır.
AVeri Doğrulama
13
Log Depolama
Digital
İmza
HashZaman
damgası
MD5
SHA1
SHA256
SHA384
SHA512
DSA
RSA Uyarlanabilir
Zaman Sunucusu
Dosya/Dizin
İmzaları
Log dosyası
Log dosyasına ait
hash
CryptoLog bu dosyaların uyumluluğunu anlık olarak
denetler.
Alarm
A
13
![Page 14: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/14.jpg)
14
Ağ içi bilgi güvenliği
Tek elden tüm logların yönetimi
Forensik Analiz
Uyumluluk ve resmi düzenlemeler
Hazır rapor şablonları
Kolay bakım, kolay sorun giderme
![Page 15: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/15.jpg)
15
ACRYPTOLOG GöstergeleriAçıklayıcı Görsellik
A
Erişilebilirlik ve performansın izlenmesi
Potansiyel ticari fırsatlar
Güvenlik sorunlarınının tespiti
![Page 16: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/16.jpg)
16
ACRYPTOLOG GöstergelerAçıklayıcı Görsellik
A
![Page 17: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/17.jpg)
A
A
17
Forensik Analiz
Gelişmiş ve esnek arama seçenekleri
Hash’lenmiş veya ham veri üzerinde
arama imkanı.
Güçlü arama motoru, yüksek performans
Arama sonuçlarını PDF, XLS, DOC, CSV formatlarında dışa
aktarma
![Page 18: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/18.jpg)
18
A
A
Forensik Analiz
![Page 19: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/19.jpg)
19
ACRYPTOLOGİstatistiksel Raporlar
A
Kullanıcı ihtiyaçlarına göre
uyarlanabilirlik
Zamanlandırılabilir raporlar, e-posta uyarıları.
+400 Hazır rapor şablonu
PDF, XLS, DOC, CSV formatlarında raporlar.
![Page 20: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/20.jpg)
20
ACRYPTOLOGÖrnek istatistiksel rapor şablonları
A
Güvenlik duvarı
şablonları
En çok engellenen kaynak
IP’ler
En çok istekte bulunulan
hedef IP/URL’ler
En çok kullanılan portlar
En çok işleyen kurallar
E-posta sunucu
şablonları
En çok mail gönderen adresler
En çok mail alan adresler
En büyük trafikte mail gönderen
adresler
En büyük trafikte mail alan
adresler
En çok kullanılan mail başlığı
Web sunucu şablonları
En çok istekte bulunan IP’ler
En çok istekte bulunulan URL’ler
En çok alınan sunucu hata
sayfaları
En çok alınan istemci hata
sayfaları
![Page 21: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/21.jpg)
21
AUyumluluk, Düzenlemeler ve
Erişim KurallarıA
GLBA
SOX
DepolamaErişim
KontrolüUyumluluk
4 yıl
3 yıl2 yıl
1 yıl6 ay
![Page 22: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/22.jpg)
ASıkıştırma & Depolama
17
A
Depolama 1/30 oranında sıkıştırma
Arşivleme
Yedekleme
Esnek konfigürasyon Disk
NAS
DAS
SAN
Bulut
HSM Yüksek güvenlikli
konfigürasyon
Depolama politikası
Arşivlenmiş /
sıkıştırılmış veri
üzerinde arama
![Page 23: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/23.jpg)
A
A
20
Kurulum Senayosu-IÖlçeklendirilebilirlik
Router
Güvenlik
duvarı
Switch
Sunucu
CryptoLOG
Sensör
Sensör
Sensör
Merkezi log
sunucusu
CryptoLOG
CryptoLOG
CryptoLOG
Küçük ölçekli ağ yapısı Büyük ölçekli ağ yapısı
![Page 24: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/24.jpg)
A
A
Kurulum Senayosu-IIEsneklik
Internet
Router
Firewall
Switch
Switch
İş istasyonları
Sunucular
Notebook’lar
sunucusu
Web Sunucusu
Dosya
sunucusu
DMZ
CRYPTOLOG
CRYPTOLOG 24
![Page 25: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/25.jpg)
ACRYPTOLOG Erişilirlik Ajan
Depolama
Ajan
Aktif
Pasif
AktifCryptoLOG
Log
sunucusu
CryptoLOG
Log
sunucusu
AktifAktif-aktif
Aktif-pasif
Yüksek erişilebilirlik
25
![Page 26: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/26.jpg)
