log elemzés és log mining oracle eszközökkel

Biztonság és megfelelés: Log Mining Oracle

eszközökkelFöldi Tamás – tfoldi@starschema.net

www.starschema.net

Tartalom

Starschema ThreatMiner

Oracle Database Vault

Megvalósítás – Oracle termékekkel

Log mining – logok adatbányászata

Naplózás és logelemzés

Starschema

Adattárház és üzleti intelligencia Oracle technológiák SAP partner

Informatikai biztonság Adattárház biztonság IS Audit

Termékfejlesztés Egyedi szoftverfejlesztés Dobozos szoftverfejlesztés

www.starschema.net

Mi történhetett?

1. Rendszergazda elhagyja a szervertermet

2. Rendszergazda belép az adatbázisba

www.starschema.net

3. Az adatbázis szerver webes kapcsolatot létesít az Internet felé (böngészés)

Logelemzés

Források IDS Tűzfalak, proxy-k Hálózati infrastruktúra Szerverek Adatbázisok Üzleti alkalmazások Intelligens épületek,

irodai infrastruktúra

Logelemzés Előállítás Összegyűjtés Előszűrés Aggregálás Konszolidálás Riasztás Tárolás (Hitelesítés) Riportolás Döntéshozás Cselekvés

www.starschema.net

www.starschema.net

Logelemzés: Miért?

Kockázatok csökkentése Új fenyegetettségek észlelése Konszolidált naplók kiaknázása

Beavatkozást igénylő események automatikus kigyűjtése

A biztonság mérése (KPI-ok, trendek)Compliance, jogszabályi kötelezettség

PCI, PSzÁFIncidensek kezelése

Logelemzés: Hogyan?

Manuálisan On-site, off-site

Filterezés Reguláris kifejezések

Aggregálás, összegzés Lefúrható riportok Grafikonok

Korrelációs elemzésKlasszifikációs elemzés

www.starschema.net

Logelemzés: Mikor?

Valós időben Korrelációra, komplex filterezésre nincs idő Néhány adat önmagában még nem tartalmaz

elegendő információtKésleltetve

„Egy nappal később vagy soha” Az elemzés értéke az idő múlásával csökken Napi rutin része

Naplókezelés és riasztás kezelés Különböző igények

www.starschema.net

Logelemzés: Mit?

Ritka, normálistól eltérő esetekMegszokott események elmaradásaNormális események láncolata

Felhasználó belép a konzolon és VPN-en Egy weboldal megnyitása majd konfiguráció

változás

Összegzett adatok, arányok megváltozása Felhasználó belépések, belépési hibák

www.starschema.net

Log Mining: Definíció

Data Mining (adatbányászat): Az elemző számára érdekes (nem triviális, egyértelmű, előzetesen ismeretlen és vélhetően hasznos) információk vagy tudás kinyerése nagy mennyiségű adatból.

Log Mining: Logelemzés adatbányászati eszközökkel

www.starschema.net

Log Mining: Eszköztár

Szóráselemzés (Deviation analysis) Célértékek és eltérései Kilógás

Osztályozás Naive bayes

Klaszterezés (Clustering)Association Rule Learning

Összefüggések tanulása

www.starschema.net

www.starschema.net

Log Mining: Előfeltételek

Központosított Egy helyen elérhető

Konszolidált Az összes adatforrás elérhető

Gyors adattárolás Adattárház szerű MPP, Columnar

• Exadata Partícionált, Tömörített

• Oracle RDBMS

LÉTEZŐMEGOLDÁSOK

www.starschema.net

Oracle Audit Vault

Centralizált, biztonságosKonszolidáltProaktív védelemAdattárház, riportok

SOX, HIPAA, PCI, DSS riportok Oracle BI Publisher, APEX

Teljes körű adatbázis audit log kezelés, azonban alkalmazás- és rendszerszintet nem támogat

www.starschema.net

ThreatMiner

Adattárház és adatbányászat Oracle RDBMS Orace Data Mining option Oracle Application Express, BIEE riportok

Jellemzők Legtöbb informatikai rendszer támogatott Irányított tanulás (false positive feedback) Compliance riportok Audit Vault-tal integrálható

• OAV adat és más rendszer együtt elemezhető

www.starschema.net

ThreatMiner architektúra

www.starschema.net

Összefoglalás

Logokat elemezni nem csak hasznos, de kötelező is

Az egyszerű elemzés korlátos és erőforrás igényes

A log mining egyszerűsíti a logok elemzését

Vannak rá kész megoldások

www.starschema.net

Földi Tamás – tfoldi@starschema.netwww.starschema.net

Köszönjük a figyelmet!