Naplózás a gyakorlatban

Naplózás a Naplózás a gyakorlatbangyakorlatban

Szabó LászlóSzabó László

BalaBit – [email protected] – [email protected]

Naplózás a gyakorlatbanNaplózás a gyakorlatban

2

3


3

4


4

5


5

6


6

Az előkészületek:Az előkészületek:

IgényfelmérésIgényfelmérés

Scope meghatározásScope meghatározás

Naplózási koncepció elkészítéseNaplózási koncepció elkészítése

ElőszűrésElőszűrés

Tesztelés/Pilot (Proof of Concept)Tesztelés/Pilot (Proof of Concept)

ImplementációImplementáció

KiterjesztésKiterjesztés

ÜzemeltetésÜzemeltetés

7


7

Naplózás a gyakorlatbanNaplózás a gyakorlatbanNaplózás a gyakorlatbanNaplózás a gyakorlatbanNaplózás a gyakorlatbanNaplózás a gyakorlatbanNaplózás a gyakorlatbanNaplózás a gyakorlatban

Naplómenedzsment vagy SIEM?Naplómenedzsment vagy SIEM?

8

Funkcionalitás Log Menedzsment (LM)

Security Information and Event Management (SIEM)

Log gyűjtés Minden napló gyűjtése Biztonsággal kapcsolatos logok (+ kiegészítő adatok, hálózati forgalom, riasztások, stb. ) gyűjtése

Log elő feldolgozás Indexelés, felolvasás vagy egyszerű tárolás

Felolvasás, normalizáció, osztályozás,

On-line log tárolás Nyers log állományok tárolása

Nyers logok és feldolgozott adatok tárolása

Riportolási funkciók

Széleskörű riportolási funkciók

Biztonsági fókuszú riportok

Elemzés Teljes szövegelemzés, cimkézés

Korreláció, fenyegetettségi besorolás, események priorizálása

Riasztások Egyszerű riasztások a log események alapján

Komplex, biztonsági fókuszú riasztások

Egyéb funkciók Jól skálázható gyűjtés és tárolás

Incidens menedzsment, elemzési munkafolyamatok, kontextus elemzés stb.

8


7th SANS Log Management Survey 20117th SANS Log Management Survey 2011

9

43+7y=8943+7y=89

747/571747/571

73% sec73% sec

36% network36% network

7% compl. off.7% compl. off.


9


1010



11


11


12


12

7th SANS Log Management Survey 2011 – 7th SANS Log Management Survey 2011 – KonklúziókKonklúziók

Folyamatosan szélesedő naplózási terület Folyamatosan szélesedő naplózási terület (Ipari automatizálási rendszerek, SCADA, (Ipari automatizálási rendszerek, SCADA, Mobil, Cloud)Mobil, Cloud)

A naplózás jelentősége megnőtt, a kiszolgáló A naplózás jelentősége megnőtt, a kiszolgáló infrastruktúra kritikussá váltinfrastruktúra kritikussá vált

Több, de pontosabb napló-információ Több, de pontosabb napló-információ szükséges szükséges

Még pontosabb elemző-képességekre van Még pontosabb elemző-képességekre van igényigény

13


13

TOP 7 Riport – Nem(csak) menedzsereknekTOP 7 Riport – Nem(csak) menedzsereknek

1. Authentikációs és Authorizációs Riportok 1. Authentikációs és Authorizációs Riportok

2. Változások riportjai2. Változások riportjai

3. Hálózati forgalmi riportok3. Hálózati forgalmi riportok

4. Erőforrások hozzáféréseinek riportjai4. Erőforrások hozzáféréseinek riportjai

5. Malware riportok5. Malware riportok

6. Figyelmeztetések és rendszerhibák6. Figyelmeztetések és rendszerhibák

7. Analitikus riportok – NBS (Never Before Seen)7. Analitikus riportok – NBS (Never Before Seen)

14


14

Esettanulmány – 1Esettanulmány – 1

15


15


16


16


17


17

A jövő? A jövő?

• Integrálódó ill. célzott, területenként specializált Integrálódó ill. célzott, területenként specializált megoldások megoldások

• Fejlettebb (egységes? :)) naplózási szabványokFejlettebb (egységes? :)) naplózási szabványok

• Megbízhatóbb naplógyűjtésMegbízhatóbb naplógyűjtés

• Felhasználói ill. rendszer-viselkedési minták Felhasználói ill. rendszer-viselkedési minták automatikus felismerése és riasztásaautomatikus felismerése és riasztása

• Mesterséges Intelligencia alapú döntéselőkészítésMesterséges Intelligencia alapú döntéselőkészítés

18


18

Köszönöm a figyelmet!Köszönöm a figyelmet!

19


Naplózás a gyakorlatban

Documents

Transcript of Naplózás a gyakorlatban