CRYPTOSIM
Yazılım tabanlı SIEM çözümü
![Page 27: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/27.jpg)
27
Tehdit algılama
Olay ilişkilendirme
Risk değerleme
Olay yönetimi
CRYPTOLOG
Korelasyon
![Page 28: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/28.jpg)
A
28
KorelasyonA
Birden fazla olayın ilişkilendirilerek
olağandışı olayın tespitiOlay temelli
Kural temelli
Olağandışılık
temelli
Risk temelli
Farklı ancak ilgili olayların
ilişkilendirilerek yorumlanması
Olay
Zaman Kaynak
Erişimİçerik
![Page 29: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/29.jpg)
A
29
CRYPTOSIM Korelasyon MotoruA
Mantıksal korelasyon
Çapraz korelasyon
Temel korelasyon
Temel
korelasyon
Mantıksal
Korelasyon
Çapraz
korelasyon
İçeriksel
korelasyon
Tarihsel
korelasyon
Hiyerarşik
korelasyon
İçeriksel
korelasyon
Tarihsel korelasyon
Hiyerarşik
korelasyon Basit kurallar, login hataları vb
Farklı log kaynakları üzerinde
aynı olaylar için çapraz korelasyon
Olay önceliklendirmesine dayalı
mantıksal ağaç yapısı algoritması
Varlığın karakteristiklerine dayalı
Toplanmış eski veriden imza
ve olağandışılık temelli tehdit
algılama
Depolanmış logun farklı
korelasyon kuralları ile tekrar
ilişkilendirilmesi
![Page 30: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/30.jpg)
AKorelasyon Kuralları
21
A
Korelasyon kuralları, alarm üreten ya da aksiyon alan kurallar
kümesidir.
Özel korelasyon kuralları
(ihtiyaç doğrultusunda
hazırlanan kullanıcı tanımlı
kurallar)Hazır korelasyon kuralları
(açık kaynaklı kütüphaneler ve
araçlar)
![Page 31: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/31.jpg)
ARisk Değerleme
21
A
Öncelik
Varlık
Güvenilirlik
Zaafiyet temelli
Hasar değerleme
Gerçekleşme olasılığı
RİSK
Varlık
Güvenilirlik Öncelik
![Page 32: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/32.jpg)
AOlay Yönetimi
21
A
- Python veya Bash
betikleri
- Kötü niyetli
paketlerin
engellenmesi
- Sistemi kapatma
komutları
- Erişim engelleme
- Yeni kural tanımlama
- Olay tiplerine özgü
aksiyon alabilme
Aksiyon
<_
Alarm
- Özelleştirilebilir olay
kuralları
- Zamanlanabilir
bildirimler
- E-posta, SMS vb.
İle bildirim
- Arıza takip
sistemleri ile
entegrasyon
![Page 33: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/33.jpg)
AThreat Intelligence
21
A
CTXCrypttech Threat Exchange
Advanced Threat and Malware Analyses Services
CTX Agent
Rules
ML – Central Machine Learning Grid
ML
New CryptoSIM Engine
Data
New Rules
Data
New Rules
CRYPTTECH SOC
![Page 34: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/34.jpg)
AThreat Intelligence APT
21
A
PortScan
DMZ
PortScan
5Risk Level
PortScan Detected
Web Servers Detectedby Hacker
SQL Injection
SQL Injection
6SQL Injection Detected
Deploying Payload
Symetric Traffic
7Symetric Traffic Detected
Infected Web Server
Open Connection
8Open Connection to LAN by infected server
Exploit
9Windows Exploited –New User added
10Windows Exploited –User Added Domain Admin Group
![Page 35: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/35.jpg)
AThreat Intelligence
21
A
![Page 36: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/36.jpg)
AThreat Intelligence
21
A
![Page 37: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/37.jpg)
AThreat Intelligence
21
A
![Page 38: Crypttech LOG SIEM 2015](https://reader031.fdocuments.net/reader031/viewer/2022031723/55ab40191a28abf2318b4874/html5/thumbnails/38.jpg)
AThreat Intelligence
21
A